Die EU hat eine umfassende Reform des Datenschutzes in Europa auf den Weg gebracht. Wie sehen die derzeitigen Überlegungen aus? Von Oliver Sauer
Die Europäische Kommission will das Datenschutzrecht in der EU grundlegend reformieren und hat dazu ihren Vorschlag KOM (2012) 11 für eine Datenschutz-Grundverordnung vorgelegt. Der Reformbedarf ist augenfällig, denn das bisherige Datenschutzrecht stammt im Wesentlichen noch von Mitte der 1990er Jahre.
Die Verordnung, die zurzeit im Europäischen Parlament diskutiert wird und im Jahr 2014 in Kraft treten soll, zielt hauptsächlich auf eine Angleichung der Datenschutzstandards innerhalb der EU und versucht dabei, den technischen Herausforderungen des Internetzeitalters gerecht zu werden. Grundsätzlich sind die Vereinheitlichung des Datenschutzrechts und die (jeweils) EU-weite Zuständigkeit einer nationalen Behörde zu begrüßen, da dies die Kosten für die betroffenen Unternehmen senkt und gleiche Wettbewerbsbedingungen garantiert. Unter bestimmten Voraussetzungen dürfen die Mitgliedstaaten jedoch weiterhin nationales Recht setzen, etwa im Bereich des Beschäftigtendatenschutzes.
In der Sache bezieht sich die Verordnung praktisch auf jede automatisierte Verarbeitung personenbezogener Daten sowie deren Speicherung in Dateien. Sie betrifft zunächst alle Personen, Unternehmen und Institutionen mit Sitz in der EU, die allein oder mit anderen über die Verarbeitung personenbezogener Daten entscheiden. Dass der Vorschlag darüber hinaus auch Verarbeiter mit Sitz außerhalb der Europäischen Union in die Pflicht nimmt, die ihr Angebot an in der EU ansässige Personen richten, ist eine bemerkenswerte Neuerung. Erfasst sind so namentlich Anbieter von Waren und Dienstleistungen, die das Verhalten der Käufer oder Besucher der Website protokollieren und/oder Nutzerprofile erstellen. Nicht zuletzt Suchmaschinen und soziale Netzwerke werden sich einer Bindung an das EU-Datenschutzrecht somit künftig kaum mehr entziehen können, weder innerhalb noch außerhalb der EU.
Dokumentationspflicht
Neu sind auch umfängliche Dokumentationspflichten für Datenverarbeitungsvorgänge, die die bisherige Meldepflicht an die Aufsichtsbehörden ablösen. Deren Ausgestaltung im Einzelnen liegt in den Händen der Kommission. Jeder Mitgliedstaat wird verpflichtet, eine effektive, unabhängige Datenschutzaufsicht einzurichten. Zusätzlich müssen Unternehmen für betriebliche Datenschutzbeauftragte sorgen: Unternehmen mit mehr als 250 Beschäftigten werden generell dazu verpflichtet; kleinere Unternehmen nur dann, wenn ihre Kerntätigkeit die systematische und regelmäßige Beobachtung von Personen erforderlich macht. Zu den Pflichten im Rahmen der Datenverarbeitung zählen auch der Einsatz technischer Verfahren, etwa datenschutzfreundliche Voreinstellungen, die die Betroffenen so weit wie möglich schonen.
Zu den Rechten der Betroffenen zählt jetzt das „Recht auf Vergessenwerden“, also die Möglichkeit, unter bestimmten Bedingungen die Löschung eigener Daten und eine Unterlassung ihrer weiteren Verbreitung verlangen zu können. Neu ist auch das „Recht auf Datenübertragbarkeit“, also die Möglichkeit, eine Kopie der eigenen Daten in einem gängigen elektronischen Format zu erhalten, etwa um sie auf einen anderen Anbieter von Internet-Dienstleistungen zu übertragen.
Generell ist eine Regulierung grenzüberschreitender Sachverhalte auf EU-Ebene sinnvoll, weil sonst eine Abwanderung von Unternehmen in Länder mit dem niedrigsten Standard droht. Dies gilt umso mehr für das in keiner Form ortsgebundene Internet, bei dem jede Regelung im nationalen Rahmen per se zu kurz greift. Soweit jedoch ausschließlich innerstaatliche Sachverhalte betroffen sind, ist eine EU-einheitliche Regelung nicht verhältnismäßig.
Nicht von der Hand zu weisen sind Bedenken hinsichtlich des Datenschutzniveaus. Das Grundrecht auf informelle Selbstbestimmung, wie es das Bundesverfassungsgericht entfaltet hat, wird von der Verordnung weitgehend verdrängt werden. Ob indes der Europäische Gerichtshof willens und in der Lage ist, einen gleichwertigen Grundrechtsschutz auf europäischer Ebene zu entwickeln, muss sich erst zeigen.
Nicht hinnehmbar ist zudem, dass die Kommission sich in zahlreichen Materien eigene Rechtsetzungsbefugnisse vorbehält – sodass Parlament und Rat hier weitgehend außen vor sind. Das ist ein praktisches Problem. So werden z.B. die Anforderungen an die Dokumentation bis hin zur Einführung von Musterformularen im Detail von der Kommission festgelegt. Das ist aber auch ein Demokratieproblem, denn die Kommission ist parlamentarisch nicht verantwortlich.
