umwelt-online: Bundesrat 052/12 (Beschluss): Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)

Der Bundesrat hat in seiner 895. Sitzung am 30. März 2012 gemäß Artikel 12 Buchstabe b EUV die folgende Stellungnahme beschlossen:

1. Der Bundesrat ist der Auffassung, dass der Vorschlag mit dem Subsidiaritätsprinzip nicht im Einklang steht. Denn nach Artikel 5 Absatz 3 EUV darf die EU in den Bereichen, die nicht in ihre ausschließliche Zuständigkeit fallen, nur tätig werden, sofern und soweit die Ziele der in Betracht gezogenen Maßnahmen von den Mitgliedstaaten weder auf zentraler noch auf regionaler oder lokaler Ebene ausreichend verwirklicht werden können, sondern vielmehr wegen ihres Umfangs oder ihrer Wirkungen auf Unionsebene besser zu verwirklichen sind.
Der Bundesrat bedauert, dass die Kommission die schon in seiner Stellungnahme vom 11. Februar 2011 zur Mitteilung der Kommission über ihr Gesamtkonzept für den Datenschutz in der EU (BR-Drucksache 707/10(B) ) aufgezeigten Vorbehalte zur Abgrenzung der Rechtsetzungskompetenzen und zur Wahrung des Subsidiaritätsprinzips nicht berücksichtigt hat. Die jetzt vorliegenden Vorschläge für eine umfassende Modernisierung des Schutzes personenbezogener Daten durch eine Richtlinie zur Regelung des Datenschutzrechts für den Bereich von Polizei und Justiz (vgl. BR-Drucksache 051/12 (PDF) ) und eine Überleitung der bestehenden Datenschutzrichtlinie in eine Datenschutz-Grundverordnung bei gleichzeitiger Anpassung datenschutzrechtlicher Regelungen der Richtlinie über die elektronische Kommunikation (RL 2002/58/EG) bestätigen diese Vorbehalte. Der Bundesrat ist daher der Ansicht, dass nach wie vor eine Gesamtkonzeption erforderlich ist, die den Prinzipien der Subsidiarität und Verhältnismäßigkeit besser gerecht wird, als das vorgeschlagene Regelungsmodell.

Die Anforderungen des Artikels 5 Absatz 3 EUV erfüllt die vorgeschlagene Datenschutz-Grundverordnung aus folgenden Gründen nicht:
2. Der Verordnungsvorschlag legt nicht ausreichend dar, dass eine verbindliche Vollregelung des Datenschutzes durch Verordnung im öffentlichen und im nichtöffentlichen Bereich auf europäischer Ebene erforderlich ist. Anders als die bestehende, schon auf eine Vollharmonisierung nationaler Datenschutzgewährleistungen zielende Richtlinie führt eine Verordnungsregelung mit umfassendem verbindlichen Geltungsanspruch zur nahezu vollständigen Verdrängung mitgliedstaatlicher Datenschutzregelungen. Gerade im öffentlichen Bereich, aber auch in weiten Teilen des nichtöffentlichen Datenschutzrechts bestehen in Deutschland wie auch in anderen Mitgliedstaaten differenziertere und damit mehr Vollzugstauglichkeit und Rechtssicherheit vermittelnde Datenschutzgewährleistungen als die durch hohes Abstraktionsniveau geprägten Einzelbestimmungen des Verordnungsvorschlags. Der Anwendungsvorrang der Datenschutz-Grundverordnung stellt den Fortbestand bisher auch unter Gesichtspunkten des Binnenmarktes unstreitiger Kernbereiche deutschen Datenschutzrechts in Frage. Beispielhaft gilt dies etwa für den Sozialdatenschutz oder die vom Wesentlichkeitsvorbehalt geforderten bundes- und landesgesetzlichen Regelungen der Videoüberwachung.
