1 Einführung

Das Datenschutzrecht wird europäisch1. Das ist es eigentlich schon seit 1995, nur hatten wir es noch nicht so richtig gemerkt. Jedes Land gönnte sich seinen kleinen Sonderweg, die Kommen-tatoren nahmen von der EG-Datenschutz richtlinie (EG-DS-RL) oft nur soviel Kenntnis, wie es gerade in ihre Argumentati-on passte. Insbesondere in Deutschland verstellte die Monstranz des „Volkszählungsurteils“ und des „Rechts auf Informationel-le Selbstbestimmung“ den Blick auf die Ebene des europäischen Rechts.

Nun hat die Europäische Kommission ihre Pläne für das zu-künftige europäische Datenschutzrecht enthüllt. Eine konkre-te Aussage über dessen zukünftige Gestalt ist allerdings derzeit noch mit Unsicherheiten behaftet. Zwar existiert eine Reihe von Dokumenten (Gesamtkonzept2, Ergebnis der Anhörungen aus den Jahren 2009–20113, durchgesickerter Entwurf vom Novem-ber 20114, offizielle Kommissionsentwürfe5 mit zusammenfassen-

1 Siehe dazu Bodenschatz, Der europäische Datenschutzstandard, 2010.2 „Gesamtkonzept für den Datenschutz in der Europäischen Union“ v.

4.11.2010 (KOM(2010) 609 endgültig).3 Nachw. in KOM(2012) 9 endgültig, Fn. 9–12.4 Nicht-offizielles „Proposal for a regulation of the European Parliament and

of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)“ v. 29.11.2011.

5 „Vorschlag einer Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Da-ten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“ v. 25.1.2012 (KOM(2012) 11 endgültig); „Vorschlag für Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personen-

den konzeptionellen Erläuterungen6 von Januar 2012). Doch sieht das weitere Rechtsetzungsverfahren noch Schritte mit zusätzli-chen Akteuren vor, vor allem das Europäische Parlament (Art. 294 Abs. 2–8 AEUV) und den Rat (Art. 294 Abs. 2–9 AEUV).

Jedenfalls aber fallen die Entscheidungen auf der europäischen Ebene. Akteure der deutschen Politik und des deutschen Daten-schutzwesens können nur noch punktuell und indirekt in das Verfahren eingreifen. So wird der Entwurf zwar den nationalen Parlamenten, in Deutschland also Bundestag7 und Bundesrat, zu-geleitet (Art. 23 Abs. 2 S. 2 GG), die allerdings keine originären gesetzgeberischen Mitwirkungsrechte haben, wenngleich aber über die Bundesregierung Einfluss auf die Beschlussfassung im Rat nehmen können8 (Art. 23 Abs. 3–7 GG; EUZBLG). Die deut-schen Datenschutzbeauftragten werden nicht in das Gesetzge-bungsverfahren eingebunden (vgl. Art. 46 lit. d EG-Datenschutz-verordnung (EG) 45/2001), auch nicht über die Artikel 29-Grup-pe; allerdings wird der Europäische Datenschutzbeauftragte, der angehört wird, ihre Meinung geltend machen können. Ansonsten haben alle interessierten Kreise die Möglichkeit, im Rahmen des Lobbying9 ihren Standpunkten in Brüssel Geltung zu verschaffen.

2 Umsetzungsspielräu me im deutschen Recht

Die geplante umfassende (2.1) Neuregelung des Datenschutz-rechts auf europäischer Ebene verringert den Spielraum der mit-gliedstaatlichen Gesetzgeber, in Deutschland also die legislati-ven Handlungsmöglichkeiten von Bund und Ländern (2.2). Auch die Möglichkeiten im Verwaltungsvollzug werden deutlich ge-ringer (2.3).

bezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvoll-streckung sowie zum freien Datenverkehr“ v. 25.1.2012 (KOM(2012) 10 endgültig).

6 „Der Schutz der Privatsphäre in einer vernetzen Welt – Ein europäischer Da-tenschutzrahmen für das 21. Jahrhundert“ v. 25.1.2012 (KOM(2012) 9 endgültig).

7 Der Bundestag plant jedenfalls zwei Anhörungen zu den Vorschlägen der Kommission.

8 Der Bundesrat hat am 30.3.2012 Subsidiaritätsrüge (Art. 12 lit. b EUV) erho-ben (BR-Drucks. 52/12(B)).

9 Allgemein Frenz, Handbuch Europarecht, Bd. 6, 2011, Kap. 11 § 9.

PD Dr. Kai v. Lewinski

Privatdozent an der Humboldt-Universität und Lehrstuhlvertreter an der Universität Potsdam.

E-Mail: kai.lewinski@rewi.hu-berlin.de

Kai von Lewinski

Europäisierung des Datenschutzrechts

Umsetzungsspielraum des deutschen Gesetzgebers und Entscheidungskomptenz des BVerfG

Die Europäisierung des Datenschutzrechts verschiebt Regelungs- und Entscheidungskompetenzen weg vom deutschen Gesetzgeber und weg von der deutschen Verfassungsgerichtsbarkeit. In Grenzen allerdings verbleiben Bundestag und BVerfG selbst nach den weitreichenden Vorschlägen der Kommission für eine Datenschutz-Grundverordnung (EU-DSGVO-E) vom 25.1.2012 Gestaltungsmöglichkeiten.

564 DuD Datenschutz und Datensicherheit 8 | 2012

SCHWERPUNKT

Dies ist per se nicht zu bemängeln, sondern Folge der europä-ischen Integration. Dass die Vereinheitlichung des Datenschutz-rechts in Europa dabei mit (punktuellen oder generellen) Absen-kungen oder Verschärfungen des Datenschutzniveaus verbunden sein kann, folgt aus der Natur der Sache.10

2.1 Kompetenz der EU

Die Kompetenz der EU zur umfassenden Regelung des Daten-schutzrechts ist durch das Prinzip der begrenzten Einzelermäch-tigung und das Subsidiaritätsprinzip beschränkt11.

