Datenschutz in der Gemeinschaft - 14. April 2013

Neues aus Brüssel

Europa braucht ein neues Datenschutzrecht. Der Reformbedarf ist evident. Die geltende Richtlinie stammt aus dem Jahre 1995 und atmet den Geist einer Welt der Großrechner.

Im Januar 2012 hat die Europäische Kommission den Entwurf einer Datenschutz-Grundverordnung (DS-GVO) veröffentlicht, die an die Stelle der alten EU-Datenschutzrichtlinie (DSRL) aus dem Jahre 1995 treten soll. Ein gutes Jahr später ist die Diskussion um ein neues europäisches Datenschutzrecht voll entbrannt. Was sind die „Knackpunkte“? Anders als damals sind Daten heutzutage der Rohstoff gesellschaftlicher Kommunikation und eine unentbehrliche Grundlage unternehmerischen Handelns. Um zukunftsfähig zu bleiben, braucht Europa ein modernes Datenschutzrecht, das die Balance wahrt zwischen dem Schutz der Privatsphäre der Bürger, der Kommunikationsfreiheit sowie dem Schutz der unternehmerischen Betätigungsfreiheit.1

Zentralisierung und Sanktionen

Leider sind die Brüsseler Vorschläge alles andere als modern. Im materiellen Datenschutzrecht möchte man es in allen wesentlichen Punkten bei den „bewährten“ Rahmenbedingungen belassen, die lediglich durch vereinzelte Neuregelungen, etwa ein „Recht auf Vergessen“, ergänzt werden sollen. Statt auf eine umfassende Modernisierung setzt Brüssel auf Zentralisierung und Sanktionierung. Datenschutzverstöße sollen künftig empfindlich bestraft werden. Geplant sind insbesondere Geldbußen bis zur Höhe von zwei Prozent des weltweiten Jahresumsatzes eines Unternehmens. Und die europäischen Datenaufsichtsbehörden sollen gestärkt und in Pyramidenform vernetzt werden – mit der Europäischen Kommission an der Spitze, die im Zweifel selbst entscheiden möchte, wie die neuen Datenschutzregelungen genau zu verstehen sind.
Die Kommission belässt es nicht dabei, sich selbst als oberste europäische Datenschutzbehörde vorzuschlagen. Sie möchte sich darüber hinaus auch noch umfangreiche Befugnisse vorbehalten, das europäische Datenschutzrecht auf dem Verordnungsweg – per „delegiertem Rechtsakt“ – fortzuentwickeln. Dagegen gibt es bereits breiten Widerstand im Europäischen Parlament.
Insgesamt wirken die Vorschläge der Kommission wie der Papier gewordene Wunschtraum des Klischee-„Eurokraten“: In Brüssel müssten große neue Beamtenstäbe geschaffen werden, die sich mit dem europaweiten Datenschutz befassen. Ob und wie in Europa Daten gesammelt, genutzt und ausgewertet werden dürfen, würde im Zweifel in Brüssel entschieden.

Das Verbotsprinzip

Für die Bürger Europas könnte das geplante Szenario schnell zum Albtraum werden.

Für die Bürger Europas könnte ein solches Szenario schnell zum Albtraum werden: Das „neue“ Datenschutzrecht soll an dem derzeit schon geltenden Verbotsprinzip festhalten. Jedwede Verarbeitung von Daten soll – wie bisher – nur erlaubt sein, wenn entweder alle Betroffenen zugestimmt haben oder wenn es ein „legitimes Interesse“ gibt, das die Datenverarbeitung rechtfertigt. Ob und inwieweit ein unternehmerisches Interesse an einem Datenverarbeitungsvorgang „legitim“ ist, sollen im Zweifel die Datenschutzaufsichtsbehörden entscheiden. Das ist im Zeitalter der vernetzten digitalen Kommunikation, von Cloud Computing und Big Data aberwitzig.
Durch Art. 7 Abs. 4 DS-GVO soll das Verbots-prinzip sogar noch deutlich verschärft werden, weil eine Einwilligung des Betroffenen die Datenverarbeitung nur noch dann legitimieren soll, wenn es kein „erhebliches Ungleichgewicht zwischen Datenverarbeiter und Betroffenem“ gibt. Das hebelt Einwilligungslösungen etwa gegenüber Arbeitnehmern, Versicherungsnehmern und Bankkunden aus und schafft Unklarheiten, denn letztlich wird man bei jedem Verbrauchervertrag ein „Ungleichgewicht“ feststellen können.

