Verhandlungsstand bei der EU-Datenschutzreform: Zeit für den letzten Schritt

2/2: One-stop-shop – aber wie?

Auch bei der Ausgestaltung eines einheitlichen behördlichen Aufsichts-, Beschwerde- und Rechtsschutzverfahrens, dem sogenannten "one-stop-shop", stehen sich entgegengesetzte Verhandlungspositionen gegenüber. Hierbei geht es um ein aus praktischer Sicht besonders wichtiges Thema: Eine in Europa allein zuständige behördliche Kontaktstelle sowohl für Unternehmen als auch die Betroffenen soll geschaffen werden. Wie genau, dazu ist man sich im Detail nicht unbedingt einig. Europaweit agierende Organisationen sollen sich auf die Vorgaben einer für sie zuständigen Datenschutzbehörde verlassen können. Gleichzeitig muss aber für Betroffene der Weg zu den Datenschutzaufsichtsbehörde in ihrem Heimatland weiter offenstehen.  

Aus deutscher Sicht dürfte von Interesse sein, dass es bei der Frage der verpflichtenden Bestellung eines Datenschutzbeauftragten derzeit zwischen den beteiligten Organen 2:1 steht. Kommission und Parlament schlagen eine solche, europaweit verbindliche Bestellpflicht vor, auch wenn sie diese an unterschiedliche Anforderungen knüpfen. Im Rat konnte man sich nicht auf eine Verpflichtung einigen und möchte die Frage der Bestellpflicht dem nationalen Recht der Mitgliedstaaten überlassen. Deutschland behält sich jedoch vor, die Frage in den Trilog-Verhandlungen noch einmal auf den Tisch zu bringen. Im Ergebnis dürfte sich die Rechtslage in Deutschland jedoch nicht ändern. Denn die nationale Pflicht zur Bestellung eines Datenschutzbeauftragten wird wohl auch nach Verabschiedung der DS-GVO in Deutschland gelten.

Wo Einigkeit herrscht

Ein breiter Konsens besteht bereits jetzt, soweit es um die Ausdehnung des räumlichen Anwendungsbereichs der DS-GVO oder die Beibehaltung der möglichen Grundlagen der Datenverarbeitung (Einwilligung, Vertrag, berechtigte Interessen oder gesetzliche Pflichten) geht.
Die DS-GVO soll, unter Beibehaltung der bereits geltenden Vorgaben, dann Anwendung finden, wenn sich die für die Datenverarbeitung verantwortliche Stelle innerhalb der EU befindet. Entgegen einer oft geäußerten Fehleinschätzung, kommt es (auch derzeit) bei solchen "innereuropäischen Sachverhalten" nicht auf den Ort an, an dem die Server stehen. Befindet sich die verantwortliche Stelle in einem Drittstaat, etwa in China oder in den USA, so soll die DS-GVO bereits dann greifen, wenn die Datenverarbeitung dazu dient, in der EU ansässigen Personen Waren oder Dienstleistungen anzubieten (etwa über eine Webseite).

Auch soll die DS-GVO dann anwendbar sein, wenn die Datenverarbeitung dazu dient, das Verhalten von Personen in der EU zu beobachten. Hierdurch erhält das Marktortprinzip Einzug im zukünftigen Datenschutzrecht. Weitere datenschutzrechtliche Vorgaben, die zumindest keinen großen Diskussionsbedarf in den Trilog-Verhandlungen hervorrufen dürften, sind etwa

•    die Beibehaltung des Grundsatzes vom Verbot mit Erlaubnisvorbehalt (personenbezogene Daten dürfen nur dann verarbeitet werden, wenn dies durch eine gesetzliche Erlaubnisnorm gestattet wird oder die Einwilligung des Betroffenen vorliegt),
•    die Einführung von Vorgaben zum "Privacy by Design" und "Privacy by Default",
•    die Etablierung eines großzügigeren Rahmens für die Verhängung von Bußgeldern bei Datenschutzrechtsverletzungen (in Rede stehen bis zu 5% des weltweiten Jahresumsatzes). 

Orientierung und Ausblick

Im Rahmen der Verabschiedung der Datenschutz-Richtlinie berichtet Dr. Jacob in seinem 15. Tätigkeitsbericht auch von dem Ansatz, der schließlich den Erfolg brachte: Indem die Regelungen in Form einer Richtlinie verabschiedet wurden, die erst noch in nationales Recht übersetzt werden musste, konnten sich die Staaten einen Teil ihrer datenschutzrechtlichen Individualität und Manövrierfreiheit erhalten. Dies wird freilich bei der DS-GVO aufgrund ihrer unmittelbaren Wirkung nicht mehr möglich sein; dort muss etwaige nationale Flexibilität also bereits auf der Verordnungsebene ausgehandelt und unmittelbar in das Gesetz übernommen werden.

Der endgültige Text der DS-GVO wird nicht frei von Kritik bleiben. Das "perfekte Gesetz" wird es wohl niemals geben. Daher darf mit Verabschiedung der DS-GVO die Arbeit an einem zukunftstauglichen internationalen Datenschutzrecht nicht enden. So ist etwa auch an eine Kodifikation auf UN-Ebene zu denken. Hierfür gibt es schon erfolgreiche Beispiele aus anderen Bereichen, wie etwa das UN-Kaufrecht.  

Europa muss, unbeeindruckt von politischen Grabenkämpfen und dem ideologisch motivierten Festhalten an Fundamentalpositionen, gemeinsam einen großen Schritt nach vorne gehen. Ganz im Sinne der, auf das digitale Zeitalter frei angepassten Präambel des eigenen Gründungsvertrages: "Entschlossen, durch gemeinsames Handeln den wirtschaftlichen, sozialen und technologischen Fortschritt ihrer Staaten zu sichern".

Der Autor Dr. Carlo Piltz ist Anwalt mit Schwerpunkten im IT-, Medien-, und Internetrecht bei JBB Rechtsanwälte in Berlin. Er schreibt zu datenschutzrechtlichen Fragen unter anderem auf Delegedata sowie auf Twitter.