Die Beschränkung der Geltung der Verordnung auf den An-wendungsbereich des Unionsrechts (Art. 2 Abs. 2 lit. a EU-DSG-VO-E) entfaltet kaum praktische Wirkung. Zwar sind die Kom-petenzbereiche der EU in Art. 3–6 AEUV und sonstigen Vor-schriften des Primärrechts (abschließend) aufgezählt. Allerdings sind diese Bereiche ausgesprochen weit, so dass kaum ein Feld ausschließlicher Kompetenz der Mitgliedstaaten bleibt.12

Mit Blick auf die bisherige Handhabung und die „integrations-freundliche Auslegung“ durch den EuGH ist auch nicht zu erwar-ten, dass für den vorliegenden Verordnungsentwurf unter dem Gesichtspunkt der Subsidiarität eine Kompetenzüberschreitung festgestellt werden würde.

2.2 Umsetzungsspielraum der deutschen Gesetzgeber

Die Regelung der EU-DSGVO-E ist zudem durch ihren eigenen Anwendungsbereich beschränkt. Der ist allerdings ausgespro-chen weit.

Die Mitgliedstaaten hatten schon unter der Geltung der EG-DSRL die Erfahrung machen müssen, dass ihnen nach der Rechtsprechung des EuGH ein immer geringerer Umsetzungs-spielraum zugestanden wurde. Der EuGH hat mehrmals bekräf-tigt, dass mit der EG-DSRL eine „grundsätzlich umfassende Har-monisierung“ bezweckt sei.13 Insoweit ist die geplante Vollharmo-nisierung kein Paradigmenwechsel.

Tatsächlich verbleibt den Mitgliedstaaten punktuell durchaus Gestaltungsspielraum. Art. 2 und Art. 81 ff. EU-DSGVO-E kön-nen insoweit sogar als die (wenngleich kleine) „Verlustliste der eu-ropäischen Datenschutzeinheit“14 bezeichnet werden.

2.2.1 Sicherheitsbereich

Ausdrücklich nimmt der Verordnungsentwurf den Bereich der nationalen Sicherheit (Art. 2 Abs. 2 lit. a EU-DS G VO-E a.E.), die Gemeinsame Außen- und Sicherheitspolitik (GASP; Art. 2 Abs. 2 lit. c EU-DSGVO-E) sowie die Ge fahrenabwehr und Strafverfol-gung (Art. 2 Abs. 2 lit. e EU-DSGVO-E) aus. Doch sieht das nach stärkerer (Selbst-)Be schränkung aus als es ist. Denn die GASP hat

10 Einseitig die Absenkung des Datenschutzniveaus betonend Masing, EuGRZ 2011, S. 232, 232.

11 Zu Einzelheiten siehe Ronellenfitsch, in diesem Heft.12 Soweit ersichtlich, ist die „ausschließliche Zuständigkeit der Mitgliedstaa-

ten“ in den einschlägigen Kommentaren keine Kategorie.13 Insb. EuGH, DuD 2004, 244, 251. – Lindqvist; EuGH, K&R 2012, S. 40, 42 (Tz.

49) – ASNEF und FECEMD.14 Diese Bezeichnung bezieht sich ursprünglich auf das EGBGB und geht

auf den Titel „Die Verlustliste der deutschen Rechtseinheit – Ein Beitrag zur Ge-schichte der deutschen Einheitsbewegung“ von W. E. Krüger zurück, der sie wohl von seinem Lehrer J.W. Hedemann (1978–1963) übernommen hatte (Ramm, ARSP 1997, Beiheft, S. 21, 24 Fn. 13).

mit Art. 39 EUV eine eigene Kompetenzvorschrift für den Da-tenschutz und ist zudem datenschutzrechtlich wenig relevant. Für den Sicherheitsbereich liegt ein auf den Verordnungsentwurf ab-gestimmter Richtlinienvorschlag vor, der das Datenschutzrecht in diesem Bereich weiter harmonisiert.15

2.2.2 Öffentlichrechtliche Vorgaben

Auch wenn der Kommissionsentwurf – wie regelmäßig im Eu-roparecht – keinen Unterschied zwischen dem öffentlichen und dem Privatrecht – datenschutzrechtlich also: zwischen dem öf-fentlichen und dem nicht-öffentlichen Bereich – macht, ist die-se Unterscheidung gleichwohl sichtbar. So lässt Art. 21 EU-DS-GVO-E für den mitgliedstaatlichen Gesetzgeber generalklausel-haft die mit öffentlichen Zwecken zusammenhängenden Verar-beitungen zu (Abs. 1 lit. a–e). Auch zum Schutz der Rechte und Freiheiten anderer Personen können Verarbeitungsregeln ge-schaffen werden (Abs. 1 lit. f). Weiter können die Mitgliedstaaten Verarbeitungspflichten (für Private) begründen, was dann auch die Rechtmäßigkeit der Verarbeitung einschließt (Art. 6 Abs. 3 lit. b i.V.m. Abs. 1 lit. c u. e EU-DSGVO-E), etwa für dem Recht auf Vergessenwerden entgegenstehende Aufbewahrungspflich-ten (Art. 17 Abs. 3 lit. d EU-DSGVO-E). Vergleichbares gilt für die Übermittlung aus öffentlich zugänglichen Registern in Dritt-staaten (Art. 44 Abs. 1 lit. g EU-DSGVO-E) und für die Verar-beitungsbefugnisse für besondere Kategorien personenbezogener Daten für öffentliche Zwecke (Art. 9 Abs. 2 lit. g EU-DSGVO-E). Auch das Profiling kann durch mitgliedstaatliche Normen gestat-tet werden (Art. 20 Abs. 2 lit. b EU-DSGVO-E).

Auf der verfahrensrechtlichen Ebene kann die Pflicht zur Fol-genabschätzung für öffentliche Stelle angeordnet werden (Art. 33 Abs. 5 EU-DSGVO-E). Ferner können die Mitgliedstaaten unter den Voraussetzungen des Art. 14 Abs. 5 lit. d EU-DSGVO-E Aus-nahmen von der Unterrichtungspflicht bestimmen. Auch kön-nen die Mitgliedstaaten nach Art. 84 EU-DSGVO-E bestimmte geheimzuhaltende Daten vom Zugriff der Datenschutzaufsichts-behörden ausschließen.

