umwelt-online: Bundesrat 550/14 (Beschluss): Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)

Der Bundesrat hat in seiner 928. Sitzung am 28. November 2014 gemäß §§ 3 und 5 EUZBLG die folgende Stellungnahme beschlossen:

1. Zum Verfahrensstand

a) Der Bundesrat begrüßt, dass die Verhandlungen zur Datenschutz-Grundverordnung in den vergangenen Monaten maßgeblich vorangetragen wurden und sowohl auf nationaler Ebene als auch auf europäischer Ebene die zeitnahe Verabschiedung der Datenschutz-Grundverordnung zu einer der vordringlichen Prioritäten gezählt wird.
b) Er begrüßt, dass im Rahmen der Beratungen des Rates in den zurückliegenden Monaten mit den Verständigungen über die Beratungsergebnisse zum Internationalen Datenverkehr (Kapitel V des Verordnungsvorschlags) und zum sogenannten risikobasierten Ansatz in Kapitel IV des Verordnungsvorschlags substantielle Fortschritte erreicht wurden.
Der Bundesrat unterstützt die allgemeine Zielsetzung des Rates, die Beratungen der EU-Datenschutzreform bis zum Jahr 2015 zum Abschluss zu bringen. Er hält es dabei für vordringlich, den weiteren Beratungsprozess klar auf die Gestaltung zukunftsfähiger und durchsetzungsstarker europäischer Datenschutzstandards im Rahmen der vorgeschlagenen Datenschutz-Grundverordnung zu konzentrieren, da diesen, anders als dem Vorschlag für eine Richtlinie zum Datenschutz bei Polizei und Strafjustiz, für den Erfolg des digitalen Binnenmarkts grundlegende Bedeutung zukommt.

Der Bundesrat stellt fest, dass die derzeit auf Fachebene der Arbeitsgruppe für Informationsaustausch und Datenschutz (DAPIX) bereits abschließend beratenen Änderungsvorschläge des Rates zu Artikel 1 und 2 sowie zu den Kapiteln II und IX des Verordnungsvorschlags, die dem Rat für Justiz und Inneres (JI-Rat) Anfang Dezember 2014 zur grundsätzlichen Billigung im Rahmen einer sogenannten partiellen allgemeinen Ausrichtung vorgelegt werden sollen, zentrale Anliegen des Bundesrates berühren, ohne dass in den Beratungen bislang zufriedenstellende Lösungen für die Kernanliegen der Länder erreicht werden konnten.

Er nimmt zur Kenntnis, dass der Ratsvorsitz von DAPIX außerdem Änderungsvorschläge für die Regelungen über Zuständigkeiten und Abstimmungserfordernisse der Datenschutzbehörden im Rahmen des sogenannten One-Stop-Shop und des Kohärenzmechanismus vorgelegt hat, mit denen ebenfalls noch bis Jahresende abschließende Entscheidungen erreicht werden sollen, die vor allem die Verwaltungskompetenzen der Länder im Bereich der Datenschutzaufsicht berühren.
c) Der Bundesrat hält es dabei nach wie vor für bedeutsam, in den Verhandlungen für die vorgeschlagene Datenschutz-Grundverordnung auf ein hohes Datenschutzniveau hinzuwirken. Im Zeitalter des digitalen, grenzüberschreitenden Datenverkehrs ist der Schutz personenbezogener Daten für alle Bürgerinnen und Bürger Europas im europäischen Rechtsrahmen, auch unter dem Gesichtspunkt des Verbraucherschutzes, von maßgeblicher Bedeutung.

