Die Europäische Kommission ist bereits seit einiger Zeit dabei, den Datenschutz in der Europäischen Union umzugestalten. Anfang Dezember 2011 wurde inoffiziell der neue Entwurf der Europäischen Kommission für die Datenschutzverordnung (General Data Protection Regulation) sowie ein Entwurf für eine Richtlinie im Polizeibereich (Police and Criminal Justice Data Protection Directive) veröffentlicht. Diese Rechtsakte sollen dann die Datenschutzrichtlinie 95/46/EG sowie den Rahmenbeschluss im Polizei- und Justizbereich 2008/977/JI ersetzen.

Einführung in das Thema

Seit langem wurde kritisiert, dass die Datenschutzrichtlinie 95/46/EG durch mangelhafte bzw. übertriebene Umsetzung zu verschiedenen Datenschutzniveaus in der Europäischen Union geführt hat (siehe Gesamtkonzept für den Datenschutz in der Europäischen Union, KOM (2010) 609 endg., S. 11). Dass mit der Richtlinie jedoch nicht nur ein Mindestniveau, sondern Einheitlichkeit angestrebt werden sollte, hat nun der Europäische Gerichtshof mit Urteil vom 24. 11. 2011 (EuGH, Urteil vom 24. 11. 2011, Rs. C-468/10 und C-469/10) klargestellt. Dass die Wahl der Kommission auf die Regelung durch eine Verordnung fiel, kann daher nicht groß überraschen.

Zweck des Datenpakets ist nicht nur die Vereinheitlichung des Datenschutzrechts in der EU, sondern auch die Stärkung der Rechte des Einzelnen. So wurde bspw. in der Datenschutzverordnung das „right to be forgotten” (Art. 15) eingeführt, welches u. a. Auswirkungen im Bereich des Social Media haben wird. Unternehmen müssen eine höhere Datensicherheit gewährleisten und im Fall der Verletzung der Datensicherheit die Aufsichtsbehörden/Datenschutzbehörden und die betroffene Person innerhalb 24 Stunden informieren (Art. 28 f.). Auch die Rechte von Minderjährigen werden gestärkt (Erwägungsgrund 27) und die bereits bestehenden Sanktionen verschärft (s. hierzu Art. 78 f.). Ein weiterer wichtiger Schritt ist darin zu sehen, dass man das Verfahren zur Feststellung der Angemessenheit des Datenschutzniveaus von Drittländern und internationalen Organisationen durch die Kommission präzisieren will (Art. 38).

Auch die Richtlinie für den Polizeibereich hält Neuerungen bereit. So soll bei der Datenverarbeitung von nun an nicht nur zwischen verschiedenen Datenkategorien (Daten über Tatsachen und Daten über Meinungen) (Art. 6), sondern auch zwischen verschiedenen Gruppen (Straftäter, Verdächtige, Opfer, Zeugen etc.) unterschieden werden (Art. 5). Es liegt dann bei den Mitgliedstaaten, daraus entsprechende Garantien (wie bspw. angemessene Aufbewahrungsfristen) für die jeweilige Gruppe/Kategorie zu entwickeln.

Mit Art. 10 der Verordnung gibt es nun auch eine spezifische Regelung zur Verarbeitung von hochsensiblen Gen-Daten. Die aber wohl wichtigste Neuerung ist die Anwendbarkeit der Datenschutzregelungen auf die Datenverarbeitung innerhalb der Mitgliedstaaten, und nicht nur – wie im Rahmenbeschluss 2008/977/JI – im Bereich des grenzüberschreitenden Austauschs von Daten.

Mit seinem Artikel in der Süddeutschen Zeitung vom 09. 01. 2012 hat Herr Prof. Dr. Masing, Richter am Bundesverfassungsgericht, zwischen den Datenschutzexperten eine heftige Diskussion um die neue Datenschutzverordnung angeregt.

Das Interview

Das nachfolgende Interview mit Herrn Prof. Dr. Heckmann von der Universität Passau (Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht) soll die ersten Fragen in Bezug auf die neuen EU-Datenschutzregelungen klären. Wir freuen uns, Ihnen bei dieser Gelegenheit einen unserer wissenschaftlichen Beiräte des PUBLICUS vorstellen zu können. Das Interview führte Dr. Carmen Fritz (Anm. der Redaktion: in ihrer Zeit als Rechtsreferendarin beim Richard Boorberg Verlag) für die PUBLICUS-Redaktion.