2.2.3 Medien und Meinungs äußerung

Für den grundrechtlich sensiblen Bereich der Meinungs- und Pressefreiheit existiert in Art. 80 EU-DSGVO-E ein von den Mit-gliedstaaten auszufüllendes Medienprivileg. Es ist in seinen Vor-aussetzungen allerdings unscharf und lässt insoweit nicht uner-heblichen Spielraum. So ist den Mitgliedstaaten ausdrücklich auf-gegeben, den Begriff des „Journalistischen“ zu definieren (Erw-Gr. 121 S. 6 EU-DSGVO-E). Da Art. 80 EU-DSGVO-E aber aus-drücklich nicht auf Journalisten und die Presse beschränkt ist und überhaupt ein weites Verständnis von Meinungsäußerung hat (ErwGr. 121 S. 8, s.a. auch S. 5), werden die Mitgliedstaaten auch Regelungen schaffen können, die Schriftsteller, Blogger und jeden Betreiber einer Seite im Internet und in Sozialen Netzwer-ken in ihrer Meinungsäußerungsfreiheit schützt (s.u. 3.1.3).

Hierdurch wird das viel diskutierte „Recht auf Vergessenwer-den“ (Art. 17 EU-DSGVO-E) mitgliedstaatlich für den Bereich der Medien sehr weitgehend eingeschränkt werden können. Und

15 KOM(2012) 10 endgültig v. 25.1.2012; siehe dazu den Beitrag von Kugelmann, in diesem Heft.

DuD Datenschutz und Datensicherheit 8 | 2012 565

SCHWERPUNKT

wie weit Facebook – genauer: die Nutzer von Facebook – nicht auch unter dieses Medienprivileg fallen, ist eine spannende Frage.

2.2.4 Gesundheitswesen

Im Gesundheitswesen können unter den näheren Voraussetzun-gen des Art. 81 EU-DSGVO-E mitgliedstaatliche Regelungen ge-schaffen werden. Sie stehen im sozialversicherungsrechtlichen Bereich in der Nähe der Ausnahme nach Art. 21 und Art. 9 Abs. 2 lit. g EU-DSGVO-E (s.o. 2.2.2).

2.2.5 Arbeitsrecht

Für Beschäftigungsverhältnisse können mitgliedstaatliche Rege-lung innerhalb der Grenzen der geplanten Verordnung (Art. 82 EU-DSGVO-E) ergehen. Zudem existiert eine Öffnungsklausel für die Verarbeitung besonderer Kategorien personenbezogener Daten im Beschäftigungsverhältnis (Art. 9 Abs. 2 lit. b EU-DS-GVO-E): Wenn das mitgliedstaatliche Recht Rechte oder Pflich-ten begründet, zu deren Wahrung oder Erfüllung sensitive Da-ten verarbeitet werden müssen, kann dies auf mitgliedstaatliches Recht gestützt werden, wenn dieses angemessene Garantien vor-sieht.

2.2.6 Forschung

Art. 83 EU-DSGVO-E kennt zwar keine ausdrücklichen mitglied-staatlichen Abweichungsmöglichkeiten für die Forschung. Doch besteht für diesen Bereich aufgrund von Art. 4 Abs. 3 AEUV ei-ne parallele Zuständigkeit der Mitgliedstaaten16.

2.2.7 Telekommunikations datenschutz

Der Telekommunikationsdatenschutz (Art. 89 EU-DSGVO-E i.V.m. RL 2002/58/EG17 i.d.F. d. RL 2009/136/EG18) wird von der Anwendung der Verordnung ausgenommen. Hier verbleibt es bei den schon bislang bestehenden Umsetzungsspielräumen der Mit-gliedstaaten, in Deutschland also beim TKG.

2.2.8 Kirchlicher Datenschutz

Schließlich wird den Kirchen und Religionsgemeinschaften das Recht auf autonome Datenschutzregelungen eingeräumt, die aber im Einklang mit der europäischen Regelung stehen müs-sen (Art. 85 Abs. 1 EU-DSGVO-E). Es ist sicherlich nicht unpro-blematisch, dass dies nur für bestehende Regelungen gilt (Art. 85 Abs. 1 EU-DSGVO-E). Ob allerdings den Kirchen eine Vertrei-bung aus dem datenschutzrechtlichen Paradies des deutschen Staatskirchenrechts droht oder sie durch das Lissabon-Urteil des BVerfG im Hinblick auf dem „Umgang mit dem religiösen oder weltanschaulichen Bekenntnis“19 unter dem besonderen Schutz

16 Zur auf politischen Zufälligkeiten beruhenden „unglücklichen Zwitterein-ordnung“ der Forschungszuständigkeit in Art. 4 Abs. 3 AEUV Oppermann, DVBl. 2003, S. 1165, 1172; Calliess, in: Calliess/Ruffert, EUV/AEUV, 4. Aufl. 2011, Art. 4 AEUV, Rn. 22.

17 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.6.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. EU Nr. L 201 v. 31.7.2002, S. 37).

18 Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates v. 25.11.2009 (ABl. EU Nr. L 337 v. 18.12.2009, S. 11).

19 BVerfGE 123, S. 267, 358, s.a. S. 359 – Vertrag von Lissabon.

des „unantastbaren Kerngehalt der Verfassungsidentität“ stehen (s.u. 3.1.3), soll hier einstweilen offen bleiben.

2.2.9 Keine Öffnungsmöglich-keiten durch Subdelegation

Die zahlreichen Ermächtigungen des Verordnungsentwurfs an die Kommission, Detailregelungen zu erlassen (vgl. Art. 86 EU-DSGVO-E), schließen nach den allgemeinen Regeln des Art. 290 AEUV nicht auch die Möglichkeit ein, dass die Kom-mission ihrerseits Rechtssetzungsbefugnisse an die Mitgliedstaa-ten subdelegiert20, wie sich aus dem (doppelten) Gegenschluss aus Art. 291 AEUV ergibt21.

2.2.10 Art der Umsetzung

Noch vollkommen offen ist, in welcher Art und Weise die deut-schen Gesetzgeber mit einer Verordnungsvorgabe wie der vorge-schlagenen umgehen wollen.

Wollten sie trotzig sein, würden sie das BDSG und die Lan-desdatenschutzgesetze in der bisherigen Gestalt weiterbestehen lassen und bestenfalls hinsichtlich der Ausge staltung der Daten-schutzaufsicht anpassen. Das wäre aber nicht im Sinne Europas und auch nicht im Sinne der Rechtsanwender.

