Weltenbeschreibungen

Die Analyse der Datenschutz-Grundverordnung konzentriert sich auf die Verhandlungen nach Bekanntgabe des Kommissionsentwurfs am 25. Januar 2012, wodurch das Gesetzgebungsverfahren offiziell eröffnet wurde. Die Verhandlungen rund um die Verordnung dauerten insgesamt vier Jahre. Während dieser Zeit versammelten sich verschiedene Akteure und Instanzen um den Streitgegenstand der „Datenschutz-Grundverordnung“ und diskutierten und kämpften um ihre Ausgestaltung. Dabei ginges selten nur um den Streitgegenstand selbst. Vielmehr wurden verschieden Interessen und Deutungen mitverhandelt, die die digitale Welt insgesamt betreffen; sei es nun der Stellenwert ökonomischer Interessen in modernen Nationalstaaten oder ein bestimmtes Verständnis davon, wie demokratische Gesellschaften gestaltet und regiert werden sollten. In den Verhandlungen trafen all diese verschiedenen Interessen, Ziele und Werte aufeinander. Diese sind nicht zwangsläufig an einzelne Akteure gebunden. Wir konzentrieren uns in unserer Analyse deshalb, statt auf einzelne Personen, auf verschiedene soziale Welten und deren Vertreter*innen. Soziale Welten können als kollektive Akteure verstanden werden, denen eine geteilte Kernpraktik gemein ist, d. h. eine Aktivität, die alle Mitglieder der sozialen Welt ausüben (Bsp. Verwertung persönlicher Daten zur Profitgenerierung). Diese Tätigkeit wird meist auf eine bestimmte Art und Weise ausgeführt, man könnte auch sagen sie folgt im weitesten Sinne einer bestimmten Technik (Bsp. Schreiben von Algorithmen). Schließlich finden die Tätigkeiten an einem bestimmte Ort statt (Bsp. Bürogebäude). Vertreten werden die sozialen Welten in der Regel durch verschiedene Repräsentant*innen, beispielsweise Wirtschaftslobbyist*innen als Vertreter*innen der Welt der Digitalökonomie. Soziale Welten sind nicht als statische Gebilde zu verstehen, ihre Grenzen und Ordnungen sind fluide. Welten können mit anderen Welten in Beziehung treten, sich austauschen, Verhandlungen eingehen, Kompromisse schließen bis hin zum Führen von harten Auseinandersetzungen und Kämpfen. Eine Welt kann in sich widersprüchlich sein und aus Uneinigkeiten können neue Subwelten hervorgehen. Die Grafik beschreibt die an den Aushandlungen beteiligten sozialen Welten und Subwelten sowie deren Positionen in den Verhandlungen.

Bundesländer

Aufgrund der föderalen Struktur der Bundesrepublik Deutschland existieren in allen Bundesländern eigene Landesdatenschutzgesetze, die den Umgang mit personenbezogenen Daten durch die öffentliche Verwaltung regeln. Der Datenumgang der jeweiligen Landespolizei ist wiederum in der Regel in den Polizeigesetzen der Länder geregelt. Daneben existieren weitere landesspezifische Spezialgesetze zum Datenschutz. Auch diese Gesetze sind vom Erlass der Datenschutz-Grundverordnung betroffen und müssen bis zum Geltungsbeginn der Verordnung im Jahr 2018 überarbeitet und angepasst werden.

Über den Bundesrat können die Landesregierungen Einfluss auf den Gesetzgebungsprozess auf Bundesebene nehmen.

Der Bundesrat weist darauf hin, dass Besetzungs- und Entscheidungsverfahren des europäischen Datenschutzausschusses jedenfalls bei seiner Ausgestaltung als europäischer Einrichtung mit verbindlichen Entscheidungsbefugnissen wegen der damit verbundenen Verlagerung von Verwaltungskompetenzen der Länder bereits im Rahmen der vorgeschlagenen Datenschutz-Grundverordnung so ausgebildet werden müssen, dass sie mit der innerstaatlichen Kompetenzverteilung in Einklang gebracht werden können. Die Anforderungen an die Entsendung mitgliedstaatlicher Vertreter sollten deshalb so ausgeformt werden, dass innerstaatliche Abstimmungsprozesse der Datenschutzaufsichtsbehörden, wie sie zum Beispiel im Bereich der Zusammenarbeit von Bund und Ländern in EU-Angelegenheiten erprobt sind, durch das Unionsrecht weder formal noch durch verfahrensrechtliche Anforderungen wie etwa kurze Entscheidungsfristen ausgeschlossen werden.

Stellungnahme des Bundesrats zum Vorschlag für eine Datenschutz-Grundverordnung, 28.11.20141

  1. BR-Drs. 550/14, 6, http://www.bundesrat.de/SharedDocs/drucksachen/2014/0501-0600/550-14(B).pdf?__
    blob=publicationFile&v=1 ↩︎

Bundesregierung

Die Bundesregierung ist mit ihren Minister*innen im Rat der Europäischen Union vertreten. Den Bundesminister*innen gegenüber hat die Bundeskanzlerin eine Richtlinienkompetenz inne. Als wirtschaftlich leistungsfähigster und bevölkerungsreichster Mitgliedstaat der Europäischen Union hat die Bundesrepublik Deutschland großes Gewicht bei Entscheidungen auf europäischer Ebene – auch zum Datenschutz.

In den Verhandlungen zur Datenschutz-Grundverordnung galt die Bundesregierung fast durchgängig als Vertreterin einer eher wirtschaftsfreundlichen Position:

Wir müssen hohe Datensicherheit haben, aber wenn wir uns das Big Data Management, wenn wir uns die Möglichkeit der Verarbeitung großer Datenmengen durch einen falschen rechtlichen Rahmen zu sehr einengen, dann wird nicht mehr viel Wertschöpfung in Europa stattfinden. Das wäre für uns von großem Nachteil.

Angela Merkel, Rede, 9. Nationaler IT-Gipfel, 19.11.20151

Im aktuellen Koalitionsvertrag aus dem Jahr 2013 heißt es zur Datenschutz-Grundverordnung:

Die EU-Datenschutzgrundverordnung muss zügig weiter verhandelt und schnell verabschiedet werden, um europaweit ein einheitliches Schutzniveau beim Datenschutz zu garantieren. Die strengen deutschen Standards beim Datenschutz, gerade auch beim Datenaustausch zwischen Bürgern und Behörden wollen wir bewahren. Europa braucht ein einheitliches Datenschutzrecht für die Wirtschaft, in dem alle Anbieter, die in Europa ihre Dienste anbieten, dem europäischen Datenschutzrecht unterliegen (Marktortprinzip). Die Grundsätze der Zweckbindung, der Datensparsamkeit und -sicherheit, der Einwilligungsvorbehalt, das Recht auf Löschen und das Recht auf Datenportabilität müssen in der Verordnung gewahrt bleiben.


  1. https://www.bundesregierung.de/Content/DE/Rede/2015/11/2015-11-19-merkel-it-gipfel.html. ↩︎

Bundestag

In der Bundesrepublik Deutschland bildet der Bundestag zusammen mit dem Bundesrat als Vertretung der Bundesländer die Legislative. Die Verlagerung von Gesetzgebungsbefugnissen auf die Europäische Union bedeutet einen teilweisen Einflussverlust für den Deutschen Bundestag. Einige Kritiker sehen darin gleichzeitig eine Schwächung der demokratischen Rückkopplung der Rechtsetzung, da sie der Europäischen Union ein Demokratiedefizit attestieren. Dies gilt auch für den Wechsel von der Datenschutzrichtlinie zur Datenschutz-Grundverordnung. Wo eine europäische Richtlinie noch ein nationales Umsetzungsgesetz erfordert, bei dem ein gewisser Umsetzungsspielraum verbleibt, gilt eine europäische Verordnung direkt und ohne Umsetzungsakt in den Mitgliedstaaten. Die Datenschutz-Grundverordnung enthält jedoch zahlreiche Öffnungsklauseln. Diese ermöglichen es den Mitgliedstaaten in bestimmten Bereichen eigene Vorschriften beizubehalten oder zu erlassen, sodass der Wechsel vom Instrument der Richtlinie zur Verordnung spürbar abgemildert wird.

