One continent, one data protection law?
Um die Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO) ranken sich verschiedene Legenden. Zwei dieser Legenden bedingen sich gegenseitig:
- Die eine lautet, der Widerstand der Wirtschaft sei immens gewesen. Im Europäischen Parlament habe es mit 4.000 Änderungsanträgen ein Lobbying wie noch bei keinem anderen Rechtsakt zuvor gegeben. Die Wirtschaft habe im Verein mit den Mitgliedstaaten den überfälligen Schutz der Privatsphäre der Menschen unterminiert, hintertrieben, verwässert und blockiert.Wer in den vergangenen Jahren jedoch regelmäßig Datenschutzkonferenzen besucht hat, weiß, dass zumindest grundsätzlicher Widerstand von kaum einem großen Unternehmen oder Verband geübt wurde. Insbesondere die großen Unternehmen hielten sich mit Grundsatzkritik zurück. Zum einen sicherlich, weil sie es nicht riskieren wollten, ihren Ruf als Datenkraken noch weiter zu festigen. Zum anderen aber wohl auch, weil sie tatsächlich auf eine Vollharmonisierung des Datenschutzrechts in der EU hofften.
- Die andere Legende der Verhandlungen zur DS-GVO lautet nämlich, das Datenschutzrecht werde durch eine Vollharmonisierung EU-weit vereinheitlicht („one continent, one law“). Mit dieser These versuchte insbesondere die Europäische Kommission, Unterstützung für ihr Vorhaben auch bei der Wirtschaft zu erlangen.Die Reform nutze der Wirtschaft, weil sie sich nur noch an ein Recht und nicht mehr an 28 verschiedene Rechtsordnungen halten müsse (sog. „level playing field“). Es werde ein gleich hoher Datenschutzstandard für alle geschaffen. Außerdem werde endlich Rechtssicherheit für die Unternehmen geschaffen. Insgesamt sei die Reform daher ein „boost“ für den digitalen Binnenmarkt.
Ob die Datenschutzreform das Versprechen, die Fragmentierung des Datenschutzrechts in Europa zu beseitigen, wird einlösen können, ist jedoch noch nicht absehbar:
- Viele unbestimmte Rechtsbegriffe
Diese Unsicherheit lässt sich zunächst an den vielen unbestimmten Rechtsbegriffen der DS-GVO festmachen. Die höchst unterschiedlichen Datenschutzkulturen der 28 EU-Mitgliedstaaten werden aufgrund der Auslegungsfähigkeit und -bedürftigkeit der Regelungen für die Rechtspraxis weiterhin prägend sein. Bis der Europäische Datenschutzausschuss und der Gerichtshof der Europäischen Union (EuGH) durch letztverbindliche Auslegungen Rechtssicherheit geschaffen haben werden, werden viele Jahre vergehen. Rechtssicherheit wird dann auch immer nur in Einzelfragen erlangt werden können.
- Zahlreiche Öffnungsklauseln
Darüber hinaus lassen die zahlreichen Öffnungsklauseln (oder auch Flexibilitätsklauseln) der DS-GVO Zweifel aufkommen, ob das Ziel der Harmonisierung erreicht werden kann. Zwar gilt eine EU-Verordnung in allen Mitgliedstaaten unmittelbar und bedarf nicht mehr der Umsetzung. Auch verdrängt sie ihr entgegenstehendes mitgliedsstaatliches Recht (Anwendungsvorrang). Die Öffnungsklauseln der DS-GVO sehen aber vor, dass den Mitgliedstaaten in weitem Umfang Gestaltungsspielraum verbleibt.
Der ursprüngliche Entwurf der Europäischen Kommission enthielt bereits 36 Öffnungsklauseln, der EP-Entwurf 46 und der Ratsentwurf 68. Das Versprechen einer Vollharmonisierung war somit von vornherein gefährdet.
Die finale Fassung der DS-GVO enthält - je nach Zählweise - zwischen 50 und 60 Öffnungsklauseln für die Mitgliedstaaten und Kirchen. Diese Mindmap gibt einen guten Überblick über die ganze Vielfalt dieser Öffnungsklauseln.
