30. November 2011
Datenschutzrecht

Die EU und der Datenschutz: Neue Verordnung statt revidierter Richtlinie?

2012 verspricht ein spannendes Jahr für den Datenschutz zu werden: In der Causa Facebook sind die Ergebnisse der derzeit laufenden Untersuchung durch den irischen Data Protection Commissioner zu erwarten, und einige Unternehmen und Behörden in Schleswig-Holstein werden wohl entscheiden, ob sie ihre Facebook-Seiten gerichtlich gegen die Datenschutz-Aufsicht verteidigen. Jenseits der Datenschutzfragen rund um Social Media könnte sich (vielleicht im ersten Quartal?) auch herausstellen, ob und in welcher Form der länglich bekannte Gesetzentwurf zum Beschäftigtendatenschutz verabschiedet wird. Und am 28. Januar 2012 ist auch wieder Europäischer Datenschutztag. Bereits drei Tage vorher könnte es allerdings noch spannender werden: Denn am 25. Januar 2012 will die Europäische Kommission ihre Pläne für den neuen europäischen Rechtsrahmen zum Datenschutz vorstellen – und die weitere Vereinheitlichung soll nicht durch eine Revision der existierenden Datenschutzrichtlinie, sondern durch eine unmittelbar anwendbare EU-Verordnung erreicht werden.

Dass in Brüssel weitreichende Pläne zur Reform des Datenschutzrechts auf europäischer Ebene entwickelt werden, ist beileibe nicht neu: Schon Ende letzten Jahres hatte die Europäische Kommission ihre Gedanken für ein „Gesamtkonzept für den Datenschutz in der Europäischen Union″ vorgestellt und bis zum Ende der öffentlichen Konsultation im Januar diesen Jahres eine beeindruckende Menge an Stellungnahmen erhalten. Bislang ging man vielfach davon aus, dass die existierende Datenschutzrichtlinie 95/46/EG fortgeschrieben werden soll. Auf der 35. Datenschutzfachtagung (DAFTA) der Gesellschaft für Datenschutz und Datensicherheit (GDD) hat ein Kommissionsvertreter nun angekündigt, dass mit einer unmittelbar in allen Mitgliedsstaaten wirkenden Verordnung ein alternatives Regelungsinstrument angedacht ist. Hierdurch soll die Komplexität des Datenschutzrechts reduziert und eine EU-weite Vereinheitlichung erreicht werden, erläuterte Paul Nemitz, Direktor „Grundrechte und Unionsbürgerschaft″ bei der Generaldirektion Justiz im DAFTA-Eröffnungsplenum.

Volle Klarheit über den Inhalt der Verordnung wird es erst bei der Vorstellung im Januar geben – erst dann wird sich auch herausstellen, ob die Europäische Kommission tatsächlich dem Wunsch der Wirtschaft nach „einheitlichen, verständlichen und europaweit geltenden Regelungen″ nachkommt. Die jetzt vorgestellten Regelungsbereiche – Zuständigkeit der Aufsichtsbehörden für verantwortliche Stellen und Betroffene, Verschärfung der aufsichtsbehördlichen Sanktionen und Stärkung der Selbstkontrolle durch betriebliche Datenschutzbeauftragte – klingen noch nicht nach dem „großen Wurf″. Relevanter scheint da schon die angedachte Verpflichtung zu „privacy by default″ (also den jeweils datenschutzfreundlichsten Einstellungen als Standard bei IT-Systemen und -Anwendungen) –  alleine dies könnte Anlass zu weiteren Konflikten Betreibern von sozialen Netzwerken mit Sitz außerhalb der EU und den zuständigen EU-Aufsichtsbehörden sein. Spannend wird vor allem die Frage, ob und in welchem Umfang die Verordnung auch materielle Regelungen trifft (also das „Ob″ und „Wie″ der Erhebung, Verarbeitung und Nutzung personenbezogener Daten einheitlich regelt) und ob die Verordnung Ausnahmen vom sog. „Umsetzungsverbot″ vorsieht, die den Mitgliedsstaaten Raum für Anpassungen im nationalen Recht belassen.

Für Unternehmen und Behörden in Deutschland könnte sich aufgrund der Verordnung die Komplexität der Rechtsanwendung im Datenschutz jedenfalls vorläufig erhöhen: Denn im Anwendungsbereich der Verordnung würden die gewohnten Regelungen des nationalen Rechts gegenstandslos; die Verordnung geht vor. Von wesentlicher Bedeutung wird deshalb die Reichweite der Verordnung werden. Intensive Diskussionen – und möglicherweise auch gerichtliche Auseinandersetzungen – hierüber scheinen vorprogrammiert. Allerdings: Selbst wenn die Europäische Kommission ihre Entscheidung revidiert und es bei einer (revidierten) Richtlinie als Rechtsakt bleibt, würde sich die Frage nach dem gesetzgeberischen Spielraum der Mitgliedsstaaten angesichts der aktuellen Entscheidung des EuGH zur Vollharmonisierung im Datenschutzrecht in ähnlicher Weise stellen.

Ceterum censeo: 2012 verspricht ein spannendes Jahr für den Datenschutz zu werden.

Tags: 95/46 EU DAFTA Datenschutzrichtlinie EU-Kommission EU-Richtlinie EU-Verordnung GDD Paul Nemitz