30. November 2011
EU-Datenschutzrichtlinie
Datenschutzrecht

EuGH: Im Datenschutz nicht über die Richtlinie hinaus – was wird aus BDSG, TMG & Co?

 ″Drei berichtigende Worte des Gesetzgebers, und ganze Bibliotheken werden zur Makulatur″ – aus diesem Bonmot des Staatsanwalts Julius von Kirchmann zur „Werthlosigkeit der Jurisprudenz als Wissenschaft″ hat die Juristerei später den sprichwörtlichen „Federstrich″ gemacht. Dass auch die Rechtsprechung für einen solchen Federstrich gut sein kann, hat am vergangenen Donnerstag der EuGH unter Beweis gestellt. Mit Urteil vom 24.11.2011 hat das höchste europäische Gericht entschieden, dass die Richtlinie 95/46/EG („Datenschutzrichtlinie“) nicht bloß einen Mindeststandard für den Datenschutz in der Europäischen Union schafft, sondern exakt das Schutzniveau vorgibt, welches die Mitgliedstaaten zu gewährleisten haben. Ob die europäische Richtlinie diese sog. „Vollharmonisierung“ erreichen will, war bisher ungeklärt. Die Frage ist von entscheidender Bedeutung, weil viele Mitgliedstaaten Datenschutzvorschriften erlassen haben, die in einzelnen Punkten über die Richtlinie hinausgehen. Die Wirksamkeit solcher überschießender Schutzvorschriften ist durch das Urteil nun grundlegend in Frage gestellt.

 Der Entscheidung lag eine Vorlage des Tribunal Supremo zugrunde. Das spanische Gericht hatte in letzter Instanz über eine verwaltungsgerichtliche Normenkontrollklage zu entscheiden. Dabei hatten sich E-Commerce- und Kreditwirtschaftsverbände gegen ein Gesetz zur Wehr gesetzt, welches die Verarbeitung personenbezogener Daten ohne Einwilligung der Betroffenen regelte. Das spanische Gesetz setzte nicht nur – wie die europäische Richtlinie – ein berechtigtes Interesse des Datenverarbeiters und eine Abwägung mit den Grundrechten der Betroffenen voraus, sondern darüber hinaus, dass die Daten in öffentliche zugänglichen Quellen enthalten seien. Dies war offensichtlich eine hohe Hürde – woran man sieht, dass Datenschutzvorschriften, die der informationellen Selbstbestimmung des einen dienen, für den anderen empfindliche Verarbeitungshindernisse darstellen. Der EuGH jedenfalls entschied, dass die Richtlinie weitergehenden Regelungen entgegen stehe, womit das spanische Gesetz insoweit nichtig ist. Doch damit nicht genug: Nach den Grundsätzen zur unmittelbaren Anwendbarkeit von europäischen Richtlinien tritt an seine Stelle die Richtlinie selbst, nämlich im konkreten Fall deren Art. 7 f. Denn überall dort, wo eine Richtlinie „inhaltlich unbedingt und hinreichend genau″ ist, tritt sie an die Stelle von fehlenden oder fehlerhaften Umsetzungsvorschriften der Mitgliedstaaten.

Für das deutsche Recht gilt es nun, genau zu prüfen, welche Spielräume die Richtlinie überhaupt noch eröffnet und welche Bestimmungen des Bundesdatenschutzgesetzes (BDSG) und der spezialgesetzlichen Datenschutzvorschriften – etwa des Telemediengesetzes (TMG) oder des Telekommunikationsgesetzes (TKG) - noch brauchbar sind. Der EuGH hat lediglich vage erklärt, dass die Richtlinie immerhin „einige Bestimmungen″ enthalte, die den Mitgliedstaaten ein Ermessen bei der Umsetzung einräumen würden. Ein Beispiel dafür wäre Art. 24 der Datenschutzrichtlinie, wonach „geeignete″ Sanktionen für Datenschutzverstöße festzulegen sind, oder auch Art. 13, der allerlei Ausnahmen im öffentlichen Interesse ermöglicht. Andererseits enthält die Richtlinie in Art. 2-12 sehr genaue Vorgaben darüber, wer wann welche personenbezogenen Daten verarbeiten darf. In vielem sind diese Vorgaben nicht weniger detailliert als die des BDSG. Insofern hätte sich der Gesetzgeber bei den vergangenen Novellen viel Arbeit sparen können, wenn er sich stärker am Wortlaut der Richtlinie orientiert hätte. Dies wird er bei zukünftigen Änderungen – wie denen zum Beschäftigtendatenschutz – nun wohl nachholen müssen.

Es spricht gegen den europäischen Gesetzgebungsprozess, dass die grundlegende Wirkung eines Rechtsaktes aus dem Jahr 1995 – Mindest- oder Vollharmonisierung – nicht im Rechtsakt selbst, sondern erst 16 Jahre später durch die Rechtsprechung klargestellt wird. Faktisch kommt dies beinahe einem Neuerlass gleich. Sofern die Europäische Kommission nicht ohnehin - wie gerade angekündigt – die bestehende Richtlinie durch eine unmittelbar wirkende Verordnung ersetzt, dürfte jedenfalls im Datenschutzrecht die richtlinienkonforme Auslegung nationaler Gesetze vermehrte Bedeutung erlangen.

Tags: C‑468/10 C‑469/10 EU-Datenschutzrichtlinie EuGH Mindeststandard Tribunal Supremo Vollharmonisierung