Kolumne von Rolf Schwartmann Streit um den Datenschutz in Deutschland

Von Prof. Dr. Rolf Schwartmann

Der deutsche Gesetzgeber arbeitet an einem neuen Datenschutzrecht. Das ist bemerkenswert, denn ab Mai 2018 wird die schon seit Mai 2016 geltende Europäische Datenschutzgrundverordnung gelten. Eine Verordnung müssen die Mitgliedstaaten eigentlich nicht umsetzen. Nun soll Ende April 2017 aber doch das Datenschutzanpassungs- und Umsetzungsgesetz im Bund verabschiedet und danach von Bundesrat bestätigt werden.

Datenschutzaufsichtsbehörden drohen damit, deutsches Datenschutzrecht nicht anzuwenden

Derzeit spaltet das neue Gesetz die Datenschützer. Datenschutzaufsichtsbehörden drohen teilweise damit, es nicht anzuwenden. Ein grundlegender Streitpunkt ist der Regelungsspielraum, den die zahlreichen Öffnungsklauseln im europäischen Recht dem nationalen Gesetzgeber gewähren. Auf der einen Seite liegt es auf der Hand, dass mitgliedstaatliche Sonderregelungen das einheitliche Datenschutzniveau nach dem Europarecht schwächen. Uneinheitlichkeit kann für Verwirrung sorgen, zumal die Datenschutz-Grundverordnung mit ihren Rechtsnormen und erläuternden Erwägungsgründen für sich allein schon komplex genug ist. Das Hauptargument gegen das neue deutsche Recht aus DS-GVO und ergänzendem BDSG ist nicht seine Komplexität, sondern das Europarecht. Mit der Grundverordnung habe der europäische Gesetzgeber sich gegen eine mitgliedstaatliche Umsetzung entschieden und die EU-Normen müssten gelten, wie sie vereinbart sind, so einige Aufsichtsbehörden.

Darf Deutschland Datenschutzrecht festsetzen, das von Europarecht abweicht?

Das Argument der unmittelbaren Geltung der Grundverordnung ist grundsätzlich richtig. Es stimmt auch, dass der Europäische Gerichtshof in Übereinstimmung mit den deutschen Gerichten es allen öffentlichen mitgliedstaatlichen Stellen – also auch der Datenschutzaufsicht – ermöglicht, nationales Recht dann nicht anzuwenden, wenn es nach ihrer Überzeugung gegen unmittelbar geltendes EU-Recht verstößt.

Die Grundverordnung ist nicht nur begrifflich neu

Auf der anderen Seite betreten wir mit der Datenschutz-Grundverordnung nicht nur begrifflich Neuland. Die Grundverordnung ist ein Rechtsinstrument, das das EU-Primärrecht nicht kennt. Es unterscheidet sich nicht nur durch seinen komplexen Regelungsgegenstand – nämlich die europäische Privatheit in der Wirtschaft und Verwaltung – von einer üblichen Verordnung. Sie enthält zudem eine Vielzahl von Öffnungsklauseln, die den Mitgliedstaaten die Möglichkeit einräumen, im Anwendungsbereich der Öffnungen konkretisierendes Recht zu schaffen.

Öffnungsklauseln dürfen ausgefüllt werden

Weil die Grundverordnung selbst an vielen Stellen schwammig und offen formuliert ist, liegt der Gedanke nah, dass solche Konkretisierungen von der Verordnung geradezu erwünscht sind, wenn Öffnungsklauseln sie ermöglichen. Über den Umfang der Konkretisierung und insbesondere darüber, ob die von der Grundverordnung nicht näher ausgefüllten Rechtspflichten der Unternehmen bei der Ausgestaltung der Betroffenenrechte auch einschränkend ausgelegt werden dürfen, sagt die Grundverordnung nichts. Ob die insbesondere mit Blick auf die Betroffenenrechte kritisierten Regelungen des geplanten deutschen Datenschutzrechts das Niveau senken, oder es nur spezifizieren, ist Ansichtssache. Wenn die Aufsicht es nicht anwenden will, dann muss sie sich sicher sein, dass der Europäische Gerichtshof dem deutschen Gesetzgeber bei der Ausfüllung der Öffnungsklauseln einen Bruch des Europarechts attestiert. Dazu dürfte es erforderlich sein, dass das deutsche Recht die offen formulierten Öffnungsklauseln offenkundig europarechtswidrig ausfüllt.

Ist das neue deutsche Datenschutzrecht offenkundig europarechtswidrig? Daran wird man deutlich zweifeln müssen.

Dass das der Fall ist, darf man angesichts der gesetzgeberischen Einschätzungsprärogative bei der Ausfüllung von weit gefassten Öffnungsklauseln mit guten Gründen bezweifeln. Wer das neue deutsche Datenschutzrecht nicht anwendet, muss sich seiner Europarechtswidrigkeit schon sehr sicher sein, wenn er Wirtschaft und Verwaltung nicht seinerseits in die Gefahr eines Rechtsbruches drängen will.

Zur Person

Prof. Dr. Rolf Schwartmann ist Leiter der Kölner Forschungsstelle für Medienrecht an der Technischen Hochschule Köln und Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. Er leitet für das Bundesministerium des Innern die Fokusgruppe Datenschutz im Rahmen der Digitalen Agenda der Bundesregierung.   

Mehr zum Thema

2016 gab es einige Veränderungen im Datenschutzrecht. So wurde etwa die EU-Datenschutz-Grundverordnung am 4. Mai 2016 veröffentlicht – in rund einem Jahr ab Mai 2018 wird sie angewendet. Welche Veränderungen stehen diesbezüglich für Unternehmen der Marktforschungsbranche an? Und vor allem ist die Branche ausreichend vorbereitet?

Zur Themenseite