Zur Zeit der Aushandlungen der Datenschutz-Grundverordnung stellten von den fünf im Deutschen Bundestag vertretenen Parteien drei die Bundesregierung (CDU, CSU und SPD) und waren somit indirekt an den Verhandlungen zur Datenschutz-Grundverordnung beteiligt. Die Opposition besteht derzeit aus den Parteien “Die Linke” und “Bündnis 90/Die Grünen”.

Eine indirekte Beteiligung aller genannten Parteien an den Verhandlungen zur Datenschutz-Grundverordnung ergab sich über das Europäische Parlament, dem wiederum Mitglieder der im Deutschen Bundestag vertretenen Parteien angehören, und die dort zusammen mit gleichgesinnten Abgeordneten anderer Mitgliedstaaten der Europäischen Union Fraktionen gebildet haben.

Der aktuelle datenschutzrechtliche Zustand ist unhaltbar. (…) Wenn Daten nicht geschützt werden, können etliche private Informationen an jeden gelangen, der genug dafür zahlt. (…) Der Rat hat die Überarbeitung der Datenschutzrichtlinie jahrelang blockiert! Die Länder haben damit den Schutz der Grundrechte ihrer Bürger verhindert. Und sie werden auch im Trilog versuchen, eine verwässerte Version durchzubringen.

Birgit Sippel, Abgeordnete der SPD und Sprecherin/Koordinatorin der S&D-Fraktion Fraktion der Progressiven Allianz der Sozialisten & Demokraten) im Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE), 25.06.2015)1

Wir leben im Zeit­al­ter der digi­ta­len Revo­lu­tion, in der Daten die neue Wäh­rung sind. (…) Aus die­sem Grund müs­sen wir die Pri­vat­sphäre unse­rer Bür­ger noch bes­ser als zuvor schüt­zen, denn sie haben ein Recht dar­auf, dass ihre Daten geheim blei­ben. In die­sem Grund­satz dür­fen wir uns nicht beir­ren las­sen. Daten­schutz ist ein Grund­recht! Dabei ist es wich­tig, dass die Stan­dards trotz erheb­li­cher Ver­bes­se­run­gen für die Nut­zer auch für die Wirt­schaft noch prak­ti­ka­bel blei­ben. (…) Bei der Rats­po­si­tion han­delt es sich um kein geschrie­be­nes Gesetz, es ist ledig­lich eine Aus­gangs­lage für die anste­hen­den Ver­hand­lun­gen. Sowohl das Par­la­ment als auch die Mit­glied­staa­ten soll­ten den Mut haben, auch von der eige­nen Posi­tion abzu­rü­cken und den Text zu ver­bes­sern, um den best­mög­li­chen Daten­schutz zu gewähr­leis­ten.

Axel Voss, Mit­glied und stell­ver­tre­ten­der Vor­sit­zen­der des Rechts­aus­schus­ses des Eu­ro­päi­schen Par­la­ments und Berichterstatter seiner Fraktion CDU/CSU für die Über­ar­bei­tung der EU-Datenschutzverordnung, 25.06.20152

Nicht vertreten im Deutschen Bundestag ist die “Piratenpartei Deutschland”, für die Datenschutz und der Schutz der Privatsphäre in der digitalen Welt programmatische Schwerpunkte darstellen. Die Partei ist jedoch in vier deutschen Landesparlamenten vertreten (Schleswig-Holstein, Berlin, Nordrhein-Westfalen, Saarland) sowie mit einem Abgeordneten im Europäischen Parlament (Stand August 2016).


  1. https://www.artegic.de/blog/pressespiegel-der-trilog-zur-europaeischen-datenschutzgrundverordnung/. ↩︎

  2. https://www.artegic.de/blog/pressespiegel-der-trilog-zur-europaeischen-datenschutzgrundverordnung/. ↩︎

Bundesverfassungsgericht

Das Bundesverfassungsgericht ist „Hüter des Grundgesetzes“ und wacht über die Einhaltung deutscher Grundrechte. Im Jahr 1983 erkannte es in seinem Volkszählungsurteil das bereits zuvor in der juristischen Literatur diskutierte Grundrecht auf informationelle Selbstbestimmung an, das seither den grundrechtlichen Rahmen für die Verarbeitung von personenbezogenen Daten in der Bundesrepublik Deutschland bildet. Das Grundrecht „gewährleistet die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“ und damit „selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden“1:

Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden.

BVerfGE65, 1 (43), 15.12.1983. [43^]

Der Schutzbereich des Rechts auf informationelle Selbstbestimmung ist auf den Umgang mit personenbezogenen Daten beschränkt. Diese sind nach der Definition des § 3 Abs. 1 Bundesdatenschutzgesetz „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Auf die Qualität des Datums kommt es dabei nicht an. Vielmehr stellt das Gericht fest, dass es gerade durch den technischen Fortschritt und der damit verbundenen Möglichkeit des Sammelns und des Kombinierens von Daten „kein belangloses Datum“ mehr gibt. Jede für sich gesehen noch so unerhebliche Information kann in Verknüpfung mit anderen Daten Rückschlüsse auf die Betroffenen, ihren Lebensweg und ihre Persönlichkeit ermöglichen. Einzelinformationen können heute zu einem „weitgehend vollständigen Persönlichkeitsbild zusammengefügt werden“. Unterschiedliche Sphären existieren beim Recht auf informationelle Selbstbestimmung daher nicht; vielmehr ist die Selbstbestimmung über jede Information, die die Betroffenen betrifft, in gleichem Maße schutzwürdig.

Ein Eingriff in das Recht auf informationelle Selbstbestimmung liegt in jeder fremdbestimmten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten. Beschränkungen der informationellen Selbstbestimmung bedürfen einer „(verfassungsmäßigen) gesetzlichen Grundlage, aus der sich die Voraussetzungen und der Umfang der Beschränkungen klar und für den Bürger erkennbar ergeben und die damit dem rechtsstaatlichen Gebot der Normenklarheit entspricht“.

Auf europäischer Ebene stehen dem Bundesverfassungsgericht der Europäische Gerichtshof und der Europäische Gerichtshof für Menschenrechte (EGMR) gegenüber, die über die Einhaltung der Charta der Grundrechte der Europäischen Union und der Europäischen Menschenrechtskonvention wachen. Die Grundrechtecharta ist stark vom deutschen Grundgesetz beeinflusst und entstand im Zuge des europäischen „Grundrechtekonvents“ von 1999/2000, der vom ehemaligen Bundespräsidenten und Präsidenten des Bundesverfassungsgerichts Roman Herzog geleitet wurde.


  1. BVerfG 65, 1 (42). ↩︎

Datenschutzaktivist*innen

Ziel der Datenschutzaktivist*innen ist es, den Datenschutz zu stärken und die informationelle Selbstbestimmung des Einzelnen sowie Privatheit als Wert zu verteidigen. Häufig wird dabei auf ein höheres Ziel Bezug genommen, wie eine demokratische Gesellschaft, die zum Funktionieren und Überleben ein hohes Maß an informationeller Selbstbestimmung und an Privatheit als Bedingung voraussetzt. Datenschutz wird nicht nur als individuelles Recht gesehen, sondern auch als gesellschaftlicher Wert wahrgenommen. Die Datenschutz-Grundverordnung soll genau dies gewährleisten.

Why we need a Regulation (and not a Directive): An EU wide, unified approach to securing an appropriately high level of data protection, and to the safeguarding of essential elements of democratic societies such as privacy and free speech is long overdue. It is crucial in a fast changing digital environment.

(European Digital Rights (EDRi), Initial Comments on the Proposal for a Data Protection Regulation, 27.01.2012 1

Um diese Ziele zu erreichen, versuchen Datenschutzaktivist*innen auf die Gesetzgebung einzuwirken sowie die Bevölkerung in Bezug auf datenschutzrechtliche Themen und Probleme zu sensibilisieren. Die Aktivist*innen orientieren sich dabei an Werten wie Freiheit, Transparenz und Rechtsstaatlichkeit. Durch den Zusammenschluss von Interessengemeinschaften, Vereinen oder sonstigen Organisationen können sich Aktivist*innen mobilisieren und auf diese Weise erheblich ihre Rechtsposition steigern sowie politischen Druck erzeugen. Bürger*innen können sich diesen Bündnissen anschließen oder sie in Form von Spenden oder Unterschriften unterstützen. Es gibt zahlreiche Zusammenschlüsse, die sich international für den Datenschutz einsetzen und versucht haben, bei den Verhandlungen um die Datenschutz-Grundverordnung Einfluss zu nehmen. Beispielhaft hierfür sind der Chaos Computer Club e. V. (CCC), Digitalcourage e. V., die Digitale Gesellschaft e. V., Privacy International, Article 19, Initiative für Netzfreiheit oder European Digital Rights. Während des Verhandlungsprozesses wurden insbesondere Forderungen nach einem starken Datenschutz, einer europäischen Harmonisierung und einheitlichen Durchsetzbarkeit des Datenschutzrechts sowie mehr Transparenz politischer Aushandlungsprozesse laut. Gleichzeitig versuchten die Datenschutzaktivist*innen immer wieder durch öffentliche Stellungnahmen oder die Veröffentlichung von Leaks Einfluss auf den Verhandlungsprozess zu nehmen.

