Zunächst ist es ein großer Erfolg, dass diese Einigung überhaupt gelungen ist. Angesichts der Vielzahl der sehr
unterschiedlichen Interessen von Bürgerinnen und Bürgern, Wirtschaft, Wissenschaft und staatlichen Institutionen ist es nicht selbstverständlich, dass sich alle 28 Mitgliedstaaten und das Europäische Parlament auf einen
gemeinsamen Rechtsrahmen für die kommenden Jahre verständigt haben. Dies gilt gerade auch für die
JI-Richtlinie, mit der erstmals für die ganze EU ein einheitlicher Mindeststandard auch für die nationale Verarbeitung personenbezogener Daten im Bereich von Polizei und Justiz geschaffen wird.
Für die Menschen und die Unternehmen in Europa ist das neue Datenschutzrecht von großer Bedeutung. Vor
allem für die Wirtschaft wird es künftig ein weitgehend einheitliches europäisches Datenschutzrecht geben, das
in allen europaweit relevanten Fragen auch einheitlich durchgesetzt wird. Dies erleichtert den Europäerinnen
und Europäern die Wahrnehmung ihrer Rechte und ermöglicht den Unternehmen gleiche Rahmenbedingungen
auf dem europäischen Markt. Angesichts des Marktortprinzips (vgl. 24 TB Nr. 2.1.1) reicht die Wirkung des
europäischen Datenschutzrechts deutlich über Europa hinaus, denn auch außereuropäische Unternehmen werden
sich künftig an die hiesigen Regeln halten müssen, wenn sie auf dem europäischen Markt tätig werden wollen.
In den Trilogverhandlungen sind dabei noch einmal deutliche Verbesserungen gegenüber dem Ratsentwurf
erreicht und einige zentrale Forderungen der nationalen und europäischen Datenschutzbeauftragten aufgenommen und umgesetzt worden:
So wurde die Datensparsamkeit als wichtiges Grundprinzip in der DSGVO verankert. Dies ist vor allem deshalb
wichtig, weil in der öffentlichen Debatte immer wieder das Argument zu hören ist, die Datensparsamkeit sei in
Zeiten von Big Data überholt und nicht mehr zeitgemäß. Dabei ist das Gegenteil richtig: Gerade auch die
Big-Data-Technologien lassen die vom Bundesverfassungsgericht in seinem Volkszählungsurteil 1983 beschriebenen Gefahren und Bedrohungen Realität werden. Deshalb ist es wichtiger denn je, daran zu erinnern,
dass jedes Zusammenführen personenbezogener Daten zu Profilen und deren Auswertung die Selbstbestimmung
des Einzelnen beeinträchtigt; deshalb sind solche Eingriffe auf das notwendige Minimum zu reduzieren. Die
DSGVO hält an diesem grundrechtsbezogenen Ansatz fest, was ich sehr begrüße.
Darüber hinaus wurde die Zweckbindung im Vergleich zu den Vorschlägen des Rates deutlich gestärkt: Eine
Datenverarbeitung zu Zwecken, die nicht mit dem ursprünglichen Erhebungszweck vereinbar sind, wird auch
künftig nur bei einer Einwilligung des Betroffenen oder zur Erfüllung wichtiger öffentlicher Interessen erlaubt
sein. Hier werde ich sehr genau darauf achten, dass dieser Grundansatz nicht durch nationale Gesetze wieder
konterkariert wird (vgl. Nr. 1.2 f.).
Wie weiter positiv hervorzuheben ist, hat sich der Europäische Gesetzgeber vor für klare internationale Regelungen zur Datenübermittlung an Behörden und Gerichte in Staaten außerhalb der EU starkgemacht.
Aus Sicht des deutschen Datenschutzrechts ist es besonders erfreulich, dass ein deutsches Erfolgsmodell europäisch wird: Künftig müssen europaweit alle Behörden und in bestimmten Fällen risikobehafteter Datenverarbeitung auch Unternehmen einen eigenen Datenschutzbeauftragten bestellen. Zudem können die Mitgliedstaaten
in zusätzlichen Fällen eine verpflichtende Bestellung von betrieblichen Datenschutzbeauftragten vorsehen.
Ich gehe davon aus, dass der Bundesgesetzgeber von dieser Möglichkeit Gebrauch macht, damit in Deutschland
auch künftig das Zwei-Säulen-Modell aus betrieblicher Eigenkontrolle und staatlicher Aufsicht unverändert
fortgeführt werden kann.
Das neue Europäische Recht erfüllt aber nicht alle Wünsche der Datenschutzaufsichtsbehörden. So ist die notwendige Modernisierung des Datenschutzrechts nicht durchgängig gelungen.
Um die Selbstbestimmung im digitalen Zeitalter zu stärken, muss die Einwilligung so gestaltet werden, dass der
Wille des Einzelnen klar erkennbar ist und er eine echte Wahl hat. Leider muss auch künftig die Einwilligung
nicht ausdrücklich erteilt werden. Damit haben gerade global agierende Unternehmen die Möglichkeit, sich
durch die Verwendung pauschaler Datenschutzerklärungen weitreichende Möglichkeiten zur Datenverarbeitung
– 32 –
BfDI 26. Tätigkeitsbericht 2015-2016