Sie werden deshalb entweder die dann durch die Verordnung verdrängten Vorschriften aufheben (insb. §§ 28–29 BDSG) und nur die Normen über den Geltungsbereich, die Aufsichtsbehör-den (z.B. §§ 22–26, § 38 BDSG) und die über die Presse (§§ 41 f. BDSG) bestehen lassen. Das BDSG sähe dann aus wie das Che-mikaliengesetz nach Inkrafttreten der REACh-VO.

Oder das BDSG würde abgeschafft werden und durch ein rei-nes und neues Ausführungsgesetz zur EU-DSGVO ersetzt wer-den. Es wäre dann folgerichtig, den Arbeitnehmerdatenschutz22 (s.o. 2.2.5) und den Mediendatenschutz (s.o. 2.2.3) in einem ei-genständigen Gesetz zu regeln.

2.3 Umsetzungsspielraum im Verwaltungsvollzug

Es ist hinlänglich bekannt und tatsächlich teilweise auch Rege-lungsanlass für die Datenschutz-Grundverordnung, dass der Vollzug des Datenschutzrechts durch die Aufsichtsbehörden Un-terschiede kennt oder jedenfalls ermöglicht23, hier also verwal-tungspraktischer Spielraum besteht.

2.3.1 Aufsichtsbehörden (Art. 46–54 EU-DSGVO-E)

Bei der Ausgestaltung der Datenschutzbehördenstruktur haben die Mitgliedstaaten Spielraum. Insbesondere mit Rücksicht auf föderale Staaten wie Deutschland lässt es der Verordnungsent-wurf zu, mehrere Behörden vorzusehen (Art. 46 EU-DSGVO-E). Insoweit kann die überkommene föderale Struktur mit dem Bun-des- und den Landesdatenschutzbeauftragten beibehalten wer-den, muss sie allerdings nicht24. Bedeutsam ist, dass die Ergebnis-

20 Gellermann, in: Streinz, EUV/AEUV, 2. Aufl. 2012, Art. 290 AEUV, Rn. 5.21 Sydow, JZ 2012, S. 157, 159 f.22 Hierfür schon aus legistischen Gründen v. Lewinski, in: GS Brandner, 2011, S.

107, 121; zur aktuellen Diskussion Maschmann (Hrsg.), Beschäftigtendatenschutz in der Reform, 2012.

23 Siehe ErwGr. 7 S. 1 EU-DSGVO-E; vgl. auch EuGH, DuD 2010, S. 335, 337.24 Vgl. Schaar, DuD 2011, S .756.

566 DuD Datenschutz und Datensicherheit 8 | 2012

SCHWERPUNKT

se des Kohärenzverfahrens auf europäischer Ebene für alle Auf-sichtsbehörden verbindlich sein müssen (Art. 46 Abs. 2 EU-DS-GVO-E).

Inhaltlich allerdings macht der Verordnungsentwurf detaillier-te Vorgaben, etwa zur Errichtung (Art. 49 EU-DSGVO-E), zur Unabhängigkeit (Art. 47 EU-DSGVO-E), zu den Voraussetzung für die Leitung der Behörden („Mitglieder“, Art. 48 EU-DSG-VO-E) und zu ihrer Verschwiegenheit (Art. 50 EU-DSGVO-E). Auch die Zuständigkeiten (Art. 51 EU-DSGVO-E), Aufgaben (Art. 52 EU-DSGVO-E) und Befugnisse (Art. 53 EU-DSGVO-E25) sind geregelt. Lediglich bei der Festlegung der Voraussetzung der Konsultation mit der Aufsichtsbehörde bei der Datenschutz-Fol-genabschätzung (Art. 34 Abs. 2 lit. b EU-DSGVO-E) bleibt den Mitgliedstaaten Spielraum.

Was so feingliedrig daherkommt, gibt im wesentlichen aber nur das wieder, was durch die EG-DSRL ohnehin schon galt und was für die Datenschutzbeauftragten und -behörden in Deutsch-land allgemein vorgesehen ist – vielleicht bis vor kurzem mit Aus-nahme der völligen Unabhängigkeit und bis auf die Pflicht zur Einbindung der Aufsichtsbehörden im Gesetzgebungsverfahren (Art. 34 Abs. 7 EU-DSGVO-E).

2.3.2 Unabhängigkeit und Europäisierung

Diese vor dem EuGH vor zwei Jahren erstrittene Unabhängig-keit der Datenschutzaufsicht26, die von Datenschutzbeauftragten teilweise frenetisch bejubelt wurde, droht ein Danaergeschenk zu werden. Denn sie ist nach der Vorstellung des Verordnungsent-wurfs nur eine Unabhängigkeit von den mitgliedstaatlichen Re-gierungen und als solche nur eine Vorbedingung für die Europäi-sierung der Datenschutzaufsicht unter der Führung der Kommis-sion.27 Dies wird durch eine Netzwerkstruktur, die der Kommis-sionsentwurf mit „Zusammenarbeit und Kohärenz“ bezeichnet, realisiert und gleichzeitig kaschiert.

Die Aufsichtsbehörden sind untereinander zur Amtshilfe ver-pflichtet (Art. 55 EU-DSGVO-E) und können gemeinsame Maß-nahmen ergreifen (Art. 56 EU-DSGVO-E). Sie sind daneben im Rahmen des Kohärenzverfahrens aber nicht nur zur Zusam-menarbeit untereinander, sondern auch mit der Kommission verpflichtet (Art. 57 EU-DSGVO-E).28 So müssen die mitglied-staatlichen Aufsichtsbehörden bei einer Vielzahl von Aufsichts-maßnahmen (Art. 58 Abs. 2 EU-DSGVO) neben dem Europä-ischen Datenschutzausschuss auch die Kommission unterrich-ten (Art. 58 Abs. 1 EU-DSGVO-E). Die Kommission ist dabei nicht nur zur Stellungnahme berechtigt (Art. 59 Abs. 1 EU-DS-GVO-E), sondern kann die Maßnahmen der mitgliedstaatlichen Aufsichtsbehörden auch hemmen (Art. 59 Abs. 2–4 EU-DSG-VO-E) und aussetzen (Art. 60 EU-DSGVO-E). Was nach einem bloß retardierenden Einfluss klingt, ist mit Blick auf die Befug-nisse der Kommission zum Erlass konkretisierender Rechtsakte allerdings mehr. Zwar kann die Kommission die Aufsichtsmaß-nahme der mitgliedstaatlichen Datenschutzbehörde nicht durch eine Weisung verhindern, wohl aber u.U. auch kurzfristig durch Inanspruchnahme ihrer delegierten Rechtsetzungsmacht (vgl.

