EU-Datenschutzvorschläge stoßen auf Widerspruch
Die Vorschläge der EU-Kommission zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten stoßen bei deutschen Experten auf Widerspruch. Dies wurde am Montag, 22. Oktober 2012, in der ersten von zwei Anhörungen des Innenausschusses unter Vorsitz von Wolfgang Bosbach (CDU/CSU) deutlich. Alle sieben Sachverständigen, die im Bundestag angehört wurden, sahen erheblichen Nachbesserungsbedarf. Die Kommission (Ratsdokumente 5853/12, 5833/12, 5834/12, 5851/12) will eine durchsetzungsfähige Datenschutzregelung schaffen, mit deren Hilfe die digitale Wirtschaft im Binnenmarkt weiter Fuß fassen und die Bürger Kontrolle über ihre eigenen Daten erhalten sollen. Zudem lang ein Antrag von Bündnis 90/Die Grünen (17/9166) vor, die EU-Datenschutzreform zu unterstützen.
„Ganz erhebliche Konstruktionsfehler“
Der Hamburger Rechtsanwalt Prof.Dr. Ralf B. Abel sieht in den Plänen „ganz erhebliche Konstruktionsfehler“, die verfassungsrechtlich mindestens bedenklich seien. Er kritisierte vor allem die „uferlose Anwendung des Schutzgegenstandes“ des Persönlichkeitsrechts. Abel monierte, man plane pauschale Eingriffe in verschiedene Grundrechte. Dies sei ein „Verstoß gegen die Verhältnismäßigkeit“. Er kritisierte zudem die Position der Kommission, die sich mit ihren Vorschlägen zu einem „Normgesetzgeber“ mache, der parlamentarisch nicht kontrolliert werde.
Auch der Berliner Rechtsanwalt Prof. Dr. Niko Härting griff diesen Punkt auf: Man müsse sehr „wachsam“ sein, wenn durch das Zusammenspiel von regulierender Kommission und zentraler Überwachung durch eine Behörde die Regelungen nicht mehr der Kontrolle des Bundesverfassungsgerichts unterliegen würden. Das Datenschutzrecht sei ohne Zweifel reformbedürftig, der Vorschlag der EU-Kommission liefere aber auf viele Fragen keine Antworten. Es sei „überraschend und unbefriedigend“, dass es etwa keinerlei Regelungen zum Profiling gebe. Zudem seien in dem Papier „völlig unzureichende Transparenzregelungen“ enthalten.
„Ominöses Recht auf Vergessenwerden“
Prof. Dr. Gerrit Hornung, Jurist an der Universität Passau, lobte die Kommission zwar, sich der „Herkulesaufgabe“ eines neuen Datenschutzrechts angenommen zu haben, stellte aber fest, es gebe „noch vieles, was man besser machen kann“. So müsste etwa der Spielraum, der den Mitgliedstaaten verbleibe, dringend präzisiert werden. Auch die Vorschläge zu „einem ominösen Recht auf Vergessenwerden“ seien ein „Webfehler“ des Entwurfs, weil es in den einzelnen Staaten durch spezifische Regelungen zu Pressefreiheit und Meinungsbildung so etwas wie ein „Recht auf Erinnern“ gebe.
Insgesamt sei der Entwurf viel zu „technikfern“ und mache keine verbindlichen Vorgaben zum technischen Datenschutz. Auch Hornung kritisierte die starke Position der Kommission. Etwa beim Arbeitnehmerdatenschutz sei vorgesehen, dass die Mitgliedstaaten Regelungen finden sollten, die Kommission sich dann aber die letztentscheidende Befugnis vorbehalte, obwohl sie keine unabhängige Datenschutzbehörde sei.
„Ambitioniert und überraschend gut gelungen“
Auch Karsten Neumann, ehemaliger Datenschutzbeauftragter des Landes Mecklenburg-Vorpommern, sprach von „Webfehlern“. Er betonte, zwar müsse das Datenschutzrecht dringend modernisiert werden, allerdings sei man in der Praxis auch in Deutschland noch „lange nicht auf dem heutigen Stand“ der Gesetzgebung angekommen, weil die Umsetzung des Datenschutzrechts bis vor wenigen Jahren „die Industrie nicht interessiert“ habe.
Neumann bezeichnete die Vorschläge der Kommission als ambitioniert und „überraschend gut gelungen“, kritisierte aber die Regelungen zur Rolle der Datenschutzbeauftragten und zum Arbeitnehmerdatenschutz. Hier seien einheitliche Vorgaben nötig, die aber nicht nach Zahlen, sondern nach qualitativen Kriterien ausgestaltet werden müssten.
