1 Einführung

Der automatisierte Informationsaustausch erfolgt heute global. Gegenstand des Austauschs sind auch personenbezogene und da-mit schutzbedürftige Daten. Geboten ist daher ein transnationa-ler, namentlich europäischer Datenschutz. Der europäische Da-tenschutz ist jüngeren Datums und konnte sich auf deutsche Vor-bilder stützen. Als die RL 95/46/EG1 verabschiedet wurde, lagen in Deutschland bereits einschlägige ge setzliche Regelungen und das Volkszählungsurteil des BVerfG vor.2

Nichtsdestoweniger wurde die RL 95/46 EG zu Recht als Mei-lenstein des Datenschutzes gefeiert. Sie enthielt Orientierungen, ließ aber genügend Spielräume, so dass sich vor allem in Deutsch-land eine zeitgemäße Datenschutzkultur entwickeln konnte, die sich wiederum als Modell für eine Modernisierung des zwischen-zeitlich durch den Rahmenbeschluss 2008/977/ JL über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden3, er-gänzten europäischen Datenschutzrechts an bot. Dieses muss un-streitig modernisiert werden.4 Auf Ersuchen des Rats ergriff die Kommission die Initiative zu einer grundlegenden Novellierung des Datenschutzrechts. Seit 2009 fanden öffentliche Anhörungen zum Datenschutz statt. Am 4.11.2010 veröffentlichte die Kommis-sion die Mitteilung über ein Gesamtkonzept für den Datenschutz in der EU.5 Es folgte eine intensive Diskussion, bei der die Frage der Vereinbarkeit der vor gesehenen Regelungen mit dem Europäischen Vertragsrecht und dem Verfassungsrecht der Mitgliedstaaten je-doch weitgehend ausgeblendet blieb. So kam es zu den Vorschlägen vom 25.1.2012 für eine Verordnung zum Schutz natürlicher Perso-

1 ABl. L 281 v. 23.11.1995, S. 31.2 BVerfG 65, 1.3 ABl. L 350 v. 30.12.2008,S.60.4 Wenn auch die Abqualifizierung der RL 95/46 EG als „steinaltes Regelungs-

instrument“ keine Begründung ersetzt, so aber Hornung, Eine Datenschutz-grundverordnung für Europa? ZD 2012, 99.

5 KOM(2010)609.

nen bei der Verarbeitung personenbezogener Daten und zum frei-en Datenverkehr (Datenschutz-Grund verordnung – GVE)6 sowie für eine Richtlinie zum Schutz natürlicher Personen bei der Verar-beitung personenbezogener Daten durch die zuständigen Behör-den zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr (RLE).7 Die Gesamtkonzeption ist erläutert in der Mitteilung „Der Schutz der Privatsphäre in einer vernetzten Welt. Ein europäischer Datenschutzrahmen für das 21. Jahrhun-dert“.8 Das Reformpaket findet folglich seine Legitimation in dem Anliegen, das Datenschutzrecht zu modernisieren. Für den „zu-kunftsfesten“ Datenschutz werden fünf Eckpunkte vorgebracht:9 Das Recht auf Vergessenwerden, Transparenz, Da tenschutz durch Gestaltung, Verantwortung für den Umgang mit personenbezoge-nen Daten und eine unabhängige Datenschutzkontrolle. Das Re-formpaket stieß auf Zustimmung und Kritik.10 Die kritischen Stel-lungnahmen sind so vielfältig, dass sich die Kommission nur die passenden Argumente heraussuchen muss, um zu dem gewünsch-ten Ergebnis zu gelangen, einem Ergebnis, das die Machtverhältnis-se im europäischen Staatenverbund grundlegend umgestalten wür-de. Fraglich ist, ob wir einen derartigen Abschied vom (supranati-onalen) Föderalismus hinnehmen müssen und können. Die Frage impliziert einen verfassungsrechtlichen Prüfauftrag, oh ne den der Souveränitätsvorbehalt leerliefe.

2 Europäischer Staatenverbund

Die EU ist ein Staatenverbund,11 kein Bundesstaat. Im Bundes-staat ist der Bund die suprema potestas. Er verfügt über die Kom-

6 KOM(2012)11 endg. Verordnungen sind abstrakt-generelle Regelungen, da-mit den nationalen materiellen Gesetzen vergleichbar (EuGH, Rs. 64/80, Giufrida/Rat, Slg. 1981, 693).

7 KOM(2012)10 endg. Richtlinien finden im nationalen Recht keine Entspre-chung, sind aber am ehesten mit den früheren Rahmengesetzen vergleichbar; zu den Voraussetzungen der unmittelbaren Wirkung EuGH Awoyemi, Slg. 1-6781.

