Empfehlungen der Ausschüsse
Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: Gesamtkonzept für den Datenschutz in der Europäischen Union KOM (2010) 609 endg.

879. Sitzung des Bundesrates am 11. Februar 2011

A

Der federführende Ausschuss für Fragen der Europäischen Union (EU), der Ausschuss für Innere Angelegenheiten (In) und der Rechtsausschuss (R) empfehlen dem Bundesrat, zu der Vorlage gemäß §§ 3 und 5 EUZBLG wie folgt Stellung zu nehmen:

Sofern sich unter Berücksichtigung des Gesamtkonzepts Bedarf für eine Fortschreibung des bestehenden Rechtsrahmens für die polizeiliche und justizielle Zusammenarbeit ergeben sollte, wäre die Prüfung der Überarbeitung der bestehenden bereichsspezifischen Regelungen vorzuziehen, um sowohl den schutzwürdigen Interessen der Bürgerinnen und Bürger als auch den mit der Aufgabenwahrnehmung verbundenen Besonderheiten angemessen Rechnung tragen zu können.

Der Bundesrat bittet deshalb, in künftigen Vorschlägen zur Überarbeitung der Europäischen Datenschutzrichtlinie die Unterscheidung nach dem Datenschutz im öffentlichen und nichtöffentlichen Bereich aufzunehmen und das Erfordernis der Unabhängigkeit der Kontrollstellen dahingehend zu präzisieren, dass die Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich "von den zu kontrollierenden Stellen" unabhängig sein müssen.

Die Einführung einer Verbandsklage kommt aus Sicht des Bundesrates wenn überhaupt allenfalls insoweit in engen Grenzen in Betracht, als die Durchsetzung zivilrechtlicher Ansprüche gegen die Verursacher datenschutzrechtlicher Rechtsverletzungen effektiver gestaltet werden soll. Die Einführung einer Verbandsklage im öffentlichrechtlichen Bereich ist aus grundsätzlichen systematischen Erwägungen abzulehnen, da ein solches Klagerecht dem elementaren Grundsatz des nationalen Verwaltungsprozessrechts widerspricht ( § 42 Absatz 2 VwGO), wonach regelmäßig nur eine Verletzung eigener subjektiver Rechte geltend gemacht werden kann. Für eine solche Regelung besteht auch kein Bedürfnis, da sich jeder Betroffene und auch jeder Verband bei Verdacht eines Verstoßes gegen Datenschutzvorschriften an den zuständigen Datenschutzbeauftragten wenden kann.

Dies ist etwa dann der Fall, wenn sich der von der Rechtsverletzung Betroffene typischerweise in einer im Vergleich zum Rechtsverletzer schwächeren Position befindet und daher nicht in der Lage ist, seine Rechte selbst geltend zu machen oder wenn für den einzelnen Betroffenen kein genügender Anreiz besteht, mit einer Unterlassungsklage gegen eine Verletzung seiner Rechte vorzugehen. So liegt es etwa bei der Verletzung verbraucherschutzrechtlicher Normen. In einem derartigen Fall ist die Verbandsklage sinnvoll und im Übrigen im deutschen Recht auch vorgesehen (vgl. § 2 Absatz 1 Satz 1 UKlaG).

Beim Verstoß gegen Datenschutzbestimmungen liegt eine derartige Konstellation indessen nicht ohne Weiteres auf der Hand. Datenschutzrecht gilt nicht nur im Verhältnis zwischen Unternehmer und Verbraucher, sondern auch für die Rechtsbeziehungen zwischen Unternehmern und je nach Art und Zweck der Datenverarbeitung auch zwischen Privatpersonen. In diesen Konstellationen ist indessen nicht evident, dass eine Individualklage, gegebenenfalls verknüpft mit weiteren Sanktionsmechanismen, nicht zu einem ausreichenden Rechtsschutz führen würde. Die Beurteilung, ob dies bei einer Gesamtschau der im nationalen Recht bestehenden Schutzmechanismen der Fall ist, sollte dem nationalen Gesetzgeber vorbehalten bleiben.

Zu Ziffer 1:

Mit der Mitteilung legt die Kommission ihr Konzept für eine Reform der EU-Vorschriften für den Schutz personenbezogener Daten in sämtlichen Tätigkeitsbereichen der EU dar. Es werden einerseits die verschiedenen Herausforderungen für den Datenschutz angesichts von Globalisierung und technologischer Entwicklung aufgezeigt und andererseits der Grundrechtscharakter des Datenschutzes nach der EU-Grundrechte-Charta dargestellt. Daneben werden die Probleme des Datenschutzes in sozialen Online-Netzwerken und der darin erfolgenden Datenerhebung und -sammlung erläutert. Als Kernziele werden genannt:

Die Mitteilung der Kommission beschränkt sich im Wesentlichen auf die Nennung von Problembereichen, Regelungszielen und Prüfungsabsichten. Die sehr allgemein gehaltenen wesentlichen Zielsetzungen können aber begrüßt werden.