„Noch beträchtliche Arbeit zu leisten“
Prof. Dr. Spiro Simitis, Jurist an der Goethe-Universität in Frankfurt am Main, rief die Abgeordneten auf, sich jetzt stark in die Diskussion einzubringen, weil sie später eine Verordnung exekutieren müssten, die sie nicht mehr verändern könnten. Simitis äußerte stark Kritik an der Klarheit des Entwurfs: An mindestens 40 Stellen heiße es, das Nähere werde in Dekreten ausgeführt. Niemand wisse, was dies bedeute.
Man müsse aber die Tragweite, die genauen Inhalte und die Konsequenzen der Regelungen kennen. Es gebe „keine Alternative“ zu einer Datenschutzregelung; doch sei an dem, was nun vorliege, „noch beträchtliche Arbeit zu leisten“.
„Argumentativer Kampf um Mindeststandards“
Bremens Landesbeauftragte für Datenschutz und Informationsfreiheit, Imke Sommer, bemängelte, was die Kommission vorgelegt habe, sei nicht geeignet, Vertrauen der Bürger zu schaffen. Der Verzicht auf Einwilligungserfordernisse baue stattdessen Vertrauen weiter ab. Die Menschen müssten aber glauben können, dass ihre Daten im Internet sicher seien. Daher müsse es nun einen „argumentativen Kampf um Mindeststandards“ geben.
Dr. Ulrich Wuermeling, Rechtsanwalt aus Frankfurt am Main, stellte die Frage, ob die alltägliche Datenverarbeitung wirklich europaweit geregelt werden müsse. Man müsse hier „die Frage der Subsidiarität geltend machen“. Er glaube, dass für die wenig riskante Datenverarbeitung, die mindestens 90 Prozent der Datenverarbeitung ausmache, wenige Grundregeln ausreichten. Der Datenschutz müsse dort „angemessen streng“ geregelt werden, wo es Risiken gebe.
Datenschutz-Harmonisierung bei der Strafverfolgung begrüßt
Dass die von Brüssel angestrebte Harmonisierung des Datenschutzes bei der Strafverfolgung von deutschen Experten begrüßt wird, wurde in der anschließenden zweiten Anhörung des Innenausschusses unter Vorsitz von Frank Hofmann (SPD) deutlich.
Hatte die Datenschutz-Grundverordnung in der ersten Anhörung noch für Kritik der Sachverständigen gesorgt, beschränkten sich die Experten bei der Diskussion zum Richtlinienvorschlag der Kommission zum Schutz natürlicher Personen (Ratsdokument 5833/12) bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden für die Strafverfolgung und Strafvollstreckung auf Kritik an Details.
„Mindeststandards sinnvoller als Vollharmonisierung“
So sagte der Berliner Rechtswissenschaftler Prof. Dr. Hartmut Aden, angesichts des immensen Anwachsens des Datenaustauschs zwischen Polizeibehörden in Europa sei die Initiative einer Harmonisierung zu begrüßen. Dennoch weise der Entwurf „Schwachstellen auf“ und mache „Nachbesserungen“ nötig. Sinnvoller als eine Vollharmonisierung sei die Einführung von Mindeststandards, von denen die Mitgliedstaaten nach oben abweichen könnten. Dass die Kommission sich im Richtlinienentwurf neue Aufgaben zuweise, gehe zum Teil „weiter als das, was die Kommission allein machen soll“. Bislang fehlten zudem Datenübermittlungsvorschriften für den Datenaustausch innerhalb der EU. Es gebe „gute Gründe“, dafür spezielle Regelungen zu treffen.
Dr. Marion Albers, Professorin an der Universität Hamburg, sagte, mit dem Entwurf reduziere die Kommission die Umsetzungsspielräume der Mitgliedstaaten. Eine umfassende Harmonisierung sei jedoch „nicht gerechtfertigt“. Sinnvoller sei die Schaffung von Mindeststandards bei der polizeilichen Zusammenarbeit. Der Vorschlag bleibe „an vielen Stellen hinter den Schutzstandards“ des nationalen Polizeirechts und der Strafprozessordnung zurück.
„Gigantischer Kompetenzstaubsauger“
Prof. Dr. Matthias Bäcker von der Universität Mannheim betonte, bei der Regelungskompetenz für das Datenschutzrecht bestehe Gefahr, dass durch eine „unscheinbare Hintertür“ ein „gigantischer Kompetenzstaubsauger“ entstehe, der alles regele. Grundsätzlich handele es sich bei allen behördlichen Tätigkeiten um Datenverarbeitung. Die Kommission könne spezifische Fragen wie die Datenschutzaufsicht und die Datensicherheit regeln, nicht aber, welche Ermittlungsmethoden zulässig seien. Die Spielräume der Mitgliedstaaten müssten klar formuliert werden, sonst werde es zu „Auslegungsschwierigkeiten“ kommen.
