Knapp ein Jahr ist es her, seit die Europäische Kommission ihre Absicht bekanntgab, die Datenschutzrichtlinie von 1995 durch eine Verordnung zu ersetzen. Gleichzeitig legte sie eine Regelung in einer neuen, folgenreichen Form vor. Anders als bei Richtlinien haben die Mitgliedstaaten bei Verordnungen keinen Handlungsspielraum. Erwartet werden die wörtliche Übernahme der Kommissionsvorgaben sowie die strikte Einhaltung der ihnen zugrunde liegenden Vorstellungen. Das Ziel mag in beiden Fällen, Richtlinien wie Verordnungen, eine Harmonisierung sein. Ein echtes Regelungsmonopol garantieren jedoch einzig Verordnungen. Die Kommission kann so ihre Erwartungen besser denn je durchsetzen.
Die Kehrseite einer solchen Formenwahl ist jedoch gerade beim Datenschutz evident. Seine rechtliche Absicherung markiert Stationen einer Geschichte, die von nicht nachlassenden, in den jeweiligen Regelungen reflektierten Widerständen begleitet ist. Überwunden wurden diese Widerstände hierzulande letztlich durch das Bundesverfassungsgericht. Erst dessen Interventionen haben Barrieren aufgebaut, an denen kein Gesetzgeber vorbei kann. Die Volkszählungsentscheidung initiierte eine sich ständig verlängernde Liste korrigierender Eingriffe, die daran erinnert, dass der Datenschutz seinen gegenwärtigen Stand ohne die Interventionen des Bundesverfassungsgerichts niemals hätte erreichen und aufrechterhalten können.
Normen werden technisch schnell überholt
Formal mag die Kommission berechtigt sein, einer Verordnung den Vorzug zu geben. Unter inhaltlichen Gesichtspunkten drängt sich jedoch sofort die Frage auf, ob damit auch die Auswirkungen des Verzichts auf eine Kontrolle des Datenzugriffs durch das Bundesverfassungsgericht kompensiert werden. Um ihre Verpflichtung zur Gewährleistung des Datenschutzes zu unterstreichen, hat die Kommission bei ihren Entscheidungen mehrfach etwa auf den Vertrag von Lissabon und die Grundrechtecharta der Europäischen Union Bezug genommen und den Datenschutz auch in die Grundsätze für die Wachstumsstrategie (Europa 2020) einbezogen. Wiederholt wird die Intention betont, ein modernes und umfassendes Datenschutzkonzept für die „neue, dynamische digitale Umgebung“ schaffen zu wollen. Dabei ist zwar vom Beitrag des Datenschutzes zur Steigerung des „Wirtschaftswachstums“ und der „Wettbewerbsfähigkeit“ der Europäischen Union die Rede, die vom Bundesverfassungsgericht unmissverständlich betonten irreversiblen Grenzen der Datenverwendung werden jedoch keineswegs vergleichbar kategorisch angesprochen und festgeschrieben.
Die Informations- und Kommunikationstechnologie hat immer schon Entstehung und Weiterentwicklung der Datenschutzvorschriften bestimmt. Das gilt auch für die Verordnung der Europäischen Kommission, wie schon der Zeitpunkt ihrer Vorlage signalisiert. Ihr wohl wichtigstes Merkmal ist nämlich die explizite Einbeziehung des Internet, also jener Verarbeitungsmodalität, welche die Datenverwendung in einen völlig neuen Kontext gestellt und zugleich den Umgang mit den Daten von Grund auf modifiziert hat. Auch auf diesem Feld werden die Datenschutznormen freilich schnell von der Verarbeitungstechnologie überholt. Die verbindliche Begrenzung von Geltungszeiten, wie sie manche Datenschutzgesetze bereits vorsehen, kann dem Rechnung tragen. Damit muss die Verpflichtung einhergehen, die Entwicklung der Technologie kontinuierlich zu beobachten und rechtzeitig darauf zu reagieren. Die auf diese Weise bewusst in Kauf genommene Vorläufigkeit der Datenschutzvorschriften impliziert also weder Zweifel noch Geringschätzung: sie ist vielmehr Voraussetzung für die Effektivität der jeweiligen Normen.