Auf internationaler Ebene ist Privacy International ein wichtiger datenschutzrechtlicher Akteur, der es sich zur Aufgabe gemacht hat, für die Privatheit zu kämpfen, sich für ihren Schutz einzusetzen und internationale Überwachungstätigkeiten aufzudecken. Der Verbund von Menschenrechtsanwälten aus zwanzig Ländern versteht sich als globale Bewegung. Dabei schützen sie das Recht auf Privatheit, indem sie ihre Expertise bei lokalen, regionalen sowie internationalen Debatten einbringen.2 Von der Datenschutz-Grundverordnung ist die Menschenrechtsbewegung eher enttäuscht, da sie dem technischen Fortschritt der digitalen Welt nicht gerecht werde. Insbesondere seien technische Problemfelder wie „privacy by design“ oder die Profilbildung nicht genug berücksichtigt worden.

If the purpose of this reform was to strengthen people’s control over their personal information and improve enforcement, our governments have achieved the exact opposite. The Council revisions to the draft data protection Regulations have done their best to disembowel some of the fundamental principles and further disempower individuals and their representatives by weakening rights. Moreover, any notion of harmonised, predictable rules across the Union have gone out of the window; in over a quarter of all the articles of this Regulation individual governments can develop their own rules.

(Anne Fielder, Vorstandsvorsitzende Privacy International, 15.06.2015)3

Auf deutscher Ebene gehört der CCC als größte europäische Hackervereinigung zu den stärksten Datenschutzaktivist*innen. Sie engagieren sich als Vermittler in Spannungsfeldern, die sich aus technischen und sozialen Entwicklungen ergeben. Sie möchten insbesondere auf Datenschutzproblemfelder und die Datensammelpraktiken von Großkonzernen aufmerksam machen.4 So forderten sie etwa zu Beginn der Verhandlungen um die Datenschutz-Grundverordnung zusammen mit anderen Datenschutzaktivist*innen in einem offenen Brief an den damaligen Bundesminister des Innern, Hans-Peter Friedrich, harmonisierte und auch durchsetzbare Datenschutzregeln für die gesamte Europäische Union.

Ein weiteres Beispiel ist die Online-Plattform „netzpolitik.org“. Sie engagiert sich für digitale Freiheitsrechte und ihre politische Umsetzung. Dabei thematisiert sie Fragen der Politik, des Internets und der Gesellschaft und möchte dabei aufzeigen, wie die Politik mit Regularien das Internet verändert. Ferner bietet das Portal seinen Leser*innen Lösungen an, wie sie sich eigenständig für die digitale Freiheit einsetzen können.

Neben Bürgerinitiativen oder Aktivist*innengruppen können auch die Aktivitäten von Einzelpersonen als Teil der politischen Aktivist*innen eine enorme Ausstrahlwirkung im Bereich des Datenschutzrechts haben. Ein populäres Beispiel aus den Medien ist der Rechtsstreit5 des österreichischen Juristen Maximilian Schrems gegen den Internetkonzern Facebook Inc. Dieser führte dazu, dass der Europäische Gerichtshof das „Safe Harbor-Abkommen“ mit den USA für ungültig erklärte. Zunächst klagte Schrems in Österreich, um zu erreichen, dass Facebook Inc. sich an das europäische Datenschutzrecht hält. Nach den Enthüllungen von Edward Snowden entschied er sich, gegen die Tochtergesellschaft von Facebook, „Facebook Ireland Ltd.“, gerichtlich vorzugehen, da diese für alle Facebook-Nutzungskonten außerhalb der USA zuständig ist.6 Hinter Schrems stand unter anderem der von ihm gegründete Verein „europe-v-facebook.org“, der ihn mit Spenden unterstützte.

It is good to see that this case was won overall, but one needs to remember that this legal fight over two years and up to the highest court in Europe was only to get the Irish DPC to simply open an investigation. It will be very interesting to see if they now also take action, or if they will again find reasons to not do their job in providing protection to users of Irish services. Given my experience I doubt that what is today mainly a ‘tech business protection authority’ will wake up tomorrow and turn into real ‘data protection authority’ – but I guess we’ll see soon.

(Maximilian Schrems, 21.10.2015)7

Der Einfluss von politischen Aktivist*innen kann somit zu weitreichenden Folgen für die gesamte Internetwirtschaft führen. Auch die Aufdeckungen von Edward Snowden machen diesen Effekt deutlich. So ist der Artikel 48 der Datenschutz-Grundverordnung auf seine Enthüllungen zurückzuführen, der die Vollstreckbarkeit und Anerkennung von Gerichts- und Verwaltungsbehördenentscheidungen von Drittländern behandelt.


  1. “Wieso wir eine Verordnung brauchen (und nicht eine Richtlinie): ein EU-weiter, einheitlicher Ansatz zur Sicherung eines angemessen hohen Levels an Datenschutz und zur Sicherstellung von essentiellen Elementen einer demokratischen Gesellschaft, wie Privatheit und Meinungsfreiheit, ist lange überfällig. Dies ist in einem schnelllebigen digitalen Umfeld entscheidend.” (eigene Übersetzung), https://edri.org/commentsdpr/. ↩︎

  2. https://www.privacyinternational.org/global-advocacy; https://www.privacyinternational.org/node/42. ↩︎

  3. “Wenn es der Zweck dieser Reform war, die Kontrolle der Menschen über ihre personenbezogenen Daten zu stärken und die Durchsetzung zu verbessern, hat unsere Regierung das genaue Gegenteil erreicht. Die Änderungen des Entwurfs der Datenschutz-Grundverordnung durch den Rat haben ihr übriges getan, um einige unserer fundamentalen Prinzipien auszuweiden und ferner den Einzelnen und seine Vertreter durch das Schwächen ihrer Rechte zu entmachten. Zudem existieren die Ideen einer Harmonisierung sowie vorhersehbarer unionsweiter Regulierungen nicht mehr. In über einem Viertel aller Artikel der Verordnung können die Regierungen der Mitgliedstaaten eigene Regelungen erlassen.” (eigene Übersetzung), Statement von Privacy International und European Digital Rights zur Einigung bezüglich der DSGVO,

    https://www.privacyinternational.org/node/597. ↩︎

  4. Interview mit Jan-Philipp Albrecht, Manfred Kloiber, Frank Rieger (CCC) und Peter Welchering zur Datenschutz-Grundverordnung auf dem 32. Chaos Communication Congress,http://www.deutschlandfunk.de/32-chaos-communication-congress-themen-rund-um-die-gated.684.de.html?dram:article_id=341339. ↩︎

  5. EuGH: Urteil vom 06.10.2015, Az. C-362/14. ↩︎

  6. Irish High Court: Data Protection Commissioner to investigate „Facebook“ over NSA spy program,

    http://www.europe-v-facebook.org/MU_HC.pdf. ↩︎

  7. “Es ist schön zu sehen, dass der Fall insgesamt gewonnen wurde. Man muss aber bedenken, dass der Rechtsstreit zwei Jahre lang dauerte und der Fall bis vor das höchste europäische Gericht ging, nur um festzustellen, dass die irische Datenschutzbehörde Ermittlungen einleiten darf. Es bleibt abzuwarten, ob diese nun auch etwas tun wird oder ob sie wieder einen Grund finden, um ihren Job nicht zu machen, nämlich den Nutzern des irischen Services einen Schutz bereitzustellen. Nach meinen Erfahrungen bezweifle ich, dass das, was heute überwiegend einer “Behörde zum Schutz von technischen Geschäftsbetrieben”gleicht, morgen aufwachen wird und sich in eine echte “Datenschutzbehörde” verwandelt - aber ich schätze, wir werden es bald sehen.” (eigene Übersetzung), Irish High Court: Data Protection Commissioner to investigate „Facebook“ over NSA spy program, http://www.europe-v-facebook.org/MU_HC.pdf. ↩︎

