Am 25. Januar 2012 hat die Justizkommissarin, Frau Viviane Reding den Vorschlag für eine "Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)" vorgestellt. Hierdurch soll die zur Zeit geltende Datenschutz-Richtlinie abgelöst werden. Welche Änderungen sind dabei geplant?
1. Rechtsgrundlage: Art. 8 der Charta der Grundrechte der Europäischen Union
Seit Inkrafttreten der Lissabonner Verträge sind die Rechte auf Achtung des Privat- und Familienlebens (Art. 7) und das Recht auf Schutz der eigenen personenbezogenen Daten (Art. 8) als Freiheitsrechte europaweit durch die Grundrechtecharta der EU verbürgt. Anders als bei der geltenden Richtlinie von 1995 stellen sich künftig alle Datenschutzregeln als eine Konkretisierung dieser Grundrechte dar.
2. Vollharmonisierung
Daher wird mit der neuen Verodnung eine Vollharmonisierung der nationalen Bestimmungen angestrebt. Alle Bürger der EU sollen künftig einheitlich und nach gleichen Regeln den Schutz ihrer Freiheitsrechte in Anspruch nehmen können. Zudem wird eine größere Markttransparenz angestrebt. Wettbewerbsunternehmen sollen einheitliche Rahmenbedingungen für die Verarbeitung personenbezogener Daten in ganz Europa vorfinden. Der "Flickenteppich" Datenschutz soll abgebaut werden.
- Die neue Datenschutzrichtlinie soll daher künftig für alle Lebensbereiche gelten, auch für die, die bisher ausgespart worden waren (z.B. Polizei, Gerichte)
- Den Mitgliedstaaten wird bei der Umsetzung in nationales Recht ein wesentlich engerer Spielraum gesetzt werden. So soll das Datenschutzniveau der Richtlinie nicht nur nicht unterschritten, sondern auch nicht überschritten werden dürfen.
3. Einheitliche Regeln für den öffentlichen und nichtöffentlichen Bereich
Eine Unterscheidung zwischen dem öffentlichen und nichtöffentlichen Bereich, mit unterschiedlichen Anforderungen, wird es künftig nicht mehr geben. Jede datenverarbeitende Stelle wird, unabhängig davon, ob es sich um eine staatliche, kirchliche oder privatwirtschaftliche Stelle handelt, die gleichen Regeln zu beachten haben.
4. Neue Regeln für moderne Medien
Inhaltlich wird die EU-Datenschutzrichlinie von 1995 weiter fortgeführt werden. Ergänzend werden jedoch Regeln zum Umgang mit den modernen Medien wie Internet, Mobilfunk, etc. hinzugefügt werden, die 1995 noch nicht so stark im Blickpunkt standen. Jeder Anbieter, der solche Dienste auf dem europäischen Markt mit derzeit etwa 500 Mio. Menschen anbieten will, wird sich demnach auch an die europäischen Datenschutzvorschriften halten müssen.
5. Europaweite Einführung des behördlichen/betrieblichen Datenschutzbeauftragten
Organisatorisch soll der Datenschutz durch die europaweite Einführung des behördlichen/betrieblichen Datenschutzbeauftragten gestärkt werden. Wie schon bei der deutschen Regelung soll hierdurch der Datenschutz im Unternehmen stärker in den Blickpunkt gerückt und schon bei der Produktentwicklung berücksichtigt werden. Sinn macht das natürlich nur dann, wenn auch die behördlichen/betrieblichen Datenschutzbeauftragten unabhängig arbeiten können und ihnen vom Unternehmen auch entsprechende Ressourcen (Zeit, Sachmittel, etc.) zur Wahrnehmung ihrer Aufgaben zur Verfügung gestellt werden. Die Datenschutzbeauftragten in Behörden und Betrieben dürfen keine "Alibifunktion" haben.
6. Unabhängige und effiziente Datenschutzaufsicht
Jeder Mitgliedsstaat ist gezwungen unabhängige und effizient arbeitende Kontrollbehörden einzurichten. Entsprechend der Entscheidung des Europäischen Gerichtshofs vom 9. März 2010 (Az.: C-518/07) im Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland werden diese Stellen folgende Anforderungen erfüllen müssen, um ihre Aufgaben zum Schutz des Bürgers wahrnehmen zu können:
- Unabhängigkeit sowohl von den zu kontrollierenden datenverarbeiten Stellen, wie auch von einer Einflussnahme der staatlichen Exekutive. Keine Fach- oder Rechtsaufsicht.
- Effektive Eingriffsmöglichkeiten, wie unmittelbare Anordnungen, Erlass von Bußgeldbescheiden bei Verstößen, Einleitung von Strafverfahren, etc.. Das Beanstandungsrecht als alleiniges Eingriffsmittel wird nicht als austreichend angesehen, um die Einhaltung der gesetzlichen Bestimmungen zu gewährleisten.
- Die Kontrollbehörde muss über ausreichende personelle und sachliche Mittel zur Wahrnehmung ihrer Aufgaben verfügen. Die Entscheidung über die Verwendung dieser Mittel muss von der Kontrollstelle selbst getroffen werden können.
- Möglichkeit der europaweiten Zusammenarbeit. Beschwert sich ein EU-Bürger bei seiner nationalen Datenschutzaufsichtsbehörde über das Verhalten einer datenverarbeitenden Stelle im Ausland, so ist nach Meinung der Kommission nicht nur eine Abgabe an die zuständige Stelle, sondern eine aktive Zusammenarbeit der Kontrollbehörden zur Klärung der Angelegenheitv erforderlich.
- Die Beachtung der Vorschläge der Art. 29-Gruppe.
Die Mitgliedstaaten werden allerdings weiterhin die Möglichkeit haben, darüber zu entscheiden, wie viele Kontrollstellen eingerichtet werden. Ob in einem zentral verwalteten Staat wie Frankreich nur eine Kontrollstelle existiert oder in einem förderalen Staatswesen, wie der Bundesrepublik mehrere Kontrollstellen in Bund und Ländern eingerichtet werden, bleibt weiterhin der Umsetzung in nationales Recht vorbehalten. Auch die Beachtung nationaler verfassungsrechtlicher Vorgaben, wie dem Selbstverwaltungsrecht der Kirchen in Deutschland bleibt möglich.
Alle Datenschutzaufsichtsinstanzen, die als Kontrollbehörden im Sinne von Art. 28 der EU-Datenschutzrichtlinie anzusehen sind, müssen jedoch die vorgenannten Voraussetzungen erfüllen. Hier wird es auch für die Kirchen keine Ausnahmen geben können. In einem Gespräch mit Herrn Thomas Zerdick (Europäische Kommission, Generaldirektion Justiz) anlässilich der Tagung der Datenschutzbeauftragten der EKD in Brüssel am 4. Mai d.J. ließ dieser bereits durchblicken, dass die Kommission durchaus die Möglichkeit weiterer Vertragsverletzungsverfahren gegen die Bundesrepublik prüfe, jedoch vorerst davon ausgehe, dass die beteiligten Institutionen nunmehr in eigener Verantwortung die Konsequenzen aus dem Urteil des EuGH ziehen würden. Auch für die Kirchen besteht insoweit akuter Handlungsbedarf.
Weitere Informationen:
Charta der Grundrechte der Europäischen Union 
Entwurf einer neuen Datenschutzgrundverordnung 
438KB