4. Zur Sicherung des Fortbestands des nationalen Datenschutzrechts im öffentlichen Bereich

a) Der Bundesrat stellt fest, dass die derzeit auf Fachebene der Arbeitsgruppe DAPIX bereits abschließend beratenen Änderungsvorschläge das Verhältnis der vorgeschlagenen Datenschutz-Grundverordnung zum Datenschutzrecht der Mitgliedstaaten im öffentlichen Bereich nicht grundlegend anders behandeln als die vom Bundesrat bereits in seiner Stellungnahme vom 30. März 2012 kritisierten Vorschläge der Kommission, vergleiche BR-Drucksache 052/12(B) (2), Ziffer 17.
b) Er erkennt die Anstrengungen der Bundesregierung an, in den Beratungen des Rates Unterstützung für weitergehende mitgliedstaatliche Befugnisse zur Beibehaltung oder für den Erlass strengerer nationaler Datenschutzvorschriften für den öffentlichen Bereich insgesamt wie auch für den Sozialdatenschutz und den besonderen Bereich des Beschäftigtendatenschutzes zu gewinnen.
c) Der Bundesrat nimmt zur Kenntnis, dass bei dem derzeitigen Verhandlungsstand im Rat weder eine Mehrheit für eine eigenständige Regelung europaweiter Anforderungen zum öffentlichen Datenschutzrecht im Rahmen einer gesonderten Richtlinie noch eine Beschränkung der vorgeschlagenen Datenschutz-Grundverordnung auf Mindestharmonisierungsstandards erreichbar ist, die den Mitgliedstaaten von vornherein Spielraum für eigenständige weitergehende Anforderungen für spezifische Gefährdungen der informationellen Selbstbestimmung durch die Datenverarbeitung öffentlicher Stellen oder im öffentlichen Interesse belassen würden.
d) Er bedauert, dass die Beratungsergebnisse Bund und Länder vor erhebliche Anpassungsaufgaben stellen, die weder für die Betroffenen spürbare Rechtsvorteile noch Verbesserungen für den Vollzug und für die praktische Verwirklichung datenschutzrechtlicher Anforderungen bringen. Dazu wird es erforderlich, sämtliche datenschutzrechtliche Regelungen des Bundes- und Landesrechts im allgemeinen und bereichsspezifischen Datenschutzrecht des öffentlichen Bereichs innerhalb der bislang vorgesehenen Übergangsfrist von zwei Jahren zu überprüfen. Die Überprüfung kann zu umfassenden Rechtsbereinigungsgesetzen führen. Bestehende Kodifikationen, die bislang einen rechtssicheren und homogenen Vollzug datenschutzrechtlicher Anforderungen unterstützen, können dadurch in Frage gestellt werden. Unsicher bleibt auch, inwieweit etablierte, gerade bei Datenverarbeitungsprozessen mit besonderen datenschutzrechtlichen Risiken wichtige verfahrensrechtliche Absicherungen - wie die Vorab-Kontrolle bzw. das sogenannte Freigabeverfahren - wegen veränderter Anforderungen auf der Grundlage der vorgeschlagenen Datenschutz-Grundverordnung erhalten werden können.
e) Der Bundesrat sieht mit Sorge, dass die verbleibenden Regelungsspielräume der Mitgliedstaaten, die im Kern eine "Konkretisierung" der Anforderungen der vorgeschlagenen Datenschutz-Grundverordnung für Datenverarbeitungsprozesse im öffentlichen Bereich erlauben sollen, weiterhin nur wenig bestimmbar bleiben und damit der Fortbestand zahlreicher Datenschutzgewährleistungen zunächst durch Rechtsunsicherheiten belastet bleibt. Dies gilt insbesondere für solche Regelungen, die nicht nur konkretisieren, sondern bestimmte, nach der vorgeschlagenen Datenschutz-Grundverordnung abstraktgenerell zugelassene Formen der Datenverarbeitung oder Datenverarbeitungstatbestände insbesondere in Fällen von Zweckänderungsbeschränkungen im Interesse der Betroffenen für bestimmte Konstellationen ausschließen, wie dies bisher im Rahmen des Subsidiaritätsverhältnisses zwischen allgemeinem und bereichsspezifischem Datenschutzrecht unter Geltung der Richtlinie 95/46/EG (EGDatenschutzrichtlinie) möglich ist.
f) Der Bundesrat bittet die Bundesregierung daher, im Zuge der weiteren Beratungen darauf hinzuwirken, dass die Befugnisse der Mitgliedstaaten zur Beibehaltung und Fortentwicklung datenschutzrechtlicher Garantien im Staat-Bürger-Verhältnis jedenfalls durch weitere Schritte wie Klarstellungen in den Erwägungsgründen, Prüfungen der juristischen Dienste, Protokollerklärungen und bestandsbewahrende Übergangsregelungen rechtssicher ausgestaltet werden.