Sie lassen sich in unterschiedliche Kategorien unterteilen:
- Einige Klauseln verpflichten die Mitgliedstaaten zum Tätigwerden,
- andere geben ihnen die Befugnis, im jeweiligen mitgliedstaatlichen Recht spezifischere und/oder von der DS-GVO abweichende Regelungen vorzusehen.
In inhaltlicher Hinsicht lassen sich die folgenden Öffnungsklauseln unterscheiden:
Den wohl größten Spielraum haben die Mitgliedstaaten bei den Rechtsgrundlagen der Datenverarbeitung - und zwar sowohl bei der Erstverarbeitung zum ursprünglichen Verarbeitungszweck als auch bei der Weiterverarbeitung zu anderen Zwecken. Hier können sie durch Gesetz in sehr weitgehendem Umfang festlegen, wann eine Datenverarbeitung zulässig ist und wann nicht. Dies betrifft entgegen der gängigen Einschätzung nicht nur die Datenverarbeitung im öffentlichen Bereich, also durch Behörden.
Bei der Erstverarbeitung lassen Art. 6 Abs. 2 und 3 DS-GVO vielmehr die Schaffung von Rechtsgrundlagen zu, wenn die Datenverarbeitung:
- zur Erfüllung einer rechtlichen Verpflichtung der verantwortlichen Stelle erforderlich ist (das können auch Verpflichtungen sein, die privaten Unternehmen auferlegt werden),
- für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist (auch diese Regelung kann sich auf die Datenverarbeitung durch Private beziehen),
- in Ausübung hoheitlicher Gewalt erfolgt (das ist die klassische Hoheitsverwaltung auf spezialgesetzlicher Grundlage).
Bei der Weiterverarbeitung zu anderen Zwecken (also bei der bei den Verhandlungen so umstrittenen Zweckänderung) lässt Art. 6 Abs. 4 DS-GVO ebenfalls die Schaffung von nationalen Regelungen zu, durch die an sich inkompatible Weiterverarbeitungen für zulässig erklärt werden können. Voraussetzung ist, dass eine solche Regelung eine notwendige und verhältnismäßige Maßnahme in einer demokratischen Gesellschaft darstellt, um die in Art. 23 Abs. 1 DS-GVO genannten öffentlichen Interessen, den Schutz des Betroffenen oder die Rechte und Freiheiten anderer Personen zu gewährleisten.
Auf diesem Wege können zum Beispiel Big Data-Analysen oder Anwendungen im Internet der Dinge, die einen großen gesellschaftlichen Mehrwert versprechen (und daher im öffentlichen Interesse liegen), die aber bei eng ausgelegtem Zweckbindungsgrundsatz unzulässig wären, durch nationales Gesetz erlaubt werden. Wenn einige oder alle Mitgliedstaaten von dieser Möglichkeit Gebrauch machen, würde schon die Frage der Zulässigkeit einer Datenverarbeitung innerhalb der EU weiterhin unterschiedlich beantwortet.
Nach Art. 6 Abs. 2 DS-GVO können die Mitgliedstaaten spezifischere Regelungen im Hinblick auf die Anwendung der DS-GVO beibehalten oder einführen - unter anderem bei Datenverarbeitungen:
- zur Erfüllung einer rechtlichen Verpflichtung der verantwortlichen Stelle,
- zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe,
- im Rahmen der Ausübung hoheitlicher Gewalt,
- in Bezug auf genetische Daten, biometrische Daten oder Gesundheitsdaten,
- für im öffentlichen Interesse liegende Archivzwecke,
- für Zwecke der historischen oder wissenschaftlichen Forschung,
- für statistische Zwecke,
- im Beschäftigungskontext,
- für journalistische, literarische oder künstlerische Zwecke und soweit sie unter Inanspruchnahme der Meinungs- und Informationsfreiheit erfolgen.
Die Frage, was genau unter „spezifischeren Vorschriften" zu verstehen ist (Definition), wird die nationalen Gesetzgeber und die Rechtsprechung in den nächsten Jahre intensiv beschäftigen.