Datenschutzbehörden

Datenschutzbehörden existieren sowohl auf europäischer (Europäischer Datenschutzbeauftragter) als auch auf nationaler Ebene (nationale Datenschutzbehörden). Die Behörden sind für die Einhaltung des geltenden Datenschutzrechts sowie bei Datenschutzrechtsverstößen für eine entsprechende Sanktionierung zuständig und laut Gesetz unabhängige Institutionen. Die Aufsichtsfunktion umfasst den Schutz der Datensubjekte vor unrechtmäßigen Zugriffen sowohl durch den Staat als auch durch Unternehmen. Die Datenschutzbehörden setzen Datenschutz mit Hilfe der Datenschutzgesetze und der Gerichte durch. Der Begriff der Privatheit ist dem deutschen Recht jedoch weitgehend fremd. Um Privatheit dennoch schützen zu können, muss der Begriff zuerst in die Sprache des Rechts transformiert werden. Der Schutz erfolgt deshalb aus einem Rückgriff auf verschiedene Grundrechte, im Kontext von Datenverarbeitung insbesondere auf das Recht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts.

Im Hinblick auf geforderte Ausnahmen für die Wirtschaft ist es für die Datenschutzbeauftragten des Bundes und der Länder unabdingbar, in der Datenschutz-Grundverordnung an der bisherigen Systematik des Datenschutzrechts festzuhalten. Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn dies durch eine gesetzliche Grundlage oder die Einwilligung des Betroffenen legitimiert ist. Die hier für die Wirtschaft geforderten Ausnahmen lehnt die Konferenz ab. (…) Jede Verarbeitung scheinbar „belangloser“ Daten kann für den Einzelnen schwerwiegende Folgen haben, wie das Bundesverfassungsgericht bereits 1983 ausdrücklich klargestellt hat. Diese Aussage gilt heute mehr denn je.

Stellungnahme der der Datenschutzbeauftragten des Bundes und der Länder, 11.06.20121

Die institutionelle Anbindung der Datenschutzbehörden ermöglicht es ihnen, sich Gehör zu verschaffen, schränkt aber gleichzeitig auch ihren Handlungsspielraum ein, indem es sie an institutionelle Routinen bindet. Vielfach mahnen sie die gesetzliche Durchsetzbarkeit des Gesetzes auch zu gewährleisten und die Behörden mit entsprechenden Ressourcen auszustatten, da das Gesetz sonst wirkungslos bliebe. Gleichwohl existieren hinsichtlich der inhaltlichen Ausrichtung zwischen den einzelnen Datenschutzbehörden große Unterschiede. Während die irische Datenschutzbehörde regelmäßig mit dem Vorwurf konfrontiert wird, sehr wirtschaftsfreundlich zu agieren, gelten deutsche Datenschutzbehörden als weitaus datenschutzfreundlicher, wenngleich auch hier regionale Unterschiede bestehen.

Der Europäische Datenschutzbeauftragte fungiert als unabhängige Kontrollbehörde und überwacht das Datenschutzsystem.2 Nach Art. 1 Abs. 1 HS 1 der EG-Verordnung Nr. 45/2001 des Europäischen Parlaments und des Rates, müssen die Organe und Einrichtungen der Europäischen Gemeinschaft den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten gewährleisten. Der Europäische Datenschutzbeauftragte kontrolliert und überwacht, ob alle Verarbeitungen durch die Organe und Einrichtungen der Gemeinschaft dieser Verpflichtung nachkommen.

Der bis zum Jahr 2014 amtierende Europäische Datenschutzbeauftragte Peter Hustinx bemängelte den Ausschluss von Polizei und gesetzlichen Autoritäten im Kommissionsentwurf, sprach sich aber auch dafür aus, mehr nationale Spielräume einzubauen. Der nachfolgende europäische Datenschutzbeauftragte Giovanni Buttarelli kritisierte wiederum die Detailverliebtheit der drei Entwurfsversionen von EU-Kommission, Rat und Parlament. Sie seien nicht flexibel genug, um auf den künftigen technischen Wandel reagieren zu können.

Darüber hinaus bestellt jedes Organ und jede Einrichtung der Gemeinschaft mindestens eine Person als behördlichen Datenschutzbeauftragten für personenbezogene Daten. Der Europäische Datenschutzbeauftragte agiert auf europäischer Ebene und ähnelt den nationalen Datenschutzbeauftragten innerhalb der Mitgliedstaaten. Jede europäische Institution beschäftigt einen Datenschutzbeauftragten der Europäischen Kommission. Ihre Aufgabe ist es, sicherzustellen, dass die Verordnung innerhalb der Europäischen Union zur Anwendung kommt. Dabei handeln sie in enger Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten. Jeder Mitgliedstaat der Europäischen Union beschäftigt einen nationalen Datenschutzbeauftragten. Für Deutschland ist dies derzeit die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, die auf Vorschlag der Bundesregierung vom Deutschen Bundestag gewählt wurde. Sie ist für jegliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche Stellen des Bundes sowie im Bereich der Privatwirtschaft für Telekommunikations- und Postunternehmen zuständig.3 Seit dem Jahr 2016 untersteht ihre Behörde nicht mehr dem Bundesinnenministerium; sie ist seither unabhängig und nur noch gegenüber dem Parlament verantwortlich. Innerhalb Deutschlands hat jedes Bundesland einen Landesbeauftragten für den Datenschutz bzw.den sog. Datenschutzbeauftragten. Zuseinen Aufgaben gehört das Beraten und Überprüfen aller öffentlichen Stellen des Landes (z. B. Industrie- und Handelskammern, Behörden, Gemeinden oder Hochschulen) im Bereich des Datenschutzes. In den meisten Bundesländern ist er zugleich die zuständige Aufsichtsbehörde für nicht-öffentliche Stellen (z. B. Parteien, Vereine oder Wirtschaftsunternehmen). Sofern Privatpersonen Fragen im Bereich des Datenschutzes haben, können sie sich vonihm oder der entsprechenden Aufsichtsbehörde kostenlos beraten lassen.4

Die unabhängigen Datenschutzbehörden des Bundes und der Länder bilden als Zusammenschluss die sog. Datenschutzkonferenz. Zu den Mitgliedern gehören die Bundesbeauftragte für den Datenschutz, die Beauftragten für den Datenschutz der Länder und der Präsident des Bayerischen Landesamtes für Datenschutz. Ziele des Zusammenschlusses sind die Wahrung und der Schutz der relevanten Grundrechte sowie das Erreichen einer einheitlichen Anwendung des Datenschutzrechts innerhalb Deutschlands. Aus diesem Grund hat die Datenschutzkonferenz von Beginn an die Datenschutzreform um die Datenschutz-Grundverordnung mit dem Ziel unterstützt, einen modernen und stabilen Datenschutzrechtsrahmen für die Europäische Union bereitzustellen, ohne aber das derzeit herrschende Datenschutzniveau zu unterbieten.5 Dabei kritisierte sie besonders das Fehlen spezifischer Anforderungen zur Profilbildung oder der Videoüberwachung und mahnte bei den Verhandlungen, die Autonomie des Einzelnen, die Transparenz und Zweckbindung bei der Datenverarbeitung sowie die Verantwortlichkeit der/des Datenverarbeitenden nicht außer Acht zu lassen.


  1. https://ssl.bremen.de/datenschutz/sixcms/detail.php?gsid=bremen236.c.7507.de. ↩︎

  2. Zweiter Erwägungsgrund der Verordnung Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18.12.2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr, Amtsblatt L8/1 vom 12.01.2001. ↩︎

  3. https://www.datenschutzbeauftragter-info.de/datenschutzbeauftragte-von-bund-und-laendern/. ↩︎

  4. https://www.datenschutzbeauftragter-info.de/datenschutzbeauftragte-von-bund-und-laendern/. ↩︎

  5. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 14.08.2015,Datenschutzrechtliche Kernpunkte für die Trilogverhandlungen der Datenschutz-Grundverordnung, http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/20150826_Verbesserung DSGrundverordnung.pdf?__blob=publicationFile&v=3. ↩︎

Der Europäische Gerichtshof

Der Europäische Gerichtshof (EuGH) hat die Aufgabe das Unionsrecht bei dessen Auslegung und Anwendung zu bewahren. Sein Ziel ist die einheitliche Interpretation des EU-Rechts und die Achtung des Rechts durch die EU-Staaten und Institutionen. Der EuGH bildet zusammen mit dem Gericht der Europäischen Union (EuG) und dem Gericht für den öffentlichen Dienst (EuGöD) den Gerichtshof der Europäischen Union. Während das Gericht für Klagen der Mitgliedstaaten und von Privaten gegen die EU-Organe zuständig ist, entscheidet das EuGöD über Streitigkeiten aller Organe, Einrichtungen und Agenturen der Union mit ihren eigenen Bediensteten.

