Blogbeitrag

Europarichter verbieten nationale Alleingänge im Datenschutz

Das Datenschutzrecht in der EU ist umfassend harmonisiert.

Das hat jetzt der Europäische Gerichtshof entschieden. Das Urteil kommt für den deutschen Gesetzgeber überraschend: Dieser hat sich stets die Freiheit genommen, den Schutzstandard der Datenschutzrichtlinie zu überschreiten. Die Richter stellen damit nicht nur das geltende Recht hierzulande in Frage. Sie torpedieren auch das geplante Gesetz zum Beschäftigtendatenschutz.

Der Europäische Gerichtshof hat mit einem Paukenschlag zwei Vorabentscheidungsersuchen (Az.: C-468110 und C-469/10) des Obersten spanischen Gerichtshofs beantwortet. Dieser wollte wissen, ob eine bestimmte Regelung im spanischen Datenschutzrecht wirksam ist. Dahinter standen Klagen, in denen sich zwei spanische Industrieverbände gegen eine bestimmte Vorschrift wehren.

Das spanische Datenschutzrecht erlaubt die Verwendung von personenbezogenen Daten, wenn berechtigte Interessen des Verarbeiters der Daten bestehen und die Grundrechte und Grundfreiheiten der betroffenen Person nicht verle.tzt werden. Dies entspricht einer Regelung in Artikel 7 Abschnitt. f der Europäischen Datenschutzrichtlinie (95/46/EG aus dem Jahr 1995¹. Die spanische Vorschrift findet jedoch nur noch Anwendung, wenn die betroffenen Daten aus öffentlich zugänglichen Quellen stammen. Diese zusätzliche Anforderung findet sich nicht in der Europäischen Datenschutzrichtlinie.

Der spanische Alleingang in Sachen Datenschutz ist nicht unüblich. Viele Mitgliedstaaten der Europäischen Union - Deutschland allen voran - haben nationale Gesetze erlassen, die über das Schutzniveau der Brüsseler Richtlinie hinausgehen. Sie haben sie bisher lediglich für einen Mindeststandard gehalten, der durch nationale Gesetze überschritten werden darf. Der Europäische Gerichtshof  widerspricht nun dieser Auslegung. Die Richtlinie führt nach seiner Ansicht nicht zu einer Mindestharmonisierung, sondern zu "einer grundsätzlich umfassenden Harmonisierung" . Nach dem Urteil vom 24. November ist es den nationalen Gesetzgebern nicht möglich, strengere Datenschutzregelungen zu verankern.

Der Europäische Gerichtshof unterstützt mit seiner Entscheidung zugleich das Ziel der Europäischen Kommission, die Harmonisierung der Datenschutzgesetze innerhalb der Europäischen Union weiter durchzusetzen. Viviane Reding, Vizepräsidentin der Europäischen Kommission, kritisiert die aus ihrer Sicht fragmentierte nationale Gesetzgebung und schlägt eine einheitliche europäische Datenschutzverordnung vor, die nationale Einzelregelungen weitgehend ablösen soll. Dies geht aus einem ersten inoffiziellen Entwurf hervor, der im Internet veröffentlicht wurde. Reding will den offiziellen Reformentwurf der Europäischen Kommission Ende Januar2012 vorlegen.

Nach Ansicht des Europäischen Gerichtshofs ist der von Justizkommissarin Reding kritisierte Zustand der nationalen Gesetzgebung aber vermutlich nicht so uneinheitlich, wie er auf den ersten Blick erscheinen mag. Eine strenge Auslegung der Entscheidung legt nahe, dass jede Datenverarbeitung, die gemäß der Richtlinie zulässig ist, nicht durch nationale Gesetzgebung beschränkt werden darf. Dies stellt die Gültigkeit der zersplitterten Bestimmungen in den nationalen Datenschutzgesetzen der Europäischen Union in Frage. Wenn die Abweichungen zu der Brüsseler Richtlinie unwirksam  sind, dann ist das geltende Datenschutzrecht vielleicht einheitlicher als bisher angenommen.

Das Urteil des Gerichtshofs gibt jedenfalls die Richtung für die Reform des europäischen Datenschutzrechts vor: Es bedarf einer strikten Harmonisierung. Nationale Alleingänge soll es nicht mehr geben. Um dieses Ziel zu erreichen, müssen Länder mit besonders strengen Regelungen kompromissbereit sein. Außerdem sollte das bestehende Ungleichgewicht nicht weiter ausgebaut werden. Vor diesem Hintergrund muss der derzeit im Bundestag verhandelte Entwurf für ein neues Recht des Beschäftigtendatenschutzes überdacht werden. Er hält in der vorliegenden Form den Anforderungen des Europäischen Gerichtshofs nicht stand.

Deutschland stützt sein bisheriges Verhalten auf eine Bestimmung der Datenschutzrichtlinie, der zufolge die nationalen Gesetzgeber die Voraussetzungen näher bestimmen sollen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist (Artikel 5. Der Europäische Gerichtshof bestätigte in einer früheren Entscheidung (Fall „Lindqvist"; Az.: C 101/01), dass die Richtlinie den Mitgliedstaaten "in vielerlei Hinsicht einen Handlungsspielraum" lasse. Die Luxemburger Richter betonten aber bereits damals, dass dieser Handlungsspielraum dem übergeordneten Ziel der Direktive geschuldet sei, den freien Datenverkehr zu ermöglichen. Diese Anforderung spezifiziert das Gericht in seiner neuen Entscheidung und verschärft sie.

Grundsätzlich sind Verstöße gegen europäische Richtlinien nicht unüblich. Die Brüsseler Kommission führt ungezählte Vertragsverletzungsverfahren gegen Mitgliedsländer. Sie dauern Jahre, bevor sie in der Praxis Folgen zeigen. Es ist daher wichtig, dass der Gerichtshof in seinem aktuellen Urteil nicht nur einen Verstoß des spanischen Gesetzgebers festgestellt hat, sondern auch klarstellt, dass Artikel 7 Abschnitt f der Richtlinie unmittelbare Wirkung hat. Das spanische Gericht, das den Fall den Europarichtem vorgelegt hatte, kann jetzt den Wortlaut des bestehenden spanischen Gesetzes ignorieren und Gunsten der zwei Verbände entscheiden. die den Fall ins Rollen gebracht haben.

Der Richterspruch stellt alle Unternehmen und Datenschutzbehörden in Europa vor eine große Herausforderung. Wie sollten sie jetzt beurteilen, weiche nationalen Datenschutzvorschriften wirksam sind und welche nicht? Man könnte argumentieren, dass jegliche Verarbeitung personenbezogener Daten nur noch nach den Regelungen der Datenschutzrichtlinie zu beurteilen ist. Andererseits werden die Datenschutzbehörden nur ungern auf die bestehenden nationalen Beschränkungen verzichten. Der Europäische Gerichtshof räumt in seiner Entscheidung auch ein, dass in gewissem Umfang die Bestimmungen der Richtlinien ausgefüllt werden dürfen. Außerdem haben viele Unternehmen interne Richtlinie, die häufig strenger als die gesetzlichen Vorgaben sind. Deshalb müssen betroffene Bürger keine plötzliche Erosion beim Datenschutz befürchten.