Beschäftigtendatenschutz auf nationaler Ebene
Die Kommission umschreibt ihren Vorschlag ausdrücklich als „Datenschutz-Grundverordnung“. Im Unterschied zur bisherigen Richtlinie wird die Verordnung als Fundament eines Regelungssystems angesehen, das sich aus aufeinander abgestimmten, allgemeinen und bereichsspezifischen Vorschriften zusammensetzt. Bei der Richtlinie war es, genau besehen, nicht anders. Deren Vorgaben sind bei der Verabschiedung bereichsspezifischer Bestimmungen, etwa zur Telekommunikation, durchaus bedacht worden. Die Berücksichtigung war aber eher ein Entgegenkommen der zuständigen Generaldirektion als eine Pflicht.
Eine echte Koordination bleibt jedoch so lange unrealistisch wie die Regelungskompetenz nicht klar angesprochen wird. Wann Datenschutzvorkehrungen nötig sind und wie sie im Einzelnen auszusehen haben, bestimmen bisher die jeweils zuständigen Generaldirektionen. Den Generaldirektionen stünde, so gesehen, auch das Vorrecht zu, die „Grundverordnung“ zu interpretieren. Eine Koordination lässt sich folglich nur erzielen, wenn verschiedene Zuständigkeiten nicht zugleich ein verschiedenes Verständnis der Regelungsgrundsätze implizieren.
Schließlich hat die Kommission die Verordnung dazu genutzt, sich von einer schon in den achtziger Jahren des vergangenen Jahrhunderts übernommenen Aufgabe zu entlasten: den Beschäftigtendatenschutz eigens zu regeln. Die Verordnung spricht sich zwar nachdrücklich dafür aus, überträgt aber die konkrete Regelung den Mitgliedstaaten. Freilich müssen die Mitgliedstaaten die von der Verordnung generell vorgeschriebenen Verarbeitungsgrenzen ebenso respektieren wie die von der Kommission noch festzusetzenden „Kriterien und Anforderungen“ der „Garantien“ einer verordnungsgemäßen Datenverwendung. Genau besehen, schreibt die Kommission den Mitgliedstaaten also vor, wie mit den wichtigsten Regelungspunkten umzugehen ist, und harmonisiert damit zugleich die nationalen Gesetze.
Echte und wichtige Neuerungen
Der neu gewählten Form, anstelle der Richtlinie eine Verordnung zu wählen, entspricht nicht ein ebenso innovativer Inhalt. Die Verordnung richtet sich inhaltlich nämlich weitgehend nach der Richtlinie. Umso mehr verwundert die von der Kommission selbst angepriesene Originalität mancher Vorschriften. Das „Recht auf Vergessen“ ist das beste Beispiel hierfür. Wer in der Richtlinie oder den bisherigen nationalen Gesetzen nachschaut, findet es nicht. Trotzdem ist es keine überragende Neuentdeckung. Die Verpflichtung, personenbezogene Angaben nur für einen klar umschriebenen sowie nachvollziehbaren Zweck zu verarbeiten, und die damit verbundene Pflicht, die Daten nach der Zweckerfüllung zu löschen, hat von Anfang an zu den elementaren Datenschutzvoraussetzungen gezählt. Ausnahmen hat es stets gegeben. Die Vorläufigkeit jeder Datenverwendung, also die „Pflicht zu vergessen“, ist allerdings nie angezweifelt worden. Was die Verordnung tut, ist eben diese Pflicht aus der Perspektive der Betroffenen anzusprechen und, was diesen ohnehin schon immer zustand, als angeblich neues Recht zu präsentieren.
