Dennis-Kenji Kipker

EAID: Wie viel Diversität braucht/verträgt der europäische Datenschutz?


Am 26.1.2017 lud die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) anlässlich des Europäischen Datenschutztags zu einer Diskussionsveranstaltung zum Thema „Wie viel Diversität braucht/verträgt der europäische Datenschutz?“ nach Berlin-Grunewald in die Europäische Akademie Berlin ein. Im Mittelpunkt der Betrachtung stand die mit der EU-Datenschutzgrundverordnung (DS-GVO) und der EU-Datenschutzrichtlinie für Polizei und Justiz intendierte weitere Harmonisierung des europäischen Datenschutzrechts; ferner sollten die Fragen diskutiert werden, die sich hieraus für den datenschutzrechtlichen Regelungsspielraum der Mitgliedstaaten ergeben und wie etwa ein neues Bundesdatenschutzgesetz, welches das deutsche Datenschutzrecht an die europarechtlichen Vorgaben anpassen soll, aussehen könnte. Die Moderation und Diskussionsleitung der Veranstaltung erfolgte durch Dr. Alexander Dix, LL.M., Berliner Beauftragter für den Datenschutz und die Informationsfreiheit a.D. und stellvertretender Vorsitzender der EAID.

ZD-Aktuell 2017, 04247    Nach einer kurzen Begrüßung durch den gastgebenden Leiter der Europäischen Akademie Berlin, Prof. Dr. Eckart D. Stratenschulte, führte Peter Schaar, Vorsitzender der EAID und BfDI a.D., in das Thema ein. Die Frage nach der Diversität im EU-Datenschutz sei an sich nicht neu, so Schaar. Die DS-GVO folge zwar dem Grundsatz der Vollharmonisierung. Die Datenschutzrichtlinie für Justiz und Polizei formuliere jedoch eher durch das nationale Recht zu konkretisierende Datenschutz-Mindeststandards. Speziell für die DS-GVO stelle sich die Frage, wie sich das nationale Datenschutzrecht unter Berücksichtigung der eigenstaatlichen Rechtsetzungsspielräume weiterentwickle. Ein weiterer diskussionswürdiger Aspekt sei, wie man das überwiegend hohe deutsche Datenschutzniveau auch in Zukunft aufrechterhalten könne. Die nationalen rechtlichen Anpassungsspielräume in der DS-GVO seien vor allem auch Ergebnisse des politischen Ringens nach eigenständigen Regelungen, z.B. in den Bereichen des Beschäftigtendatenschutzes sowie des Datenschutzes für wissenschaftliche und statistische Zwecke. Nach der Auffassung von Schaar sei knapp über ein Jahr vor Inkrafttreten des neuen europäischen Datenschutzrahmens im Mai 2018 der richtige Zeitpunkt, um sich mit den neuen Regelungen, insbesondere auch im Hinblick auf das deutsche Datenschutz-Anpassungs- und -Umsetzungsgesetz-EU (DSAnpUG-EU), vertieft auseinanderzusetzen. Dabei gehe es aber nicht allein um die Konzeptionierung des deutschen Datenschutzrechts – auf Grund von dessen Vorbildcharakter stehe außer Frage, dass sich auch andere Mitgliedstaaten der EU an den neuen deutschen Vorgaben orientieren könnten. Eine vertiefte und gründliche Befassung mit der Zusammenwirkung von europäischen und nationalen Datenschutzregeln sei deshalb bedeutungsvoller denn je.

