Mehr Rechte für die Bürger - Kommission stellt neue Datenschutzverordnung vor

(Katrin Hatzinger)

Am 25. Januar 2012 hat die Europäische Kommission ihren Vorschlag für eine neue Datenschutzverordnung vorgestellt. Sie soll die bisherige Datenschutzrichtlinie (95/46/EG) ablösen und das europäische Grundrecht auf Datenschutz stärken. Neben der Verordnung hat sie für den Bereich Polizei und justizielle Zusammenarbeit in Strafsachen einen Richtlinienvorschlag vorgelegt.

Bereits im November 2010 hatte die Europäische Kommission mit ihrer Mitteilung über ein "Gesamtkonzept für den Datenschutz in der Europäischen Union" (KOM[2010]609) ihre Vorstellungen über die zukünftige Gestaltung des EU-Datenschutzrechts darlegt. Grund für die Reform der Richtlinie seien die neuen Herausforderungen, die 1. durch neue Informationstechnologien und IT-basierte Medien und 2. durch die Globalisierung für den Datenschutz entstehen: Moderne Technologien würden durch die Überwachung des Internetverhaltens potentieller Kunden und die Veröffentlichung persönlicher Informationen in sozialen Netzwerken die Gefahr bergen, dass der Einzelne die Kontrolle über persönliche, zum Teil sensible Daten verliere. Spezifische Probleme, die zur Zeit der Abfassung der Richtlinie in den 1990er Jahren noch nicht im Blick sein konnten, sollten nun durch zeitgemäße Vorschriften angegangen werden. Zudem sollte eine einheitliche Regelung die bestehenden Fragmentierung und dem hohen Verwaltungsaufwand beenden und den Unternehmen auf diese Weise Einsparungen von etwa 2,3 Mrd. Euro jährlich ermöglichen. Schließlich sollen das Vertrauen der Verbraucher in Onlinedienste gestärkt und so dringend benötigte Impulse für mehr Wachstum, Arbeitsplätze und Innovationen in Europa gegeben werden.

Folgende Neuerungen sind u.a. vorgesehen:

• Anstelle der bisher den Unternehmen obliegenden Pflicht, den Datenschutzbeauftragten sämtliche datenschutzrelevanten Tätigkeiten zu melden (was den Unternehmen Verwaltungsaufwand sowie Kosten in Höhen von 130 Mio. Euro jährlich verursacht hat), sieht die Datenschutzverordnung künftig mehr Verantwortung sowie eine verschärfte Rechenschaftspflicht sämtlicher Verarbeiter personenbezogener Daten vor.
• Unternehmen und Organisationen sollen beispielsweise bei einer schweren Verletzung des Schutzes personenbezogener Daten künftig die nationale Aufsichtsbehörde unverzüglich (d. h. nach Möglichkeit binnen 24 Stunden) benachrichtigen müssen.
• Alleiniger Ansprechpartner für Organisationen wird künftig die nationale Datenschutzbehörde des EU-Landes sein, in dem sie ihre Hauptniederlassung haben. Ebenso sollen sich Bürger künftig auch dann an die Datenschutzbehörde ihres Landes wenden können, wenn ihre Daten von einem außerhalb der EU niedergelassenen Unternehmen verarbeitet werden. In Bezug auf Datenverarbeitungen, die der vorherigen Genehmigung bedürfen, wird nunmehr klargestellt, dass die Genehmigung ausdrücklich erteilt werden muss und nicht stillschweigend vorausgesetzt werden darf.
• Die Bürger sollen leichter auf ihre eigenen Daten zugreifen und diese bei einem Wechsel zu einem anderen Dienstleistungsanbieter "mitnehmen" können (Recht auf Datenportabilität). Dadurch wird der Wettbewerb unter den Anbietern derartiger Dienste zunehmen.
• Das "Recht auf Vergessenwerden" soll eine bessere Beherrschung der bei Onlinediensten bestehenden Datenschutzrisiken ermöglichen. Alle Bürger sollen das Recht erhalten, ihre eigenen Daten zu löschen, wenn keine legitimen Gründe für deren Vorhaltung bestehen.
• Jedwede außerhalb der EU erfolgende Bearbeitung von personenbezogenen Daten durch auf dem EU-Markt aktive Unternehmen, die ihre Dienste den EU-Bürgern anbieten, soll künftig den EU-Vorschriften unterliegen.
• Die Unabhängigkeit der nationalen Datenschutzbehörden soll gestärkt werden, damit diese die EU-Vorschriften in ihren Ländern besser durchsetzen können. Beispielsweise sollen die nationalen Datenschutzbehörden künftig Geldbußen gegen Unternehmen verhängen können, die gegen die Datenschutzbestimmungen der EU verstoßen.
• Durch eine neue Datenschutzrichtlinie sollen allgemeine Datenschutzgrundsätze und -regeln für die polizeiliche und justizielle Zusammenarbeit in Strafsachen eingeführt werden.

