Datenschutz in der Union

Mit dem Reformvertrag von Lissabon hat sich die Architektur der Union verändert. Die Neuerungen finden sich im EU-Vertrag (EUV) und im (ex-)EG-Vertrag, dem Vertrag über die Arbeitsweise der EU (AEUV). Darüber hinaus ist die EU-GrundrechteCharta (EGRC) mit dem Inkrafttreten des Vertrages am 1. Dezember 2009 rechtsverbindlich geworden. Die Änderungen sind für den Prozess der Europäischen Integration bedeutend. Die EGRC statuiert einen verbindlichen Kanon von Grundrechten für Maßnahmen im Anwendungsbereich der Union, der weitgehend auf der Europäischen Menschenrechtskonvention (EMRK) aufbaut. In der EGRC sind der Schutz der Privatsphäre (Art. 7 EGRC/Art. 8 EMRK) und explizit auch der Datenschutz (Art. 8 EGRC) verankert. Im Primärrecht der Union findet sich auch erstmals eine Regelung zum Datenschutz (Art. 16 AEUV). Sie ermächtigt den Unionsgesetzgeber, den Datenschutz in den unterschiedlichen Politikbereichen der Union (Vertragsgemeinschaften, Gemeinsame Außenund Sicherheitspolitik, Gemeinsame Innenund Justizpolitik) in einen einheitlichen Rechtsrahmen zu überführen. Die (Europäische) Kommission hat dazu am 25. Januar 2012 zwei Entwürfe zur Neuregelung des Datenschutzes vorgelegt: eine Datenschutzgrundverordnung (DS-GVO) und eine Datenschutzrichtlinie Justiz (DS-RL-IJ) Der DS-GVO-E hat die Wirkung eines europäischen Gesetzes und gilt daher unmittelbar in den Mitgliedstaaten. Der Entwurf ist gekennzeichnet durch überwiegend allgemein gehaltene Vorschriften, die mit wenigen Ausnahmen durch die Mitgliedstaaten nicht selbst ausgefüllt werden können, wie es die Grundsätze der Subsidiarität und Verhältnismäßigkeit (Art. 5 Ab. 3 und Abs. 4 AEUV) nahelegen. Die Kommission soll die Befugnis erhalten, in den jeweils vorbestimmten Fällen delegierte Rechtsakte (Art. 290 AEUV) zu erlassen sowie Durchführungsbestimmungen (Art. 291 AEUV) zu schaffen, um die Vorschriften detailliert auszufüllen. Der Regulierungsentwurf enthält Verbesserungen der Transparenzanforderungen, der Betroffenenrechte und des technischorganisatorischen Datenschutzes. Die Kommission befasst sich insbesondere mit der drängenden Frage der Internetnutzung. Die Betreiber von Online-Diensten können sich nach dem DSGVO-E zukünftig nicht mehr darauf berufen, dass das Unionsrecht wegen einer fehlenden Niederlassung innerhalb der Union für sie nicht in Frage komme. Die Regelungen insgesamt sollen den Binnenmarkt stärken. Sie beziehen sich aber auch umfassend auf den öffentlichen Bereich in den Mitgliedstaaten, der jeweils über ausgeprägte eigene Strukturen verfügt. Der DS-GVO-E regelt detailgenau den Status, die Aufgaben, Befugnisse und die Zusammenarbeit der Datenschutzaufsichtbehörden. Sie sollen gleichzeitig an einer einheitlichen Auslegung der Neuregelungen mitwirken. Dazu soll ein Europäischer Datenschutzausschuss als Koordinierungsgremium gebildet werden. Im Rahmen dieses Gremiums soll der unionsweite Datenschutz unter maßgeblicher Mitwirkung der Kommission kohärent ausgelegt werden. Unter bestimmten Voraussetzungen soll die Kommission das Recht haben, die geplante Maßnahme einer Aufsichtsbehörde auszusetzen. Die Verfahrensherrschaft obliegt damit nicht mehr den Aufsichtsbehörden, die auch nach der Rechtsprechung des Europäischen Gerichtshofes völlig unabhängig und unter parlamentarischer Kontrolle agieren sollen. Der DS-GVO-E sowie der DS-RL-IJ-E haben beide eine Vollharmonisierung des Datenschutzes in der Union zum Ziel. Das bedeutet, dass sie nicht nur einen Mindeststandard, sondern auch eine Schutzobergrenze für den Datenschutz ansetzen. Damit würde sich ggf. auch ein höher entwickelter Datenschutz in den einzelnen Mitgliedstaaten nicht weiter entfalten können. Die ansatzweise dargelegte Neuordnung des Datenschutzes in der Union lässt den Mitgliedstaaten keine nennenswerten Gestaltungsspielräume im Bereich des Datenschutzes. Damit entfallen auch ausdifferenzierte nationale Schutzregeln (z.B. im Sozialrecht oder zur Videoüberwachung). Auch in den Bereichen, in denen die Kommission Öffnungsklauseln für die Regelung in Mitgliedstaaten (z.B. für die redaktionell-journalistisch arbeitende Presse, für den Bereich des Gesundheitswesens und des Beschäftigtendatenschutzes) bereithält, soll die Kommission „vorrangige“ delegierte Rechtsakte erlassen können. Das führt ggf. im Bereich des Beschäftigtendatenschutzes zu Wertungswidersprüchen. Die Entwürfe der Kommission werden von Parlament und Rat geprüft und verabschiedet. Marie-Theres Tinnefeld