Ein modernes, einheitliches Datenschutzrecht für Europas Bürger und Unternehmen
Die Europäische Kommission hat am 25. 1. 2012 ihre Vorschläge zur Datenschutzreform vorgelegt. Dabei handelt es sich erstens um einen Verordnungsvorschlag zum zukunftssicheren allgemeinen Datenschutz-Rechtsrahmen der EU. Zweitens hat die Kommission eine Richtlinie vorgeschlagen zum Schutz personenbezogener Daten, die zum Zweck der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten und für damit verbundene justizielle Tätigkeiten verarbeitet werden.
Nach fast 17 Jahren intensiver Erfahrung mit der EU-Datenschutzrichtlinie 95/46/EG ist die Zeit gekommen, diese durch eine EU-Verordnung abzulösen. Für eine unmittelbar geltende Verordnung spricht an erster Stelle die Notwendigkeit, in Europa endlich einen digitalen Binnenmarkt ohne Grenzen zu schaffen. Ohne einheitliche Regeln im Bereich des Datenschutzes ist es für ein Unternehmen ein leichtes, sich durch die Sitzverlagerung in einen anderen EU-Mitgliedstaat einen Wettbewerbsvorteil zu verschaffen. Dies wurde in der öffentlichen Konsultation vor Annahme des Kommissionsvorschlags vor allem von der deutschen Wirtschaft, und besonders von deutschen TK- und Internetunternehmen deutlich hervorgehoben. Für eine Verordnung spricht auch, dass das Datenschutzrecht seit den vergangenen 17 Jahren zunehmend europäisiert worden ist: Der EuGH hat bereits mehrfach entschieden, dass im Bereich des Datenschutzes die Rechtsangleichung längst nicht auf eine Mindestharmonisierung beschränkt sei, sondern bereits unter der geltenden Datenschutzrichtlinie von 1995 zu einer grundsätzlich umfassenden Harmonisierung führen müsse, da andernfalls der Europäische Binnenmarkt nicht ordnungsgemäß funktionieren könne. Der Rechtsformwechsel von der Richtlinie zur Verordnung ist vor diesem Hintergrund also keine Revolution, sondern eine natürliche Evolution. Die explizite Aufnahme eines stark an der Rechtsprechung des BVerfG orientierten Grundrechts auf Datenschutz in Art. 8 der EU-Grundrechtecharta, die zum 1. 1. 2009 in Kraft trat und vor allem auf Forderungen der deutschen Politik zurückging, hat diese Evolution des europäischen Datenschutzrechts weiter bekräftigt.
Die Kommission hat im Interesse der Rechtssicherheit, der Rechtseinheitlichkeit und der Gleichheit der Wettbewerbschancen ein neues System der Anwendung des EU-Datenschutzrechts vorgesehen: Erstens wird klar geregelt, dass für einen Sachverhalt stets nur eine einzige Datenschutzbehörde zuständig ist, nämlich die am Sitz des Unternehmens ("One Stop Shop"). Zweitens soll sichergestellt werden, dass bei Sachverhalten, die grenzüberschreitend oder für den gesamten EU-Binnenmarkt relevant sind, die nationalen Datenschutzbehörden eng, zuverlässig und schnell im neugeschaffenen sogenannten "Kohärenzverfahren" zusammenarbeiten.
Art. 8 der EU-Grundrechtecharta garantiert als eigenständiges Grundrecht den Schutz personenbezogener Daten - für jeden Bürger und in allen vom Unionsrecht erfassten Bereichen. Die Kommission will vor diesem Hintergrund einen umfassenden Rechtsrahmen für den Datenschutz in der Europäischen Union gewährleisten. Deshalb verfolgt auch der EU-Verordnungsvorschlag grundsätzlich - wie bereits die seit 1995 bestehende Datenschutzrichtlinie und auch das Bundesdatenschutzgesetz - einen einheitlichen Ansatz für den öffentlichen und den privatwirtschaftlichen Bereich. Die problematische Bundestagsentscheidung vom Juli zum neuen Meldegesetz, wonach staatliche Stellen Daten von Bürgern zweckwidrig an Unternehmen weitergeben dürfen, bestätigt mich darin, keine weitgehenden Ausnahmen für den öffentlichen Sektor zu schaffen, auch wenn sicherlich eine gewisse Flexibilität in Einzelfragen vorstellbar ist, um nationalen Besonderheiten (z. B. im Bereich der Sozialdaten) Rechnung zu tragen. In der Frage der Meldedaten vertritt die Kommission dieselbe Rechtsauffassung wie der Bundesrat und die deutschen Länder. Man kann nicht von Google und Facebook vor der Verarbeitung persönlicher Daten die Einwilligung des Bürgers verlangen, zugleich aber persönliche Daten zum Freiwild erklären, sobald sie einmal durch eine öffentliche Stelle gelaufen sind.
Ein weiteres zentrales Element der EU-Datenschutzreform ist ein ausgewogenes Verhältnis zwischen dem Datenschutz-Grundrecht und anderen Grundrechten. Die EU-Grundrechtecharta, die in vielerlei Hinsicht die modernste Grundrechtekodifizierung der Neuzeit darstellt, kennt eine Vielzahl von anderen Grundrechten, die mit dem Grundrecht auf Datenschutz naturgemäß in Konflikt geraten können. Dies lässt sich am Beispiel des "Rechts auf Vergessenwerden" verdeutlichen, das ein in der Öffentlichkeit kontrovers diskutierter Bestandteil des Verordnungsvorschlags ist. Dahinter steht das legitime Nutzerinteresse, persönliche Daten, die der Nutzer einmal in einen Internetdienst eingestellt hat, zu einem späteren Zeitpunkt wieder löschen zu können. Da das Datenschutz-Grundrecht kein absolutes Recht ist, kann natürlich auch das "Recht auf Vergessenwerden" nicht absolut verstanden werden. In Konfliktfällen mit anderen Grundrechten muss stets eine Abwägung der verschiedenen Grundrechte, so wie etwa der Meinungs- oder der Pressefreiheit, vorgenommen werden.
Die neue EU-Datenschutzverordnung ist offen für künftige technologische und gesellschaftliche Entwicklungen. Sie ist daher bewusst als Datenschutz-Rahmenrecht konzipiert. Das neue Datenschutzrecht wird dem Grundrecht auf den Schutz persönlicher Daten Geltung verschaffen, das Vertrauen in die digitale Umgebung stärken und das rechtliche Umfeld für Unternehmen und den öffentlichen Sektor wesentlich vereinfachen. Europa braucht heute mehr denn je ein Datenschutzrecht, das fit für das 21. Jahrhundert ist und wirtschaftliche Impulse schafft. Auf diese Weise kann ein starker, verlässlicher und beim Bürger glaubwürdiger Datenschutz zu einem Wettbewerbsvorteil für Europa werden.