3. Soweit auch im Rahmen europäischer Verordnungsregelungen zumindest mitgliedstaatliche Konkretisierungsbefugnisse anerkannt sind, fehlen entsprechende ausdrückliche Ermächtigungen zu Gunsten der nationalen Gesetzgeber. Vielmehr belegen die in sehr großer Zahl vorgesehenen Ermächtigungen zum Erlass delegierter Rechtsakte die weit über die Kompetenzzuweisung des Artikels 16 Absatz 2 AEUV hinausgehende Zielsetzung zu einer umfassenden, ausschließlich durch den europäischen Gesetzgeber bestimmten verbindlichen Vollregelung des gesamten europäischen Datenschutzrechts. Ein unionsweit einheitliches Datenschutzniveau kann dagegen auch weiterhin durch eine Fortentwicklung der bislang geltenden Datenschutzrichtlinie erreicht werden. Auch diese zielt auf eine Vollharmonisierung des Datenschutzrechts ab, belässt den Mitgliedstaaten jedoch die Möglichkeit, auslegungsfähige Tatbestandsmerkmale, wie sie auch die vorgeschlagene Verordnung durchgehend nutzt, im Rahmen der mitgliedstaatlichen Gesetzgebung zu konkretisieren.
4. Die von der Kommission vorgeschlagene verbindliche Vollregelung des Datenschutzrechts im öffentlichen und nichtöffentlichen Bereich geht weit über das Ziel der Gewährleistung eines hohen Datenschutzniveaus in diesen Bereichen und gleicher Wettbewerbsbedingungen hinaus. Auf Grund ihres offen und unbestimmt gefassten sachlichen Anwendungsbereichs wird die vorgeschlagene Verordnung als unmittelbar geltende Regelung mit Ausnahme der in den Artikeln 80 ff. des Vorschlags erfassten Materien des Medien-, Gesundheits- und Beschäftigtendatenschutzes nahezu alle Bereiche des geltenden nationalen Datenschutzrechts verdrängen. Sie erfasst damit auch rein lokale Bereiche wie z.B. die Tätigkeit der örtlichen Gefahrenabwehrbehörden, da der Anwendungsbereich nur den "Bereich nationaler Sicherheit" ausnimmt, für Fragen der "öffentlichen Sicherheit" aber lediglich Abweichungsbefugnisse nach Maßgabe des Artikels 21 einräumt. Mit der Erstreckung der vorgeschlagenen Verordnung auf sämtliche Tätigkeiten im Geltungsbereich des Unionsrechts (Artikel 2 Absatz 2 Buchstabe a des Vorschlags) beansprucht die Kommission außerdem datenschutzrechtliche Regelungskompetenzen zu einer verbindlichen Regelung von Sachbereichen, wie z.B. dem Bildungssystem, in denen eine Kompetenz zur Harmonisierung von Rechts- und Verwaltungsvorschriften sogar ausdrücklich ausgeschlossen ist (z.B. Artikel 165 Absatz 4 AEUV). Gleiches gilt auch für den Bereich des nicht straftatenbezogenen Gefahrenabwehrrechts, dessen Regelungskompetenz weiterhin ausschließlich den Mitgliedstaaten zufällt (vgl. Artikel 72, 87, 276 AEUV).
5. Der Bundesrat ist ferner der Ansicht, dass die Verarbeitung personenbezogener Daten durch die öffentlichen Verwaltungen der Mitgliedstaaten grundsätzlich nicht in die Rechtsetzungskompetenz der EU fällt und daher zur Vermeidung eines Subsidiaritätsverstoßes vom sachlichen Anwendungsbereich der Verordnung auszunehmen ist. Für diesen Bereich und für die Verarbeitung zur Wahrnehmung von Aufgaben, die im öffentlichen Interesse liegen, enthält zwar Artikel 6 Absatz 3 Satz 1 Buchstabe b in Verbindung mit Absatz 1 Buchstabe e des Verordnungsvorschlags die Befugnis zum Erlass mitgliedstaatlicher Regelungen. Deren Reichweite wird aber durch spezifische unionsrechtliche Anforderungen begrenzt (Artikel 6 Absatz 3 Satz 2 des Verordnungsvorschlags), so dass im Ergebnis keine eigenständigen Regelungsbefugnisse der Mitgliedstaaten im Bereich der Datenverarbeitung öffentlicher Verwaltungen verbleiben.