Der Gerichtshof besteht gemäß Art. 19 Abs. 2 UAbs. 1 EUV aus einem Richter je Mitgliedstaat und wird dabei von neun Generalanwälten unterstützt. Die Generalanwälte geben begründete Schlussanträge zu den beim Gerichtshof anhängigen Rechtssachen ab, denen die Richter des EuGH in den meisten Fällen folgen.

Der EuGH hat sich in der jüngeren Vergangenheit durchaus für den Datenschutz verdient gemacht. So hat er schon im Jahr 2003 in der Lindqvist-Entscheidung (EuGH, Urt. v. 6.11.2003, Rs. C-101/01) festgestellt, dass die Verwendung personenbezogener Daten auf einer Webseite eine automatisierte Verarbeitung im Sinne der EG-Richtlinie 95/46/EG ist, so dass grundsätzlich die Richtlinie Anwendung findet, und dass der Begriff der personenbezogenen Daten weit zu verstehen ist. Was Suchmaschinen angeht, hat der EuGH in der Google-Spain Entscheidung (EuGH, Urt. v. 13.5.2014, Rs. C-131/12) geurteilt, dass der Betreiber einer Suchmaschine verpflichtet sein kann, Einträge aus der Ergebnisliste zu entfernen, wenn der betroffenen Person ansonsten ein Schaden entstehen würde und führt das auf die Art. 7 und 8 der Charta zurück. In seinem Urteil zur Vorratsdatenspeicherung (EuGH, Urt. 8.4.2014, Rs. C-293/12) hat der Gerichtshof festgestellt, dass die Verpflichtung zur Vorratsspeicherung von Daten und der Gestattung des Zugangs der zuständigen nationalen Behörden zu ihnen einen besonders schwerwiegenden Eingriff der Richtlinie in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellt und aus diesem Grund die Richtlinie über die Vorratsspeicherung von Daten für ungültig erklärt. In dieser Linie steht auch das Facebook-Urteil des EuGH, in dem er das sogenannte Safe-Harbor-Abkommen zwischen den USA und der Europäischen Union gekippt hat. Die persönlichen Daten europäischer Nutzer seien in den USA nicht ausreichend vor dem Zugriff der Sicherheitsbehörden geschützt.

Der Europäische Gerichtshof wird mit Inkrafttreten der Datenschutz-Grundverordnung einen deutlichen Zuwachs an Einfluss im Bereich des Datenschutzrechts gewinnen. Viele Fragen der praktischen Ausgestaltung der neuen Verordnung sind noch nicht geregelt und werden zum Teil vor Gericht geklärt werden müssen.

Deutsche Unternehmen

Deutschland bildet im internationalen Vergleich den fünftgrößten Markt in der Informations- und Kommunikationstechnologie-Branche – hinter den USA, China, Japan und Großbritannien.1 Der rasante Fortschritt in diesem Bereich führt dazu, dass sich die Märkte und Marktstrukturen sehr schnell verändern und neue Marktführer die Digitalwirtschaft erobern. Ein Beispiel hierfür ist das Unternehmen Zalando SE. Der Online-Versandhändler ist, bezogen auf den Umsatz, bereits wenige Jahre nach seiner Gründung im Jahr 2008, zum drittgrößten Versandhändler Deutschlands aufgestiegen. Dabei sieht das Unternehmen in strengen Datenschutzvorschriften vor allem einen Wettbewerbsnachteil gegenüber US-Unternehmen.

Bevor wir uns der Schaffung neuer Regularien zuwenden, sollten zunächst die bestehenden gesetzlichen Regelungen genutzt und im Einzelfall – wenn nötig – an die veränderten Gegebenheiten der digitalen Welt angepasst werden. Aus unserer Sicht bremst eine weitere Regulierung vor allem Innovationen in Deutschland und Europa, fördert damit Rechtsunsicherheit und Bürokratie für junge und unerfahrene Start-ups und schafft so letztlich Markteintrittsbarrieren.

(Zalando SE, 13.04.2016)2

Aufgrund der schnellen konzeptionellen aber auch rechtlichen Veränderungen wird sich die deutsche Digitalwirtschaft permanent neu justieren müssen. Im Zuge der Datenschutz-Grundverordnung kommen viele Änderungen, neue Herausforderungen und zusätzliche Kosten auf deutsche Unternehmen zu. Darüber hinaus werden sich die bisherigen Regeln des Bundesdatenschutzgesetzes, des Telemediengesetzes und des Telekommunikationsgesetzes wesentlich verändern, sodass für die Unternehmen der Digitalwirtschaft eine enorme Planungsunsicherheit entsteht. Sie müssen ihre Geschäftsprozesse grundlegend auf Kompatibilität mit den neuen rechtlichen Vorgaben und Rahmenbedingungen prüfen. Insbesondere die in Deutschland besonders vertretenen kleinen und mittelständischen Unternehmen fürchten daher die auf sie zukommenden Änderungen und die aus notwendigen Umstellungen resultierenden Kosten.

Eine EU-weite Datenschutz-Grundverordnung (EU-DSGVO) bietet die große Chance, das Datenschutzrecht in Europa umfassend zu modernisieren und zu harmonisieren und damit den europäischen Binnenmarkt zu stärken. Der BVMW begrüßt diese Bestrebungen. Der vorliegende Entwurf bedarf jedoch einer Mittelstandsklausel, damit der europäische Mittelstand im internationalen Wettbewerb bestehen kann. Die überwiegend mittelständisch geprägte Digitale Wirtschaft in Deutschland braucht eine verfügbare und leistungsfähige IT-Infrastruktur sowie eine nachhaltige Datenpolitik, um einen verantwortungsvollen Umgang mit Daten zu ermöglichen und global konkurrenzfähig zu sein.

Positionspapier des Bundesverband mittelständische Wirtschaft, 20.12.20143

Das neue Daten­schutz­re­gle­ment soll keine unnö­ti­gen büro­kra­ti­schen Hür­den für Unter­neh­men schaf­fen, son­dern die Wett­be­werbs­fä­hig­keit euro­päi­scher Unter­neh­men unter­stüt­zen. Des­we­gen brau­chen wir glei­che Wett­be­werbs­be­din­gun­gen für eine starke euro­päi­sche Wirt­schaft sowie dif­fe­ren­zier­tere Stan­dards für kleine, mittelständische- und große Unter­neh­men.

(Axel Voss, Mit­glied und stell­ver­tre­ten­der Vor­sit­zen­der des Rechts­aus­schus­ses des Eu­ro­päi­schen Par­la­ments und Berichterstatter seiner Fraktion CDU/CSU für die Über­ar­bei­tung der EU-Datenschutzverordnung, 25.06.2015)4

  1. Bundesministerium für Wirtschaft und Energie, Monitoring-Report Wirtschaft DIGITAL 2015, 2015, S. 7. ↩︎

  2. https://www.bundestag.de/blob/418118/64f73092f5748d9cbe29a02832c2fae9/stellungnahme_menz-data.pdf. ↩︎

  3. https://www.bvmw.de/fileadmin/download/Downloads_allg._Dokumente/politik/positionspapiere/positionspapier_eu-datenschutz-grundverordnung.pdf. ↩︎

  4. https://www.artegic.de/blog/pressespiegel-der-trilog-zur-europaeischen-datenschutzgrundverordnung/. ↩︎

Deutsches Recht

Das deutsche Datenschutzrecht wurde von vielen Akteuren gerade innerhalb der Diskussionen in Deutschland als ein “best pratice Beispiel” hochgehalten und als Vorbild für die Datenschutz-Grundverordnung propagiert.