5. Zur Sicherung des Fortbestands des nationalen Datenschutzrechts in besonderen Bereichen

a) Der Bundesrat begrüßt, dass die Beratungen für den Bereich des Datenschutzes in gerichtlichen Verfahren zwischenzeitlich Lösungsansätze ergeben haben, die jedenfalls die Grundanliegen seiner Stellungnahme aufgreifen und im Rahmen des Artikels 21 mitgliedstaatliche Abweichungsmöglichkeiten zur Berücksichtigung der Besonderheiten der Unabhängigkeit der Gerichte, gerichtlicher Verfahren und zivilrechtlicher Rechtsdurchsetzung erlauben. Er bittet die Bundesregierung, die in Artikel 21 vorgesehenen Abweichungsmöglichkeiten rechtssicher auf die bei den Gerichten geführten Register zu erstrecken und in den weiteren Beratungen dafür Sorge zu tragen, dass die für die gerichtlichen Verfahren erreichten Abweichungsbefugnisse nicht in Frage gestellt oder geschmälert werden.
b) Der Bundesrat nimmt positiv vor allem zur Kenntnis, dass in den Beratungen mittlerweile die Besonderheiten der gerichtlichen Verfahren und der Unabhängigkeit der Gerichte Eingang gefunden haben. Er bittet die Bundesregierung, im Rahmen der Verhandlungen darauf hinzuwirken, dass die grundrechtlich verbürgten Rechte der Parteien bzw. Beteiligten auf rechtliches Gehör und gerichtlichen Rechtsschutz nicht beeinträchtigt werden, insbesondere unverhältnismäßige Verzögerungen und Erschwerungen des gerichtlichen Verfahrens vermieden werden.
c) Der Bundesrat stellt fest, dass die von ihm geforderten Klarstellungen im Anwendungsbereich der vorgeschlagenen Datenschutz-Grundverordnung für Sachverhalte der nicht auf Straftaten bezogenen polizeilichen Gefahrenabwehr mit der vorgesehenen Ergänzung von Artikel 2 Absatz 2 Buchstabe e ("zum Schutz der öffentlichen Sicherheit zu diesen Zwecken") noch nicht hinreichend verwirklicht sind. Er unterstützt die von der Bundesregierung auch im Rahmen der Beratungen zum Richtlinienvorschlag für Datenschutz bei Polizei und Strafjustiz eingebrachte Forderung, sowohl in Artikel 2 als auch in Artikel 21 durch die Ergänzung "zur Aufrechterhaltung der öffentlichen Sicherheit und Ordnung und zum Schutz der Inneren Sicherheit durch die Polizei oder andere hierfür speziell zuständige Behörden" klarzustellen, dass die polizeiliche Aufgabenerfüllung insgesamt allein den Anforderungen der Richtlinie unterliegen soll.
d) Der Bundesrat bittet die Bundesregierung weiterhin darauf hinzuwirken, dass für die Mitgliedstaaten im Bereich des Informationsfreiheitsrechts die Möglichkeit gewahrt bleibt, Abweichungen bzw. Ausnahmen von den Vorgaben der Verordnung vorzusehen.
e) Er bittet die Bundesregierung, bei den weiteren Beratungen darauf hinzuwirken, dass eine besondere Vorschrift zur Archivierung aufgenommen wird, die es den Mitgliedstaaten ermöglicht, Rechte und Pflichten öffentlicher Archive als die für ein demokratisches Gemeinwesen unverzichtbaren Gedächtnisinstitutionen - auch in Bezug auf personenbezogene Daten - durch nationales Recht zu regeln.

6. Zur Ausgestaltung der datenschutzaufsichtlichen Zuständigkeiten

a) Der Bundesrat erinnert an seine im Zusammenhang mit der Kommissionsmitteilung "Ein offenes und sicheres Europa - Praktische Umsetzung" vorgetragenen Bedenken, vergleiche BR-Drucksache 123/14(B) , gegen Durchbrechungen der Vollzugsverantwortung der Mitgliedstaaten zu Gunsten der Kommission und insbesondere zu Gunsten verselbständigter EU-Agenturen, zu denen nunmehr auch die Vorschläge der Ratspräsidentschaft über Zuständigkeiten und Abstimmungserfordernisse der Datenschutzaufsichtsbehörden Anlass geben.
b) Er bittet die Bundesregierung, bei den weiteren Beratungen über die Mechanismen zur Abstimmung der Datenschutzbehörden und zur verbindlichen Klärung streitiger Einzelfälle darauf hinzuwirken, dass die Grundsätze der Subsidiarität und der Verhältnismäßigkeit gewahrt werden. Auch zur Vermeidung hoher Fallzahlen mit komplexen europaweiten Abstimmungserfordernissen sollten insbesondere die abschließenden Entscheidungsbefugnisse der vor Ort zuständigen Behörden gestärkt und die Voraussetzungen einer Übernahme von Einzelfallentscheidungen durch den europäischen Datenschutzausschuss restriktiv ausgestaltet werden.
c) Der Bundesrat weist darauf hin, dass Besetzungs- und Entscheidungsverfahren des europäischen Datenschutzausschusses jedenfalls bei seiner Ausgestaltung als europäischer Einrichtung mit verbindlichen Entscheidungsbefugnissen wegen der damit verbundenen Verlagerung von Verwaltungskompetenzen der Länder bereits im Rahmen der vorgeschlagenen Datenschutz-Grundverordnung so ausgebildet werden müssen, dass sie mit der innerstaatlichen Kompetenzverteilung in Einklang gebracht werden können. Die Anforderungen an die Entsendung mitgliedstaatlicher Vertreter sollten deshalb so ausgeformt werden, dass innerstaatliche Abstimmungsprozesse der Datenschutzaufsichtsbehörden, wie sie zum Beispiel im Bereich der Zusammenarbeit von Bund und Ländern in EU-Angelegenheiten erprobt sind, durch das Unionsrecht weder formal noch durch verfahrensrechtliche Anforderungen wie etwa kurze Entscheidungsfristen ausgeschlossen werden.