25 Für die Besichtigungsbefugnisse gilt der Vorbehalt, dass sie im Einklang mit mitgliedstaatlichem Recht stehen müssen (Art. 53 Abs. 2 S. 2 EU-DSGVO-E), was sich wohl hauptsächlich auf die Formalitäten und äußeren Umstände bezieht.

26 Vgl. EuGH, DuD 2010, S. 335, 336.27 Härting, BB 2012, S. 459, 460 f.28 Ausführlich Härting, BB 2012, S. 459, 461.

Art. 86 EU-DSGVO-E) das zugrundeliegende Datenschutzrecht än dern. Die formal weiterhin unabhängigen Datenschutzbehör-den stehen insoweit auf einem Teppich, den ihr die Kommission jederzeit unter den Füßen wegziehen kann.

2.4 Unitarisierung des Datenschutzrechts

Die geplante unitarische Konzeption des Datenschutzrechts in Europa hat Vor- und Nachteile. Sie dient sicherlich dem Binnen-markt, schafft mehr Rechtsicherheit für Verarbeiter und Betrof-fene und stärkt auch das Gewicht der EU in dem globalen politi-schen Ringen um das richtige Maß an Datenschutz. Sie verzich-tet aber auch auf das Innovationspotential föderaler Rechtssyste-me, in denen örtliche begrenzt neue Ideen und Konzepte auspro-biert und in Wettbewerb zueinander treten können.

3 Geltung deutscher Grundrechte und Rolle des BVerfG

Der Datenschutz ist aber nicht nur eine Frage der (einfach-)ge-setzlichen und geschriebenen Regeln. Er ist in starkem Maße von den Grundrechten und den Durchsetzungsmöglichkeiten abhän-gig, insbesondere auch im Rahmen der Verfassungsgerichtsbar-keit. – Insgesamt er gibt sich ein differenziertes Bild.

3.1 Grundrechtsebene

Soweit ersichtlich, wird es von deutscher Seite eher bedauert, dass die deutschen Grundrechte auf eine europäische Datenschutzver-ordnung keine Anwendung fänden.29 Bei nüchterner und nicht von Nostalgie geprägter Sicht sind die europäischen Grund-rechtsnormen aber eher als Fortschritt zu werten.30

3.1.1 Europäische Datenschutzgrundrechte

Bezeichnender- und bekannterweise enthält das Grundgesetz keine geschriebenen Gewährleistung des Datenschutzes oder des „Rechts auf Informationelle Selbstbestimmung“. Während das BDSG (und die Landesdatenschutzgesetze) normstrukturell noch in der Welt der Großrechner stehen, hat das BVerfG immer wieder grundrechtliche Innovationen hervorgebracht. Zu nennen sind hier nur das „Recht auf Informationelle Selbstbestimmung“ und das „Grundrecht auf Gewährleistung der Vertraulichkeit in-formationstechnischer Systeme“.

Auf der europäischen Ebene finden sich dagegen zum einen im Gegensatz zum Grundgesetz ausdrückliche Grundrechtsvor-schriften. Hier gibt es mit Art. 16 Abs. 1 AEUV und Art. 8 GRCh ausdrückliche Datenschutzgewährleistungen, die durch den Pri-vatsphärenschutz des Art. 7 GRCh und Art. 8 EMRK zusätz-lich flankiert werden. Sie stehen in ihrem Gehalt jedenfalls hin-ter dem „Recht auf Informationelle Selbstbestimmung“ nicht zu-rück. Hinsichtlich des Daten- (Art. 7 GRCh; Art. 16 Abs. 1 AE-UV) und Privatsphärenschutzes (Art. 7 GRCh; Art. 8 EMRK) er-fassen sie über die ganz auf den Datenschutz fokussierte deutsche Dogmatik hinaus auch den eigentlichen Schutz des Menschen.

29 Masing, SZ v. 9.1.2012, S. 10; Überblick über die vertretenen Positionen in DSB 2012, S. 57, 58 ff.

30 Euphorisch gar Hijmans, ERA Forum 11 (2010), S. 219, 220: „a new era for da-ta protection“.

DuD Datenschutz und Datensicherheit 8 | 2012 567

SCHWERPUNKT

Auch wird auf europäischer Ebene deutlich(er), dass Datenschutz aus Gewährleistungsgehalten („Recht auf Schutz der […] Daten“, Art. 8 Abs. 1 GRCh u. Art. 16 Abs. 1 AEUV; „Recht auf Achtung“, Art. 7 Abs. 1 GRCh u. Art. 7 Abs. 1 EMRK) und klassischen Ab-wehrrechten („dürfen nur“, vgl. Art. 8 Abs. 2 GRCh u. Art. 8 Abs. 2 EMRK) besteht.

Daneben macht der Verordnungsentwurf deutlich31, dass das Recht auf Schutz personenbezogener Daten (Art. 8 GRCh, Art. 16 Abs. 1 AEUV) nicht schrankenlos gilt, sondern im Hinblick auf die gesellschaftliche Funktion von Information und die grund-rechtsgeschützten Verarbeiterpositionen (insb. Meinungsäuße-rung, Art. 11 GRCh; un ternehmerische Freiheit, Art. 16 GRCh; Recht auf Zugang zu Dokumenten, Art. 42 GRCh) gesehen wer-den muss.32

3.1.2 Grundrechte im Mehrebenensystem

Die Integration Deutschlands und seiner Rechtsordnung in die EU wird oft als Mehrebenensystem beschrieben. Soweit hier al-lerdings klassische Vorstellungen von einer hierarchischen Ord-nung mitschwingen, wird das der Komplexität der Verhältnisse nicht gerecht.33 Zwar besteht grundsätzlich ein (Anwendungs-)Vorrang des europäischen Rechts. Doch gilt der nur soweit und nur in den Bereichen, in denen der Union von den Mitgliedstaa-ten Hoheitsrechte übertragen wurden (und nach Maßgabe des in-nerstaatlichen Rechts übertragen werden konnten).

