Europa braucht eine starke Datenschutzgrundverordnung – damit nationale Aufsichtsbehörden handlungsfähig werden
Von Dr. Kay Oelschlägel und Clemens-Magnus Koós
Am 12.03.2014 hat das EU-Parlament die Datenschutzgrundverordnung verabschiedet. Damit diese wirksam wird, muss sie noch im „Trilog“ beschlossen werden. Der „Trilog“ wird von der EU-Kommission moderiert und ist ein Vermittlungsverfahren zwischen dem EU Parlament und dem (EU-)Rat, der sich aus den Ministern der (EU-)Mitgliedstaaten bildet. Eine beachtliche Opposition im Rat – unter anderem die Bundesregierung – blockiert die Datenschutzgrundverordnung. Die jüngsten Äußerungen des Bundesinnenministers lassen jedoch hoffen, dass sich die Bundesregierung stärker für die Umsetzung einer Datenschutzgrundverordnung einsetzen wird.
Angesichts der wachsenden Nutzung von Daten in der Wirtschaft und einer gesellschaftlichen Omnipräsenz des Datenschutzes bedarf es eines modernen Datenschutzes auf europäischer Ebene.
Europäisches Datenschutzrecht ist fragmentiert
Aktuell basiert europäischer Datenschutz auf der sogenannten Datenschutzrichtlinie (RL 95/46/EG) aus dem Jahr 1999. Richtlinien gelten nicht unmittelbar, sondern müssen von den Mitgliedstaaten per Gesetz umgesetzt werden. Auch wenn der EuGH in zwei Urteilen betont hat, dass ein Ermessensspielraum der Mitgliedstaaten bei der Umsetzung der Datenschutzrichtlinie nicht gegeben sei, ist es durch die unterschiedliche Gesetzgebung der Mitgliedstaaten zu einer Fragmentierung des europäischen Datenschutzrechts gekommen. Die Datenschutzrechtslage in Europa ist dem Zustand vergleichbar, als hätte jeder Mitgliedstaat einen eigenen Steckdosenanschluss: Sicherlich fließt überall Strom durch, und mittels Adaptern lassen sich die elektrischen Geräte überall nutzen. Wirklich praktisch ist es aber nicht.
Weiter ist problematisch, dass die nationalen Aufsichtsbehörden bei Datenschutzmissbräuchen als „Tiger ohne Zähne“ agieren und keine wirksamen Sanktionen verhängen. Aufgrund der Fragmentierung im Datenschutzrecht können Unternehmen ihren Sitz in die Staaten legen oder mit einer Verlegung dorthin drohen, in denen besonders liberale Datenschutzvorschriften gelten und die Aufsichtsbehörden ihre Rolle nur zurückhaltend ausüben. Die betroffenen Personen selbst haben nur begrenzte Möglichkeiten, gegen die Verarbeitung ihrer Daten vorzugehen. Schließlich ist der Umgang mit Daten bei Beendigung eines Rechtsverhältnisses (sogenanntes Opt-out) von der Richtlinie nur mangelhaft reguliert.
Vereinheitlichung des Datenschutzrechts in Europa
Die Datenschutzgrundverordnung würde aufgrund ihres Normcharakters unmittelbar in den Mitgliedstaaten gelten. Dadurch kämen die meisten nationalen Datenschutzgesetze nicht mehr zur Anwendung, und das europäische Datenschutzrecht wäre weitestgehend vereinheitlicht.
Zudem wäre die Rolle der Aufsichtsbehörden gestärkt: Diese könnten bei Datenschutzverstößen schmerzhafte Sanktionen auferlegen, ohne befürchten zu müssen, dass Unternehmen mit Abwanderung drohten, und hätten weitere Kontrollbefugnisse. Eine „europäische Aufsichtsbehörde“ wäre dafür verantwortlich, dass die nationalen Aufsichtsbehörden eine grundsätzlich einheitliche Rechtsauffassung verträten, was mehr Rechtssicherheit schaffen würde.
Für das „Opt-out“ sieht die derzeitige Fassung der Datenschutzgrundverordnung umfassende Regelungen vor. Zudem verleiht sie den von der Datenverarbeitung betroffenen Personen Instrumente zur Durchsetzung ihrer Rechte.
Ein betrieblicher Datenschutzbeauftragter wäre ab einer gewissen Größenordnung der Verarbeitungen personenbezogener Daten einzuführen, um die Rechtssicherheit innerhalb der Unternehmen zu stärken und Datenskandale präventiv zu verhindern.
Auch soll ein europäisches Datenschutzsiegel für Unternehmen zum einen das Vertrauen der Bürger in die Sicherheit der Datenverarbeitungen stärken und zum anderen die Verarbeitung der personenbezogenen Daten durch rechtliche Privilegien erleichtern.
Kritiker halten europaweite Regelung für entbehrlich
Kritiker der Datenschutzgrundverordnung argumentieren, dass ein wirksamer Datenschutz bereits aufgrund des EuGH-Urteils zum „Recht auf Vergessenwerden“ (Rechtssache C-131/12) künftig möglich wäre. In diesem EuGH-Urteil klagte ein spanischer Bürger erfolgreich, dass Google-Einträge über ihn zu löschen seien und nicht mehr in den Suchergebnissen gelistet werden dürften, soweit sein Persönlichkeitsrecht unangemessen beeinträchtigt sei.