Anstatt Unternehmen, wie bisher, mit einer Vielzahl verschiedener Gesetze, mit teils unzureichender Passgenauigkeit und Konkretisierung, zu konfrontieren, kann die EU-Datenschutzverordnung ein einheitliches Regelwerk für alle betroffenen Märkte schaffen. Hier kann die deutsche Gesetzgebung als Vorbild dienen, da diese, trotz historisch bedingter fehlender Berücksichtigung digitaler Medien, bereits ein selbstbestimmtes Verständnis von Datenschutz geschaffen hat. Dabei ist insbesondere der Wahrnehmung entgegenzutreten, deutsche Datenschutzstandards würden den Einsatz moderner Marketinginstrumente wie Personalisierung, Profilierung und Tracking verbieten und damit einen generellen Nachteil schaffen. Denn grundsätzlich dürfen deutsche Unternehmen das Gleiche wie Unternehmen in den USA – mit dem Unterschied, dass sie hierzu eine wirksame Einwilligung des jeweils betroffenen Nutzers einholen müssen, wenn sie personenbezogene Daten verwenden.

Bundesverbandes Digitale Wirtschaft e.V., 18.10.20131

Das deutsche Datenschutzrecht setzt sich aus dem Verfassungsrecht und verschiedenen einfachgesetzlichen Vorschriften zusammen. Für dieses ist das verfassungsrechtlich geschützte Recht auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz grundlegend. Dieses gibt jedem das Recht, grundsätzlich selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen. Auf diese Weise soll den Veränderungen und neuen Risiken der Informationstechnologien entgegengewirkt werden. Zu den einfachgesetzlichen Vorschriften des Datenschutzrechts gehören das Bundesdatenschutzgesetz, das Telemediengesetz, das Telekommunikationsgesetz sowie weitere fachspezifische Einzelvorschriften, wobei das Bundesdatenschutzgesetz aus dem Jahr 1977 die zentrale Datenschutzvorschrift des deutschen Rechts darstellt. Ferner hat jedes Bundesland neben dem Bundesdatenschutzgesetz ein eigenes Landesdatenschutzgesetz. Sofern es bereichsspezifische Vorschriften in Bezug auf spezielle Lebensbereiche gibt, die präzisere, weitergehende oder abweichende Regelungen treffen, als das Bundesdatenschutzgesetz in diesen Bereichen, tritt dieses in der Anwendung gegenüber den bereichsspezifischen Vorschriften zurück. So wird das Telemediengesetz angewandt, sofern personenbezogenen Daten im Internet verarbeitet werden und das Telekommunikationsgesetz, wenn es zum Einsatz von Telekommunikationstechniken kommt.

Das deutsche Datenschutzrecht wurde zum Teil von den europäischen Vorgaben geprägt, hat diese aber auch selbst beeinflusst. Die EU-Datenschutzrichtlinie2 trat im Jahr 1995 in Kraft und musste in den folgenden drei Jahren von den europäischen Mitgliedstaaten in nationales Recht umgesetzt werden. Ergänzt wurde die Datenschutzrichtlinie durch die Richtlinie 2002/58/EG3, mit der erkannten Defiziten der Datenschutzrichtlinie im Bereich der elektronischen Kommunikation entgegengewirkt werden sollte. Da das nationale und das europäische Datenschutzrecht in einer Zeit entwickelt wurden, in der das heutige Internet mit seinen Informations- und Kommunikationstechnologien sowie Geschäftsmodellen noch nicht existierte, war eine Überarbeitung der bestehenden Rechtsgrundsätze notwendig. Die Risiken, die aufgrund der Verarbeitung und Erzeugung von personenbezogenen Daten durch neue Technologien in allen gesellschaftlichen Bereichen entstehen, waren zu den Entstehungszeiten des Bundesdatenschutzgesetzes und der EU-Datenschutzrichtlinie noch nicht bekannt und absehbar. Daher war es das Ziel der Europäischen Union das europäische Datenschutzrecht zu modernisieren, sodass die Datenschutz-Grundverordnung4 ausgearbeitet wurde. Die Verordnung wird nach ihrem Inkrafttreten die EU-Datenschutzrichtlinie ablösen und das Bundesdatenschutzgesetz in weiten Teilen ersetzen. Das Unionsrecht und das deutsche Datenschutzrecht gelten dann nebeneinander, da die Europäische Union keine Kompetenzen besitzt, deutsche Gesetze außer Kraft zu setzen. Grundsätzlich haben EU-Verordnungen somit keinen Geltungsvorrang gegenüber den nationalen Gesetzen, auch wenn sie eine allgemeine Geltung haben und in all ihren Teilen für die europäischen Mitgliedstaaten verbindlich sind. Darüber hinaus ergeben sich aus der EU-Verordnung zahlreiche Öffnungsklauseln, die es den europäischen Mitgliedstaaten ermöglichen, eigene Regelungen in bestimmten datenschutzrechtlichen Bereichen zu schaffen. Diese Umstände führen jedoch zu einer schwer zu durchschauenden Rechtssituation, bei der sich Regelungen widersprechen können oder unklar ist, welche zur Anwendung kommen. In solchen Konfliktsituationen genießt das Unionsrecht daher einen Anwendungsvorrang gegenüber den nationalen Vorschriften. Das bedeutet, dass dann die Datenschutz-Grundverordnung zur Anwendung kommt und die entsprechenden innerstaatlichen Bestimmungen nicht angewandt werden dürfen.

Vor diesem Hintergrund sind viele Anpassungen und Überarbeitungen des bestehenden deutschen Datenschutzrechts notwendig. Denn obwohl die Verordnung nach ihrem Inkrafttreten im Jahr 2018 unmittelbar ein Teil der Rechtsordnung jedes Mitgliedstaates wird, wird diese Wirkung durch allgemeine Rechtsgrundsätze und viele Ausnahmeregelungen in der Verordnung eingeschränkt. Die Anpassung des Rechtsrahmens für den Datenschutz ist durch den deutschen Gesetzgeber zu erfüllen, indem das weiter anwendbare Datenschutzrecht und die Vorschriften der Datenschutz-Grundverordnung zu einer widerspruchsfreien sowie vollzugsfähigen Gesamtregelung vereint werden. Diese Gesamtregelung ist schließlich durch neu zu erlassene Bestimmungen zu ergänzen, die die Vorschriften der Verordnung ergänzen, präzisieren und gegebenenfalls bestehende Regelungslücken schließen. Dabei ist stets das Regelungsziel der Verordnung zu beachten und in der Durchsetzung zu unterstützen. Darüber hinaus sind die abstrakten und weit gefassten Regelungen der Verordnung in der Praxis durch nationale Gerichte und Aufsichtsbehörden zu konkretisieren.


  1. http://www.bvdw.org/medien/kommentar-eu-datenschutz-grundverordnung--chance-oder-risiko?media=5213. ↩︎

  2. Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Amtsblatt L 281/31 vom 23.11.1995. ↩︎

  3. Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, Amtsblatt L 201/37 vom 31.07.2002. ↩︎

  4. Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, Amtsblatt L 119/1 vom 04.05.2016. ↩︎

Deutschland

Als wirtschaftlich leistungsfähigster und bevölkerungsreichster Mitgliedstaat der Europäischen Union hat die Bundesrepublik Deutschland großes Gewicht bei Entscheidungen auf europäischer Ebene – auch beim Datenschutz.

Europäische Kommission

Die Europäische Kommission hat den entscheidenden Impuls für die Reform des europäischen Datenschutzrechts gegeben. Nachdem sie im Jahr 2009 eine öffentliche Konsultation durchführte, legte sie im November 2010 eine Mitteilung zum „Gesamtkonzept für den Datenschutz in der Europäischen Union“ vor. Im Januar 2012 präsentierte die damalige Justizkommissarin Viviane Reding sodann den Gesetzesentwurf der Kommission für eine Datenschutz-Grundverordnung. Der Entwurf zielte auf ein einheitliches und modernisiertes Datenschutzrecht innerhalb der Europäischen Union ab. Dabei sollte für die neuen Datenverarbeitungspraktiken und datengetriebenen Geschäftsmodelle ein rechtlicher Rahmen entstehen. Zugleich sollten einheitliche Wettbewerbsbedingungen für die Wirtschaft geschaffen werden. Das Ziel der EU-Kommission lag somit darin, die uneinheitlichen Datenschutzregelungen der EU-Mitgliedstaaten durch ein einheitliches Datenschutzgerüst zu ersetzen, das für alle Betroffenen praxisgerechte und rechtsklare Vorgaben macht. Beispielhaft hierfür sind das “Recht auf Vergessenwerden”, die Grundsätze “Privacy-by-Design” und “Privacy-by-Default”, die Wahrung des Verhältnismäßigkeitsprinzips und die Vielzahl von Befugnissen zum Erlass delegierter Rechtsakte.

