Aktuelle Rechtsfragen aus der Marktforschungspraxis Die zukünftige EU-Datenschutz-Grundverordnung - Dauerlösung oder Dauerbaustelle des europäischen Datenschutzes?

Von Dr. Ralf Tscherwinka

Am 25. Januar 2012 hat Viviane Reding, die Europäische Kommissarin für die Bereiche Informationsgesellschaft und Medien, den Entwurf einer EU-Grundverordnung zum Datenschutz vorgestellt. Seither überschlagen sich die politischen und rechtlichen Kommentare zum Ist-Zustand und zur zukünftigen Entwicklung des Datenschutzrechts. Der folgende Beitrag soll dazu dienen, Ihnen einen Überblick über das Anliegen der EU-Grundverordnung und ihre wesentlichen Inhalte zu geben und die Diskussion zu versachlichen.

Die EU-Datenschutz-Grundverordnung (im folgenden: EU-GV) soll - das ist neu - als Europäische Verordnung in Kraft treten. Europäische Verordnungen sind gemäß Artikel 288 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) verbindliches und unmittelbar geltendes Recht in allen Mitgliedsländern der Europäischen Union. Eine Verordnung bedarf im Gegensatz zu einer Richtlinie keiner gesonderten Umsetzung des nationalen Gesetzgebers. Die Verordnung soll die bisherige Datenschutz-Richtlinie 95/46/EG ablösen, auf der das europäische Datenschutzrecht bisher basiert. Da Europäische Richtlinien im jeweiligen Europäischen Mitgliedsland in nationales Recht umgesetzt werden müssen, führte dies zu erheblichen nationalen Unterschieden und zu Rechtsunsicherheit. Zur Zersplitterung trug auch bei, dass nationale unabhängige Datenaufsichtsbehörden unabgestimmte unterschiedliche Vorgaben setzten, was mit der EU-GV zentralisiert werden soll. Es gab und gibt erhebliche nationale Sonderregelungen, man denke in Deutschland nicht nur an § 30 a BDSG, sondern auch an Regelungen zu Werbung, Auskunfteien, Scoring und Listendaten. Völlig revolutionär ist die anstehende Europäisierung und Harmonisierung des Datenschutzrechts nach alledem nicht; und im Grundsatz ist sie auch erwünscht.

Die EU-GV enthält (trotz einiger spezifischer Öffnungsklauseln für den nationalen Gesetzgeber) die Entscheidung für eine Vollharmonisierung, was jedoch aufgrund des Urteils des Europäischen Gerichtshofs vom November 2011 auch nichts revolutionär Neues mehr ist. Denn im Urteil des Europäischen Gerichtshofs (EuGH) vom 24. November 2011 (C-486/10 und C-469/10) statuierte der EuGH eine Pflicht der nationalen Gesetzgeber und Gerichte zur Vollharmonisierung des Europäischen Datenschutzrechts auf der Grundlage der EU-Datenschutzrichtlinie 95/46/EG: Die Ansicht, dass die EU-Datenschutzrichtlinie nur als Mindestharmonisierungsplattform anzusehen sei und der nationale Gesetzgeber daneben oder darüber hinaus andere Vorgaben oder Erlaubnisnormen statuieren dürfte, war damit obsolet. Welche Auswirkungen dies für die Vereinbarkeit zahlreicher nationaler datenschutzrechtlicher Bestimmungen mit Europarecht haben wird, ist noch gar nicht abzusehen. Ein klares Bekenntnis des Europäischen Gesetzgebers zur Vollharmonisierung in einer Verordnung, die europaweit einheitliche Gültigkeit beansprucht, ist angesichts dieser Situation allein schon ein großer Vorteil!

Mit dem Inkrafttreten der EU-GV ist frühestens 2016 zu rechnen. Bis dahin muss der Entwurf in zwei Lesungen durch das Europäische Parlament und den Europäischen Rat gebracht werden. Der Entwurf wird sicherlich noch verändert. Denn die Kritik reißt nicht ab. Verbesserungs- und Änderungsvorschläge füllen bereits nach wenigen Monaten Bibliotheken. Die EU-Kommission wird nicht daran vorbeikommen, einige dieser Änderungsvorschläge aufzugreifen. Aus Sicht der Marktforschung wäre zu hoffen, dass eine dem deutschen § 30 a BDSG entsprechende Regelung in die EU-GV eingefügt wird. Die Berliner Datenschutzrunde hat in einem 12-Punkte-Papier (www.berliner-datenschutzrunde.de) unter anderem gefordert, in der neuen EU-GV "die Besonderheiten der Markt-, Meinungs- und Sozialforschung zu beachten und eine gesetzliche Erlaubnisnorm basierend auf dem berufsständischen Anonymisierungsgebot der Branche zu schaffen".