8 KOM(2012)9 endg.9 Reding, Herausforderungen an den Datenschutz bis 2020: Eine europäische

Perspektive, ZD 2011, 1 ff.; vgl. Priebe, EU-Kommission: Vorschlag eines neuen eu-ropäischen Datenschutzrahmens, EuZW 2012, 163.

10 Auf den Punkt brachte die Kritik Masing in dem Beitrag: „Ein Abschied von den Grundrechten, SZ 9.1.2012, S.10; vgl. auch Hirsch, SZ 8.2.2012; Bauer/von Stein-rück, FAZ 27/1.2.2012,S.19; Anger, Handelsblatt 24.1.2012; Opinion of the Europe-an Data Protection Supervisor on the data protection reformpackage, 7.März 2012; Stellungnahme des BdV v.12.3.2012, BdV-News 1/2012 ,S. 12; Presseerklärung Bun-desverband Verbraucherzentrale v. 25.1.2012; Abel, Europäische Datenschutz-Ver-ordnung – ein „Super-BDGS“ für den Kontinent?, Datenschutz-Berater 1/2012, 8.

11 BVerfGE 89, 155 (185 188, 190.); 123,267.

Prof. Dr. Michael Ronellenfitsch

Der Hessische Datenschutzbeauftragte

E-Mail: poststelle@datenschutz.hessen.de

Michael Ronellenfitsch

Fortentwicklung des Datenschutzes Die Pläne der Europäischen Kommission

Der Vorschlag der Europäischen Kommission zu einem „Reformpaket“ für das Europäische Datenschutz-recht zielt auf eine grundlegende Umgestaltung der Machtverhältnisse im europäischen Staatenver-bund. Die Kompetenz zur Fortentwicklung des Datenschutzes würde den Mitgliedstaaten genom-men und bei der Kommission zentralisiert. Der Aufsatz erörtert unionsrechtliche und verfassungs-rechtliche Gründe, die dies für rechtlich zweifelhaft und der Sache nach schädlich erscheinen lassen.

DuD Datenschutz und Datensicherheit 8 | 2012 561

SCHWERPUNKT

petenz-Kompetenz. Für die EU gilt das nicht. Die Mitgliedstaa-ten sind „Herren der Verträge“. Nach Art. 4 I EUV verbleiben al-le der EU nicht in den Verträgen ausdrücklich übertragenen Zu-ständigkeiten bei den Mitgliedstaaten. Daraus folgt notwendig der Grundsatz der begrenzten Einzelermächtigung, der in Art. 5 I EUV verankert ist. Eine Ausweitung der EU-Kompetenzen ist abgesehen vom Sonderfall der Abrundungskompetenz nach Art. 352 AEUV nicht möglich. Daran schließt das Subsidiari-tätsprinzip (Art. 5 III EUV) an, dessen Zweck es ist, zu verhin-dern, dass die EU Regelungen an sich zieht, die ebenso gut auch von den Mitgliedstaaten in eigener Zuständigkeit erledigt werden können. Das Subsidiaritätsprinzip betrifft die Frage, ob die EU überhaupt handeln darf. Art und Umfang der Kompetenzwahr-nehmung richten sich demgegenüber nach dem Grundsatz der Verhältnismäßigkeit. Darüber hinaus finden die Kompetenzen der EU ihre Schranken in der nationalen Identität der Mitglied-staaten (Art. 4 II EUV). Über ihre nationale Identität bestimmen die Mitgliedstaaten selbst. So begründet Art. 23 Abs. I 3 GG ei-nen Souveränitätsvorbehalt. Durch den Verweis auf Art. 79 III GG bleiben die Grundsätze in Art. 1 und 20 GG unantastbar. Da-raus ergibt sich für Rechtsakte der EU folgendes Prüfungsraster:

Erster Schritt: Besteht eine Kompetenz der EU? Zweiter Schritt: Ist die Inanspruchnahme der Kompetenz er-forderlich?

Dritter Schritt: Ist die Inanspruchnahme der Kompetenz ver-hältnismäßig?

Vierter Schritt: Ist der nationale Souveränitätsvorbehalt gewahrt?

3 Rechtmäßigkeitsprüfung des Modernisierungspakets

Legt man diese Maßstäbe an, dann ergibt sich, dass das Moder-nisierungspaket in vielerlei Hinsicht angreifbar ist.

