Die von der Europäischen Kommission vor mehr als drei Jahren auf den Weg gebrachte Datenschutzreform ist zwar noch nicht in „trockenen Tüchern“, aber immerhin ist absehbar, dass zumindest die Datenschutz-Grundverordnung in absehbarer Zeit von den EU-Gremien beschlossen wird. Bei allen Unsicherheiten im Detail bietet sich damit die einmalige Chance, Herausforderungen an das Datenschutzrecht in Angriff zu nehmen und diese mit einer stärkeren europäischen Harmonisierung zu verbinden. Gerade die Kombination dieser beiden Aspekte macht den möglichen Charme der Reform aus. Dies gilt freilich nur, wenn die Harmonisierung auch zu einem möglichst hohen Datenschutzstandard führt und nicht bloß einen kleinsten gemeinsamen Nenner definiert.
Positiv anzumerken ist, dass wesentliche Grundelemente der Datenschutzreform zwischen den EU-Gremien unstreitig sind: Die Einbeziehung von Unternehmen aus Drittstaaten, die in Europa aktiv sind (Marktortprinzip), den Abbau des Datenschutzgefälles zwischen den Mitgliedstaaten und – last but not least – die Stärkung der Datenschutzaufsicht.
Trotzdem gibt es keinen Anlass, sich beruhigt zurückzulehnen und den Ausgang des Trilogs zwischen Kommission, Parlament und Rat abzuwarten. Zum einen haben die Bemühungen von Interessenvertretungen erneut zugenommen, denen die ganze Richtung nicht passt. Bedauerlich ist insbesondere, dass auch manche europäischen Industrievertreter noch nicht verstanden haben, dass ein wirksamer, europaweit harmonisierter Datenschutz in ihrem wohlverstandenen wirtschaftlichen Interesse liegt. Zum anderen gibt es durchaus auch in den EU-Gremien Neigungen, dem Druck solcher Unternehmen – vor allem aus Drittstaaten – nachzugeben, deren Geschäftsmodelle kaum mit einem hohen europäischen Datenschutzniveau kompatibel sind. Zwar ist das Europäische Parlament in seiner Positionsbestimmung überwiegend zu Gunsten des Datenschutzes über den Kommissionsentwurf hinaus gegangen. Dagegen enthält die Richtungsentscheidung des Rats gefährliche Aufweichungen und bleibt sogar an verschiedenen Punkten hinter dem derzeitigen Recht zurück.
Für den Trilog sind insbesondere die folgenden Felder wichtig, in denen – teils erhebliche – Meinungsdivergenzen zwischen den Gremien bestehen. Im Sinne eines wirksamen Datenschutzes müssen hier klare Weichenstellungen getroffen werden:
- Keine Aufweichung der Zweckbindung. Eine generelle Erlaubnis für Unternehmen oder Behörden, bei „überwiegendem Interesse“ Daten auch für Zwecke zu verwenden, die mit dem Erhebungszweck nicht vereinbar sind, wäre mit der Gewährleistung des Grundrechts auf Datenschutz nicht vereinbar.
- Die Bürgerinnen und Bürger müssen wirksam vor der Zusammenführung ihrer Daten zu Persönlichkeitsprofilen geschützt werden. Profiling sollte grundsätzlich nur unter Pseudonym zulässig sein, wobei die Pseudonyme möglichst robust und rücknahmefest zu konstruieren sind. Auch bei der Verwendung von Pseudonymen muss der Betroffene umfassend über die Tatsache und die Zwecke des Profiling informiert werden und ihm ggf. widersprechen können. Sensible Daten sollten generell vom Profiling ausgenommen werden. Für den Betroffenen nachteilige, auf automatisierten bzw. überwiegend auf automatisierten Verfahren beruhende Einzelentscheidungen sollten unzulässig sein.
- Der Datentransfers in Drittstaaten sollte generell nur zulässig sein, wenn ein angemessenes Datenschutzniveau vorliegt, das den Anforderungen der EU-Grundrechtecharta genügt. Gerade die im wesentlichen auf Edward Snowden zurückgehenden Veröffentlichungen über umfassende geheimdienstliche Überwachungsmaßnahmen haben gezeigt, dass die bisherigen Instrumente defizitär sind. Die vom Rat vorgeschlagenen Ausnahmeregelungen für bestehende Adäquanzentscheidungen, etwa für Safe Harbor, im Rahmen von bilateralen Abkommen oder für Verwaltungsvereinbarungen zwischen öffentlichen Stellen wären inakzeptabel.
- Sektorspezifische nationale Regelungen – etwa zum Gesundheitswesen und zum Beschäftigtendatenschutz – dürfen das durch die GVO festgelegte Mindestniveau des Datenschutzes nicht unterschreiten. Dagegen sollte es den Mitgliedstaaten weiterhin möglich sein, in begründeten Fällen, insb. bei der Verarbeitung sensibler Daten, aber auch bei der behördlichen Datenverarbeitung, weitergehende Schutzvorschriften vorzusehen, damit das durch nationales Verfassungsrecht (z.B. durch die Rechtsprechung des Bundesverfassungsgerichts) garantierte Standards auch weiterhin gewährleistet werden können.
- Die Verarbeitung personenbezogener Daten auf Basis einer Einwilligung sollte nur zulässig sein, wenn die faktische Freiwilligkeit gewährleistet ist. Im Falle gravierender Machtunterschiede zwischen der verantwortlichen Stelle und dem Betroffenen kann im Regelfall nicht hiervon ausgegangen werden. Die Einwilligung sollte generell ausdrücklich erfolgen und nicht implizit.
- Die für die Verarbeitung von Daten für statistische und für Forschungszwecke vorgesehenen weit reichenden Sonderregelungen müssen durch besondere Schutzvorkehrungen, insbesondere durch ein wirksames Forschungsgeheimnis, abgesichert werden.
- Der technologische Datenschutz sollte gestärkt werden. Dazu ist es erforderlich, die Vorgaben zu Privacy by Design, Privacy by Default und zur Datenschutzfolgenabschätzung konkreter und verbindlicher zu fassen. Die Vorgaben zur Vergabe und Verwendung qualifizierter Datenschutz-Gütesiegel sollten verbindlicher formuliert werden.
- Die unabhängigen Datenschutzaufsichtsbehörden brauchen wirksame Sanktionsmöglichkeiten bei Verstößen, die sich an der wirtschaftlichen Leistungsfähigkeit der Unternehmen orientieren. Angesichts der erheblichen, mit der GVO verbundenen Ausweitung ihrer Aufgaben benötigen sie eine angemessene personelle und sachliche Ausstattung nach einem europaweit verbindlichen Standard. Der aus den Aufsichtsbehörden gebildete Datenschutzausschuss sollte über Streitfragen über die Auslegung der GVO verbindlich entscheiden. Eine Letztentscheidungsbefugnis der Kommission wäre damit unvereinbar.
- Die Bestellung interner (betrieblicher/behördlicher) Datenschutzbeauftragter sollte in der gesamte EU obligatorisch sein. Ihre unabhängige Stellung sollte rechtlich effektiv abgesichert sein, etwa durch entsprechenden Kündigungsschutz.
(Dieser Bog-Post entspricht einem Beitrag, den ich für die Zeitschrift DANA der Deutschen Vereinigung für Datenschutz e.V. erstelt habe)