6. Ein weiterer Widerspruch zu den Prinzipien der Subsidiarität und Verhältnismäßigkeit ergibt sich insbesondere im Bereich der Datenverarbeitung öffentlicher Verwaltungen schließlich noch aus der in Artikel 1 Absatz 3 des Verordnungsvorschlags vorgesehenen Regelung, die zur Gewährleistung des freien Datenverkehrs auch jegliche über die Verordnung hinausgehende nationale Datenschutzgewährleistung untersagt: Gerade bei der Datenverarbeitung im Bereich der öffentlichen Verwaltungen wie z.B. im Sozialdatenschutzrecht mit seinen restriktiven Verfahrensregelungen (etwa in Gestalt des Gebots organisationsrechtlicher Trennungen der Datenverarbeitung) sind höhere nationale Datenschutzstandards denkbar, ohne dass dadurch Belange des Binnenmarkts beeinträchtigt werden.
7. Die vorgeschlagene Datenschutz-Grundverordnung ist ungeeignet, eine für nahezu alle Bereiche geltende umfassende Regelung des Datenschutzes zu gewährleisten und verletzt daher auch insoweit die Prinzipien der Subsidiarität und Verhältnismäßigkeit. Wegen ihres hohen Abstraktionsniveaus, das Anforderungen generalisiert und die differenzierten Schutzrechte des allgemeinen und fachrechtlichen Datenschutzes der Mitgliedstaaten nivelliert, verweist die vorgeschlagene Verordnung bei vielen für den Schutz des Persönlichkeitsrechts und der sonstigen Grundrechtsausübung der Bürgerinnen und Bürger wesentlichen Fragen auf delegierte Rechtsakte der Kommission, um weiterhin dem Ziel der Vollharmonisierung gerecht werden zu können. Jedenfalls bis zum Erlass detaillierterer Regelungen durch delegierte europäische Rechtsakte wird dadurch der praktische Vollzug des Datenschutzrechts mit vielfältigen Rechtsunsicherheiten belastet, da die geltenden innerstaatlichen Regelungen nach nur zweijähriger Übergangszeit nicht mehr anwendbar sein sollen. Das von der Kommission betonte Ziel, durch den Erlass der vorgeschlagenen Verordnung die Rechtssicherheit für Wirtschaft und Staat bei der Verarbeitung personenbezogener Daten zu erhöhen, wird damit verfehlt. Demgegenüber würde die Aufnahme der vorgeschlagenen Verordnungs-Regelungen in die Fortführung der bestehenden Datenschutzrichtlinie für das nationale Datenschutzrecht lediglich Anpassungspflichten begründen, aber im Interesse von Rechtssicherheit und Vollzugstauglichkeit den Fortbestand nationaler Regelungen erlauben.
8. Der Verordnungsvorschlag widerspricht den Prinzipien der Subsidiarität und Verhältnismäßigkeit, da die Regelungen zu den Einwirkungsrechten der Kommission im Rahmen des sogenannten Kohärenzverfahrens (Artikel 57 ff., insbesondere Artikel 60 f. des Verordnungsvorschlags) nicht mit der durch Artikel 16 Absatz 2 Satz 2 AEUV gewährleisteten Unabhängigkeit der Datenschutzbehörden zu vereinbaren sind. Das Erfordernis der völligen Unabhängigkeit der Datenschutzkontrollstellen erfordert es nach der Rechtsprechung des Europäischen Gerichtshofs bereits, die bloße Gefahr einer politischen Einflussnahme auf die Entscheidungen der Kontrollstellen auszuschließen. Die in der vorgeschlagenen Verordnung eröffneten Befugnisse zur Aussetzung datenschutzaufsichtlicher Verfahren eröffnen aber unmittelbare Möglichkeiten der Einflussnahme, bei denen nicht auszuschließen ist, dass diese durch die umfassenden Exekutivaufgaben außerhalb des Datenschutzrechts beeinflusst werden, die der Kommission ungeachtet ihrer formalen Unabhängigkeit obliegen.