Die Kritik an der EU-GV entzündet sich auf mehreren Ebenen. Zwar gilt der Grundsatz der Subsidiarität, wogegen die EU-GV eine gewaltige europäische Zentralisierung und Stärkung der EU-Kommission mit sich bringt. Das Ziel der Harmonisierung sei zwar begrüßenswert, allerdings werden wesentliche Bereiche Ausnahmeregelungen unterliegen, die nationalen Gesetzgebern Sonderbestimmungen erlauben. Und neben der Verschärfung zahlreicher Vorschriften wird der EU-GV vorgeworfen, sie bringe erhebliche bürokratische Zusatzpflichten; letzteres ist (leider) zutreffend.

Die EU-GV bezweckt Dreierlei: Stärkung der Betroffenenrechte, Harmonierung der Datenschutzregeln für den EU-Binnenmarkt und globale Standards für den Datenschutz. Die Kommission stellt (zu Recht) fest, es sei "jetzt an der Zeit, eine konsequentere, kohärente Datenschutzregelung in der EU zu schaffen. Nur in den Bereichen, in denen die EU-GV dies ausdrücklich erlaubt, bleibt dem nationalen Gesetzgeber zukünftig ein eigener Umsetzungsspielraum, insbesondere bei den Betroffenenrechten (Artikel 21 EU-GV), bei der Presse (Artikel 80 EU-GV) und beim Arbeitnehmerdatenschutz (Artikel 82 EU-GV); dabei ist in der Fachliteratur umstritten, ob diese Umsetzungsspielräume nur Konkretisierungen oder auch inhaltliche Änderungen erlauben. Bei den Arbeitnehmerdatenschutzbestimmungen des nationalen Gesetzgebers erlaubt meines Erachtens Artikel 82 EU-GV allenfalls Abweichungen dahingehend, dass die Arbeitnehmerdatenschutzrechte im Vergleich zur EU-GV gestärkt werden. Eine Herabsetzung des Schutzniveaus würde gegen einen wesentlichen Grundgedanken der EU-GV verstoßen.
 
Nationale Datenschutz-Aufsichtsbehörden sollen auch weiterhin ihre Aufgaben "völlig unabhängig erfüllen". Gleichwohl sieht die EU-GV eine neue, zentrale europäische Steuerung und Kooperation der Datenschutz-Aufsichtsbehörden durch die Europäische Kommission vor. Verbraucherschutzverbänden werden gemäß Artikel 73 EU-GV größere Möglichkeiten zu Beschwerden bei Aufsichtsbehörden eingeräumt.

Drakonisch erhöht werden die Strafen bei Datenschutzverstößen. Nach Artikel 79 EU-GV droht einer Verantwortlichen Stelle bei vorsätzlicher oder fahrlässiger Nicht-Reaktion auf Anfragen eines Betroffenen oder bei rechtswidriger Erhebung von Gebühren für Auskünfte eine Strafe in Höhe von bis zu 0,5 Prozent des globalen Umsatzes. Ein Prozent des globalen Umsatzes kann bei Verstößen gegen Transparenz- und Löschungspflichten, bei der Nichtbeachtung von Widersprüchen und bei der Nichteinhaltung von Dokumentationspflichten anfallen. Bis zu maximal 2 Prozent des globalen Umsatzes als Strafe drohen bei vorsätzlicher oder fahrlässiger rechtswidriger Datenverarbeitung oder bei Nichteinhaltung der Regeln zur internationalen Datenübermittlung. Die sorgfältige datenschutzrechtliche Prüfung ist daher rein haftungsrechtlich für Unternehmen und Geschäftsführer auch im Hinblick auf ihre unternehmerischen Compliance-Pflichten oberstes Gebot. Das gilt an sich bereits heute, wird zukünftig aber wirtschaftlich erheblich größere Auswirkungen haben.

