Delegationen und Diskussionen: Aktuelles zur EU-Datenschutzreform
Die Diskussion um die Reform des Datenschutzrechts auf europäischer Ebene ist ein Dauerbrenner. Spätestens seit im Dezember 2011 ein erster Entwurf der geplanten Datenschutzverordnung im Internet leakte, besteht keine Not an Meinungen und Vorschlägen zu dem geplanten Gesetzeswerk. Und auch in Brüssels Datenschutzwerkstätten fand in den letzten Tagen ein reger Austausch zum Thema statt. Wir berichten über die aktuellen Entwicklungen.
Am 5. Oktober meldete sich die Artikel 29-Gruppe zu Wort, um zur Datenschutzverordnung Stellung zu nehmen. Bei dieser Gruppe handelt es sich um ein Gremium, das aus Vertretern der Datenschutzkontrollstellen der Mitgliedstaaten (also etwa dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit) besteht und unabhängig in beratender Funktion zu datenschutzrechtlichen Fragen tätig wird. Namensgebend für dieses europäische All Star-Team des Datenschutzes war Artikel 29 der Richtlinie 95/46/EG (Datenschutzrichtlinie).
In ihrer Stellungnahme unterrichtet die Art. 29-Gruppe zunächst über den Status Quo des Gesetzgebungsprozesses, die daran Beteiligten und die Themen, die in der Brüsseler Debatte jüngst besonders wichtig waren. Die Gruppe verweist auch auf ihre letzte Stellungnahme vom 23 März dieses Jahres und kündigt eine weitere Rückmeldung in der Sache für Anfang 2013 an. Es besteht anscheinend reichlich Aufarbeitungsbedarf.
Festigung der Fundamente des Datenschutzrechts
Schließlich kommen die Datenschützer auf die Inhalte zu sprechen, die ihnen momentan am Herzen liegen. Zu nächst einmal setzt man sich mit den Begriffen der „personenbezogenen Daten“ und der Einwilligung als Säulen des Datenschutzrechts auseinander. Beide Begriffe möchte die Datenschutzgruppe in einem Sinne verstanden wissen, der einen optimalen Schutz der Individualrechte ermöglicht.
Im Zusammenhang mit der Regelung zum Begriff der personenbezogenen Daten (Art. 4 Abs. 2 Verordnungsentwurf) werden eine Reihe von Änderungsvorschlägen für den Text der Verordnung angeführt, die vor allem klarstellender Natur sind bzw. sich auf die Erwägungsgründe der Verordnung beziehen.
Bei der Beantwortung der Frage, wann ein personenbezogenes Datum vorliegt, solle man nicht allzu kleinlich sein, so der Tenor. Dabei wird auch die beliebte Streitfrage, ob und wenn ja, unter welchen Umständen eine IP-Adresse ein personenbezogenes Datum sein kann, gestreift. Schon im Jahr 2007 hatte die Art. 29-Gruppe eine Stellungnahme zu diesem Thema veröffentlicht und dabei den Personenbezug von IP-Adressen bejaht.
Bezüglich der Frage der Einwilligung in den Umgang mit Daten (geregelt in Art. 4 Abs. 8 und Art. 7 des Entwurfs) werden die hohen Hürden gelobt, die der Gesetzgeber nach dem Entwurf an eine wirksame Einwilligung stellen möchte. Vor einer Herabsetzung der Voraussetzungen wird gewarnt. Es sei wichtig, dass eine Einwilligung – so wie Art. 4 Abs. 8 es vorschreibt – explizit erfolge.
Delegierte Rechtsakte – Notwendig oder gefährlich?
Sodann wendet sich die Gruppe einem anderen Thema zu, das in der Diskussion um die Datenschutzverordnung in letzter Zeit an Bedeutung gewonnen hat: Die Rolle der delegierten Rechtsakte.
In Art. 86 des aktuellen Verordnungsentwurfs wird der Kommission bezüglich einer Vielzahl von Bestimmungen die Kompetenz übertragen, diese in Form von delegierten Rechtsakten genauer zu regeln. Bei einem delegierten Rechtsakt handelt es sich um ein Instrument, das mit dem Vertrag von Lissabon Eingang in die EU-Verträge gefunden hat. In Art. 290 AEUV ist die delegierte Rechtssetzung geregelt. Demnach kann der Kommission die Befugnis übertragen werden, Rechtsakte ohne Gesetzescharakter zur Ergänzung oder Änderung bestimmter nicht wesentlicher Vorschriften zu erlassen.
Sowohl den Datenschützern der Art. 29-Gruppe als auch diversen Parlamentariern erscheint es hier als problematisch, dass der Kommission als Gubernative zahlreiche Rechtssetzungsbefugnisse eingeräumt werden. In ihrer Stellungnahme nimmt die Art. 29-Gruppe den Standpunkt ein, dass die Übertragung von Befugnissen teilweise wesentliche Fragen betrifft, deren Regelung durch das Parlament erfolgen müsse. Damit läge ein Verstoß gegen Art. 290 AEUV vor.
Zur Erläuterung der Problematik der delegierten Rechtsakte ein Beispiel:
In Art. 6 des Entwurfs der Datenschutzverordnung ist geregelt, in welchen Fällen die Verarbeitung personenbezogener Daten rechtmäßig ist – eine zweifelsohne essentielle Frage des Gesetzeswerkes.
Absatz 1 Ziffer f) der Vorschrift sieht vor:
„Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“
So weit, so gut. Eine Erlaubnis zur Datenverarbeitung bei einem vorliegenden berechtigten Interesse, das dem Schutzinteresse des Betroffenen überwiegt, bietet an sich keinen Anlass zur Beanstandung.