Zusammen mit dem Europäischen Gerichtshof bildet die Europäische Kommission die reinste Ausprägung eines supranationalen Organs. Zu ihren Befugnissen gehören das Initiativrecht für die Rechtsetzung auf europäischer Ebene, Koordinierungs- und Exekutivfunktionen sowie die Vertretung der Europäischen Union nach außen. Die Kommission wird auch als „Hüterin der Verträge“ bezeichnet, da sie die Umsetzung von europäischen Rechtsakten überwacht. Die Ausübung der Exekutivbefugnisse nimmt die Kommission mit den ihr nachgelagerten Stellen wahr, insbesondere mit den Exekutivagenturen und anderen Ämtern. Im Hinblick auf die Vertretung der Europäischen Union nach außen, ist die Kommission zuständig für die Vertretung vor den mitgliedstaatlichen Gerichten und vor dem Europäischen Gerichtshof. Außerdem ist sie für die Außenbeziehungen zuständig. Darunter fällt die Aushandlung von Abkommen mit Drittstaaten und internationalen Organisationen, wozu auch die Beitrittsabkommen mit neuen Mitgliedstaaten gehören. Die Aufgaben und Befugnisse der Kommission ergeben sich aus Art. 17 Abs. 1 und 2 EUV.

Die Kommission setzt sich aus je einem Vertreter jedes Mitgliedstaates zusammen. Diese sind in der Wahrnehmung ihrer Aufgaben völlig unabhängig und allein den allgemeinen Interessen der Union verpflichtet. Aus Art. 17 Abs. 3 EUV ergibt sich, dass die Mitglieder der Kommission Weisungen von einer Regierung, einem Organ, einer Einrichtung oder jeder anderen Stelle weder einholen noch entgegennehmen dürfen. Die Kommission bildet damit den Gegenpol zum Rat, der die Interessenvertretung der nationalen Regierungen darstellt. Diese Unabhängigkeit ist Voraussetzung für die Ernennung der Kommissionsmitglieder. So heißt es in Art. 17 Abs. 3 Satz 2 EUV:

„Die Mitglieder der Kommission werden aufgrund ihrer allgemeinen Befähigung und ihres Einsatzes für Europa unter Persönlichkeiten ausgewählt, die volle Gewähr für ihre Unabhängigkeit bieten.“

An dem Rechtsetzungsprozess ist die Kommission insbesondere durch die Einbringung von Vorschlägen beteiligt. Die meisten europäischen Rechtsakte können nur auf Initiative der Kommission erlassen werden – in den Bereichen Justiz und Inneres teilt sie sich das Initiativrecht mit den EU-Staaten.

Die Amtszeit der Kommission beträgt gemäß Art. 17 Abs. 3 EUV fünf Jahre. Das gilt für die gesamte Kommission. Die Beschlüsse innerhalb der Kommission werden mit absoluter Mehrheit gefasst. Die Europäische Kommission besteht derzeit einschließlich ihres Präsidenten aus 28 Mitgliedern.

Europäische Unternehmen

Im globalen Wettbewerb nimmt Europa in der Digitalwirtschaft eine vergleichsweise untergeordnete Rolle ein. Europäische Unternehmen der Informations-, Kommunikations-, Software- und Internetbranche bleiben hinter Firmen aus den USA oder China in einigen Bereichen deutlich zurück. Dies führt zu einer gewissen Abhängigkeit Europas in diesen Bereichen. Um im internationalen Vergleich bestehen zu können und eine größere Unabhängigkeit herbeizuführen, fordern Vertreter*innen aus der Wirtschaft in erster Linie seitens der Politik eine deutliche Stärkung des Handels im digitalen Bereich. Europäische Unternehmen verlangen den Abbau von Kosten durch zu viel Bürokratie, die Förderung von Innovationsmöglichkeiten und die Wahrnehmung von Chancen durch Big Data.

Big Data relies on the collection and processing of large amounts of data. While not all of this data will be personal data, we acknowledge that personal data will play an important role in Big Data applications. Therefore the take-up and success of Big Data will depend heavily on the EU’s future Data Protection Regulation, which is currently being negotiated.

(Digital Europe,09.12.2014)1

Datenschutz wird durch europäische Unternehmen sehr zwiegespalten wahrgenommen. Einerseits erhoffen sie sich durch ein gewisses Datenschutzniveau das Kundenvertrauen zu stärken und potentielle Wettbewerbsvorteile gegenüber außereuropäischen Unternehmen zu gewinnen. Andererseits werden immer wieder Stimmen laut, die ein zu hohes Datenschutzniveau als Bedrohung für Innovation und Wachstum betrachten. Um entgegen solcher Befürchtungen im internationalen Wettbewerb bestehen zu können, sei eine Kombination aus Risikokapital, internationalem Talent, der Wissenschaft sowie politischer Unterstützung zielführend, welche ganz dem großen amerikanischen Vorbild des Silicon Valley entnommen werden könne. Dass ein solches Vorhaben möglich ist, wird am Beispiel des Unternehmens Airbus deutlich. Im Jahr 1965 entschieden sich Deutschland, Frankreich und Großbritannien zur gemeinsamen Entwicklung eines Passagierflugzeuges. Fünf Jahre später gründeten sie die Firma Airbus Industries.2 Im Laufe der Zeit ist das Unternehmen zum direkten Konkurrenten des amerikanischen Konzerns „The Boeing Company“ aufgestiegen und gilt seither als Paradebeispiel einer gelungenen europäischen Zusammenarbeit.


  1. “Big Data beruht darauf, große Mengen an Daten zu sammeln und zu verarbeiten. Obgleich es sich dabei nicht ausschließlich um personenbezogene Daten handelt, räumen wir ein, dass personenbezogene Daten im Zusammenhang mit Big Data Anwendungen eine wichtige Rolle spielen werden. Daher wird die Aufnahme und der Erfolg von Big Data stark von der zukünftigen europäischen Datenschutzverordnung abhängen, die derzeit ausgehandelt wird.” (eigene Übersetzung), http://www.digitaleurope.org/DocumentDownload.aspx?Command=Core_Download&EntryId=864. ↩︎

  2. https://www.austrianwings.info/2008/07/airbus-eine-europaische-erfolgsgeschichte/. ↩︎

Europäisches Parlament

Im Hinblick auf die Reform des europäischen Datenschutzrechts nahm das Parlament seine Arbeit nach der Veröffentlichung des Kommissionsentwurfs am 25. Januar 2012 auf. Nachdem der Rechtsausschuss des Europäischen Parlaments dem Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE), der für den Großteil der Rechtsvorschriften und für die demokratische Überwachung von politischen Maßnahmen im Bereich Justiz und Inneres zuständig ist, im Oktober 2012 eine Stellungnahme zum Vorschlag für eine Datenschutz-Grundverordnung zukommen ließ, stellte Jan Philipp Albrecht am 9. und 10. Januar 2013 einen etwa 200 Seiten umfassenden Berichtsentwurf mit Änderungen zur Datenschutz-Grundverordnung vor. Jan Philipp Albrecht ist Abgeordneter des Europäischen Parlaments für “Die Grünen/ EFA” und für die Datenschutz-Grundverordnung zuständiger Berichterstatter des Parlaments. Nach langem Ringen um den Parlamentsvorschlag für eine Datenschutz-Grundverordnung und der Bearbeitung von über 3.000 Änderungsanträgen verabschiedete das Europäische Parlament mit einer Mehrheit von über 95 Prozent der abgegebenen Stimmen einen Vorschlag für eine Datenschutz-Grundverordnung. Diese wurde sodann im Rat weiter verhandelt.

Der Entwurf des Parlaments forderte unter anderem eine frei abgegebene und spezifische Einwilligung des Betroffenen und sah Höchststrafen für Verstöße von bis zu 100 Millionen Euro oder fünf Prozent des Jahresumsatzes eines Unternehmens vor, wohingegen die EU-Kommission noch von maximal zwei Prozent des Geschäftsvolumens sprach. Ebenso befürwortete das Parlament das Recht auf Vergessenwerden sowie die Möglichkeit der Datenportabilität. Die Anforderungen für das Erstellen von Profilen wurden verschärft. Für die Übermittlung von Daten europäischer Bürger*innen an Drittstaaten benötigte jede Firma eine vorherige Genehmigung einer nationalen Datenschutzbehörde.