Der räumliche Anwendungsbereich wird sich gemäß Artikel 3 EU-GV nicht nur auf die Europäische Union selbst erstrecken. Die EU-GV findet Anwendung auf die Verarbeitung personenbezogener Daten von in der Union ansässigen betroffenen Personen auch dann, wenn der Datenverarbeiter selbst nicht in der Union ansässig ist - und zwar dann, wenn die Datenverarbeitung dazu dient, diesen (in der Union ansässigen) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten oder wenn die Datenverarbeitung der Beobachtung ihres Verhaltens dient. Wenn eine konzernübergreifende Personaldatenverwaltung Standorte innerhalb der EU umfasst, wird europäisches Datenschutzrecht auch dann Anwendung finden, wenn der Server der Verantwortlichen Stelle (US-Konzernunternehmen) sich außerhalb der Europäischen Union befindet. Obwohl Artikel 82 EU-GV den Mitgliedsstaaten einen eigenen Umsetzungsspielraum einräumt, wird es unmöglich sein, die Anwendung der zukünftigen Verordnung auszuschließen, wenn die genannten Voraussetzungen des Artikel 3 EU-GV vorliegen. Es entspricht dem Grundgedanken der EU-GV, globale Standards für den Datenschutz aufzustellen. Eine Vereinfachung für den konzernübergreifenden internationalen Personaldatenverkehr stellt die EU-GV nicht dar.

Es wird beim Grundsatz des Verbots mit Erlaubnisvorbehalt bleiben: Verboten ist alles, was nicht ausdrücklich erlaubt ist. Die Erlaubnis kann sich aus einer gesetzlichen Erlaubnisnorm oder aus einer wirksamen Einwilligung ergeben. Pauschaleinwilligungen sind nach Artikel 4 Abs. 8 in Verbindung mit Artikel 6 Abs. 1 Buchstabe a EU-GV unwirksam. Einwilligungen müssen im Voraus erteilt werden, auf einer umfassenden Information beruhen, dürfen sich nur auf konkret bestimmte Zwecke beziehen, die Verarbeitung muss zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen "erforderlich" sein, die Einwilligung muss transparent erfolgen und sie ist jederzeit widerrufbar. Eine stillschweigende Einwilligung ohne Zutun der betroffenen Person stellt keine Einwilligung dar; die Einwilligung muss zwar nicht schriftlich, aber stets explizit erfolgen. Der Datenverarbeiter trägt nach Artikel 7 Abs. 1 EU-GV die Beweislast für das Vorliegen einer wirksamen Einwilligung. Entgegen § 4 BDSG soll zwar zukünftig grundsätzlich kein Schriftformerfordernis bestehen; aufgrund der Beweislastregelung ist aber für den, der sich auf eine Einwilligung berufen will, eine schriftliche Einwilligung in der Regel unabdingbar.

Eine Verschärfung bringt Artikel 7 Ziffer 4 EU-GV: Demnach bietet die Einwilligung keine Rechtsgrundlage für die Verarbeitung, wenn zwischen der Position der betroffenen Person und des für die Verarbeitung Verantwortlichen ein erhebliches Ungleichgewicht besteht. Ein solches Ungleichgewicht liege insbesondere dann vor, wenn sich die betroffene Person in einem Abhängigkeitsverhältnis von dem für die Verarbeitung Verantwortlichen befindet, z.B. dann, wenn personenbezogene Daten von Arbeitnehmern durch den Arbeitgeber im Rahmen von Beschäftigungsverhältnissen verarbeitet werden (Erwägungsgrund 34). Diskutiert wird, ob ein solches Ungleichgewicht auch im Verhältnis zwischen Unternehmen und Verbraucher besteht; hier ist es unabdingbar, dass die EU-GV zukünftig eine Klärung bringt, weil eine gerichtliche Klärung dieser Frage nach Inkrafttreten der EU-GV mehrere Jahre in Anspruch nehmen würde. Würde sich Artikel 7 Ziffer 4 EU-GV auch auf Verbraucher beziehen, wären wirksame Einwilligungen generell gefährdet. Ich kritisiere an dieser Regelung insbesondere, dass man sie schon nicht mehr als Paternalismus, sondern als glatte Bevormundung bezeichnen muss, weil dem mündigen Bürger nicht mehr zugetraut wird, eine selbstbestimmte Einwilligung zu erteilen.

Artikel 5 a EU-GV enthält eine Einschränkung für die Verwendung von Daten. Denn die personenbezogenen Daten müssen nicht nur auf rechtmäßige Weise und nach dem Grundsatz von Treu und Glauben verarbeitet werden, sondern "in einer für die betroffene Person nachvollziehbaren Weise". Die Daten müssen für genau festgelegte, konkrete rechtmäßige Zwecke erhoben werden und dürfen auch nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Daten dürfen nur verarbeitet werden, wenn und solange die Zwecke der Verarbeitung nicht durch die Verarbeitung von anderen als personenbezogenen Daten erreicht werden können (Artikel 5 c EU-GV).

