Drucksache 17/13000
22 ––
–– 22
Auch ich halte es für richtig, die materiellen, organisatorischen und formalen Anforderungen zur Gewährleistung
des Datenschutzes am Risiko der Datenverarbeitung für
die Rechte der Betroffenen auszurichten. Dies ist im Entwurf der Datenschutz-Grundverordnung an einigen Stellen bereits der Fall, kann aber noch ausgebaut werden.
Beim Anwendungsbereich des Datenschutzrechts und
hinsichtlich der grundsätzlichen Anforderungen an eine
Verarbeitung personenbezogener Daten und bei den
grundlegenden Rechten der Betroffenen sollte es jedoch
keine Abstriche geben.
Die 84. Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat sich in ihrer Entschließung „Europäische Datenschutzreform konstruktiv und zügig voranbringen!“ deutlich dazu geäußert (vgl. Kasten b zu Nr. 2.1).
Gleiche Datenschutzregeln für Behörden und
Unternehmen?
Die Datenschutz-Grundverordnung unterwirft Unternehmen, Vereine, Freiberufler, Gewerbetreibende grundsätzlich den gleichen Datenschutzregeln wie Behörden und
andere öffentliche Stellen, soweit es sich nicht um Polizei- oder Strafverfolgungsbehörden handelt.
Dieser Ansatz ist schon in der geltenden Datenschutzrichtlinie 95/46/EG verankert, ebenso wie im Datenschutzrecht
der meisten Mitgliedstaaten der EU. In Deutschland bestehen allerdings traditionell getrennte Regelungssysteme
für den öffentlichen und den nicht-öffentlichen Bereich.
Dies hat vor allem verfassungsrechtliche Gründe: Während sich bei der staatlichen Datenverarbeitung der
Bürger als Träger von Grundrechten und der Staat als
Grundrechtsverpflichteter gegenüber stehen, geht es beim
Datenschutzrecht im Bereich der Wirtschaft um den Ausgleich der Interessen verschiedener Grundrechtsträger.
Diese verfassungsrechtlichen Unterschiede erfordern es
allerdings nicht zwingend, unterschiedliche datenschutzrechtliche Regelungsregime zu haben. Die grundlegenden
Prinzipien sind für beide Bereiche gleich, auch wenn sie
sich verfassungsrechtlich unterschiedlich herleiten lassen.
Eine klare Trennung beider Bereiche wird auch immer
schwieriger, da sich der Staat in zunehmendem Maße privatrechtlich betätigt oder sich bei der Erfüllung seiner
Aufgaben Privater bedient.
Gleichwohl sollten den Mitgliedstaaten Spielräume verbleiben, die Anforderungen der Datenschutz-Grundverordnung durch nationales Recht zu konkretisieren. Es ist
u. a. zu gewährleisten, dass sie konkret festlegen können,
welche Datenkategorien zur Erfüllung welcher Aufgaben
zu welchen Zwecken verarbeitet und an welche andere
Stellen sie übermittelt werden dürfen. Derartige Regelungen finden sich in großer Zahl im bereichspezifischen Datenschutzrecht. Wie der Entwurf der Datenschutz-Grundverordnung bereits vorsieht, muss sich die staatliche
Datenverarbeitung auf Unions- oder mitgliedstaatliches
Recht stützen. Dies ist in der Verordnung noch klarer
herauszustellen, um hier Rechtssicherheit für die Mitgliedstaaten zu schaffen. Allerdings muss der neue EURechtsrahmen zum Anlass genommen werden, die im
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
deutschen Recht sehr zahlreichen und insgesamt nicht immer konsistenten bereichsspezifischen Datenschutzbestimmungen zu überprüfen.
Vorschläge, die Datenverarbeitung öffentlicher Stellen
vollständig aus der Datenschutz-Grundverordnung herauszulösen und ihre Regelung einer Richtlinie zu überlassen, halte ich für unrealistisch. Aus meiner Sicht können
die erforderlichen Spielräume auch innerhalb der Verordnung geschaffen werden, und es ist nicht notwendig, deshalb die gesamte Regelungsstruktur in Frage zu stellen
und damit die Reform aufs Spiel zu setzen. Die mit der
Verordnung angestrebte Harmonisierung des Datenschutzes auch im öffentlichen Bereich sehe ich insbesondere
angesichts des immer intensiveren europaweiten Datenaustauschs zwischen staatlichen Stellen positiv. Dadurch
würde das Datenschutzniveau in einigen Mitgliedstaaten
deutlich erhöht und damit letztlich auch der Schutz personenbezogener Daten deutscher Bürgerinnen und Bürger
verbessert.
Zu viele Befugnisse der Kommission oder wer
konkretisiert die Datenschutz-Grundverordnung?
Der Entwurf der Datenschutz-Grundverordnung enthält
eine große Zahl von Ermächtigungen für die Europäische
Kommission, delegierte Rechtsakte oder Umsetzungsrechtsakte zu erlassen. Diese Möglichkeit ist durch den
Vertrag von Lissabon eingeführt worden und soll die
Kommission in die Lage versetzen, ähnlich einer Rechtsverordnung nach deutschem Recht konkretisierende Vorschriften zu erlassen. Dabei darf es sich allerdings nicht
um wesentliche Fragen handeln. Diese müssen im förmlichen Rechtssetzungsverfahren in den Rechtsakten (Verordnung oder Richtlinie) unmittelbar festgelegt werden.
Mit den Datenschutzbeauftragten der Länder und der Artikel-29-Gruppe bin ich der Auffassung, dass die Kommission hier deutlich über das Ziel hinausgeschossen ist.
So sind delegierte Rechtsakte in Fällen vorgesehen, in denen wesentliche Fragen geregelt werden sollen, die in der
Verordnung selbst zu verankern wären. In anderen Fällen
besteht kein Bedarf für eine europaweit einheitliche Harmonisierung, sodass es auch hier keine Notwendigkeit
delegierter Rechtsakte gibt. Vielfach kann die Konkretisierung der Bestimmungen der Datenschutz-Grundverordnung auch den verantwortlichen Stellen selbst, der
Praxis der Aufsichtsbehörden oder dem künftig vorgesehenen Europäischen Datenschutzsausschuss überlassen
werden.
Die Artikel-29-Gruppe hat hierzu eine Einzelbewertung
der Delegationsermächtigungen in ihrem Arbeitspapier 199 vorgenommen (vgl. Nr. 2.1).
Das Marktortprinzip: Geltung des Datenschutzrechts
auch für außereuropäische Unternehmen
Bisher knüpft die Geltung des europäischen Datenschutzrechts daran an, dass ein Unternehmen entweder seinen
Sitz innerhalb der EU hat oder zumindest Mittel zur Datenverarbeitung nutzt, die sich in der EU befinden. Das
Internet ermöglicht es aber auch Unternehmen, die in der