1. Schritt

Eine EU-Kompetenz besteht nur im Rahmen des Art. 16 II AUEV, der allein durch eine ungenaue deutsche Fassung12 soweit ausge-dehnt werden kann, wie das die Kommission tut. Anders als in den anderen Sprachfassungen, wo von Datenverkehr „solcher“ Daten, (engl.“such data“; franz. „ces règles“; span.“estos datos“), d.h. von den zuvor genannten auf den grenzüberschreitendem Datenver-kehr bezogenen Daten die Rede ist, enthält die deutsche Fassung keinerlei Beschränkung des „freien Datenverkehrs“. Die Kommis-sion nimmt insoweit ebenfalls keine Beschränkung vor.13 Das weite Verständnis liegt Art. 1 S. 1 GVE und Art. 2 II RLE zugrunde. Art. 2 II a) GVE und Art. 2 RLE enthalten lediglich eine Ermächtigung für den europäischen Gesetzgeber, bereichsspezifische Ausnahmen zu treffen, begrenzen jedoch die europäische Normsetzung nicht a limine. Eine EU-Kompe tenz für datenschutzrelevante Vorgän-ge ohne europäische Relevanz scheidet aber aus. Der Schluss von der umfassenden Kompetenz für den freien Datenverkehr auf eine

12 „Das europäische Parlament und der Rat erlassen gemäß dem ordentli-chen Ge setzgebungsverfahren Vorschriften über den Schutz natürlicher Per-sonen bei der Verarbeitung personenbezogener Daten durch die Organe, Ein-richtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Uni-onsrechts fallen, und über den freien Datenverkehr.“

13 Wörtlich: „Auch Vorschriften für den freien Verkehr personenbezogener Da-ten – auch solcher, die von den Mitgliedstaaten oder von nicht-öffentlichen Stellen verarbeitet werden, können auf dieser Grundlage erlassenen werden“ (S. 6).

ebenso umfassende Kompetenz für den Datenschutz als Schran-ke des freien Datenverkehrs ist unzulässig. Art. 16 I 1 AEUV nor-miert denn auch kein Grundrecht auf Datenschutz, sondern dient als Kompetenznorm, die durch Art. 16 II AEUV konkretisiert wird. Wo der freie Datenverkehr personenbezogene Daten umfasst, kann durch EU-Recht die Schranke des Datenverkehrs mit geregelt wer-den, allerdings nur, soweit eine EU-Kom petenz für den Daten-schutz besteht. Jede andere Interpretation würde die europäischen Grundrechte zum Einfallstor für beliebige Regelungen machen.

2. Schritt

Selbst wenn man eine umfassende Regelungskompetenz der EU annehmen soll te, bzw. dort, wo eine eindeutige Regelungskompe-tenz der EU besteht, verstößt die Wahl einer Verordnung zumin-dest partiell gegen das Subsidiaritätsprinzip. Nach der Begründung des GVE verlangt das Recht auf Schutz personenbezogener Daten einen unionsweit einheitlichen Datenschutz.14 Ohne gemeinsame EU-Vorschriften bestünde die Ge fahr, dass der Datenschutz in den Mitgliedstaaten nicht in gleichem Maße gewährleistet sei. Das er-fordert einen gemeinsamen Mindeststandard, rechtfertigt es aber nicht, einzelnen Mitgliedstaaten ein höheres Datenschutzniveau zu versagen, an dem sich künftig die Weiterentwicklung des europä-ischen Datenschutzrechts ausrichten könnte. Für die Fortentwick-lung des Datenschutzes sind Experimentiermöglichkeiten vielmehr unverzichtbar. In Wahrheit geht es der Kommission auch nicht um den Datenschutz, sondern um den chancengleichen Datenver-kehr. Hier ist der Datenschutz ein Hemmnis für die wirtschaftliche Wettbewerbsfreiheit und soll durch eine Vollharmonisierung auf Linie gebracht werden. Das ist in einer Wirtschaftsgemeinschaft ein legitimes Anliegen, das dann aber konsequent verfolgt werden müsste. Die Harmonisierung müsste auf den nicht-öffentlichen Be-reich beschränkt bleiben. Ansonsten bedeutet das Ende der „Frag-mentarisierung“ in Deutschland die Verabschiedung das nationa-len Grundrechtsschutzes, im Datenschutzkontext, keine Möglich-keit der systematischen Ergänzung des Grundrechtekatalogs, keine Kontrolle durch das BVerfG, keine informationelle Selbstbestim-mung, kein Kernbereich privater Lebensgestaltung usw.

Die Vorbehalte gegen die Regelungsform einer Verordnung be-stehen bei einer Richtlinie nicht. Allerdings hat auch eine Richtli-nie Anwendungsvorrang vor nationalem Recht.15 Insofern kann gegen den RLE ebenfalls der mitgliedstaatliche Souveränitätsvor-behalt erhoben werden.