3.1.3 Begrenzter Anwendungsbereich der Grundrechte des GG

Der Anwendungsvorrang des europäischen Rechts vor dem deut-schen ist unabhängig von dem Normrang innerhalb der jeweili-gen Rechtsordnung. Eine europäische Verordnung und sogar ein delegierter Rechtsakt der Kommission geht jeder Vorschrift des Grundgesetzes vor.

Eine Ausnahme liegt allerdings für die Meinungs- und Pres-sefreiheit und möglicherweise auch für das Staatskirchenrecht vor dem Hintergrund der Lissabon-Entscheidung des BVerfG nahe. Danach kann (ohne Volksabstimmung, Art. 146 GG) ein bestimmter „unantastbarer Kerngehalt der Verfassungsidenti-tät“ nicht auf die supranationale Ebene der EU übertragen wer-den. Konsequenterweise können dann wegen des Prinzips der begrenzten Einzelermächtigung keine Rechtsakte erlassen wer-den, die insoweit dem Grundgesetz vorgehen würden. Das BVer-fG fordert, dass

▶ „ausreichender Raum zur politischen Gestaltung der wirt-schaftlichen, kulturellen und sozialen Lebensverhältnisse […] bleibt“34.

Hierunter versteht das Gericht die ▶ „Sachbereiche, die die Lebensumstände der Bürger, vor al-lem ihren von den Grundrechten geschützten privaten Raum der Eigenverantwortung und der persönlichen und sozialen

31 Vgl. ErwGr. 139 EU-DSGVO-E mit (allerdings unspezifiziertem) Bezug auf EuGH, DuD 2011, S. 137, 140 ff. (vgl. KOM(20012 ) 11 endg., S. 7).

32 Wie weit es vor diesem grundrechtlichen Hintergrund sinnvoll ist, durch Art. 6 EU-DSGVO-E weiterhin (implizit) am Verbotsprinzip (Hornung, ZD 2012, S. 99, 101; Härting, BB 2012, S. 459, 463) festzuhalten, ist eine rechtspolitische Frage. Je-denfalls ist dieses formale Regelungsprinzip nicht geeignet, die grundrechtli-chen Vorgaben zu überspielen.

33 Kotzur, EuGRZ 2011, S. 105, 108.34 BVerfGE 123, S. 267, 358 – Vertrag von Lissabon.

Sicherheit prägen, sowie für solche politische Entscheidun-gen, die in besonderer Weise auf kulturelle, historische und sprachliche Vorverständnisse angewiesen sind, und die sich im parteipolitisch und parlamentarisch organisierten Raum einer politischen Öffentlichkeit diskursiv entfalten. […] Zu diesen bedeutsamen Sachbereichen gehören auch kulturel-le Fragen wie die Verfügung über die Sprache, die Gestal-tung der Familien- und Bildungsverhältnisse, die Ordnung der Meinungs-, Presse- und Versammlungsfreiheit oder der Umgang mit dem religiösen oder weltanschaulichen Bekennt-nis“.35

In diesen Bereichen darf also keine europäische Regelung beste-hen, und die verbleibenden deutschen Regelungen unterliegen nach wie vor der Kontrolle des BVerfG.

3.1.4 Bereiche mit Umsetzungsspielraum

Soweit den mitgliedstaatlichen Gesetzgebern eigenständiger Um-setzungsspielraum eingeräumt wird (insb. Art. 80 ff. EU-DSG-VO-E; s.o. 2.2), unterliegen die diesem Rahmen ausfüllenden Vor-schriften insoweit den Vorgaben der mitgliedstaatlichen Grund-rechte.

3.1.5 Grundrechtscocktail

Die geplante Verordnung wird also neben ihrem eigentlichen ma-teriellen Gehalt auch die grundrechtlichen Datenschutzrechtsge-halte europäisieren. Im europäischen Mehrebenen-Grundrechts-systems verliert das deutsche „Recht auf Informationelle Selbst-bestimmung“ allerdings nicht in allen Bereichen an Bedeutung, sondern es bleiben einige Rückzugsräume für die deutschen Grundrechte im Datenschutzrecht.

3.2 Rechtschutz

Die Wirksamkeit von Grundrechten steht und fällt mit der Mög-lichkeit der (verfassungs-)gerichtlichen Durchsetzung. Der deut-sche Rechtstaat verdankt seine heutige Gestalt nicht (allein) den Buchstaben des Grundgesetzes, sondern auch dem BVerfG und der Fachgerichtsbarkeit.

3.2.1 Unveränderte fachge richt liche Zuständigkeit

Für Klagen im Zusammenhang mit der EU-DSGVO wären – wie auch schon bisher im Datenschutzrecht – die deutschen Fachge-richte zuständig. Privatpersonen würden sich vor den Amts- und Landgerichten treffen, Konkurrenten vor den Wettbewerbskam-mern und -senaten, der Bürger würde vor der Verwaltungsge-richtsbarkeit sein Recht gegen den Staat finden36. Denn die mit-gliedstaatlichen Gerichte sind nicht nur für die Überprüfung der Anwendung des nationalen Rechts zuständig, sondern auch für die des europäischen Rechts.

Hier käme es durch die Verordnung zudem zu einem (teilwei-se mitgliedstaatlich auszugestaltendem, Art. 73 Abs. 2 EU-DSG-VO-E) Verbandsklagerecht (Prozessstandschaft) und im Ergebnis zu einer Ausweitung der Rechtschutzmöglichkeiten.

