Ein Kompromiss ist erst dann perfekt, wenn alle unzufrieden sind. Getreu diesem Motto verhandeln Rat, EU-Parlament und -Kommission über die Inhalte der kommenden EU-Datenschutz-Grundverordnung. Über die aktuelle Lage berichtet Carlo Piltz.
Am heutigen Montag verhandeln die europäischen Innenminister in Luxemburg über die seit Jahren in Planung befindliche, Europäische Datenschutzreform. Wenn sie sich, womit zu rechnen ist, einigen können, ist das Verfahren damit aber noch lange nicht am Ende.
Das europäische Datenschutzrecht steht vor seiner größten Umwälzung, seitdem es im Jahre 1995 mit der Datenschutz-Richtlinie (1995/46/EG) begründet wurde. Neu erfunden wird es freilich nicht, viele Prinzipien bleiben erhalten. Deshalb bemängeln Kritiker den fehlenden Willen zum ganz großen datenschutzrechtlichen Sprung in Brüssel. Befürworter betonen die seit 20 Jahren bewährten gesetzlichen Fundamente des Datenschutzes, die nicht eingerissen, sondern fortgeschrieben werden sollen. Eines ist Vertretern beider Lager gemein: der Wille nach einem einheitlichen Datenschutzrecht und allgemein gültigen Regeln für den Umgang mit personenbezogenen Daten.
Von der Datenschutz-Grundverordnung (DS-GVO) hört man oft und viel, seit die Europäische Kommission im Januar 2012 ihren Entwurf einer solchen präsentierte. Gute zwei Jahre später nahm das europäische Parlament in erster Lesung dazu Stellung. Beobachter warten nun gespannt auf den gemeinsamen Standpunkt des Rates der Europäischen Union, der bei den Verhandlungen am Montag beschlossen werden soll.
Abschluss bis Ende 2015?
Direkt im Anschluss ist der Start der Trilog-Verhandlungen geplant, also der Arbeitssitzungen zwischen Vertretern der Europäischen Kommission, des Europäischen Parlaments und des Rates der Europäischen Union. Hierbei handelt es sich um informelle Treffen, deren Ziel es ist, eine für die Kommission, das Parlament und den Rat annehmbare Einigung hinsichtlich des Verordnungstextes zu erzielen. Ein vorläufiger Zeitplan für die Trilog-Verhandlungen und die zu behandelnden Themen, wurde kürzlich veröffentlicht.
Blickt man auf den derzeitigen Verhandlungs- und vor allem Änderungsstand hinsichtlich des ursprünglichen Entwurfs, so wird deutlich, dass der Trilog, auch wenn er hinter verschlossenen Türen stattfindet, dringend erforderlich ist, um das anvisierte Ziel einer Verabschiedung bis Ende 2015 erreichen zu können. Denn die Positionen von Kommission, Parlament und Rat liegen in vielen zentralen Punkten noch weit auseinander.
Dennoch scheint die Verständigung auf einen für alle Parteien annehmbaren Gesetzestext nicht unmöglich, solange sich die Beteiligten darauf besinnen, um was es bei diesem Mammutprojekt geht: Einerseits den Schutz personenbezogener Daten natürlicher Personen sicherzustellen, andererseits den freien Fluss solcher Daten innerhalb Europas durch die Wirtschaft, Behörden und Forschung zu ermöglichen und zu verbessern.
So müssen Hardliner-Positionen zu Gunsten von Kompromissen aufgegeben werden, wenn eine Einigung nicht weit hinausgezögert werden soll, denn damit wäre niemandem gedient.
Verordnungscharakter als Chance für Europa
Die DS-GVO dient nicht allein der Kodifizierung eines europäischen Grundrechts. Sie sollte vielmehr als Werkzeug und Chance betrachtet werden, die vielen beim Umgang mit personenbezogenen Daten betroffenen Interessen und damit auch einschlägigen Grundrechte der Beteiligten in ein ausgewogenes und funktionierendes Verhältnis zu setzen. Das Recht auf Schutz personenbezogener Daten (Art. 8 der Charta der Grundrechte der Europäischen Union, nachfolgend: "Charta") ist ebenso wenig absolut zu verstehen wie das Recht auf Achtung des Privatlebens (Art. 7 Charta), das Recht auf Informations- und Meinungsäußerungsfreiheit (Art. 11 Charta), das Recht auf unternehmerische Freiheit (Art. 16 Charta) und das Recht auf Forschung (Art. 13 Charta).