Der hessische Datenschutzbeauftragte Prof. Dr. Michael Ronellenfitsch äußerte in der F.A.Z. vom 14.05.2014, dass jenes Urteil eine ähnliche Bedeutung wie das „Volkszählungsurteil“ des Bundesverfassungsgerichts habe und eine Datenschutzgrundverordnung künftig entbehrlich sei.
Ronellenfitsch bezieht nicht ausreichend ein, dass der EuGH ein politisches Urteil gesprochen hat. Der EuGH bestimmt richtungweisend, wie der Umgang mit Daten zu erfolgen habe. Hieraus zu schließen, dass bereits ein wirksamer und effektiver europäischer Datenschutz möglich sei, verkennt nicht nur die EuGH-Rechtsprechung zur Umsetzung der Datenschutzrichtlinie, sondern ignoriert auch, dass die Richtlinie bisher keine ausreichende Rechtssicherheit bieten konnte. Der Verweis auf das „Volkszählungsurteil“ ist ein argumentatives Eigentor, denn damals folgte das noch heute geltende BDSG als Reaktion des Gesetzgebers. Der Gesetzgeber hatte erkannt, dass es ohne Gesetze zum Datenschutz eine nicht hinnehmbare Grundrechtsbeeinträchtigung des Rechts auf informationelle Selbstbestimmung gäbe. Dem Vergleich von Ronellenfitsch nach müsste also jetzt gerade die Datenschutzgrundverordnung erforderlich werden.
Selbst diejenigen, die die Ansicht von Ronellenfitsch teilen, müssen sich dessen bewusst sein, dass ein umfassender nationaler deutscher Datenschutz nutzlos ist, wenn Unternehmen sich dem Zugriff nationaler Aufsichtsbehörden durch eine Verlegung des Sitzes in ein Gebiet außerhalb des Wirkungsbereichs der Behörden entziehen können.
Wirtschaft profitiert von Datenschutzgrundverordnung
Eine Datenschutzgrundverordnung hätte förderliche Auswirkungen für die europäische Wirtschaft:
Die derzeitige Fragmentierung des europäischen Datenschutzrechts ist sicherlich nur ein Aspekt, warum es an einer Konkurrenzfähigkeit europäischer „Internetunternehmen“ relativ zu Unternehmen aus „Silicon Valley“ mangelt. Europa stärkt aber seine Attraktivität als Standort für Internetunternehmen dadurch, dass Unternehmen künftig nur die Datenschutzgrundverordnung und nicht viele einzelne nationale Gesetze beachten müssten. Es macht einen Unterschied, ob ein Internetunternehmen sein Geschäftsmodell auf 80 Millionen potentielle deutsche Nutzer oder 505 Millionen europäische Nutzer ausrichten kann, ohne hierbei kostspielige Gutachten zur Rechtslage in den Mitgliedstaaten einzuholen. Eine Datenschutzgrundverordnung trägt somit dazu bei, einen grenzübergreifenden Markt für Internetunternehmen in Europa zu schaffen.
Außerdem könnten die Kosten, die durch den Umgang mit den jeweils nationalen Aufsichtsbehörden entstehen würden, eingespart werden. Durch den neuen Grundsatz „One-Stop-Shop“ wäre nur noch eine Aufsichtsbehörde im Land des Sitzes des Unternehmens für die Überwachung seiner Datenverarbeitung in ganz Europa zuständig.
Schon jetzt unterscheidet sich das tatsächliche Datenschutzniveau erheblich von dem rechtlich vorgeschriebenen, wie die NSA-Affäre und wachsende – sich aber nicht zu helfen wissende – Kritik am Umgang mit Daten durch große Unternehmen zeigt. Der europäische Bürger ist im Hinblick auf seine Daten mündig geworden und darf einen modernen Datenschutz erwarten, der seine Grundrechte angemessen schützt. Durch das Ausbessern nationaler Gesetze kann dieses gesamteuropäische Anliegen nicht mehr befriedigend gelöst werden.
Hinweis der Redaktion: Zum „Recht auf Vergessenwerden“, zum Datenschutzrecht in der EU und zu Fragen des Datenschutzes in international aufgestellten Unternehmen siehe Sahin/Engelstädter, Business Law Magazine 1/2014, S. 30 sowie Weber/Füssel, Business Law Magazine 1/2014, S. 34.
Dr. Kay Oelschlägel, Partner, Luther Rechtsanwaltsgesellschaft mbH,
Hamburg
kay.oelschlaegel@luther-lawfirm.com
www.luther-lawfirm.com
Clemens-Magnus Koós, wissenschaftlicher Mitarbeiter,
Luther Rechtsanwaltsgesellschaft mbH,
Hamburg
clemens-magnus.koos@luther-lawfirm.com
www.luther-lawfirm.com