Im Anschluss an die Einführung hielt Prof. Dr. Jürgen Kühling von der Universität Regensburg den ersten Vortrag des Abends, den er mit zwei zentralen Fragen einleitete: Wie harmonisiert sei das EU-Datenschutzrecht schon jetzt? Wie viel Harmonisierung werde aktuell und in Zukunft noch benötigt? Zur Beantwortung sei es wichtig, einen Blick auf die Geschichte des EU-Datenschutzes zu werfen. So sei die Initiative zur Harmonisierung des Datenschutzes auf EU-Ebene ursprünglich vom Europarat mit der Schaffung der Europäischen Datenschutzkonvention ausgegangen. Diese sei jedoch noch recht vollzugsschwach gewesen. Erst deutlich später sei eine stärkere Harmonisierung durch die EU-Datenschutzrichtlinie (DS-RL) erfolgt. Bei der europäischen Rechtsvereinheitlichung spiele nicht ausschließlich der Gesetzgeber, sondern auch der EuGH eine zentrale Rolle, ganz i.S.d. Credos „Wer Recht sät, wird Rechtsprechung ernten“. Insbesondere seit dem Jahre 2003 sei die DS-RL in zunehmender Weise durch den EuGH konkretisiert worden. So habe der EuGH den Wirkkreis der Richtlinie verdeutlicht, habe erheblich zur Schärfung ihres territorialen Anwendungsbereichs beigetragen, habe strenge Anforderungen an den Drittlandtransfer festgelegt und die Unabhängigkeit der Datenschutz-Aufsichtsbehörden gestärkt. Kühling hob hervor, dass es zum Zeitpunkt der Schaffung der DS-RL im Jahre 1995 nicht ausschließlich um den Persönlichkeitsschutz, sondern auch um die Förderung des gemeinsamen europäischen Binnenmarkts gegangen sei. Schon damals sei in Frage gestellt worden, ob eine Richtlinie tatsächlich diejenige rechtliche Handlungsform sei, die diesen Interessen am ehesten entspreche. Diese Zweifel hätten sich angesichts des doch unterschiedlichen Datenschutzniveaus der Mitgliedstaaten mittlerweile bestätigt. Anhand eines Thesenpapiers gab der Referent einen Ausblick auf die Veränderungen durch die DS-GVO: Der Verordnungscharakter sei hier zentrales Element. Der damit einhergehende Rechtsformwechsel sei allein schon deshalb konsequent, weil die Erfahrung der letzten Jahre gezeigt habe, dass einige EU-Mitgliedstaaten das bisher geltende Datenschutzrecht nicht auf angemessene Weise realisiert hätten. Die EU-Kommission habe mit der DS-GVO jedoch ihre eigenen institutionellen Ziele weitgehend verfehlt. Insbesondere habe sie mit den in ihrem ursprünglichen Entwurf vorgesehenen delegierten sowie Durchführungsrechtsakten ihre Rolle im künftigen EU-Datenschutzrecht deutlich ausbauen wollen, i.E. aber überstrapaziert. Dies hätte zur Folge gehabt, dass die meisten Aspekte dieser normierenden Konkretisierung als ursprüngliches Konzept der Kommission nicht im finalen Rechtsakt verblieben sind. Das sei bedauerlich, da die Konkretisierung der DS-GVO nunmehr zeitaufwändig durch die nationalen Datenschutz-Vollzugsbehörden und durch den EuGH mittels des Instruments der Auslegung unbestimmter Rechtsbegriffe vorgenommen werden müsse. Gewinner der DS-GVO seien nach Ansicht des Referenten deshalb vor allem diese Behörden und die Gerichte. Nicht zuletzt sei die Rolle der EU-Kommission als Gesetzgeber auch deshalb gescheitert, weil sie eben doch kein Legislativ-, sondern ein Exekutivorgan darstelle. Abschließend hob Kühling hervor, dass durch die Vielzahl an Öffnungsklauseln eine extreme Anpassungsfähigkeit des EU-Datenschutzrechts an nationale Regelungsspielräume vorgesehen sei. In rechtlicher Hinsicht sollte diese Möglichkeit zur Individualisierung der DS-GVO jedoch nur sparsam genutzt werden, um die angestrebte harmonisierende Wirkung des Rechtsakts nicht zu gefährden.