Die DS-GVO wird als Verordnung unmittelbar in allen Mitgliedstaaten gelten. Eine Umsetzung in nationales Recht ist nicht erforderlich. Es geht zudem nicht nur darum, nationale Interessen bestmöglich in der DS-GVO reflektiert zu sehen. Vielmehr muss dieses Gesetzgebungsverfahren auch als Chance Europas verstanden werden, in der Welt mit einer Stimme zu sprechen, wenn es um die Verarbeitung von personenbezogenen Daten geht.
"We agree to disagree"
Blickt man auf die Geschichte der Verhandlungen zur Verabschiedung der geltenden europäischen Datenschutz-Richtlinie zurück und vergleicht diese mit den derzeit laufenden Arbeiten an der DS-GVO, könnte man sich in die frühen 90er zurückversetzt fühlen. So schreibt der damalige Bundesdatenschutzbeauftragte Dr. Jacob in seinem 15. Tätigkeitsbericht für die Jahre 1993-1994, dass er am 1. Juli 1994 in der Ratsarbeitsgruppe "Wirtschaftsfragen/Datenschutz" den Vorsitz übernahm und zu jenem Zeitpunkt (der erste Entwurf für die Datenschutz-Richtlinie wurde bereits im Jahre 1990 durch die Kommission veröffentlicht) noch "kein einziger Artikel des Richtlinienvorhabens konsentiert" war. Die Amtsübergabe des Ratsvorsitzes erfolgte mit den Worten: "We agree to disagree".
Vor einer ähnlichen Herausforderung werden die Parteien des Trilogs auch nun, mehr als 20 Jahre später, stehen, wenn es um die DS-GVO geht. Doch zeigt dieser kurze Rückblick auch, dass es, trotz scheinbar unüberwindbarer Meinungsverschiedenheiten, mit dem erforderlichen politischen Willen und den richtigen Kompromissen am Ende dennoch zu einer zufriedenstellenden Lösung kommen kann. Die Datenschutz-Richtlinie wurde immerhin etwas mehr als ein Jahr später durch die Präsidenten von Parlament und Rat unterzeichnet.
Nachholbedarf auf europäischer Ebene
Die geltende Datenschutz-Richtlinie ist schon lange nicht mehr geeignet, auf die technologischen Entwicklungen und die sich hieraus ergebenden rechtlichen Fragen im Umgang mit personenbezogenen Daten angemessene und praxistaugliche Antworten zu geben. Datenströme halten sich an keine Landesgrenzen und schon gar nicht an spezielle, national-staatliche Vorgaben. Auf der Grundlage der Datenschutz-Richtlinie hat sich deshalb in den einzelnen Mitgliedstaaten ein nationales und den Bedürfnissen des jeweiligen Staates angepasstes Datenschutzrecht entwickelt.
Viele wichtige Themen innerhalb der DS-GVO sind derzeit noch umstritten, darunter der gerade für die Internetwirtschaft wichtige Bereich des Profilings (im Rat etwa herrscht noch keine Klarheit darüber, wie man diesen Begriff genau definieren soll), die Anforderungen an die Erfüllung von Informationspflichten oder auch die Möglichkeit, Daten für andere Zwecke weiterzuverarbeiten als für jene, für die sie ursprünglich erhoben wurden.
2/2: One-stop-shop – aber wie?
Auch bei der Ausgestaltung eines einheitlichen behördlichen Aufsichts-, Beschwerde- und Rechtsschutzverfahrens, dem sogenannten "one-stop-shop", stehen sich entgegengesetzte Verhandlungspositionen gegenüber. Hierbei geht es um ein aus praktischer Sicht besonders wichtiges Thema: Eine in Europa allein zuständige behördliche Kontaktstelle sowohl für Unternehmen als auch die Betroffenen soll geschaffen werden. Wie genau, dazu ist man sich im Detail nicht unbedingt einig. Europaweit agierende Organisationen sollen sich auf die Vorgaben einer für sie zuständigen Datenschutzbehörde verlassen können. Gleichzeitig muss aber für Betroffene der Weg zu den Datenschutzaufsichtsbehörde in ihrem Heimatland weiter offenstehen.
Aus deutscher Sicht dürfte von Interesse sein, dass es bei der Frage der verpflichtenden Bestellung eines Datenschutzbeauftragten derzeit zwischen den beteiligten Organen 2:1 steht. Kommission und Parlament schlagen eine solche, europaweit verbindliche Bestellpflicht vor, auch wenn sie diese an unterschiedliche Anforderungen knüpfen. Im Rat konnte man sich nicht auf eine Verpflichtung einigen und möchte die Frage der Bestellpflicht dem nationalen Recht der Mitgliedstaaten überlassen. Deutschland behält sich jedoch vor, die Frage in den Trilog-Verhandlungen noch einmal auf den Tisch zu bringen. Im Ergebnis dürfte sich die Rechtslage in Deutschland jedoch nicht ändern. Denn die nationale Pflicht zur Bestellung eines Datenschutzbeauftragten wird wohl auch nach Verabschiedung der DS-GVO in Deutschland gelten.