3. Schritt

Außerdem sind die Harmonisierungsbemühungen so erdrosselnd, dass der Verhältnismäßigkeitsgrundsatz verletzt wird. Wie es in der Begründung zum GVE zutreffend heißt: „Nach dem Verhältnismä-ßigkeitsprinzip muss jedes Handeln zielgerichtet sein und darf nicht

14 Erwägungsgrund (11).15 Der EuGH vertritt in st. Rspr. einen Vorrang des primären und sekundär-

en Unionsrechts (Vgl. Urt. v. 15.07.1964, Rs. 6/64, Costa/ENEL, Slg. 1964, S. 1251 ff., 1269 ff.). Mit nationalem Recht ist nur ein Anwendungsvorrang vereinbar. Das be-deutet, dass im Kollisionsfall das nationale Recht bestehen bleibt, aber nicht zur Anwendung kommt. Ein Geltungsvorrang des Unionsrechts, der zur Nichtigkeit des nationalen Rechts führt, ist abzulehnen. Der Vorrang des Unionsrechts be-steht mittlerweile grundsätzlich auch, soweit Grundrechte betroffen sind. Nach der „Solange-Rechtsprechung“ des BVerfG galt das nicht, solange der europäi-sche hinter dem nationalen Grundrechteschutz zurückblieb; BVerfGE 37, 27; 52, 187 – Vielleicht-Beschluss; 73, 339 – Solange II -.

562 DuD Datenschutz und Datensicherheit 8 | 2012

SCHWERPUNKT

über das hinausgehen, was für die Erreichung der angestrebten Zie-le notwendig ist.“16 Eben dies ist zweifelhaft und wird im Zusam-menhang mit der Legitimation des Reformpakets berücksichtigt.

4. Schritt

Schließlich kommt der Souveränitätsvorbehalt der Bundesrepub-lik zur Anwendung. Zur nationalen Identität gehört die Möglich-keit einer systemimmanenten Fortbildung der Grundrechteord-nung durch das BVerfG.17 Diese Grundrechteordnung ist integ-rativer Bestandteil des Grundgesetzes. Der GVE geht viel zu weit. Das gilt sinngemäß auch für den RLE, der hoheitliche Maßnahmen der Datenschutzbehörden gegen andere Hoheitsträger vorsieht, was mit dem Gewaltenteilungsprinzip und dem Verwaltungsvorbehalt des GG nicht im Einklang steht. Diese bedeuten, dass jeder Ho-heitsträger in seinem Kompetenzbereich die alleinige Verantwor-tung trägt. Innerhalb der staatlichen Hierarchie sind Anweisun-gen ohne weiteres möglich. Im Verhältnis von Hoheitsträgern zu-einander gilt das nicht.18 Durchsetzbare Zwangsmaßnahmen, Voll-streckungsmaßnahmen bis hin zur Ersatzvornahme, Verhängung von Bußgeldern kommen nur in Überordnungsverhältnissen in Betracht. Zwar sind klarstellende Verwaltungsakte zur Klärung der materiellen Polizeipflicht von Hoheitsträgern19 nicht verfas-sungswidrig. Aber eine Vollstreckung gegen Hoheitsträger ist aus-geschlossen.20 Wenn nun der GVE hinsichtlich der Sanktionsmög-lichkeiten der Datenschutzbeauftragten gegenüber Privaten und Hoheitsträgern im nicht polizeilichen Bereich keine Unterschiede macht, bringt er die Datenschutzbehörden in die untragbare Situ-ation, etwa gegen die Finanzverwaltung Bußgeldbescheide erlassen zu müssen. Zur Durchsetzung von Anordnungen müssten sich die Datenschutzbehörden der Machtmittel der Behörden bedienen, ge-gen die sie gerade vorgehen sollen. Das ist auch deswegen proble-matisch, weil sich die Kommission bei Verstößen gegen EU-Recht die letzte Entscheidungsgewalt vorbehalten hat. Damit wird ein Überordnungsverhältnis der Kommission gegenüber allen staat-lichen Organen der Mitgliedstaaten begründet. Der Datenschutz wird so zum „Trojaner“ der Kommission, was besonders prekär ist, weil der GVE für die Kommission selbst nicht gilt.

4 Legitimation

Die erwähnten vier Eckpunkte des Reformhauses legitimeren nur dann die Novellierung des EU-Datenschutzrechts, wenn sie wirk-lich zu einer zeitgemäßen Modernisierung beitragen. Dies ist nur mit Einschränkungen der Fall.