7. Zu weiteren Einzelfragen

a) Der Bundesrat bittet die Bundesregierung, sich weiterhin für einen effektiven Schutz der personenbezogenen Daten von Verbraucherinnen und Verbrauchern einzusetzen, der insbesondere hinsichtlich der Anforderungen an Scoringverfahren, Profilbildungen und die Weitergabe von Kundendaten zu Werbezwecken nicht hinter dem Standard des Bundesdatenschutzgesetzes zurückbleiben soll.
b) Er hält es für erstrebenswert, die Möglichkeiten eines gerichtlichen Vorgehens von Verbraucherverbänden gegen verbraucherschutzrelevante Datenschutzverstöße, beispielsweise mittels eines Verbandsklagerechts, in der vorgeschlagenen Datenschutz-Grundverordnung rechtlich sicherzustellen.
c) Der Bundesrat bittet die Bundesregierung außerdem, den besonderen Schutz der personenbezogenen Daten Minderjähriger vor kommerzieller Nutzung zu berücksichtigen und sich dafür einzusetzen, dass personenbezogene Daten Minderjähriger nicht für Zwecke der Werbung und zur Profilbildung verwendet werden dürfen.
d) Er bekräftigt sein Anliegen, das europäische Datenschutzrecht angesichts grundlegender Herausforderungen durch Globalisierung und technologische Entwicklung zu modernisieren und dabei auch den Verwaltungsaufwand für die Unternehmen zu verringern (vergleiche Ziffer 2 der Stellungnahme des Bundesrates in BR-Drucksache 052/12(B) (2)). Die Vorgaben dürfen kleine und mittlere Unternehmen nicht benachteiligen.
e) Zur Ermöglichung attraktiver digitaler Angebote könnten in der vorgeschlagenen Verordnung klare Regelungen zu Pseudonymisierung und Anonymisierung von Daten sowie Regelungen zu einer daraus resultierenden Privilegierung im Hinblick auf die Datennutzung vorgenommen werden.
f) Der Bundesrat begrüßt, dass auch nichteuropäische Anbieter, die sich mit ihren Diensten an europäische Bürgerinnen und Bürger richten, den zukünftigen europäischen Standards unterstellt werden sollen. Er unterstützt daher die Bundesregierung in ihrer Zielsetzung, in den weiteren Verhandlungen die Vorkehrungen zur Sicherstellung der Angemessenheit des Datenschutzniveaus in Drittländern fortzuentwickeln. Hier könnte sich im Hinblick auf Abkommen wie das Safe-Harbor-Abkommen mit den USA eine Ergänzung des Prüfungsumfangs von Artikel 41 Absatz 2 der vorgeschlagenen Verordnung um Angaben zur Gültigkeit der Safe-HarborZertifikate und Einhaltung der Safe-Harbor-Grundsätze (Kontrolle durch lokale Behörden, Veröffentlichung der entsprechenden Übermittlung der Ergebnisse) anbieten. Weiterhin könnte eine Zertifizierung durch eine unabhängige Stelle anstatt der zum Beispiel nach dem Safe-HarborAbkommen vorgesehenen Selbstzertifizierung Voraussetzung für eine Anerkennung der Angemessenheit des Datenschutzniveaus sein.
g) Der Bundesrat weist darauf hin, dass im deutschen Verfassungsrecht die Kirchen und Religionsgemeinschaften nach Artikel 140 des Grundgesetzes in Verbindung mit Artikel 137 Absatz 3 der deutschen Verfassung vom 11. August 1919 eine besondere rechtliche Stellung innehaben, auf Grund derer diese den Verfassungsauftrag des Datenschutzes im Rahmen ihrer Autonomie selbst verwirklichen. Die unterschiedslose Geltung einer EUDatenschutz-Grundverordnung auch für Kirchen und kirchliche Vereinigungen, wie sie nach aktuellem Verhandlungsstand angedacht ist, würde im Ergebnis bedeuten, den Kirchen undifferenziert Datenschutzregelungen aufzuerlegen, und damit auch unantastbare Kernbereiche kirchlichen Wirkens wie die Sakramentsverwaltung berühren.