Im Anschluss referierte Barbara Thiel, die LfD Niedersachsen und Vorsitzende der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK). Thiel stellte dabei vor allem die Positionierung der DSK im Hinblick auf die DS-GVO heraus. Bei aller geäußerten Kritik stelle dieser Rechtsakt den zweifelsfrei wichtigsten Meilenstein des EU-Datenschutzrechts dar, indem er deutlich mehr Rechtssicherheit und Einheitlichkeit biete. Ein solches Ziel habe nur durch eine Verordnung erreicht werden können. Die DS-GVO treffe jedoch infolge der Öffnungsklauseln keine abschließende Regelung, sondern stehe dem nationalen Gesetzgeber bewusst auch eigene Regelungsspielräume zu. In ihrer Wirkung komme die DS-GVO damit eher einer Richtlinie denn einer Verordnung gleich. Deshalb stelle sich die berechtigte Frage, ob die EU ihr Ziel einer europäischen Vollharmonisierung des Datenschutzrechts verfehlt hat. Die Kommission vertrete an dieser Stelle aber die Auffassung, dass die DS-GVO dem nationalen Gesetzgeber durch die Öffnungsklauseln nicht viel Spielraum belasse. I.E. finde man somit im Hinblick auf die Regelungsspielräume der nationalen Gesetzgeber zur Konkretisierung der DS-GVO eine erhebliche Bandbreite an Auffassungen. Sie reichten von der Vollharmonisierung bis zur bloßen Richtlinienwirkung. Dies erschwere die Findung eines gemeinsamen, einheitlichen Standpunkts in der EU. Im Wesentlichen komme es aber darauf an, wie die einzelnen Regelungsgegenstände der Öffnungsklauseln der DS-GVO betrachtet werden. Wichtigste Frage sei hier, inwieweit der bundesdeutsche Gesetzgeber die Öffnungsklauseln für sich konkretisiere. Thiel hob hervor, dass die DSK den Bundesgesetzgeber schon früh darauf hingewiesen habe, dass die Klauseln zu Gunsten des Rechts der informationellen Selbstbestimmung auszulegen seien, dies insbesondere im Hinblick auf den Gesundheits- und Beschäftigtendatenschutz; für Letzteren plädierte Thiel für ein eigenes Beschäftigtendatenschutzgesetz. Die bestehenden Regelungen im BDSG allein seien bei Weitem nicht ausreichend. Daneben regele die DS-GVO die Videoüberwachung nicht unmittelbar, hier sei in Zukunft eine Beschränkung der Änderung der Zweckbestimmung bedeutsam. Eine weitere Forderung machte die niedersächsische LfD an den Befugnissen der Datenschutz-Aufsichtsbehörden fest, so vor allem beim Klagerecht. Nicht zuletzt sei auch die Frage des Datenschutzes durch technisch-organisatorische Maßnahmen (TOM) zu diskutieren. Thiel stellte i.E. fest, dass die Öffnungsklauseln der DS-GVO grundsätzlich eng auszulegen seien und nur in Ausnahmefällen genutzt werden dürften – und dies auch nur unter Beachtung hoher Rechtfertigungsanforderungen. Die Öffnungsklauseln seien in jedem Falle keine Instrumente, um eigenständige nationale Regelungen durchzusetzen, die von der DS-GVO nicht als solche aufgegriffen würden. Sie warnte insbesondere vor rechtswidrigen Doppelregelungen der Mitgliedstaaten. Deshalb sei auch der mittlerweile dritte Entwurf des deutschen Umsetzungsgesetzes enttäuschend, da er die Öffnungsklauseln zu extensiv auslege. Dies führe in einigen Fällen sogar zur Europarechtswidrigkeit, insbesondere in Regelungsbereichen, für die es eigentlich keine Öffnungsklauseln gebe; davon sei insbesondere Art. 6 der DS-GVO betroffen. Die DSK befürchte vor diesem Hintergrund eine Absenkung des Schutzniveaus im deutschen Datenschutzrecht, z.B. bei den Betroffenenrechten, dem Schutz besonderer Kategorien personenbezogener Daten und bezogen auf den Zweckbindungsgrundsatz. Es dränge sich ausgehend von der zurzeit stattfindenden rechtspolitischen Debatte in Deutschland der Eindruck auf, dass auf nationaler Ebene nunmehr datenschutzrechtliche Regelungen geschaffen werden sollen, die sich auf europäischer Ebene zuvor nicht durchsetzen ließen. I.E. würden hierdurch Bürgerrechte beschnitten, um den Aufwand bei staatlichen Einrichtungen und Unternehmen in Bezug auf ihre Datenverarbeitung möglichst gering zu halten.

