umwelt-online: Bundesrat 707/10 (Beschluss): Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: Gesamtkonzept für den Datenschutz in der Europäischen Union KOM (2010) 609 endg.

Der Bundesrat hat in seiner 879. Sitzung am 11. Februar 2011 gemäß § § 3 und 5 EUZBLG die folgende Stellungnahme beschlossen:

1. Der Bundesrat begrüßt die Zielsetzungen der Kommission, angesichts der grundlegenden Herausforderungen für den Datenschutz durch Globalisierung und technologische Entwicklung die EG-Datenschutzrichtlinie von 1995 zu überarbeiten, um die Rechte des Einzelnen zu stärken, den Verwaltungsaufwand für die Unternehmen zu verringern und ein einheitlich hohes Schutzniveau in und außerhalb der EU zu gewährleisten.
2. Der Bundesrat begrüßt dabei insbesondere das mit der Mitteilung der Kommission verfolgte Anliegen, den Datenschutz in der EU unter Achtung des Grundrechts auf den Schutz personenbezogener Daten zu modernisieren und an die technischen Entwicklungen anzupassen. Zusätzlicher bürokratischer Aufwand für Unternehmen sollte bei der Fortentwicklung der Regelungen über den Datenschutz allerdings soweit wie möglich vermieden werden.
3. Der Bundesrat erinnert an die Entschließung des Bundesrates zum Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes vom 9. Juli 2010 (BR-Drucksache 259/10(B) ), in der ebenfalls gefordert wird, das Datenschutzrecht unter Berücksichtigung der Auswirkungen neuer Technologien (z.B. soziale Netzwerke) fortzuentwickeln, die Transparenz bei der Datenverarbeitung zu verbessern und die Anforderung an die Wirksamkeit von Einwilligungen zu präzisieren.
4. Der Bundesrat weist darauf hin, dass die Erhebung, Speicherung, Nutzung und Übermittlung von personenbezogenen Daten unter dem Gesichtspunkt des Binnenmarkts nicht mit dem grenzüberschreitenden Austausch von Waren und Dienstleistungen gleichgestellt werden kann. Personenbezogene Daten stehen als Informationen über natürliche Personen unter einem besonderen Schutz. Im Gegensatz zu Waren kann derjenige, der sie erzeugt und speichert, nicht ohne Weiteres frei über sie verfügen. Hinzu kommt, dass die betroffene Person auch bei einer Einwilligung in eine bestimmte Nutzung ihrer Daten sich nicht vollständig ihrer Verfügungsrechte über diese Daten begibt und das Recht haben muss, insbesondere nach Wegfall des vereinbarten Nutzungszwecks einer weiteren Verwendung der Daten zu widersprechen.
5. Der Bundesrat unterstützt die Überlegung der Kommission, die Eigenkontrolle im Unternehmen durch eine Stärkung der unabhängigen betrieblichen Datenschutzbeauftragten und die Einführung von Verfahrensbeschreibungen auszubauen, da damit das in Deutschland etablierte Modell der internen Datenschutzkontrolle, das die Verantwortung der Unternehmen für die Datenverarbeitung betont, aufgegriffen und gestärkt wird.
6. Der Bundesrat bittet, in Zusammenhang mit der Verbesserung internationaler Datentransfers auch den Erfordernissen international organisierter Konzernstrukturen Rechnung zu tragen, um rechtssichere Regelungen für Datenschutz und Datenverkehr in verbundenen Unternehmen zu schaffen.
7. Der Bundesrat fordert die Kommission auf, im Zusammenhang mit der Novellierung der EG-Datenschutzrichtlinie auch die sehr weitgehende Datenübermittlung in Artikel 23 Absatz 1 Satz 1 der Verordnung (EG) Nr. 223/2009 über europäische Statistiken und die darauf gestützte Verordnung (EU) Nr. 520/2010 zur Regelung des Zugangs zu vertraulichen Daten für wissenschaftliche Zwecke zu überarbeiten, um ein einheitlich hohes Datenschutzniveau und einen nahtlosen, kohärenten und wirksamen Schutz auf europäischer Ebene zu gewährleisten.
8. Den Vorstellungen der Kommission zur Änderung der Datenschutzvorschriften in den Bereichen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen steht der Bundesrat in Teilen kritisch gegenüber.
Der Bundesrat verweist zu den von der Kommission angedachten Prüfungsabsichten für den Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen zunächst auf die Umsetzung der Stellungnahme des Bundesrates zum Vorschlag für einen Rahmenbeschluss vom 25. November 2005 (BR-Drucksache 764/05(B) ). Demnach darf die Angleichung der Rechtsvorschriften der Mitgliedstaaten weder zu Absenkungen noch zu Anhebungen des deutschen Datenschutzniveaus führen. Die Regelungen müssen auf grenzüberschreitende Sachverhalte begrenzt werden; eine Ausweitung auf die innerstaatliche Datenverarbeitung muss unterbleiben und es muss den besonderen Anforderungen und Spezifika der polizeilichen und justiziellen Zusammenarbeit in Strafsachen ausreichend Rechnung getragen werden.

