Verordnet Brüssel einen neuen Datenschutz? (Update: Datenschutz-Verordnung geleakt)
Die Europäische Kommission scheint das Datenschutzrecht auf EU-Ebene ändern zu wollen. Geplant ist, die europäische Datenschutzrichtlinie durch eine Verordnung zu ersetzen – ein Vorhaben mit weitreichenden Folgen. Möglicherweise bedeutet das sogar das Ende des deutschen Bundesdatenschutzgesetzes, wie wir es kennen.
Update: Die Datenschutzverordnung, die erst im Januar gezeigt werden sollte, ist geleakt. Mehr unten.
Problemfeld europäischer Datenschutz
Das europäische Datenschutzrecht krankt an mehreren Stellen: Die aktuelle Datenschutzrichtlinie (95/46/EG) stammt in ihrer ursprünglichen Form aus dem Jahre 1995. Neue technische Entwicklungen sind kaum noch unter das alte Regelwerk zu fassen. Gleichzeitig sind Neuerungen ein langwieriger Prozess: Änderungen an der Richtlinie müssen den europäischen Gesetzgebungsprozess passieren, anschließend müssen sie von den Nationalstaaten noch umgesetzt werden – mit Umsetzungsfristen von mehreren Jahren. Vom konkreten Entwurf bis zur Umsetzung einer Richtlinie können gerne mal fünf Jahre ins Land gehen.
Hinzu kommt, dass Richtlinien genau das sind, was der Name schon andeutet: Grobe Vorgaben, Rahmenbedingungen für die nationale Politik. An vielen Stellen haben die Mitgliedsstaaten weite Spielräume, welche Vorgaben sie wie genau umzusetzen gedenken. Gerade im kulturell sehr unterschiedlich gesehen Datenschutzrecht führt dies zu einer „Fragmentierung” der Rechtsordnungen, wie es EU-Kommissarin Vivian Reading kürzlich in einer Rede nannte.
Europäische Verordnung
Hier hätte eine europäische Verordnung Vorteile: Im Unterschied zu einer Richtlinie muss sie nicht durch die Nationalstaaten umgesetzt werden – sie gilt unmittelbar. Während sich also ein deutsches Gericht bei Gesetzen auf Basis einer EU-Richtlinie mit einer deutschen Norm befasst, wendet es eine EU-Verordnung unmittelbar an. Eine Umsetzung in Form eines deutschen Gesetzes ist nicht notwendig. Die deutschen Gesetze würde die Verordnung dabei verdrängen, soweit sie andere Regeln vorsieht. Denn gegenüber dem innerstaatlichen Recht ist sie vorrangig.
Das hat auch zur Folge, dass der Umsetzungsspielraum der Mitgliedsstaaten bei null liegt: Die Verordnung gibt die Regelungen vor, der nationale Gesetzgeber hat keinen Einfluss darauf. Lediglich wenn die Verordnung ausdrücklich einen Spielraum einräumt, können national eigene, abweichende Regelungen erlassen werden.
Verordneter Datenschutz und das Ende des BDSG?
Genau diese Vorteile will sich die EU-Kommission offenbar nun zu Nutze machen. Eine Verordnung soll verbindliche Datenschutzregeln für die gesamte EU festlegen. Die Folge könnte nicht weniger als das Ende des deutschen Bundesdatenschutzgesetzes sein.