Paul Nemitz, Direktor für Grundrechte und Unionsbürgerschaft bei der Europäischen Kommission, Generaldirektion Justiz, stellte in seinem Vortrag auch unter Bezugnahme auf die Vorredner des Abends fest, dass die EU-Kommission zurzeit noch keine Stellung zu den aktuellen gesetzgeberischen Aktivitäten in Deutschland hinsichtlich einer Konkretisierung der DS-GVO durch nationale Regelungen nehme. Der Referent hob jedoch hervor, dass Datenschutz heutzutage ein zentrales Rechtsgebiet für die zunehmend digitalisierte Wahrnehmung von Demokratie sei, denn demokratische Partizipation ließe sich nicht in einem Zustand der Dauerüberwachung realisieren. Der mit dem Eintritt in das digitale Zeitalter einhergehende technologische Quantensprung habe die EU-Kommission dazu bewogen, die bestehenden rechtlichen Regelungen des EU-Datenschutzes zu überdenken. Auch sei die Rolle Deutschlands für die Entwicklung des zukünftigen EU-Datenschutzes nicht zu vernachlässigen: Europa habe mit der DS-GVO das deutsche Herangehen an den Datenschutz aufgenommen, dies zeige allein schon die rechtspolitische Diskussion um den europäischen Datenschutzrahmen hierzulande. Die Kernprinzipien, die von Seiten der EU mit der DS-GVO verfolgt würden, seien die Schaffung eines hohen und einheitlichen Datenschutzniveaus sowie das Funktionieren des Datenflusses im Binnenmarkt. In diesem Sinne sei auch der Begriff der Öffnungsklauseln nicht unbedingt richtig, es handele sich vielmehr um bloße Spezifizierungsklauseln, deren vornehmliches Ziel darin bestehe, für einen angemessenen Interessenausgleich zwischen der EU und den Nationalstaaten zu sorgen. Dies führe dazu, dass der nationale Gesetzgeber derlei Spezifizierungsklauseln auch nicht zwingend nutzen müsse – und falls er sich doch dafür entscheiden sollte, darauf Rückgriff zu nehmen, dann stets in dem eng auszulegenden Rahmen, der der Natur der jeweiligen Klausel entspricht. Insbesondere habe der EU-Gesetzgeber durch Abweichungs- und Ergänzungsmöglichkeiten im nationalen Recht nicht den Bereich der Vollharmonisierung des Datenschutzrechts verlassen wollen. Vielmehr sei es ihm darum gegangen, ein möglichst hohes europaweites EU-Datenschutzrecht zu realisieren. Durch das Instrument einer EU-Verordnung werde auch keineswegs die Demokratie in Deutschland „ausgeschaltet“, weil Bundes- oder Landesgesetzgeber nicht mehr an der Rechtsetzung mitwirken könnten. Die Verordnung schaffe vielmehr durch die Vereinheitlichung Transparenz und Rechtsstaatlichkeit. Nemitz wies darauf hin, dass die bisherige DS-RL vor allem für kleine und mittelständische Unternehmen ein Markteintrittshindernis gewesen sei, da die nationale Datenschutzgesetzgebung erhebliche Unterschiede aufwies. Die DS-GVO schaffe nunmehr ein einheitliches Recht. Gerade hierzulande sei dies wichtig, da in Deutschland die mittelständische Wirtschaft eine besonders wichtige Rolle spiele. Aus diesem Grunde habe er den ursprünglichen Widerstand der Bundesregierung gegen die Verordnung nicht wirklich nachvollziehen können. Gerade im digitalen Zeitalter sei das alleinige Festhalten am nationalen Recht ein fataler Fehler, da Datenströme gerade nicht an Territorialgrenzen halt machten. Nicht selten würden auch