Der Regelungszweck dieser Norm ist allerdings klar. Da die DS-GVO für viele Verarbeitungskontexte gar keine oder nur rudimentäre Regelungen vorsieht, bedarf es aus Gründen der Rechtssicherheit bereichsspezifischer Regelungen. So enthält die DS-GVO im Gegensatz zum bestehenden Recht zum Beispiel keine Regelungen für die Videoüberwachung, für das Kreditscoring, für das Direktmarketing, für die Markt- und Meinungsforschung, usw. Wenn aber - wofür vieles spricht - verschiedene Mitgliedstaaten unterschiedliche Regelungen für bestimmte Verarbeitungskontexte erlassen, wäre insofern eine Harmonisierung nicht gegeben.
Gemäß Art. 23 DS-GVO können die Betroffenenrechte der Art. 12 bis 22 DS-GVO und Art. 34 DS-GVO aufgrund mitgliedstaatlichen Rechts beschränkt werden. Dies ist auch dringend erforderlich, da bei den Betroffenenrechten Ausnahmeregelungen fast völlig fehlen.
- Ausnahmeregelungen im BDSG:
Das BDSG enthält zum Beispiel beim Informationsrecht des Betroffenen Ausnahmetatbestände zugunsten öffentlicher Interessen (§§ 19a Abs. 2 Nr. 3, 19a Abs. 3 i.V.m. 19 Abs. 3 und 4, 33 Abs. 2 Nr. 4 und 6 BDSG), bei unverhältnismäßigem Aufwand (§§ 19a Abs. 2 Nr. 2, 33 Abs. 2 Nr. 2, 5, 7a, 8 und 9 BDSG) und zugunsten der Rechte Dritter (§§ 19a Abs. 3 i.V.m. 19 Abs. 4 Nr. 3, 33 Abs. 2 Nr. 3 BDSG).
Auch beim Auskunftsrecht enthält das BDSG zahlreiche Ausnahmetatbestände. So gibt es hier Ausnahmen zugunsten von Berufsgeheimnisträgern (z.B. Rechtsanwälten, Ärzten, usw.) und zugunsten der Rechte Dritter (§§ 34 Abs. 7 i.V.m. 33 Abs. 2 Nr. 3 BDSG), zugunsten der Rechte der Datenverarbeiter (§§ 34 Abs. 7 i.V.m. 33 Abs. 2 Nr. 2, 5, 7b BDSG) und zugunsten öffentlicher Interessen (§§ 34 Abs. 7 i.V.m. 33 Abs. 2 Nr. 6 BDSG).
Diese Ausnahmeregelungen stellen einen angemessenen Ausgleich zwischen dem Recht des Betroffenen auf Privatsphäre und den widerstreitenden Interessen und Rechten her und sind (sicherlich nicht in jedem Detail, aber grundsätzlich in der Sache) weiterhin erforderlich.
- "Delegation" in DS-GVO an nationale Ausnahmeregelungen:
Auch bei den anderen Betroffenenrechten der DS-GVO (Berichtigungs- und Vervollständigungsanspruch, Widerspruchsrecht, Recht auf Datenportabilität, Recht auf Verarbeitungsbeschränkung, Verbot automatisierter Einzelentscheidung, Recht auf Notifikation) fehlen Ausnahmetatbestände weitestgehend.
- Konsequenz: Fragmentierter Anwendungsbereich
Da die Mitgliedstaaten somit faktisch gezwungen sind, Ausnahmen von den Betroffenenrechten vorzusehen, diese Ausnahmen aber aller Voraussicht nach höchst unterschiedlich ausfallen werden, wird es beim Anwendungsbereich der Betroffenenrechte bei einer Fragmentierung des Datenschutzrechts in der EU bleiben.
Auch die Schaffung einer Balance zwischen dem Persönlichkeitsschutz und den Kommunikationsfreiheiten wird gemäß Art. 85 DS-GVO weiterhin den Mitgliedstaaten vorbehalten bleiben.