Die Verordnung enthält indessen auch echte und wichtige Neuerungen, die den Datenschutz nachhaltig verbessern könnten. Zwei Beispiele: Erstens, risikoreiche Verarbeitungsvorgänge dürfen überhaupt erst nach einer Abschätzung ihrer Folgen durchgeführt werden. Wann genau die potentielle Gefahr dazu verpflichtet, ist dem Regelungstext allerdings nicht zu entnehmen. Zweitens, Maßnahmen, die auf einem „Profiling“ beruhen, sind grundsätzlich wirkungslos. Die Verordnung reagiert damit auf eine der gravierendsten Folgen der technologischen Entwicklung: tendenziell unbegrenzte automatisierte Zusammenstellungen personenbezogener Informationen mit dem Ziel einer für die unterschiedlichsten Zwecke verwendbaren Profilbildung. Die mittlerweile verbreitete Verwendung solcher Profile, um etwa die Eignung einer Person für einen bestimmten Beruf, ihre wirtschaftliche Situation, ihre Zuverlässigkeit oder ihren Gesundheitszustand einschätzen zu können, würde es demnach in Zukunft nicht mehr geben.
Gestaltungsrecht der Kommission
Freilich enthält die Verordnung auch evidente Mängel. Auch hierfür zwei Beispiele. Das erste betrifft die Benennung von Datenschutzbeauftragten. Behörden und öffentliche Einrichtungen sowie solche für die Verarbeitung Verantwortliche, deren „Kerntätigkeit“ in Verarbeitungsvorgängen besteht, die eine „regelmäßige und systematische Beobachtung“ bestimmter Personen ermöglichen sollen, sind zur Benennung von Datenschutzbeauftragten verpflichtet. Hinzu kommen, gemäß der Verordnung, Unternehmen mit 250 und mehr Mitarbeitern. Im Unternehmensbereich ist mithin allein die Zahl der Beschäftigten maßgebend. Das ist problematisch. Organisatorische Vorkehrungen können daher zwar nach Unternehmensgröße variieren; sie müssen aber durchweg unter Datenschutzgesichtspunkten konzipiert sein. Dem entsprechen gegenwärtig Datenschutzgesetze, die sich, wie das Bundesdatenschutzgesetz, bei der Verpflichtung, einen Datenschutzbeauftragten vorzusehen, an der Anzahl derjenigen Beschäftigten orientieren, die unmittelbar an der Verarbeitung personenbezogener Daten beteiligt sind.
Das zweite Beispiel für offenkundige Mängel der Verordnung ist ihre Unvollständigkeit. Gleichviel ob es um das Auskunftsrecht der Betroffenen, die Pflichten der für die Verarbeitung Verantwortlichen, die Aufgaben des Datenschutzbeauftragten oder besondere Verarbeitungen zu Forschungszwecken geht, die Kommission ist befugt, sowohl die jeweils maßgeblichen Anwendungskriterien als auch zusätzliche Anforderungen in besonderen Rechtsakten vorzuschreiben. Was die von der Verwendung ihrer Daten betroffenen Personen letztlich erwarten können und wie sich die Verarbeiter der Angaben verhalten müssen, konkretisiert sich erst in eben diesen Akten. Die Verordnung selbst rückt damit mehr und mehr in den Hintergrund. Sie bleibt zwar Grundlage der neuen Regelung, wie jedoch mit ihr umzugehen ist, definieren die Akte. Sie sind insofern auch der eigentliche Anknüpfungspunkt für die Bewertung der neuen Regelung. Zum gegenwärtigen Zeitpunkt liegt noch kein einziger Akt vor. In etlichen Verarbeitungszusammenhängen wird zudem von einer verbindlichen Vorlagefrist ausdrücklich abgesehen. In den meisten Fällen bedarf schließlich die Entscheidung der Kommission keiner wie immer gearteten Zustimmung.
Der Verordnungstext als solcher reicht nicht aus, um die vorgeschlagene Regelung wirklich zu beurteilen. Klar ist ferner, dass die Verordnung in dem Maße, in dem sie die eigentliche Regelung in die noch ausstehenden Akte verlagert, anders als bei der Vorlage an das Europäische Parlament, der Kommission fast durchweg das Recht einräumt, allein darüber zu entscheiden, wie der Datenschutz gestaltet werden soll.