Auch Dr. Els de Busser vom Max-Planck-Institut für ausländisches und internationales Strafrecht in Freiburg plädierte für klarere Festlegungen. So solle das Prinzip der Datenminimierung explizit in die Richtlinie aufgenommen werden. Zudem müsse der Zweck der Datenerhebung klarer definiert werden.
„Nachbessern bei der Datenübermittlung“
Prof. Dr. Gerrit Hornung, Jurist an der Universität Passau, betonte, die datenschutzrechtlichen Standards im Sicherheitsbereich seien in Deutschland höher als im Ausland. Nachgebessert werden müsse beim Punkt der Datenübermittlung an Nicht-EU-Staaten. Hier gelte eigentlich der Grundsatz, dass dies unzulässig sei, wenn es in den betreffenden Staaten kein ausreichendes Datenschutzniveau gebe.
Die zahlreichen Ausnahmen aber machten letztlich jede Form von Datenübermittlung möglich. Man dürfe aber nicht auf Anforderungen in den Empfängerländern und eine Festlegung auf eine bestimmte Schwere der Straftat als Voraussetzung für die Datenübermittlung verzichten.
„Organisation und Verfahren nachbessern“
Dr. Dieter Kugelmann, Professor an der Deutschen Hochschule der Polizei in Münster, sagte, Mindeststandards würden die Zusammenarbeit zwischen Polizei- und Justizbehörden erleichtern. Wichtig seien aber die „praktischen Aspekte“ der „anspruchsvollen Konzepte“, die letztlich „in den normalen Polizeibehörden vor Ort“ umgesetzt werden müssten. Deshalb müsse die Richtlinie vor allem in den Bereichen Organisation und Verfahren nachgebessert werden.
Der Präsident des Bundeskriminalamts Jörg Ziercke sagte, er befürchte, der bislang zu undifferenzierte Entwurf könne das deutsche Datenschutzniveau absenken und die Polizeiarbeit erschweren. So sei etwa das grundsätzliche Verbot von besonderen Kategorien von Daten – wie etwa religiöse und politische Überzeugungen, Krankheiten oder genetische Daten – schwierig, da genau diese Informationen für die polizeiliche Arbeit wichtig seien.
„Kaum handhabbare Informationsrechte“
Zudem kritisierte Ziercke die „kaum handhabbaren Informationsrechte der Betroffenen“, die bereits beim Zeitpunkt der Datenerhebung informiert werden müssten. Für problematisch halte er auch die Kompetenzen einer Datenschutz-Aufsichtsbehörde, die noch während des laufenden Verfahrens die Datenverarbeitung von Polizei und Staatsanwaltschaft überwache.
In Deutschland sei das gesamte Verfahren durch die Strafprozessordnung geregelt – eine Behörde, die noch während des Verfahrens anordnen könne, Daten zu löschen, und so Beweismittel vernichten könne, scheine ihm nicht sinnvoll. (suk/22.10.2012)
Liste der geladenen Sachverständigen
Erste Sitzung:
- Prof. Dr. Ralf B. Abel, Rechtsanwalt, PRA Legal, Hamburg
- Prof. Niko Härting, Rechtsanwalt, Berlin
- Prof. Dr. Gerrit Hornung, Universität Passau
- Karsten Neumann, Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern a.D.
- Prof. Dr. Dres. h. c. Spiro Simitis, Goethe-Universität, Frankfurt am Main
- Dr. Imke Sommer, Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen, Bremerhaven
- Dr. Ulrich Wuermeling, Rechtsanwalt, Latham & Watkins LLP, Frankfurt am Main
Zweite Sitzung:
- Prof. Dr. Hartmut Aden, Hochschule für Wirtschaft und Recht, Berlin
- Prof. Dr. Marion Albers, Universität Hamburg
- Prof. Dr. Matthias Bäcker, Universität Mannheim
- Dr. Els De Busser, Max-Planck-Institut für ausländisches und internationales Strafrecht, Freiburg im Breisgau
- Prof. Dr. Gerrit Hornung, Universität Passau
- Prof. Dr. Dieter Kugelmann, Deutsche Hochschule der Polizei, Münster
- Jörg Ziercke, Präsident des Bundeskriminalamts, Wiesbaden