4.1 Recht auf Vergessenwerden

Das Recht auf Vergessenwerden (Art. 17 GVE) ist – von sprachli-chen Bedenken abgesehen – im Ansatz begrüßenswert. Die Ein-willigung wird so aus einem Gestaltungsakt zu einer Dauerrege-lung, die unter bestimmten Voraussetzungen zurückgenommen werden kann. Die Regelung hat ersichtlich Kompromisscharakter und dürfte gleichwohl an den Realitäten des Internets vorbeige-

16 Ziff.3, 2 (S: 7).17 Vgl. Ronellenfitsch, in: Kühl/Reichold/Ronellenfitsch, Einführung in die

Rechtswissenschaft, 2011, § 25.18 Schenke, Polizei- und Ordnungsrecht, 7. Aufl. 2011. Rn. 234.19 Vgl. HessVGH v. 25.07.1997 -14 TZ 1755/97.20 § 17 VwVG.

hen. Daher müsste schon bei der Einwilligung angesetzt werden. Auch hier wird viel zu wenig differenziert. Die pauschale Einord-nung der bis 18-jährigen als Kinder wird den Entwicklungsstu-fen der Geschäftsfähigkeit nicht gerecht.

4.2 Transparenz

Transparenz21 ist ein Schlagwort und im Hinblick auf nicht er-kennbare Überwachungsmaßnahmen unerlässlich. Wo aber Maßnahmen erkennbar datenschutzrechtlich relevant sind, sollte die Eigenverantwortlichkeit gestärkt werden. Zu einer ausgewo-genen Datenschutzkultur gehört auch, dass jedem bewusst sein muss, was er mit seinen Daten anrichtet.

4.3 Datenschutz durch Gestaltung

Datenschutz ist nicht nur Engriffsabwehr, sondern auch Sicher-heit beim Datenverkehr. Diesem Zweck dienen technische Vor-kehrungen, für die sich die hochtrabende Bezeichnung „Privacy by Design“ eingebürgert hat. Über die Notwendigkeit einer ge-setzlichen Regelung lässt sich streiten. Aus dem Amerikanischen übernommene Schlagworte tragen wohl kaum zur Transparenz des Datenschutzes bei. Dass alle, die mit personenbezogenen Da-ten Dritter umgehen, dies verantwortlich tun müssen, ist trivial. Die Art des Umgangs kann auch reglementiert werden. Fraglich ist nur, ob das wirklich auf europäischer Ebene geschehen muss.

4.4 Unabhängige Datenschutzkontrolle

Die Datenschutzkontrolle muss „völlig“ unabhängig sein, weil sie die Daten effektiv schützen soll. Dazu gehören Durchsetzungsmög-lichkeiten, Sanktionsmöglichkeiten und organisatorische Vorkeh-rungen. Die „völlige „ Unabhängigkeit der Datenschutzbehörden ist verfassungsrechtlich nur akzeptabel, wenn die parlamentarische Verantwortung der als Einheit zu sehenden Verwaltung gewähr-leistet bleibt. Die Verantwortlichkeit der Datenschutzbeauftragten muss dann qualitativ mit der Ministerverantwortlichkeit vergleich-bar sein. Dies ist nicht der Fall, wenn die Kommission beim Daten-schutz in die Stellung einer Kontrolleurin der Kontrolleure einrückt.

5 Fazit

Die vorstehenden kritischen Bemerkungen können nicht als das Wehklagen eines deutschen Provinzdatenschutzbeauftragten über den Verlust seiner Kompetenzen abgetan werden. Immerhin hat sich der Bundesrat ebenfalls gegen die Verordnung ausgespro-chen.22 Daher, um nicht missverstanden zu werden: Das Reform-paket bedeutet im gesamteuropäischen Raum eine beachtlich Ver-besserung des Datenschutzniveaus. Die Bundesregierung begrüßt zu Recht den Erlass einer Verordnung für den nicht öffentlichen Bereich. Für den öffentlichen Bereich ist nach Ansicht der Bundes-regierung kein einheitliches europäisches Datenschutzrecht erfor-derlich. Am 20.3.2012 äußerte der Bundesinnenminister Hans-Pe-ter Friedrich: „Ich bin der Meinung, dass wir unser Datenschutz-recht erhalten und es nicht europäischem Recht unterstellen soll-ten“.23 Wir sollten es nicht .Wir dürfen es gar nicht.

21 Kap.III, Abschnitt 1 GVE.22 Beschluss v. 30.3.2012, BRDrs. 52/12.23 Zit, nach teltarif.de:http:teltaris.de/eu-datenschutzverordnung-reding-

friedrich/news/…

DuD Datenschutz und Datensicherheit 8 | 2012 563

SCHWERPUNKT