Der Bundesrat bittet die Bundesregierung, sich weiterhin entsprechend der bisherigen Verhandlungslinie für eine Sonderregelung für Datenschutzbestimmungen der Kirchen und kirchlichen Vereinigungen einzusetzen, die deren von der nationalen Verfassung garantierten und durch Artikel 17 AEUV vor Beeinträchtigungen durch die EU geschützten Status auch im Verhältnis zur vorgeschlagenen Datenschutz-Grundverordnung gewährleistet.

8. Zur Übergangsregelung

Der Bundesrat erinnert an seine Forderung nach einer Übergangsregelung, die hinreichenden rechtsstaatlichen Vertrauensschutz gewährleistet (Ziffer 65 der Stellungnahme des Bundesrates in BR-Drucksache 052/12(B) (2)). Die bisher vorgeschlagene und in den Beratungen noch nicht modifizierte Übergangsfrist von zwei Jahren ist weder für eine rechtssichere Anpassung komplexer Geschäftsprozesse datenverarbeitender Unternehmen ausreichend noch berücksichtigt sie, dass bereits auf Grundlage der EG-Datenschutzrichtlinie wie zum Beispiel bei der Genehmigung von "Binding Corporate Rules" schutzwürdige Vertrauenstatbestände begründet wurden. Die Bundesregierung wird deshalb gebeten, sich bei den weiteren Beratungen für eine stärkere Differenzierung der Übergangsregelung der Verordnung einzusetzen, die insbesondere aus Gründen rechtsstaatlichen Vertrauensschutzes Sachverhalte mit längeren Übergangsfristen anerkennt.

9. Zum weiteren Verfahren

a) Der Bundesrat stellt fest, dass die Billigung der Beratungsergebnisse zu den Kapiteln IV und V im JI-Rat jeweils mit den Grundprämissen verbunden war, dass diese Einigung unter dem Gesamtvorbehalt einer Einigung über alle Kapitel steht, keine Vorwegfestlegungen über horizontale Fragen - wie zum Beispiel die der Rechtsnatur des Rechtsaktes umfasst - und die Präsidentschaft nicht zur Aufnahme des Trilogs ermächtigt.
b) Er bittet die Bundesregierung, bei den weiteren Beratungen darauf hinzuwirken, dass diese Grundbedingungen auch im Falle weiterer grundsätzlicher Billigungen einzelner Beratungsergebnisse, insbesondere bei einer sogenannten partiellen allgemeinen Ausrichtung zu Artikel 1 und zu den Kapiteln II und IX, fortgeführt werden. Diese sollten erst dann zum Gegenstand eines Trilogs mit der Kommission und dem Europäischen Parlament gemacht werden, wenn die Beratungen zum Verordnungsvorschlag insgesamt so weit fortgeschritten sind, dass eine umfassende Bewertung der Auswirkungen der vorgeschlagenen Datenschutz-Grundverordnung auf die Belange der Länder möglich ist, auf deren Grundlage der Bundesrat erneut Stellung zu nehmen vermag.
c) Der Bundesrat bittet die Bundesregierung, bei den weiteren Beratungen darauf hinzuwirken, dass die Änderungsvorschläge zu Artikel 2 des Verordnungsvorschlags hinsichtlich der Abgrenzung zum Anwendungsbereich der Richtlinie für den Datenschutz bei Polizei und Strafjustiz erst als Gegenstand einer sogenannten partiellen allgemeinen Ausrichtung im JI-Rat behandelt werden, wenn die erforderlichen Abgrenzungen zu den polizeilichen und sicherheitsbehördlichen Aufgaben im Bereich der nicht auf Straftaten bezogenen allgemeinen polizeilichen Gefahrenabwehr abschließend geklärt sind.

*) Beschlüsse des Bundesrates vom 30. März 2013, BR-Drucksachen 052/12(B) und 052/12(B) (2)