Das Recht auf Schutz personenbezogener Daten findet ausdrücklich Anerkennung in Artikel 8 der Charta der Grundrechte der Europäischen Union (GRC) und im Vertrag von Lissabon (Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union, AEUV).

Schon im Vorfeld seiner Veröffentlichung war dem Kommissionsvorschlag z. B. durch einen kritischen Kommentar des Bundesverfassungsrichters Johanes Masing in der Süddeutschen Zeitung am 10. Januar 2012 viel Aufmerksamkeit zuteil geworden, nicht zuletzt aufgrund seiner Rechtsnatur. Denn während eine Richtlinie den Mitgliedstaaten bei der Umsetzung gewisse Spielräume einräumt, gilt eine Verordnung unmittelbar. Zudem hegte Masing Bedenken, dass der verfassungsrechtliche Grundrechtsschutz durch die Verordnung ausgehebelt werden könnte.

Die ersten Reaktionen von Politikern und Datenschützern waren aber weitgehend positiv, wenn auch Innenminister Hans-Peter Friedrich die Pläne in manchen Punkten zu weit gehen. Verbraucherschutzministerin Ilse Aigner zeigte sich zufrieden. Wichtig seien gemeinsame europäische Datenschutzstandards "mit einer globalen Anziehungskraft". Dabei müsse das in Deutschland erreichte hohe Datenschutzniveau gewahrt bleiben. Die EVP-Gruppe im Europäischen Parlament (EP) begrüßte, dass die Verordnung "mehr Transparenz und Schutz von Nutzerdaten im Netz" bringen werde. Der Innen- und Rechtsexperte der Grünen im EP, Jan Philipp Albrecht, erklärte: "Mit der Neuregelung werden endlich direkt durchsetzbare Auskunfts- und Korrekturansprüche europaweit vereinheitlicht. Damit hat das Hinterherrennen der Betroffenen und die Flucht von Unternehmen wie Behörden vor Regulierung endlich ein Ende. Gleichzeitig schafft der neue EU-Datenschutz Rechtssicherheit für Unternehmen und beendet den unfairen Wettbewerb um niedrige Datenschutzstandards auf Kosten der europäischen Wirtschaft."

Der Bundesdatenschutzbeauftragte Peter Schaar äußerte sich differenziert. Den Grundrechtsschutz sieht er durch den Vorstoß der EU-Kommission nicht beeinträchtigt. Der Datenschutz sei in Artikel 8 der GRC formell festgeschrieben. "Das haben wir so im Grundgesetz bisher nicht." Die in ihrer Wirkung vergleichbare "recht positive Rechtsprechung des Bundesverfassungsgerichts zum informationellen Selbstbestimmungsrecht" werde nicht obsolet. Die Datenschutzbestimmungen der GRC und des AEUV könnten durch den Europäischen Gerichtshof (EuGH) überprüft werden. Kritisch sieht Schaar allerdings, dass einzelne Bürger nicht mit einer Beschwerde an die Luxemburger Richter herantreten könnten. Hier müsse sich die Bundesregierung für entsprechende Möglichkeiten einsetzen. Insgesamt stelle die Verordnung aber in weiten Teilen eine Verbesserung gegenüber der bislang geltenden Datenschutzrichtlinie von 1995 dar.

Der kirchliche Datenschutz stand offenkundig nicht im Zentrum der Reformbestrebungen. Zwar bedarf es noch einer eingehenden Prüfung durch kirchliche Datenschutzexperten, wie sich die Verordnung in der Praxis auf den kirchlichen Datenschutz auswirken wird, auf den ersten Blick wird dem auf dem kirchlichen Selbstbestimmungsrecht gemäß Art. 140 GG i.V.m. Art. 137 III S.1 WRV beruhenden eigenen kirchlichen Datenschutzrecht sehr umfassend Rechnung getragen. So bleiben die Vorschriften bestehen, die das kirchliche Meldewesen sowie den Kirchensteuereinzug ermöglichen. Darüber hinaus ist die Weitergeltung des kirchlichen Datenschutzrechts vorgesehen, soweit dieses im Einklang mit der Verordnung steht sowie die Beschäftigung unabhängiger kirchlicher Datenschutzbeauftragter.

Es bleibt abzuwarten, wie sich Parlamentarier und Mitgliedsstaaten in der Debatte positionieren werden. Angesichts der Kontroverse um das ACTA-Abkommen gegen Netzpiraterie und der wachsenden politischen Bewegung zur Verteidigung der Freiheit im Internet ist der Verordnungsentwurf als beherzter europäischer Vorstoß, die Rechte des Einzelnen an seinen Daten zurückzuerobern, zu begrüßen. Daneben ist der Entwurf ein klares Statement Europas zu dem Bürgerrecht Datenschutz vis-à-vis der Marktmacht von Google, Facebook und Co. und dem US-amerikanischen Modell, das es einseitig den Unternehmen überlässt, den Nutzern die Spielregeln zu diktieren.

• Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
• heise online | Schaar sieht Licht und Schatten bei EU-Plänen zum Datenschutz