- Pflicht zu nationalen Abwägungsregelungen
Nach Art. 85 Abs. 2 DS-GVO sind die Mitgliedstaaten verpflichtet, für die Datenverarbeitung zu journalistischen, künstlerischen und literarischen Zwecken Ausnahmen von der DS-GVO zu erlassen. Diese Regelung entspricht in etwa dem jetzigen Medienprivileg (§ 41 BDSG). Nach Art. 85 Abs. 1 DS-GVO sind die Mitgliedstaaten jedoch auch verpflichtet, die Abwägung zwischen dem Recht auf Datenschutz einerseits und den Grundrechten auf Meinungs- und Informationsfreiheit andererseits durch Gesetz vorzunehmen. Die Mitgliedstaaten müssen somit ein Datenschutz-Meinungsfreiheit-Abwägungsgesetz erlassen.
- Nationale Sonderregelungen für allgemein zugängliche Daten?
Hier wäre womöglich der richtige Ort, um das Versäumnis der DS-GVO zu reparieren, keine Regelungen für allgemein zugängliche Daten vorzusehen. Allgemein zugängliche Daten werden in der DS-GVO genauso restriktiv behandelt wie alle anderen personenbezogenen Daten – mit der Folge, dass zum Beispiel die Zulässigkeit von Social Media-Analysen in Frage steht. Auch dies ist nach geltendem Recht anders. Das BDSG privilegiert die Verarbeitung allgemein zugänglicher Daten an vielen Stellen.
- Folge:
Im Bereich der Kommunikationsfreiheiten wird es jedenfalls angesichts der Verpflichtung der DS-GVO, mitgliedstaatliche Abwägungsgesetze zu erlassen, definitiv bei einem Flickenteppich an Regelungen bleiben.
Zahlreiche weitere Öffnungsklauseln gibt es unter anderem beim Verbot der Verarbeitung sensibler Daten, bei Datenverarbeitungen, an denen mehrere Verarbeiter beteiligt sind, beim betrieblichen Datenschutzbeauftragten, bei der regulierten Selbstregulierung, beim Drittstaatentransfer, beim Verbandsklagerecht, usw.
Einen umfassenden Überblick mit dem Anspruch auf Vollständigkeit gibt diese Mindmap.
Viele regelungsbedürftige Fragen hat der EU-Gesetzgeber offengelassen. Die Gründe hierfür sind in der Komplexität der Probleme und der stark voneinander divergierenden Auffassung der Akteure (Europäische Kommission, Europäisches Parlament mit höchst unterschiedlichen Vorstellungen der Abgeordneten und Fraktionen, 28 Mitgliedstaaten mit höchst unterschiedlichen Rechtstraditionen) zu suchen. Daher hat man zur Strategie der Verlagerung (Nikolaus Forgó) gegriffen und die kritischen und umstrittenen Fragen auf andere - nämlich die Mitgliedstaaten - verlagert.
- Ziel der Harmonisierung
Die meisten der genannten Öffnungsklauseln sind sinnvoll oder sogar erforderlich. Viele spezialgesetzliche Regelungen der EU-Mitgliedstaaten (insbesondere in Deutschland) würden ohne die Öffnungsklauseln durch die DS-GVO vollständig entfallen und ein rechtliches Vakuum hinterlassen.
Das Ziel der Harmonisierung des Datenschutzrechts wird durch die vielen Öffnungsklauseln aber in Frage gestellt. Dies hängt natürlich stark davon ab, inwieweit sie von den Mitgliedstaaten auch tatsächlich in Anspruch genommen werden. Die Zahl der Öffnungsklauseln und der von ihnen umfasste Regelungsumfang lassen aber vermuten, dass es in vielen Bereichen zu divergierenden Regelungen kommen wird.
- Künftige Prüfungsfolge
Zukünftig wird bei jeder datenschutzrechtlichen Regelung der DS-GVO zu prüfen sein, ob diese den Mitgliedstaaten Regelungsspielraum lässt, ob dieser gegebenenfalls von einem Mitgliedstaat ausgenutzt wurde, ob dabei die Grenzen des mitgliedstaatlichen Spielraums beachtet wurden und worin die Unterschiede der jeweiligen mitgliedstaatlichen Spezifizierungen/Abweichungen bestehen. Genau diese komplizierte rechtliche Prüfung sollte durch die Harmonisierung des Datenschutzrechts in der EU aber ursprünglich gerade verhindert werden.