Zu Ziffer 3:

Bei einigen von der Kommission angedachten Maßnahmen und Regelungen zeigen sich Überschneidungen zu der Entschließung des Bundesrates zum Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes vom 9. Juli 2010 (BR-Drucksache 259/10(B) HTML PDF ). Daher sollte auf diese Entschließung hingewiesen werden.

Zu Ziffer 5:

Die EG-Datenschutzrichtlinie von 1995 (95/46/EG) sieht bisher in Artikel 18 Absatz 2 die Bestellung eines (betrieblichen) Datenschutzbeauftragten nur als Ausnahme von der Meldepflicht bei der Datenschutzaufsicht vor. Dies war ein Zugeständnis an eine vor allem in Deutschland etablierte Praxis. Greift die Kommission nun dieses deutsche Modell auf und stärkt die Eigenkontrolle und Eigenverantwortung im Unternehmen, sollte dies vom Bundesrat nachdrücklich unterstützt werden, da diese Vorschläge auch künftig einen effizienten Datenschutz ohne unnötige bürokratische Hemmnisse ermöglichen.

Zu Ziffer 6:

Der mit der Globalisierung einhergehende Rationalisierungsdruck verändert die Unternehmenspraxis nachhaltig. Mehr Rechtssicherheit für die Unternehmen bei der grenzüberschreitenden Zusammenlegung oder Auslagerung von arbeitsintensiven Datenverarbeitungsvorgängen stärkt ihre Wettbewerbsfähigkeit auf dem internationalen Markt. Aufgrund der zahlreichen europarechtlichen Fragen können nationale Regelungen allein diesen Anforderungen nicht gerecht werden.

Zu Ziffer 7:

Nach Artikel 23 Absatz 1 Satz 1 der Verordnung über europäische Statistiken vom 11. März 2009 und Artikel 5 Absatz 1 der Verordnung (EU) Nr. 520/2010 zur Änderung der Verordnung (EG) Nr. 831/2002 erhalten Wissenschaftler Zugang zu vertraulichen Daten, die die indirekte Identifikation der statistischen Einheit ermöglichen, d.h. die Daten dürfen zwar keinen Namen und keine Anschrift mehr enthalten, weitere Anonymisierungsmaßnahmen werden jedoch nicht erforderlich. Die Deanonymisierung der Daten wäre mit verhältnismäßig geringem Aufwand möglich. Eine derart weitgehende Datenübermittlung in einer europäischen Rechtsvorschrift widerspricht dem Ziel der Kommission, einen nahtlosen, kohärenten und wirksamen Schutz auf europäischer Ebene zu gewährleisten.

Zu Ziffern 8, 9 bis 13:

Im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen ist derzeit der Rahmenbeschluss 2008/977/JI in Kraft, der aber nur bei grenzüberschreitendem Datenaustausch anwendbar ist. Mit Stellungnahme vom 25. November 2005 (BR-Drucksache 764/05(B) HTML PDF ) hat der Bundesrat zu dem Vorschlag für einen Rahmenbeschluss ausführlich Stellung genommen. Die dort aufgestellten Forderungen gelten auch nach Inkrafttreten des Vertrags von Lissabon fort. Der Annahme der Kommission, dass sich eine Trennung dieser Verarbeitungsvorgänge in der Praxis schwierig gestaltet und sich daher die Umsetzung und Anwendung des Rahmenbeschlusses erschweren kann, kann ohne Referenzdaten nicht gefolgt werden.

Zu Ziffer 14:

Die Zielsetzung der Kommission, ein Verfahren zur Sicherstellung einer einheitlichen Datenschutz-Praxis im Binnenmarkt unter Zuständigkeit der Kommission einzuführen, lässt befürchten, dass sich die Kommission weitere Zuständigkeiten und Befugnisse bei der Wahrnehmung staatlicher Schutzpflichten für die informationelle Selbstbestimmung bis hin zur Beurteilung konkreter Einzelfälle vorbehält.

Außerdem lässt die Kommission ausdrücklich offen, ob sie ihre Ziele durch eine in den Mitgliedstaaten umzusetzende Datenschutzrichtlinie oder über eine in den Mitgliedstaaten unmittelbar geltende EU-Verordnung erreichen möchte. Das Ziel der Kommission, durch eine übergreifende Regelung, die für die Datenverarbeitung in sämtlichen Sektoren und Politikbereichen der Union gilt, einen nahtlosen, kohärenten und wirksamen Datenschutz zu gewährleisten, spricht aber dafür, dass die Kommission eine EU-Verordnung vorschlagen wird.

Beide Zielsetzungen wären mit dem Grundsatz der Subsidiarität nicht vereinbar.

Zu Ziffer 15:

Zwischen der Datenschutzaufsicht über öffentliche Stellen und der Datenschutzaufsicht über nichtöffentliche Stellen bestehen grundlegende Unterschiede, denen bereits die geltende Richtlinie nicht gerecht wird.