35 BVerfGE 123, S. 267, 358, s.a. S. 359 – Vertrag von Lissabon.36 Illustrativ Schwartmann, RDV 2012, S. 55, 56 f.

568 DuD Datenschutz und Datensicherheit 8 | 2012

SCHWERPUNKT

3.2.2 Weitgehende Unzustän dig keit des BVerfG

Grundrechtschutz vor dem BVerfG wird nur gegen deutsche ho-heitliche Gewalt gewährt. Gegen europäische Rechtsakte findet eine Verfassungsbeschwerde nicht statt;37 eine europäische Da-tenschutzverordnung kann also nicht vor dem BVerfG angegrif-fen werden.38

Eine Ausnahme besteht hier aber nach der Lissabon-Entschei-dung des BVerfG, in dem u.a. die Ordnung der Meinungs- und Pressefreiheit zum „Kernbereich der souveränen Staatlichkeit“ (s.o. 3.1.3) gezählt wurde.39 Wenn also ein Rechtsakt der EU die Meinungs- und Pressefreiheit in einem Maße beschränkt, dass der für die demokratische Staatlichkeit der Bundesrepublik Deutschland wesent liche Kernbereich betroffen ist, dann sieht sich das BVerfG dazu berufen, über die Anwendbarkeit einer sol-chen Re gelung in Deutschland zu entscheiden. Allerdings hat das BVerfG in der Ho neywell-Entscheidung klargestellt, dass es seine sogenannte Ultra vires-Kontrolle europäischer Hoheitsakte auf offensichtliche und strukturell bedeutsa me Fälle beschränkt, die zudem durch den EuGH unbeanstandet geblieben sein müssen.40

Dieser Punkt kann hinsichtlich der Meinungsfreiheit aber aus praktischer Perspektive offenbleiben, weil er auch vom Verord-nungsentwurf offengelassen wird (s.o. 2.2.3). Dass dies kein Ver-sehen ist, kann man auch daran sehen, dass in der endgültigen Entwurfsfassung eine Stellungnahme zu der Lindqvist-Entschei-dung41 ausdrücklich vermieden wurde.42 Vor allem aber über-weist Art. 80 EU-DSGVO-E den Mitgliedstaaten die Austarie-rung von Meinungsfreiheit mit dem Daten- und Persönlichkeits-schutz. Die in diesem (sehr weiten) Rahmen ergehenden Rege-lungen sind dann wieder mitgliedstaatliches Recht, das der ver-fassungsgerichtlichen Kontrolle des BVerfG unterliegt (s.o. 3.1.4).

Ferner und soweit und weil ein mitgliedstaatlicher Umset-zungsakt erforderlich ist (s.o. 3.1.4), ist im Sicherheitsbereich (s.o. 2.2.1) und anderen Teilen des öffentlichen Rechts (s.o. 2.2.2), dem Gesundheitswesen (s.o. 2.2.4), dem Arbeitsrecht (s.o. 2.2.5) sowie dem Telekommunikationsbereich (s.o. 2.2.7) das BVerfG nach wie vor für Grundrechtsklagen zuständig.

3.2.3 Unvollkommener Recht schutz durch europäische Verfassungsgerichtsbarkeit

In allen anderen Bereichen gibt es für den Grundrechtschutz auf der europäischen Ebene und insoweit „oberhalb“ des BVerfG mehrere Möglichkeiten, Grundrechtsschutz zu erlangen:

Sieht die Fachgerichtsbarkeit einen Verstoß der EU-DSGVO-E gegen (europäische) Grundrechte, muss sie den Weg des Vor-abentscheidungsverfahrens (Art. 267 AEUV) zum EuGH be-

37 Dies steht nach dem Solange II-Entscheidung des BVerfG (BVerfGE 73, 339, 387) unter dem Vorbehalt, dass insb. durch den EuGH ein entsprechender Grund-rechtschutz gewährleistet wird, wovon allerdings derzeit und absehbar auszu-gehen ist.

38 Schwartmann, RDV 2012, S. 55, 57 f.39 BVerfGE 123, S. 267, 358 – Vertrag von Lissabon. – Allerdings ist dieser As-

pekt in der genannten Entscheidung nicht weiter vertieft worden, was mit dem Verfahrensgegenstand zusammenhängen mag.

40 BVerfGE 126, S. 286, 304 – Honeywell.41 EuGH, DuD 2004, S. 244 ff. – Lindqvist.42 So ist im Gegensatz zum durchgesickerten Entwurf von Ende 2011 der Zu-

satz gestrichen worden, dass die EU-DSGVO gleichwohl für die Zugänglichma-chung von Inhalten für eine unbestimmte Zahl von Personen gelte (Hornung, ZD 2012, S. 99, 102, der aber gleichwohl die Lind qvist-Rechtsprechung für fortgel-tend hält).

schreiten43. Weiter können Private auf der Grundlage der GRCh und des Primärrechts vor dem EuG Rechtschutz suchen (Art. 263 Abs. 4 i.V.m. Art 256 Abs. 1 AEUV; Nichtigkeitsfeststellungskla-ge). Doch nehmen EuGH und EuG in ihrem spezifischen Ver-ständnis von „Integrationsverantwortung“ weniger Rücksicht auf die mitgliedstaatlichen Rechtstraditionen und den individuellen Grundrechtschutz.44

Und schließlich kann unter Berufung auf die EMRK vor den EGMR gezogen werden. Die Zulässigkeitsvoraussetzungen für ein Verfahren vor dem EGMR sind nicht besonders hoch. Al-lerdings dauern die Verfahren dort u.U. sehr lange, jedenfalls ist die Überlastung des Gerichts allgemein bekannt. Auch ist der Rechtsprechung eine spezifische Unschärfe zueigen, die dogma-tisch als „Margin of Appreciation“ bezeichnet wird und als Aus-druck der Rücksichtnahme auf nationale Eigenheiten verstanden werden kann.

Hinsichtlich der Effektivität (oder auch der Großzügigkeit) des Rechtschutzes unterscheiden sich beide Gericht vom BVerfG. Es ist dem Wesen des Grundrechtsschutzes im Mehrebenensystem allerdings immanent, dass eine vollständige Kohärenz der Recht-sprechung von BVerfG, EuGH und EGMR nicht besteht.

3.2.4 Rechtschutzdefizite durch Aufsichtsstruktur

Auch ist darauf hinzuweisen, dass die neue Organisation der Da-tenschutzaufsicht spezifische Rechtstaats- und Rechtschutzprob-leme mit sich bringt.

Zum einen ist die Datenschutzaufsicht im nicht-öffentlichen Bereich strukturell eine Sonderordnungsbehörde, die in einem Rechtstaat eigentlich nicht unabhängig gestellt werden dürfte. Denn die Unabhängigkeit geht mit einem Verlust an hierarchi-scher und damit parlamentarischer Kontrolle einher. Wie weit dies durch das Kohärenzverfahren auf europäischer Ebene und die „Aufsicht“ durch die Kommission (s.o. 2.3.2) kompensiert werden kann, bleibt abzuwarten.