PUBLICUS: Nicht nur die Europäische Union plant derzeit die Neufassung ihrer Datenschutzvorschriften, sondern auch der Europarat. Dieser ist gerade dabei, das Datenschutzübereinkommen (ETS Nr. 108) zu überarbeiten. Ist es nach Ihrer Meinung sinnvoll, derzeit eine neue Regelung in der EU zu erlassen, ohne die ausstehende internationale Regelung abzuwarten? Warum glauben Sie, hat die Kommission die Änderung des Datenschutzrechts derart rasant vorangetrieben?

Prof. Heckmann: Das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten ist ein wichtiges völkerrechtliches Instrument zum Schutz des Einzelnen vor Missbrauch bei der elektronischen Datenverarbeitung. Das Übereinkommen verbietet u. a. die Verarbeitung sensibler Daten über Rasse, politische Anschauung, Gesundheit, Religion, Sexualleben, Vorstrafen usw., sofern das innerstaatliche Recht keinen geeigneten Schutz gewährleistet. Die von Ihnen beschriebenen divergierenden Entwicklungen tragen dem Umstand Rechnung, dass der Europarat nicht institutionell mit der Europäischen Union verbunden ist.

Mit den Bestrebungen zur Änderung des Datenschutzrechts versucht die Kommission u. a. eine Harmonisierung des Datenschutzrechts zu erreichen, Rechtsunsicherheiten zu beseitigen und im Interesse des gemeinsamen Marktes den freien Datenverkehr innerhalb der EU zu fördern. Dies alles ist mit der geltenden Datenschutzrichtlinie, die übrigens aus dem Jahr 1995 stammt, nicht gelungen. Was insbesondere die Datenverarbeitung im und mit dem Internet betrifft, erfordert der rasante technische und soziale Wandel der letzten 15 Jahre eine dringende Anpassung.

Ob insoweit die sich abzeichnende Reform des Datenschutzübereinkommens abgewartet werden sollte, ist in erster Linie eine politische Entscheidung. Soweit es um bestimmte Weichenstellungen geht, etwa bei der Bestimmung des Datenschutzniveaus oder der Abgrenzung zwischen Privatsphäre und Sozialsphäre, sollten aber die Wechselwirkungen in der politischen Reformdiskussion beachtet werden. Unabhängig von dem formaljuristischen Geltungsbereich können Reformbestrebungen beflügelt oder ausgebremst werden. Ein Negativbeispiel (im Bereich der Urheberrechtsreform) ist insoweit das voreilige Handelsabkommen ACTA.

PUBLICUS: Die EU will den Datenschutz nun mittels Verordnung regeln. Sie hat angeführt, dies sei notwendig, um die Zersplitterung des Datenschutzrechts zu verringern und eine größere Rechtssicherheit und ein höheres Schutzlevel für den Betroffenen zu erreichen (Erwägungsgründe 7 und 8). Außerdem soll dies auch die Zusammenarbeit der Aufsichtsbehörden erleichtern (Erwägungsgrund 11) und eine nochmalige teilweise unzureichende Umsetzung der Richtlinie verhindern. Sehen Sie in der Umsetzung des Datenschutzes mittels Verordnung künftige Probleme? Welches Instrumentarium würden Sie wählen und warum?

Prof. Heckmann: Die Kommission führt hinsichtlich ihrer Änderungsbestrebungen gute Gründe an. Der für datenschutzrechtliche Fragestellungen zuständige Richter am Bundesverfassungsgericht Johannes Masing hat in einem Beitrag für die Süddeutsche Zeitung zu Recht darauf hingewiesen, dass eine EU-Verordnung die Wirkung eines europaweit geltenden Gesetzes entfaltet. Im Gegensatz zur Richtlinie bedarf sie keiner Überführung in nationale Regelungen, sondern wirkt unmittelbar. Folglich lässt eine Verordnung auch keine Umsetzungsspielräume und kann dann, wenn man den Vorrang europäischer Regelungen uneingeschränkt akzeptiert, sogar unsere Grundrechte verdrängen. Dies wäre natürlich dann problematisch, wenn dadurch das nationale Schutzniveau erheblich abgesenkt würde.