An besondere Kategorien von personenbezogenen Daten wie Rasse oder ethnische Herkunft, politische Meinungen, Religion oder Glauben, Gewerkschaftszugehörigkeit, genetische oder gesundheitsbezogene Daten, das Sexualleben oder strafrechtliche Verurteilungen oder mit Strafurteilen zusammenhängende Sicherungsmaßnahmen stellt der Entwurf besonders hohe Anforderungen. Die Verarbeitung solcher Daten ist gemäß Artikel 9 Abs. 1 EU-GV untersagt. Artikel 8 EU-GV schreibt die Einwilligung der Eltern für Kinder unter 13 Jahren vor, sofern es zu einer Verarbeitung personenbezogener Daten des Kindes kommt. Nach geltendem deutschen Recht gibt es übrigens kein definiertes Mindestalter für die Einwilligungsfähigkeit von Minderjährigen, insoweit ist Artikel 8 EU-GV grundsätzlich zu begrüßen.

Die EU-GV will mehr Transparenz schaffen. Sie nennt das "Strategien": Jede Verantwortliche Stelle muss nachvollziehbare und für jedermann leicht zugängliche "Strategien" verfolgen (Artikel 11 EU-GV). Dadurch soll die Übereinstimmung der Verarbeitung personenbezogener Daten mit der EU-GV sichergestellt werden. Die EU-GV enthält auch eine Vielzahl von Informationsrechten der betroffenen Personen und Auskunftspflichten des für die Verarbeitung Verantwortlichen. Artikel 17 EU-GV enthält das "berühmte" Recht auf "Vergessen werden". Demnach hat jede Person das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden perso-nenbezogenen Daten und die Unterlassung jeglicher weiteren Verbreitung dieser Daten zu verlangen, wenn die Datenverarbeitung nicht mehr notwendig ist, die betroffene Person ihre Einwilligung widerrufen hat oder ein Widerspruch gegen die Datenverarbeitung gemäß Artikel 18 EU-GV erklärt wurde. Die Löschungspflichten der Verantwortlichen Stelle wurden verschärft. Die Löschungspflicht entsteht nachträglich bei Widersprüchen oder bei der Anweisung zur Löschung und somit sind Verantwortliche Stellen verpflichtet, Strategien und transparente Maßnahmen zur Einhaltung der Löschungspflichten sicherzustellen. (Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt, § 3 Abs. 7 BDSG).

Gemäß Artikel 19 EU-GV hat jede betroffene Person das Recht, jederzeit gegen die Verarbeitung personenbezogener Daten Widerspruch einzulegen. Das Widerspruchsrecht des Artikel 19 EU-GV kann insbesondere dann geltend gemacht werden, wenn der für die Verarbeitung Verantwortliche keine zwingenden schutzwürdigen Gründe für die Verarbeitung nachweisen kann, die gegenüber den Interessen bzw. Grundrechten des Betroffenen überwiegen; die Beweislast trägt also der Datenverarbeiter.

Gegen Datenverarbeitungsmaßnahmen, die auf "Profiling" abzielen, haben die Betroffenen besondere Schutz- und Abwehrrechte (Artikel 20 EU-GV). Nach Artikel 20 EU-GV hat jede natürliche Person das Recht, nicht einer auf einer rein automatisierten Verarbeitung von datenbasierenden Maßnahmen unterworfen zu werden, die ihr gegenüber rechtliche Wirkungen entfaltet oder sie in maßgeblicher Weise beeinträchtigt und deren Zweck in der Auswertung bestimmter Merkmale ihrer Person oder in der Analyse bzw. Voraussage etwa ihrer beruflichen Leistungsfähigkeit, ihrer wirtschaftlichen Situation, ihres Aufenthaltsorts, ihres Gesundheitszustands, ihrer persönlichen Vorlieben, ihrer Zuverlässigkeit oder ihres Verhaltens besteht.