Der Datenschutz im öffentlichen Bereich dient dem Schutz des Rechts auf informationelle Selbstbestimmung gegen unrechtmäßige Eingriffe des Staates. In diesem Verhältnis gefährdet staatliche Datenerhebung und -verarbeitung die Freiheit des Einzelnen, weshalb sie auf das notwendige Maß zu begrenzen ist. Der Datenschutz im öffentlichen Bereich wirkt damit unmittelbar im Schutzbereich des Grundrechts auf informationelle Selbstbestimmung als Abwehrrecht gegen den Staat. Das Bundesverfassungsgericht hat für diesen Bereich des Datenschutzes im Volkszählungsurteil (vgl. BVerfGE 65, 1, 46) aufgezeigt, dass eine Kontrolle des Staates durch unabhängige Datenschutzbeauftragte "von erheblicher Bedeutung für einen effektiven Schutz des Rechts auf informationelle Selbstbestimmung" ist. Diese Betonung institutioneller Unabhängigkeit der Aufsicht dient der Effektivität des Datenschutzes und unterstreicht, dass eine Trennung zwischen Kontrolleur und Kontrolliertem, die im öffentlichen Bereich unumgänglich die Unabhängigkeit der Kontrollstelle vom Staat vorschreibt, gewahrt sein muss.

Anders stellt sich die Rolle des Staates hingegen im nichtöffentlichen Bereich dar. Das Recht des Einzelnen auf informationelle Selbstbestimmung kann auch durch Eingriffe und Maßnahmen anderer Privater gefährdet oder verletzt werden. Die Grundrechte und damit auch das Recht auf informationelle Selbstbestimmung entfalten zwischen den hier betroffenen Privaten dann eine mittelbare Wirkung. Die Aufgabe des Staates besteht in diesen Fällen darin, die im Verhältnis Privater zueinander bestehenden Interessenskonflikte hoheitlich durch rechtliche Vorgaben zu regeln und deren Einhaltung zu überwachen sowie gegebenenfalls auch zwangsweise gegenüber einem Privaten durchzusetzen. Die Aufsicht im nichtöffentlichen Bereich muss daher von den zu kontrollierenden Privaten unabhängig sein. Dies ist jedoch für staatliche Behörden, die von Rechts wegen zur Neutralität verpflichtet sind, selbstverständlich.

Die Durchsetzung datenschutzrechtlicher Ge- und Verbote im nichtöffentlichen Bereich durch eine staatliche Stelle ist ihrerseits jedoch ein Eingriff in grundrechtlich geschützte Positionen, der nach den verfassungsrechtlichen Vorgaben rechtmäßig sein muss.

Zu den verfassungsrechtlichen Vorgaben gehört nach dem Rechtsstaats- und dem Demokratieprinzip im Sinne des Artikels 20 GG, wie es auch in Artikel 10 EUV zum Ausdruck kommt, neben einem ordnungsgemäßen Verfahren das Erfordernis der demokratischen Legitimation. Das bedeutet im System der Gewaltenteilung, dass staatliche Eingriffe in die Rechtspositionen Privater nur von einer unmittelbar der parlamentarisch verantwortlichen Regierung unterstehenden Exekutive auszuüben sind.

Die Richtlinie 95/46/EG differenziert bisher nicht nach dem Datenschutz im öffentlichen bzw. nichtöffentlichen Bereich. Die unterschiedliche Rolle des Staates in beiden Bereichen gebietet jedoch eine solche Unterscheidung. Ihr Fehlen führt dazu, dass die geltende EG-Datenschutzrichtlinie an die Aufsicht im nichtöffentlichen Bereich Anforderungen stellt, die zwar im öffentlichen Bereich notwendig sind, im nichtöffentlichen Bereich jedoch mit den Vorgaben des Rechtsstaats- und Demokratieprinzips kollidieren. Das Erfordernis der Unabhängigkeit der Kontrollstelle im Sinne einer mitgliedstaatlichen Verpflichtung zur Schaffung "ministerialfreier Räume" ist bei der Datenschutzaufsicht über nichtöffentliche Stellen abzulehnen, weil dadurch die Legitimationskette rechtsstaatlichen Handelns unterbrochen und damit den verfassungsrechtlichen Anforderungen einer grundsätzlichen Verantwortung der Regierung nicht mehr Genüge getan wird.

Zu Ziffer 16:

Die Kontrollstellen werden zunehmend zu Lasten ihrer sonstigen Aufsichtstätigkeit mit einfach gelagerten Beschwerden befasst, in denen nur geringfügige Datenschutzverstöße in Frage stehen und die Betroffenen ihnen zur Verfügung stehende zumutbare Möglichkeiten zu einer anderweitigen Abhilfe nicht ergriffen oder ausgeschöpft haben. Nach Artikel 28 Absatz 4 der Datenschutzrichtlinie (95/46/EG) muss die Kontrollstelle die Eingabe jeder Person, die in ihren Rechten und Freiheiten beschwert ist, bearbeiten und dafür Sorge tragen, dass Verstöße gegen das Datenschutzrecht abgestellt werden. Das gilt auch dann, wenn der Betroffene einfache und zumutbare Möglichkeiten, seine Rechte ohne Mithilfe der Kontrollstelle durchzusetzen, vor Einschaltung der Kontrollstelle nicht genutzt hat.

B