Die Umsetzung des Datenschutzes mittels einer Verordnung kann ohnehin nur gelingen, wenn sie von den EU-Mitgliedstaaten akzeptiert wird. Dies setzt ein transparentes Zustandekommen voraus. Schnellschüsse sollten vermieden werden. Die Frage, ob man die für unsere Freiheitsrechte mitunter besonders relevanten Fragen des Datenschutzes mittels Verordnung oder Richtlinie regeln möchte, betrifft zugleich Grundsätze des föderativen Miteinanders in Europa, die bislang unzureichend diskutiert wurden. Aus juristischer Sicht macht eine neue Richtlinie jedenfalls nur dann Sinn, wenn man bereit ist, den einzelnen Staaten Umsetzungsspielräume zuzubilligen. Dies dürfte aber wiederum im Widerspruch zu den bereits erwähnten Harmonisierungsbestrebungen stehen.

PUBLICUS: Grund für die Neugestaltung der Datenschutzrichtlinie 95/46/EG ist nicht nur die Veränderung der technischen Gegebenheiten, sondern auch die Vereinfachung des Datenschutzes. Dies kann meiner Meinung nach nur heißen, sämtliche Datenschutzregelungen im EU-Bereich (im Besonderen die Datenschutzrichtlinie 95/46/EG, die Datenschutzkonvention 46/2001 und die Telekommunikations-Richtlinie 2002/58/EG, Rahmenbeschluss 2008/977/JI) zusammenzuführen. Dies ist aber nach dem nun vorliegenden Vorschlag für eine Datenschutzverordnung nicht der Fall. Vielmehr wird nach Art. 88 Abs. 1 nur die RL 95/46/EG aufgehoben, d. h. die Telekommunikations-Richtlinie bleibt bestehen; letztlich finden auf die Telekommunikations-Richtlinie nur die Art. 72-77 Anwendung. Die Datenschutzverordnung 45/2001/EG hingegen bleibt völlig unbeachtet. Ist dies Ihrer Meinung nach sinnvoll?

Prof. Heckmann: Natürlich gibt es auch Argumente, die gegen eine Zusammenführung sämtlicher Datenschutzregelungen der EU sprechen. Das Bundesverfassungsgericht verfolgt bspw. mitgutem Grund auf nationaler Ebene das Modell eines bereichsspezifischen Datenschutzrechts. Hierdurch wird dem Umstand Rechnung getragen, dass der Schutz personenbezogener Daten in besonderen Regelungsbereichen – bspw. dem Telekommunikationsbereich (RL 2002/58/EG) oder der Datenverarbeitung durch die Organe und Einrichtungen der Europäischen Gemeinschaft (VO 45/2001/EG) – besonderer Vorschriften und Schutzmechanismen bedarf.

PUBLICUS: Angesichts des Schutzes von Kindern müssten nun alle Daten, gerade bei Online-Diensten, gelöscht werden bzw. die Einwilligung der Eltern eingeholt werden. Dies ist zu begrüßen, löst aber natürlich entgegen den Zielen der Verordnung mehr Verwaltungsaufwand aus. Wie sehen Sie das?

Prof. Heckmann: Art. 8 Abs. 1 der Entwurfsfassung sieht vor, dass die Verarbeitung personenbezogener Daten eines Kindes bis zum vollendeten dreizehnten Lebensjahr nur rechtmäßig ist, wenn und insoweit die Einwilligung der Eltern eingeholt wurde. Die Einwilligung muss in nachprüfbarer Form eingeholt werden. Mittels der Regelung wird der besonderen Schutzbedürftigkeit von Kindern Rechnung getragen. Ob sich eine solche Regelung in der Praxis und ggf. unter welchen technischen Rahmenbedingungen umsetzen lässt, bleibt abzuwarten. Das Einwilligungsprinzip ist allerdings auch ein Grundpfeiler des deutschen Datenschutzrechts und führt zwangsweise zu einer Steigerung des Verwaltungsaufwands.