Im deutschen Bundesdatenschutzgesetz (BDSG) hat der Gesetzgeber mit § 30 a BDSG eine spezifische gesetzliche Erlaubnisnorm für das geschäftsmäßige Erheben, Verarbeiten oder Nutzen personenbezogener Daten für Zwecke der Markt- oder Meinungsforschung geschaffen. Hierzu sah sich der deutsche Gesetzgeber berechtigt, indem er den Spielraum des nationalen Gesetzgebers bei der Umsetzung der EU-Datenschutzrichtlinie nützte. Nach Inkrafttreten der EU-GV würde es keinen Spielraum für eine eigenständige nationale Regelung wie § 30 a BDSG mehr geben und es ist daher unabdingbar, will die Markt- und Meinungsforschung auf eine derartige Erlaubnisnorm auch zukünftig zurückgreifen, dass eine dem § 30 a BDSG entsprechende Regelung in die EU-Verordnung aufgenommen wird. Auch Bestimmungen zu Anonymisierung und Pseudonymisierung wie im deutschen BDSG enthält der Entwurf zur EU-GV (bisher) nicht. Zu Recht hat die Berliner Datenschutzrunde bei ihrer Forderung, eine europäische gesetzliche Erlaubnisnorm zu schaffen, darauf hingewiesen, dass die Markt-, Meinungs- und Sozialforschung als empirische Basis für gesellschaftliche, politische und wirtschaftliche Entscheidungen grundlegende Bedeutung für eine freiheitliche Gesellschaft hat. So hatte es auch der deutsche Gesetzgeber bei der Novellierung 2009 gesehen, als er § 30 a BDSG einführte. Er wollte den Besonderheiten der Markt- und Meinungsforschung Rechnung tragen, ebenso ihrer Abgrenzung von der Werbung. Die EU-GV enthält für die Markt- und Meinungsforschung keine Öffnungsklausel, was ein denkbarer Weg wäre, der aber nur dann zum Ziel führt, wenn der nationale Gesetzgeber von einer etwaigen Öffnungsklausel in der EU-GV Gebrauch machen würde. Und natürlich wäre dies keine ideale Alternative, weil dann wieder mit einer nationalen Zersplitterung gerechnet werden müsste. Ein europaweit geltender "§ 30 a" wäre ideal. Allerdings ist zu beachten, dass es eine entsprechende gesetzliche Regelung bisher nur im deutschen Datenschutz gibt, als Ergebnis einer erfolgreichen Vertretung der Interessen der Markt- und Meinungsforschung in den Gesetzgebungsgremien, insbesondere durch den ADM e. V. Ob sich eine marktforschungsspezifische gesetzliche Erlaubnisnorm auch europaweit durchsetzen lässt, bleibt abzuwarten.

Für eine abschließende Gesamtbewertung ist es noch zu früh. Zu viele Änderungen stehen noch an, zu viele Unklarheiten müssen im weiteren Verfahren noch bereinigt werden. Für kleine und mittlere Unternehmen bringt die EU-GV erhebliche zusätzliche bürokratische Pflichten - die "Strategien", die alle (!) Unternehmen zu entwickeln haben, unabhängig von der Bedeutung des Umfangs von Datenverarbeitungsvorgängen im Unternehmen, haben wir oben bereits besprochen. Hinzu kommen neue Pflichten einer dokumentierten Vorabbewertung der Datenverarbeitung gemäß Artikel 33 EU-GV (Datenschutz-Folgenabschätzung). Diese Vorabeinschätzung muss zumindest eine allgemeine Beschreibung der vorgesehenen Datenverarbeitung, eine Bewertung der Gefahren und der wesentlichen eingeleiteten Schutzmaßnahmen enthalten. Demgegenüber soll nach Artikeln 35 bis 37 EU-GV eine Pflicht zur Bestellung von Datenschutzbeauftragten erst ab 250 Mitarbeitern oder bei besonders sensiblen Datenverarbeitungen gelten. Das erscheint inkonsistent. (Auf einige Details zur Verpflichtung von Datenschutzbeauftragten haben wir bereits in der vormonatigen Kolumne hingewiesen, das Recht des Datenschutzbeauftragten werden wir übrigens in einer ausführlichen, eigenen Kolumne detailliert vorstellen). Der erweiterte Schutz der Betroffenen bringt es mit sich, dass Datenverwendungsmöglichkeiten eingeschränkt werden. Auch wenn die EU-GV den Versuch macht, mit der Profiling-Schutzregelung in Artikel 20 EU-GV die Entwicklung der Sozialen Medien (und deren Nutzungs- oder Ausnutzungsmöglichkeiten) gesetzgeberisch zu erfassen, ist die Frage berechtigt, ob diese eher rudimentäre Regelung zum Zeitpunkt des Inkrafttretens frühestens 2016 von der wirtschaftlichen und tatsächlichen, technischen Entwicklung vielleicht schon wieder überholt ist. Für die innereuropäische Übermittlung sowie für die Übermittlung von Daten in Drittländer bringt die EU-GV zwar keine Erleichterung, aber Rechtssicherheit und ist allein deshalb schon begrüßenswert.

Aus datenschutzrechtlicher Sicht kann man also nur hoffen, dass uns Europa in diesem Sommer nicht um die Ohren fliegt.