Im Bezug darauf heißt es jedoch in Absatz 5 des gleichen Artikels:
„Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Anwendung von Absatz 1 Buchstabe f für verschiedene Bereiche und Verarbeitungssituationen einschließlich Situationen, die die Verarbeitung personenbezogener Daten von Kindern betreffen, näher zu regeln.“
Im Klartext bedeutet das, dass die Kommission bei der Interessenabwägung, ob eine Datenverarbeitung in einer bestimmten Situation rechtmäßig ist, ihr Pfund in die Waagschale werfen könnte, um möglicherweise den „berechtigten Interessen“ an einer Verarbeitung zum Überwiegen zu verhelfen. Sie könnte etwa einen delegierten Rechtsakt erlassen, in dem sie Fallbeispiele aufzählt, bei denen ein Überwiegen berechtigter Interessen in der Regel gegeben ist. Damit könnte der Anwendung der bisher offenen und für den Einzelfall flexiblen Regelung unter Umständen eine bestimmte Richtung vorgegeben werden. Dies könnte sich wiederum auf die grundrechtlichen Positionen der Unionsbürger auswirken.
Was dieser Problematik bezüglich Art. 6 Abs. 5 des Verordnungsentwurfs noch zusätzliche Brisanz verleiht ist, dass Art. 79 Abs. 6 lit. a) des Entwurfs eine Sanktionierung der unbefugten Datenverarbeitung entgegen der Voraussetzungen des Art. 6 vorsieht. Das bedeutet, dass die Kommission durch ihre Rechtssetzungsbefugnis auch Einfluss auf die Reichweite von Ordnungswidrigkeitentatbeständen erhalten würde. Solche Tatbestände haben nach rechtsstaatlichen Grundsätzen ein Mindestmaß an Bestimmtheit aufzuweisen (Art. 103 Abs. 2 GG und Art. 7 Abs.1 EMRK). Der aktuelle Entwurf der Datenschutzverordnung genügt dem Bestimmtheitserfordernis durch die Möglichkeit des Erlasses von delegierten Rechtsakten auf diesem Bereich möglicherweise nicht.
Die Art. 29-Gruppe sieht bei Art.6 Abs. 5 des Verordnungsentwurfs ebenfalls Nachbesserungsbedarf. Im Anhang zu ihrer Stellungnahme schlägt sie vor, dass das Parlament selbst Richtlinien zu der Frage schaffen sollte, wann ein berechtigtes Interesse vorliegt, anstatt der Kommission dieses Feld zu überlassen. Ebenso unterzieht die Gruppe die übrigen Befugnisse zum Erlass delegierter Rechtsakte im Verordnungsentwurf einer kritischen Analyse.
Auch das Parlament hat Bedenken
Die Frage nach der Notwendigkeit der delegierten Rechtsakte und weitere Themen des Datenschutzes haben kürzlich auch den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europäischen Parlaments beschäftigt.
In einer interparlamentarischen Ausschusssitzung des Euroäischen Parlaments und der nationalen Parlamente kamen vom 9. bis zum 11. Oktober zahlreiche Experten zu Wort, die nicht nur die europäische Datenschutzverordnung, sondern im gleichen Zug auch die neue geplante Datenschutzrichtlinie für den Bereich der Strafverfolgung diskutierten.
Hier wurde der Arbeitsbedarf in der Datenschutzgesetzgebung schon deutlich, als Parlamentspräsident Martin Schulz am Morgen des ersten Sitzungstages seine Begrüßungsworte an die Anwesenden richtete. Er bezeichnete das datenschutzrechtliche Reformpaket als „eines der wichtigsten und kompliziertesten Dossiers der Legislaturperiode“ und formulierte hohe Erwartungen an alle Beteiligten. Schulz selbst hatte als Ausschussmitglied an der Gesetzgebung zur Datenschutzrichtlinie von 1995 mitgewirkt.
Unter anderem sprach er auch die Problematik der delegierten Rechtsakte als wichtiges Thema an. Die Behauptung von Viviane Reding – Kommissionsvizepräsidentin und Kommissarin für Justiz, Grundrechte und Bürgerschaft – die delegierten Rechtsakte regelten rein technische Fragen, wies er zurück. Das Parlament werde bei diesem Thema wachsam und, wenn notwendig, unbequem sein. Wo Grundrechte betroffen seien werde man darauf achten, dass deren Schutz gewährleistet sei.
Françoise Le Bail, Justizgeneraldirektorin der Kommission, entgegnete dem in ihrem folgenden Redebeitrag, indem sie die Wichtigkeit der delegierten Rechtsakte zur Gewährleistung eines nachhaltigen gesetzlichen Rahmens betonte. Nur auf diese Weise könne aktuellen Entwicklungen durch die Verordnung Rechnung zu tragen.
Fazit
Die Regelungen der EU-Datenschutzverordnung sind noch lange nicht ausdiskutiert. Es gibt nach wie vor Aufarbeitungsbedarf in zahlreichen Punkten. Die Stellungnahme der Art. 29-Gruppe und die Aufzeichnungen der interparlamentarischen Sitzung im LIBE-Ausschuss bieten gute Ansatzpunkte, um sich über den aktuellen Stand des Reformvorhabens und den einzelnen Problembereichen zu informieren. Es bleibt zu hoffen, dass der europäische Datenschutz – im Kreuzfeuer von delegierten Rechtsakten und weiteren Streitfragen – sich nicht bald von einem heiß begehrten Dauerbrenner in eine schwer begehbare Dauerbaustelle verwandelt.
Der Entwurf zur Datenschutz-Verordnung im Überblick.
Webseite der Artikel-29-Gruppe.
Website des LIBE-Ausschusses (mit Videos der Sitzungen).