Wir stehen hier vor der Herkulesaufgabe einer effektiven Durchsetzung des Minderjährigenschutzes in einem digitalen Zeitalter, in dem die Internetnutzung von 8- bis 12-jährigen Kindern so viel oder so wenig kontrolliert werden kann wie deren Spiel und Freizeitverhalten außer Haus – nur dass die Wirkungen der Internetnutzung subtiler und diffuser sind. Ein wirksamer Datenschutz gelingt sicher leichter bei intakten Familienverhältnissen und einer auf gegenseitigem Vertrauen basierenden Erziehung. Datenschutzpolitik ist insoweit auch Familienpolitik.

PUBLICUS: Die Kommission hat gem. Art. 86 der neuen Verordnung die Möglichkeit, „delegated acts” in Bezug auf verschiedene Artikel der neuen Verordnung zu erlassen. Sollten einige dieser spezifizierenden Regelungen nicht bereits in der Verordnung geregelt werden, um wiederum die von der Kommission angestrebte Rechtsklarheit des Bürgers zu erzielen? In welchen Bereichen wird die Kommission von der Möglichkeit der „delegated acts” wohl Gebrauch machen?

Prof. Heckmann: Mittels Art. 86 der Entwurfsfassung wird die Rolle der Kommission, der in Fragen des Datenschutzes bislang nur geringe Entscheidungskompetenzen zugebilligt wurden, gestärkt. Künftig soll diese in allen wichtigen Regelungsfeldern tätig werden und so flexibel auf aktuelle Entwicklungen reagieren können. Die Befugnis zum Erlass delegierender Rechtsakte findet sich in zahlreichen Artikeln der Entwurfsfassung. Ein möglicher Anwendungsbereich könnten die Bestimmung der konkreten Ausgestaltung des Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen sein.

PUBLICUS: Die neue Richtlinie spricht von „competent authorities” und meint damit gem. Art. 3 „any public authority for the prevention, detection and investigation of criminal offences, authorised by law to process personal data für the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties”. Welche Behörden fallen damit Ihrer Meinung nach unter die Richtlinie – natürlich außer den Polizei- und den Justizbehörden?

Prof. Heckmann: Sie meinen die neue „Richtlinie für den Datenschutz im polizeilichen und justiziellen Bereich”. Damit soll der Bedeutung der Datenübermittlung für die Polizeiarbeit und die Strafverfolgung Rechnung getragen werden. Viele europäische Staaten weisen noch immer sehr niedrige Datenschutzstandards auf, die von Polizei- und Justizbehörden Beachtung finden müssen. Die Mitgliedstaaten sollen nunmehr zur Einhaltung bestimmter Mindestvorgaben verpflichtet werden. Zudem soll die Richtlinie regeln, unter welchen Voraussetzungen personenbezogene Daten im Rahmen internationaler Ermittlungen von Polizei und Justiz in andere Mitgliedstaaten übermittelt werden dürfen.

Zu den für die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Vollstreckung strafrechtlicher Sanktionen zuständigen Behörden können auch Behörden mit rein präventiver Zielsetzung – also bspw. die Nachrichtendienste und das Bundeskriminalamt – gerechnet werden.

Allerdings ist darauf hinzuweisen, dass die vorgeschlagenen Regelungen der Richtlinie bislang nicht alle möglichen Sachverhalte abbilden können. Der Europäische Datenschutzbeauftragte (EDSB) Peter Hustinx weist daher völlig zu Recht darauf hin, dass die Kommission in diesem besonders eingriffsintensiven Bereich ihrem Versprechen, ein robustes System für Polizei und Justiz zu schaffen, noch nicht gerecht geworden ist. Auch der Deutsche Bundesbeauftragte für Datenschutz und Informationsfreiheit, Peter Schaar, äußert Kritik: „Die EU-Richtlinie für den Polizeidatenschutz sollte sich auf Mindeststandards beschränken, die jedes Land durch höhere Standards übertreffen kann.”

PUBLICUS: Sowohl in der Verordnung als auch in der Richtlinie wird davon gesprochen, dass die gelöschten Daten nicht anderweitig verarbeitet werden dürfen (so z. B. Art. 18 Abs. 7 der Richtlinie, Art. 4 Abs. 2, 7 Abs. 2, 17 Abs. 3 der Verordnung). Sehen Sie hierin nur die Pflicht zur unwiderrufbaren Löschung – wenn überhaupt – oder würden Sie weiter gehen und ein Verwertungsverbot ex tunc für diese Daten fordern?