Wo Einigkeit herrscht
Ein breiter Konsens besteht bereits jetzt, soweit es um die Ausdehnung des räumlichen Anwendungsbereichs der DS-GVO oder die Beibehaltung der möglichen Grundlagen der Datenverarbeitung (Einwilligung, Vertrag, berechtigte Interessen oder gesetzliche Pflichten) geht.
Die DS-GVO soll, unter Beibehaltung der bereits geltenden Vorgaben, dann Anwendung finden, wenn sich die für die Datenverarbeitung verantwortliche Stelle innerhalb der EU befindet. Entgegen einer oft geäußerten Fehleinschätzung, kommt es (auch derzeit) bei solchen "innereuropäischen Sachverhalten" nicht auf den Ort an, an dem die Server stehen. Befindet sich die verantwortliche Stelle in einem Drittstaat, etwa in China oder in den USA, so soll die DS-GVO bereits dann greifen, wenn die Datenverarbeitung dazu dient, in der EU ansässigen Personen Waren oder Dienstleistungen anzubieten (etwa über eine Webseite).
Auch soll die DS-GVO dann anwendbar sein, wenn die Datenverarbeitung dazu dient, das Verhalten von Personen in der EU zu beobachten. Hierdurch erhält das Marktortprinzip Einzug im zukünftigen Datenschutzrecht. Weitere datenschutzrechtliche Vorgaben, die zumindest keinen großen Diskussionsbedarf in den Trilog-Verhandlungen hervorrufen dürften, sind etwa
• die Beibehaltung des Grundsatzes vom Verbot mit Erlaubnisvorbehalt (personenbezogene Daten dürfen nur dann verarbeitet werden, wenn dies durch eine gesetzliche Erlaubnisnorm gestattet wird oder die Einwilligung des Betroffenen vorliegt),
• die Einführung von Vorgaben zum "Privacy by Design" und "Privacy by Default",
• die Etablierung eines großzügigeren Rahmens für die Verhängung von Bußgeldern bei Datenschutzrechtsverletzungen (in Rede stehen bis zu 5% des weltweiten Jahresumsatzes).
Orientierung und Ausblick
Im Rahmen der Verabschiedung der Datenschutz-Richtlinie berichtet Dr. Jacob in seinem 15. Tätigkeitsbericht auch von dem Ansatz, der schließlich den Erfolg brachte: Indem die Regelungen in Form einer Richtlinie verabschiedet wurden, die erst noch in nationales Recht übersetzt werden musste, konnten sich die Staaten einen Teil ihrer datenschutzrechtlichen Individualität und Manövrierfreiheit erhalten. Dies wird freilich bei der DS-GVO aufgrund ihrer unmittelbaren Wirkung nicht mehr möglich sein; dort muss etwaige nationale Flexibilität also bereits auf der Verordnungsebene ausgehandelt und unmittelbar in das Gesetz übernommen werden.
Der endgültige Text der DS-GVO wird nicht frei von Kritik bleiben. Das "perfekte Gesetz" wird es wohl niemals geben. Daher darf mit Verabschiedung der DS-GVO die Arbeit an einem zukunftstauglichen internationalen Datenschutzrecht nicht enden. So ist etwa auch an eine Kodifikation auf UN-Ebene zu denken. Hierfür gibt es schon erfolgreiche Beispiele aus anderen Bereichen, wie etwa das UN-Kaufrecht.
Europa muss, unbeeindruckt von politischen Grabenkämpfen und dem ideologisch motivierten Festhalten an Fundamentalpositionen, gemeinsam einen großen Schritt nach vorne gehen. Ganz im Sinne der, auf das digitale Zeitalter frei angepassten Präambel des eigenen Gründungsvertrages: "Entschlossen, durch gemeinsames Handeln den wirtschaftlichen, sozialen und technologischen Fortschritt ihrer Staaten zu sichern".
Der Autor Dr. Carlo Piltz ist Anwalt mit Schwerpunkten im IT-, Medien-, und Internetrecht bei JBB Rechtsanwälte in Berlin. Er schreibt zu datenschutzrechtlichen Fragen unter anderem auf Delegedata sowie auf Twitter.
Dr. Carlo Piltz, Verhandlungsstand bei der EU-Datenschutzreform: Zeit für den letzten Schritt . In: Legal Tribune Online, 15.06.2015 , https://www.lto.de/persistent/a_id/15852/ (abgerufen am: 02.05.2024 )
Infos zum Zitiervorschlag