Das Vorhaben, eine Einbeziehung der polizeilichen und justiziellen Zusammenarbeit in Strafsachen in den Anwendungsbereich der allgemeinen EU-Datenschutzbestimmungen auch bei einer rein innerstaatlichen Datenverarbeitung zu prüfen, stößt auf erhebliche Bedenken. Die Verarbeitung personenbezogener Daten ist ein maßgeblicher Bestandteil des Strafverfahrens. Die Zielsetzung der Kommission, diesen Aspekt des innerstaatlichen Strafverfahrens den EU-Datenschutzbestimmungen zu unterwerfen, würde in letzter Konsequenz zu einer Harmonisierung von Teilen des Strafverfahrensrechts der Mitgliedstaaten führen. Die Kompetenz der EU zum Erlass von Vorschriften für den Datenschutz nach Artikel 16 Absatz 2 Satz 1 AEUV umfasst das Handeln der Mitgliedstaaten jedoch nur im Rahmen von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen. Die eingeschränkten Kompetenzen der EU zum Erlass von Richtlinien für das Strafverfahren (Artikel 82 Absatz 2 AEUV) begrenzen daher auch die datenschutzrechtliche Kompetenz der EU für diesen Sachbereich. Dies steht einer Harmonisierung der rein innerstaatlichen Datenverarbeitung im Strafverfahren entgegen. Die von der Kommission angenommenen praktischen

Schwierigkeiten bei einer rechtlichen Unterscheidung zwischen der innerstaatlichen Datenverarbeitung und dem grenzüberschreitenden Austausch von personenbezogenen Daten können keine Erweiterung der bestehenden Kompetenzen begründen. Diese Ausführungen gelten entsprechend für die Verarbeitung personenbezogener Daten im Bereich des Polizeirechts.