Prof. Heckmann: Die Frage nach einem Verwertungsverbot lässt sich nicht pauschal beantworten. Insoweit ist immer eine Einzelfallbetrachtung unter Berücksichtigung der jeweils einschlägigen Rechtsgrundlage und der Umstände des Einzelfalles erforderlich. Ein pauschales Verwertungsverbot ex tunc wäre insofern problematisch, weil es den Weg zu einem Schutz höherrangiger Rechtsgüter, der nur durch eine Datenverwertung erreicht werden könnte, von vornherein verbaut.

PUBLICUS: Wie Sie vielleicht in der Süddeutschen Zeitung vom 09. 01. 2012 gelesen haben, hat Herr Masing vom Bundesverfassungsgericht die Befürchtung, die deutschen Grundrechte würden damit ausgehebelt. Wie ist Ihre Ansicht dazu?

Prof. Heckmann: Johannes Masing stützt diese Befürchtung auf die Verdrängungswirkung, die eine Verordnung gegenüber dem nationalen Recht entfaltet. Es trifft insoweit zu, dass nach bisheriger Rechtsprechung auch die durch das Grundgesetz gewährleisteten Grundrechte im Rahmen einer Vollharmonisierung in ihrer Schutzwirkung verdrängt werden könnten. Die entstehende Schutzlücke müsste dann durch den EuGH und den EGMR ausgefüllt werden. Der Deutsche Richterbund fordert zu diesem Zwecke bspw. die Einrichtung spezialisierter Datenschutzkammern am EuGH.

PUBLICUS: Klingt in dem Beitrag von Herrn Masing eine Änderung der Rechtsprechung an, was das Kooperationsverhältnis BVerfG – EuGH angeht?

Prof. Heckmann: In seinem Beitrag vom 9. Januar 2012 mahnt Johannes Masing an, dass die in der geplanten Datenschutzverordnung zum Ausdruck kommenden Zentralisierungsbestrebungen „das Potential einer tiefgreifenden Verfassungsänderung” aufweisen und in rechtlicher als auch politischer Hinsicht diskutiert werden müssen. Hinweise, wie sich das Kooperationsverhältnis zwischen BVerfG und EuGH entwickeln wird, können dem Beitrag meiner Meinung nach nicht entnommen werden.

PUBLICUS: Abschließend würde mich interessieren, wie Sie im Gesamten über die neue Verordnung und die neue Richtlinie denken.

Prof. Heckmann: Die genaue Ausgestaltung des europäischen Datenschutzrechts ist sicherlich noch diskussionswürdig. Begrüßenswert ist allerdings, dass mit dem vorliegenden Entwurf einer Datenschutzverordnung und einer neuen Richtlinie die Diskussion um ein zeitgemäßes und angemessenes Datenschutzniveau neue Impulse erhält. Diese Diskussion war angesichts der fortschreitenden Technologisierung und der allgegenwärtigen Datenverarbeitung längst überfällig. Sie sollte genutzt werden, um den Rechtsrahmen für eine individual- und gemeinverträgliche Regulierung der Datenverarbeitung zeitgemäß auszugestalten. Dabei sind die technischen, sozialen und wirtschaftlichen Aspekte gebührend zu berücksichtigen. Datenschutz kann außerdem nur dann wirklich funktionieren, wenn er bei den Betroffenen (Anbietern und Nutzern) auf Akzeptanz stößt. Es ist nun Aufgabe der Politik (und zwar über das lobenswerte Engagement der Netzpolitiker und Aktivposten der Bürgergesellschaft im Netz hinaus), die politischen Optionen mit ihren jeweiligen (Fern-)Wirkungen transparent aufzuarbeiten und zu vermitteln. Der „große Wurf” einer wirksamen und akzeptanzstiftenden Datenschutzreform ist ein schwieriges Unterfangen; unmöglich ist er nicht.

PUBLICUS: Herr Professor Heckmann, wir danken Ihnen für das Gespräch.

PUBLICUS-Beirat Prof. Dr. Dirk Heckmann stellte sich den fachkundigen Fragen von Carmen Hangl.