in Deutschland digitale Dienste genutzt, die sich nach dem Datenschutzrecht eines Drittstaats richteten. Die europäische Rechtsvereinheitlichung würde auch im Hinblick darauf zu einer Stärkung von Bürger- und Verbraucherrechten führen. Darüber hinaus zweifle die EU-Kommission die Rolle des EuGH nicht an. Im Datenschutzrecht sei dessen Positionierung aber zumindest deutlich schwieriger als in anderen Bereichen, da die Rechtsdurchsetzung hier vornehmlich durch unabhängige Behörden erfolge. Deshalb könnten sich Entscheidungen des höchsten europäischen Gerichts zwar durchaus gegen die Mitgliedstaaten richten. Die Bundesregierung habe im Endeffekt jedoch keine Möglichkeit, daraus resultierende, mögliche Weisungen gegenüber den unabhängigen Datenschutzbehörden durchzusetzen. Deshalb misst Nemitz der Einführung eines einheitlichen EU-Datenschutzausschusses besondere Bedeutung zu. Dieser könne die Kohärenz der Rechtsanwendung in Europa auf verbesserte Weise sicherstellen,  weil er für die einzelnen nationalen Datenschutzbehörden verbindliche Entscheidungen treffen könne. Durch die Neuregelung werde aber die grundsätzliche Unabhängigkeit der Datenschutzbehörden nicht angetastet. Nemitz schloss seine Ausführungen mit dem Appell, Europa möge sein gesamtes Gewicht beim Datenschutz in die Waagschale werfen, um weltweit ein gehobenes Datenschutzniveau durchzusetzen. Hierfür sei es unbedingt notwendig, dass das langjährig ausgehandelte europäische Datenschutzrecht in Verkörperung der DS-GVO nun auch durch die Mitgliedstaaten angenommen werde; nationalstaatliche Alleingänge könne sich die EU hier nicht leisten. Insbesondere Deutschland als größtem Mitgliedstaat käme die Rolle zu, Europa zu fördern, indem es daran mitwirke, das Datenschutzrecht europäisch zu gestalten. Was die Umsetzung der nationalen Datenschutzgesetzgebung anbelange, habe Deutschland einen Vorbildcharakter gegenüber den anderen EU-Mitgliedstaaten. Was hier beschlossen werde, habe impulsgebende Wirkung für ganz Europa. Umso wichtiger sei es, nun angemessene Regelungen zu treffen, die dem europäischen Gedanken hinreichend Rechnung tragen.

Im Anschluss an die Vorträge fand eine moderierte Diskussion statt, in deren Rahmen das interessierte Fachpublikum zahlreiche Fragen stellen konnte, die von den jeweiligen Referenten beantwortet wurden.

Die EAID wird ihre Veranstaltungsreihe zur Ds-GVO begleitend zum Einführungsprozess der neuen europäischen Regelungen fortsetzen. Die nächste Veranstaltung dazu findet am 2.3.2017, wieder in den Räumlichkeiten der EAB in Berlin, statt und befasst sich inhaltlich mit dem technologischen Datenschutz und den entsprechenden Vorgaben in der DS-GVO, hier insbesondere dem Gebot zur Datenschutz-Folgenabschätzung, Datenschutz-Gütesiegeln, Data Protection by Design/Default, Datenminimierung und Datenportabilität. Weitere Informationen und die Anmeldung zur Veranstaltung werden zeitnah auf der Website des Vereins – www.eaid-berlin.de – zur Verfügung gestellt.

 

Dr. Dennis-Kenji Kipker ist wissenschaftlicher Assistent am Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) an der Universität Bremen und Mitglied im Vorstand der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.