Sofern sich unter Berücksichtigung des Gesamtkonzepts Bedarf für eine Fortschreibung des bestehenden Rechtsrahmens für die polizeiliche und justizielle Zusammenarbeit ergeben sollte, wäre die Prüfung der Überarbeitung der bestehenden bereichsspezifischen Regelungen vorzuziehen, um sowohl den schutzwürdigen Interessen der Bürgerinnen und Bürger als auch den mit der Aufgabenwahrnehmung verbundenen Besonderheiten angemessen Rechnung tragen zu können.
9. Der Bundesrat kündigt gegen die Einführung eines Verfahrens zur Sicherstellung einer einheitlichen Datenschutz-Praxis im Binnenmarkt unter der Zuständigkeit der Kommission und gegen die Überlegungen zum Übergang auf eine Verordnungsregelung erhebliche Vorbehalte unter Subsidiaritätsgesichtspunkten an.
10. Der Bundesrat bittet zu prüfen, ob eine Modifizierung des Rechts zur Anrufung der Kontrollstelle bei bestimmten Fallgruppen ein geeignetes Mittel zur Stärkung der nationalen Datenschutzbehörden sein kann. Beispielsweise könnte den Kontrollstellen in einfach gelagerten Fällen, in denen die Rechte der Betroffenen offensichtlich nur geringfügig beeinträchtigt werden, das Recht eingeräumt werden, Petenten zunächst an den betrieblichen Datenschutzbeauftragten zu verweisen oder ihnen aufzugeben, ihre Rechte selbst wahrzunehmen, wo dies mit einfachen Mitteln möglich und zumutbar ist.
11. Der Bundesrat steht auch der Einführung eines Klagerechts für Datenschutzbehörden und Verbände ablehnend gegenüber. Den für die Kontrolle der Einhaltung der Datenschutzvorschriften zuständigen Behörden sind hoheitliche Befugnisse gesetzlich zugewiesen, die es ihnen ermöglichen, bei Verstößen unmittelbar gegenüber Dritten tätig zu werden ( § 38 Absatz 5 BDSG) und Anordnungen erforderlichenfalls durch Maßnahmen des Verwaltungszwangs durchzusetzen. Die Anrufung eines Gerichts ist daher überflüssig. Die Einführung einer Verbandsklage kommt aus Sicht des Bundesrates wenn überhaupt allenfalls insoweit in engen Grenzen in Betracht, als die Durchsetzung zivilrechtlicher Ansprüche gegen die Verursacher datenschutzrechtlicher Rechtsverletzungen effektiver gestaltet werden soll. Die Einführung einer Verbandsklage im öffentlichrechtlichen Bereich ist aus grundsätzlichen systematischen Erwägungen abzulehnen, da ein solches Klagerecht dem elementaren Grundsatz des nationalen Verwaltungsprozessrechts widerspricht ( § 42 Absatz 2 VwGO), wonach regelmäßig nur eine Verletzung eigener subjektiver Rechte geltend gemacht werden kann. Für eine solche Regelung besteht auch kein Bedürfnis, da sich jeder Betroffene und auch jeder Verband bei Verdacht eines Verstoßes gegen Datenschutzvorschriften an den zuständigen Datenschutzbeauftragten wenden kann.
12. Der Bundesrat gibt zu bedenken, dass jede Einführung einer Verbandsklage zu Friktionen mit dem System des individuellen Rechtsschutzes, welches den meisten nationalen Rechtsordnungen zugrunde liegt, führt, bei denen genau geprüft werden muss, ob und inwieweit sie notwendig sind, um Individualrechte bzw. die objektive Rechtsordnung ausreichend zu schützen.
Dies ist etwa dann der Fall, wenn sich der von der Rechtsverletzung Betroffene typischerweise in einer im Vergleich zum Rechtsverletzer schwächeren Position befindet und daher nicht in der Lage ist, seine Rechte selbst geltend zu machen oder wenn für den einzelnen Betroffenen kein genügender Anreiz besteht, mit einer Unterlassungsklage gegen eine Verletzung seiner Rechte vorzugehen. So liegt es etwa bei der Verletzung verbraucherschutzrechtlicher Normen. In einem derartigen Fall ist die Verbandsklage sinnvoll und im Übrigen im deutschen Recht auch vorgesehen (vgl. § 2 Absatz 1 Satz 1 UKlaG).

Beim Verstoß gegen Datenschutzbestimmungen liegt eine derartige Konstellation indessen nicht ohne Weiteres auf der Hand. Datenschutzrecht gilt nicht nur im Verhältnis zwischen Unternehmer und Verbraucher, sondern auch für die Rechtsbeziehungen zwischen Unternehmern und je nach Art und Zweck der Datenverarbeitung auch zwischen Privatpersonen. In diesen Konstellationen ist indessen nicht evident, dass eine Individualklage, gegebenenfalls verknüpft mit weiteren Sanktionsmechanismen, nicht zu einem ausreichenden Rechtsschutz führen würde. Die Beurteilung, ob dies bei einer Gesamtschau der im nationalen Recht bestehenden Schutzmechanismen der Fall ist, sollte dem nationalen Gesetzgeber vorbehalten bleiben.
13. Der Bundesrat bittet die Bundesregierung, die genannten Anliegen im weiteren Verfahren auch gegenüber der Kommission mit Nachdruck zu vertreten.
14. Der Bundesrat übermittelt diese Stellungnahme direkt an die Kommission.