Und zum anderen verwischt die Zusammenarbeit der Auf-sichtsbehörden auf europäischer Ebene (gemeinsame Maßnah-men, Kohärenzverfahren; s.o. 2.3.2) die Verantwortlichkeiten. Man steht einer „Cloud“ von Datenschutzaufsicht gegenüber, kann aber bei Rechtsverletzungen in dieser nur schwer den ei-gentlich Verantwortlichen identifizieren und in eine gerichtliche Klärung zwingen.

4 Ergebnis

Aus Sicht des Binnenmarkts ist eine Vereinheitlichung des Daten-schutzrechts in Europa erforderlich. Hiervon werden Verbraucher und Unternehmen profitieren. Auch die Stellung der EU in der Welt wird in Sachen Datenschutz gestärkt werden. Jede Stärkung einer größeren Einheit geht aber zulasten ihrer Untereinheiten. Die Unitarisierung, die wir im deutschen Föderalstaat seit Jahr-zehnten beobachten, macht auch in Europa nicht halt.

Die geplante EU-DSGVO lässt – von europäischer Warte aus konsequent – den Mitgliedstaaten nur geringen Umsetzungs-spielraum. Dies bezieht sich sowohl auf die Möglichkeiten der Ge-setzgeber als auch auf die Möglichkeiten der Exekutive, also den

43 Schwartmann, RDV 2012, S. 55, 57.44 Deutlich Schwartmann, RDV 2012, S. 55, 59.

DuD Datenschutz und Datensicherheit 8 | 2012 569

SCHWERPUNKT

Verwaltungsvollzug. Über den deutschen Datenschutz entschei-den nicht mehr wir Deutsche, sondern Europäer entscheiden über den Datenschutz in Europa. Dass die Entscheidungen auf der eu-ropäischen Ebene anders und wohl auch schwächer legitimiert sind, ist in der gegenwärtigen Verfassung von Europa angelegt.

Die Europäisierung des Datenschutzes findet auch vor dem Hintergrund der eu ropäischen, nicht mehr der deutschen Grund-rechte statt. Hinsichtlich der einschlä gigen Grundrechtsnormen ist dies eher ein Fortschritt. Defizite bestehen aber hinsichtlich der gerichtlichen Durch setzung. Die hervorragende Rolle des BVerfG auch für den Individualrechtschutz nehmen weder der EuGH noch der EGMR ein. Allerdings wird die Rechtsdurchset-zung durch ein administratives Netzwerk auf europäischer Ebe-ne erleichtert. Wie weit dadurch eine rechts tatsächliche Verbesse-rung des Da tenschutzes erreicht wird, bleibt abzuwarten, ist aber nicht auszuschließen.

Im Datenschutzrecht spricht Europa also schon lange nicht mehr deutsch und auch nicht mehr französisch – es spricht eu-ropäisch. Wenn wir nun unsere Datenschutzdialekte ablegen, wird vermutlich offenbar, dass es sich bei ihnen vielfach nur um Folklore handelt. Wenn wir in rechtstaatlicher Hinsicht Beden-ken gegen die geplante Grundverordnung haben, dann kann die Antwort des Europäers hierauf nicht ein Verzicht auf die Euro-

päisierung des Datenschutzrechts sein, sondern die Arbeit an der Rechtstaatlichkeit der Union. Und der Optimist wird in den neuen Rechtschutzformen auch Fortschritt erkennen. Der Rea-list wird das Abendland jenseits von Karlsruhe nicht untergehen sehen, jedenfalls nicht zwischen Karlsruhe und Luxemburg bzw. Straßburg. Und der Praktiker wird eingestehen, dass für die tägli-che Arbeit ein kohärenter Regelungs- und Aufsichtsrahmen wich-tiger ist als Urteile aus Karlsruhe, die in der Vergangenheit oh-nehin hauptsächlich den Sicherheitsbereich und nicht die Wirt-schaft betroffen haben.

Literatur

Härting, Starke Behörde, schwaches Recht – der neue EU-Datenschutz-entwurf, BB 2012, S. 459 ff.

Hanschmann, Das Verschwinden des Grundrechts auf Datenschutz in der Plu-ralität von Rechtsregimen, EuGRZ 2011, S. 219 ff.

Hornung, Eine Datenschutz-Grund verordnung für Europa? – Licht und Schat-ten im Kommissionsentwurf vom 25.1.2012, ZD 2012, S. 99 ff.

Kotzur, Datenschutz in der europäischen Grundrechtsgemeinschaft, EuGRZ 2011, S. 105 ff.

Masing, Der Abschied von den Grundrechten, SZ v. 9.1.2012, S. 10.Schwartmann, Ausgelagert und ausverkauft – Rechtschutz nach der Daten-

schutz-Grundverordnung, RDV 2012, S. 55 ff.

Thomas HutzschenreuterAllgemeine BetriebswirtschaftslehreGrundlagen mit zahlreichen Praxisbeispielen

4., überarb. u. erw. Aufl. 2011. XXVIII, 481 S. Br. EUR 29,95ISBN 978-3-8349-3040-8Einführung in die Betriebswirtschaftslehre, die die Dynamik von Unternehmen und Märkten in den Mittelpunkt der Betrachtung stellt. Teil I stellt Unternehmen und Märkte sowie die Aufgaben der Unternehmensführung in dynamischer Perspektive vor. Teil II schließt die Darstellung von Managementfragen in den betrieblichen Grundfunktionen an. Teil III be-leuchtet funktionsübergreifende Fragen von Strategie, Innovation und Organisation. In der 4. Auflage wurden alle Kapitel überarbeitet und erweitert.

Mit zahlreichen Unternehmensbeispielen und Infoboxen zur Veranschaulichung und Vertiefung

www.wirtschaftslexikon.gabler.de Jetzt online, frei verfügbar!

springer-gabler.de

Änd

erun

gen

vorb

ehal

ten.

Erh

ältli

ch im

Buc

hhan

del

od

er b

eim

Ver

lag.

Einfach bestellen: SpringerDE-service@springer.com Telefon +49 (0)6221 / 3 45 – 4301

570 DuD Datenschutz und Datensicherheit 8 | 2012

SCHWERPUNKT