9. Durch die Entscheidung für eine Regelung europäischer Datenschutzstandards im Wege einer Rechtsverordnung schafft die Kommission Rechtsunsicherheiten über die im Bereich elektronischer Kommunikationsdienste nach der Richtlinie 2002/58/EG geltenden Datenschutzregelungen. Die nach dieser Richtlinie bestehenden mitgliedstaatlichen Umsetzungspflichten zur Regelung des Datenschutzes bei elektronischen Kommunikationsdiensten werden durch Artikel 88 Absatz 2 des Verordnungsvorschlags abgeändert, der die Verweisungen der Richtlinie über elektronische Kommunikationsdienste auf die Datenschutzrichtlinie als Verweisungen auf die vorgeschlagene Datenschutz-Grundverordnung modifizieren soll. Die Mitgliedstaaten werden damit vor die Aufgabe gestellt, neue spezifische nationale Datenschutzstandards für elektronische Kommunikationsdienste zu formulieren, während ihnen im Bereich des allgemeinen Datenschutzrechts durch den Anwendungsvorrang der vorgeschlagenen Verordnung keine Rechtsetzungskompetenzen verbleiben. Der gerade in der Informationsgesellschaft zentrale Bereich des Datenschutzes bei elektronischen Kommunikationsdiensten wird daher durch die Entscheidung für den Erlass einer Datenschutz-Grundverordnung an Stelle der Fortentwicklung der Datenschutzrichtlinie mit erheblichen Rechtsunsicherheiten belastet, die durch keine anderweitigen Vorteile zur Verwirklichung der Schutzaufträge des Artikels 16 Absatz 1 AEUV ausgeglichen werden.
10. Die Entscheidung für eine Datenschutz-Grundverordnung bei gleichzeitiger Regelung des Datenschutzes im Bereich von Polizei und Justiz durch eine Richtlinie schafft Abgrenzungsschwierigkeiten, die weitere Belege für die Verletzung der Prinzipien von Subsidiarität und Verhältnismäßigkeit begründen. Der Bundesrat stellt fest, dass die bisherige Konzeption zur Neuordnung des EU-Datenschutzrechts dazu führen würde, dass Polizei und Ordnungsbehörden im Rahmen ihrer Aufgabenwahrnehmung hinsichtlich der Verarbeitung personenbezogener Daten unterschiedliche Rechtsvorschriften zu beachten haben. Ziel der Richtlinie für den Datenschutz bei Polizei und Justiz (siehe Artikel 1 Absatz 1 und die Begründung Ziffer 3.4.1, BR-Drucksache 051/12 (PDF) ) ist es, Bestimmungen für die Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten festzulegen. Die vorgeschlagene Datenschutz-Grundverordnung findet auf diesen Bereich keine Anwendung (Artikel 2 Absatz 2 Buchstabe e des Vorschlags). Die Polizeien der Länder sind aber sowohl für den Bereich der Verhütung von Straftaten als auch für den Bereich der allgemeinen Gefahrenabwehr zuständig, der vorbehaltlich begrenzter Ausnahmen nach Maßgabe des Artikels 21 des Vorschlags von den verbindlichen Anforderungen der vorgeschlagenen Datenschutz-Grundverordnung erfasst wird. Diese Zersplitterungen zeigen, dass ein besserer Schutz personenbezogener Daten im Rahmen der Rechtsetzungskompetenzen der EU durch eine Fortentwicklung der Datenschutzrichtlinie zu verwirklichen wäre, nicht aber durch drei Rechtsakte unterschiedlicher Bindungswirkung für die Mitgliedstaaten - die beabsichtigte Datenschutzgrundverordnung und die vorgeschlagene Richtlinie zum Datenschutz bei Polizei und Justiz sowie die bestehende Richtlinie 2002/58/EG.