Starre Gleichbehandlung aller Daten

Insgesamt lassen die Brüsseler Vorschläge eine flexible Herangehensweise und eine Differenzierung verschiedener Datenkategorien vermissen. Zwar gibt es in Art. 9 Abs. 1 DS-GVO einen Katalog besonders sensibler Daten. Dieser Katalog enthält eine in ihrer Zusammensetzung unverständliche Aufzählung nach Gewicht und Brisanz höchst unterschiedlicher Daten – von der Gewerkschaftszugehörigkeit bis zur DNS. Zudem unterscheidet sich die Schutzdichte nur graduell von dem Schutz weniger sensibler Daten. Das Verbotsprinzip gilt für Gerätekennzeichen in gleicher Weise wie für Informationen über sexuelle Vorlieben.
Daten sind ein Abbild sozialer Realität, die dem Einzelnen nicht – eigentumsähnlich – zugeordnet sind. Art. 1 DS-GVO bezieht Gegenstand und Ziele der DS-GVO und damit des Schutzes im Wesentlichen auf personenbezogene Daten, ist also „datenfixiert“. Das eigentlich zu schützende Gut – die Privatsphäre – wird nicht deutlich, fehlt sogar. Die Formulierung des Art. 1 DS-GVO lädt noch mehr als bisher zu dem Missverständnis ein, dass Daten um ihrer selbst willen geschützt sind.

Weitere Unzulänglichkeiten

Art. 23 Abs. 1 DS-GVO erhebt „Privacy by Design“ zum Standard. Bei der Entwicklung von Datenverarbeitungsverfahren sollen möglichst frühzeitig Lösungen gefunden werden, die übermäßige Eingriffe in die Privatsphäre vermeiden. So weit, so gut. Doch leider geht die Norm nicht über einen isolierten Programmsatz hinaus, da die „Einhaltung dieser Verordnung“ als Ziel der Ausgestaltung von Datenverarbeitungsverfahren bezeichnet wird und es vollständig der Kommission überlassen bleiben soll, den Grundsatz durch „delegierte Rechtsakte“ zum Leben zu erwecken.
Die Liste der Unzulänglichkeiten ließe sich noch beliebig fortsetzen. Statt einer Flexibilisierung und Modernisierung des Datenschutzrechts würden die Brüsseler Vorschläge zu einer Stagnation und Bürokratisierung führen. Ein vielfach zum Selbstzweck erstarrter Datenschutz würde noch mehr als heute zu einem konstanten Hemmschuh digitaler Kommunikation und Innovation. Die Vereinheitlichung des europäischen Datenschutzrechts durch eine Verordnung ist allerdings zu begrüßen. Ohne mutige Reformen des materiellen Rechts fehlt es indes auch an notwendigen Verbesserungen der Stringenz und Logik des Rechts. Zur Rechtssicherheit bei der Datenverarbeitung sowie der individuellen Durchsetzung des Datenschutzes würde die DS-GVO wenig beitragen.

Blick in die Zukunft

Im Laufe des Frühjahrs wird die DS-GVO in den zuständigen Ausschüssen des Europäischen Parlaments beraten. Eine eingehende Diskussion im Kreis des Europäischen Rats steht gleichfalls noch aus. Ob es der Kommission tatsächlich gelingt, eine Verabschiedung bis 2014 durchzusetzen, ist schon aus diesem Grund völlig offen. Da der Entwurf meilenweit entfernt ist von einem zukunftsfähigen Datenschutzrecht, muss man wohl darauf hoffen, dass der lange Anlauf der Kommission im Sande verläuft. Nach 2014 könnte dann ein neuer Versuch gewagt werden für ein mutiges neues Datenschutzrecht, bei dem die „Modernität“ mehr als nur ein Lippenbekenntnis ist.2

Podcast

Podcast

Hören Sie im Podcast Prof. Niko Härting zur EU-Datenschutz-Grundverordnung.

datev_podcast_2013_04

Zum Autor

Prof. Niko Härting

Rechtsanwalt und Partner bei Härting Rechtsanwälte, Berlin. Zudem ist er Prof. an der Hochschule für Wirtschaft und Recht (HWR Berlin).

Weitere Artikel des Autors