Bislang ist die Informationslage allerdings etwas unübersichtlich: Mitte November verkündete Paul Nemitz, Direktor der Direktion Grundrecht bei der Europäischen Kommission, dass eine Verordnung für den Bereich Datenschutz geplant sei. Die Gesellschaft für Datenschutz und Datensicherheit (GDD) berichtete:
„Nach Darstellung von Nemitz besteht ein Bedürfnis, den Datenschutz durch eine Verordnung zu regeln, da hierdurch die Komplexität des Datenschutzrechts vermieden und eine EU-weite Vereinheitlichung verwirklicht werden. Man komme damit auch einem Wunsch der Wirtschaft nach, die sich einheitliche und verständliche Regelungen wünscht. Insbesondere kleine und mittelständische Unternehmen benötigen verständliche europaweit geltende Normen. ”
Das bestätigte uns auch das Büro von Axel Voss, Mitglied des Europäischen Parlaments und Berichterstatter zur Novellierung der EU-Datenschutzrichtlinie. Demnach soll es eine Verordnung zum Bereich Binnenmarkt geben, die speziell die Rechte der Verbraucher, die Zuständigkeit der Datenschutzbehörden, das anwendbares Recht, kurz: alles, was bislang in der EU-Datenschutzrichtlinie geregelt war, umfassen soll. Außerdem sei eine Richtlinie zum Bereich Polizei und Justiz, genauer zum Austausch von Daten zur Kriminalitätsbekämpfung geplant.
Was genau diese Verordnung enthalten soll und welche Regelungen ersetzt werden sollen, ist bislang allerdings noch nicht klar. Wie man hört, gibt es dazu bisher auch nur informelle Gespräche. Seit Wochen soll jedoch klar sein, dass alles auf eine Datenschutzverordnung hinaus laufe. Vivian Reading hat als zuständige Kommissarin angekündigt, am 25. Januar 2012 zwei Rechtsakte vorzustellen, mit denen die Datenschutzrichtlinie überarbeitet bzw. ersetzt werden soll.
Vollharmonisierung Datenschutzrecht
Es sieht also alles danach aus, als wäre ein großer Schritt in Richtung Vollharmonisierung des Datenschutzrechtes in der EU bereits auf dem Weg. Was genau das für das Datenschutzniveau in Europa bedeutet ist zwar noch offen, eine Tendenz könnte Vivian Reading aber bereits in einer Rede vor der American Chamber of Commerce Ende November angedeutet haben. Vor allem bei der Zuständigkeit der Datenschutzbehörden könnte es demnach Änderungen geben:
„They need – the same as consumers – to have a ‚one-stop-shop‚ when it comes to data protection matters – one law and one single data protection authority for each business; that of the Member State in which they have their main establishment.”
(Hervorhebung auch in der Original-Transkribierung)
Zwar betont Reading, dass das Datenschutzrecht insgesamt wirtschaftsfreundlicher werden soll. Sehr aussagekräftig dürfte diese Ankündigung jedoch nicht sein – schließlich sprach sie vor einer amerikanischen Wirtschaftsvereinigung. Daneben stellte Reading außerdem klar, dass auch das „right do be forgotten” nach wie vor auf der Agenda steht.
Fazit
Auch wenn einzelne Vorstellungen der Kommission bereits bekannt sind, sind die Details noch völlig offen. Dass die Zukunft des europäischen Datenschutzrechtes aber in einer wesentlich strikteren Vorgabe aus Brüssel besteht, scheint sicher zu sein. Eine der größten Herausforderungen wird dabei ein Kompromiss aus den verschiedenen, unterschiedlichen Vorstellungen von Datenschutz innerhalb der EU sein. Es gilt nicht nur die Interessen von Industrie und Verbrauchern unter einen Hut zu bringen, sondern auch die verschiedenen nationalen Besonderheiten: Es wäre kaum vorstellbar, in Großbritannien ein nach deutschen Maßstäben geprägtes Datenschutzrecht zu etablieren – und umgekehrt.
Update: Die Datenschutzverordnung ist durchgesickert. Das original geleakte Dokument liegt auf Statewatch.org, wir haben hier einen Mirror eingerichtet.
Die Datenschutz-Verordnung ist in dieser Entwurfsversion bezeichnet als „General Data Protection Regulation”. Heise Online hat sich den Entwurf genau angeschaut. Telemedicus wird weiter berichten.
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) zur Ankündigung von Paul Nemitz.