Das Europäische Parlament ist das einzige Organ, das direkt von den Unionsbürgern gewählt wird. Es ist gemäß Art. 14 Abs. 1 EUV gemeinsam mit dem Rat für die Gesetzgebung zuständig und übt mit diesem zusammen die Haushaltsbefugnisse aus. Innerhalb des Parlaments sind verschiedene Parteien und Gruppierungen vertreten, es gibt aber anders als in den nationalen Parlamenten keine Regierungs- und Oppositionsfraktionen. Die Abgeordneten unterliegen damit keinem Koalitionszwang und können flexibler auf Gesetzesentwürfe reagieren. Gleichwohl sind die Parlamentarier in Fraktionen organisiert; das Parlament setzt sich derzeit aus sieben Fraktionen zusammen (Fraktion der Europäischen Volkspartei, Fraktion der Progressiven Allianz der Sozialisten und Demokraten im Europäischen Parlament, Fraktion der Allianz der Liberalen und Demokraten für Europa, Europäische Konservative und Reformisten, Fraktion der Grünen/Europäische Freie Allianz, Konföderale Fraktion der Vereinigten Europäischen Linken/Nordische Grüne Linke, Fraktion “Europa der Freiheit und der Demokratie” und eine kleine Anzahl fraktionsloser Mitglieder). Voraussetzung für die Bildung einer Fraktion ist eine gemeinsame weltanschauliche Ausrichtung. Das Europäische Parlament bereitet seine Sitzungen in 20 ständigen Ausschüssen vor und bildet Delegationen und Konferenzen, in denen sich die Parlamentarier mit Mitgliedern anderer Parlamente austauschen können. Den Vorsitz des Parlaments bilden ein Präsident (derzeit ist dies Martin Schulz) und 14 Vizepräsidenten.

Irland

Irland spielt in der Datenschutzdebatte eine gewichtige Rolle. Viele datenverarbeitende Großkonzerne wie etwa Facebook Inc., Google Inc., Twitter Inc. und Microsoft Corporation haben das Land als Standort für ihre Niederlassungen und den Bau großer Datenzentren gewählt. Die Datenschutzaufsicht durch den Data Protection Commissioner of Ireland wird indes als im europäischen Vergleich schwach wahrgenommen. Lediglich 28 Mitarbeiter*innen (Stand Ende

  1. hat der Hauptstandort in Portarlington; daneben existiert noch eine Nebenniederlassung in Dublin. Darüber hinaus herrscht eine bezogen auf die Umstände von Datenverarbeitung im Vergleich zu Deutschland und den meisten EU-Mitgliedstaaten deutlich großzügigere Mentalität vor.

Irland steht deshalb im Kern der Debatte um das sogenannte „Forum Shopping“; einer Praxis, bei der ein Unternehmen bewusst die Staaten mit den niedrigsten – in diesem Kontext datenschutzrechtlichen – Beschränkungen als Sitze seiner Niederlassungen wählt; ein vor allem im Kontext von Steuervermeidung bekanntes Vorgehen. Die Datenschutz-Grundverordnung ist unter anderem mit dem erklärten Ziel angetreten, das Forum Shopping zu beenden.

Irland und die dortige Niederlassung von Facebook Inc. standen auch im Fokus des sogenannten Safe Harbor-Urteils des Europäischen Gerichtshofs.

Rat der Europäischen Union

Die Aufgabe des Rates in den Verhandlungen um die Datenschutz-Grundverordnung ist es die Interessen der Mitgliedsstaaten zu vertreten. Am 6. Juni 2013 scheiterte der Entwurf einer Datenschutzverordnung der irischen Ratspräsidentschaft im Rat der Europäischen Union. Nach langen Verzögerungen einigte sich der EU-Ministerrat am 15. Juni 2015 schließlich auf eine gemeinsame Fassung der Verordnung.

Der Entwurf des Rats erfuhr viel öffentliche Kritik. Insgesamt wurde das Datenschutzniveau im Vergleich zum Entwurf des Parlaments und der Kommission abgeschwächt. Für die Verarbeitung von Daten sollte eine „unzweideutige“ Einwilligung notwendig sowie die Verarbeitung für andere Zwecke bei „berechtigten Interessen“ von Drittparteien zulässig sein. Die Nutzung persönlicher Daten für Direktmarketing war prinzipiell erlaubt, konnte aber durch ein sogenanntes „opt out“ nachträglich vom Nutzer widerrufen werden. Der Grundsatz der Datenminimierung wurde zu einer bloßen Verhältnismäßigkeitsprüfung herabgestuft. Das Recht auf Vergessenwerden war weiterhin Bestandteil des Entwurfs. Um für mehr Transparenz zu sorgen, wurden die Möglichkeiten über die Verarbeitung personenbezogener Daten Auskunft zu erhalten und die Pflichten für den Verarbeiter, dafür Sorge zu tragen, dass diese Rechte ausgeübt werden können, ausgebaut. Die Möglichkeiten des Profilings wurden ebenfalls eingeschränkt, ließen aber Spielraum für abweichende nationale Regelungen. Die Höchststrafe für Verstöße wurde auf 250.000 Euro oder 0,5 Prozent des Jahresumsatz eines Unternehmens festgelegt.

Der Rat, der sich selbst der Rat der Europäischen Union nennt, besteht aus je einem Vertreter jedes Mitgliedstaats auf Ministerebene. Daher stammt auch die informelle Bezeichnung „Ministerrat“, die allerdings insofern irreführend ist, als nicht nur die Bundesminister, sondern auch die Minister aus den Länderregierungen an den Ratssitzungen teilnehmen können. Deutschland entsendet zudem auch Staatssekretäre in den Rat, die ebenfalls über ein volles Stimmrecht verfügen. Der Rat hat im Gegensatz zu den anderen europäischen Institutionen keine ständigen Mitglieder, vielmehr tagt er in unterschiedlichen Zusammensetzungen, je nach der betreffenden Angelegenheit. Welche Minister oder Staatssekretäre an den Sitzungen teilnehmen, hängt von dem auf der Tagesordnung stehenden Themengebiet ab. So werden etwa Minister aus den Länderregierungen entsandt, wenn schwerpunktmäßig ausschließliche Gesetzgebungsbefugnisse der Bundesländer betroffen sind. Das ist zum Beispiel in den Bereichen schulische Bildung, Kultur und Rundfunk der Fall. Voraussetzung für die Entsendung in den Rat ist, dass der jeweilige Vertreter befugt ist, für die Regierung des von ihm vertretenen Mitgliedstaates verbindlich zu handeln und das Stimmrecht auszuüben. Den Vorsitz im Rat hat in allen seinen Zusammensetzungen mit Ausnahme des Rates „Auswärtige Angelegenheiten“ nach einem Rotationsprinzip immer für sechs Monate ein anderer Mitgliedstaat. Im Rat „Auswärtige Angelegenheiten“ wechselt der Vorsitz nicht. Hier nimmt der Hohe Vertreter der Union für Außen- und Sicherheitspolitik den Vorsitz während seiner Amtszeit wahr, der allerdings nicht stimmberechtigt ist. Die Datenschutz-Grundverordnung ist unter dem luxemburgischen und dem niederländischen Ratsvorsitz entstanden.

Der Rat ist das Bindeglied zwischen der Europäischen Union und den Mitgliedstaaten. Während idealtypisch gesprochen die Kommission und das Europäische Parlament europäische Interessen verfolgen, vertreten die Ratsmitglieder die Interessen der Mitgliedstaaten, die sie entsenden.

Recht der Europäischen Union

Die Europäische Union besitzt eine eigenständige Rechtsordnung. Die Mitgliedstaaten haben Teile ihrer Souveränitätsrechte abgetreten, was dazu führt, dass das Unionsrecht die Rechtsordnungen der Mitgliedstaaten überlagern und ersetzen kann.

Das Unionsrecht kann keiner der herkömmlichen Rechtskategorien zugeordnet werden. Es handelt sich weder um nationales noch um internationales Recht oder um Völkerrecht. Aus diesem Grund wird das Unionsrecht auch als supranationales Recht bezeichnet. Es regelt Rechtsbeziehungen zwischen den EU-Organen untereinander, zwischen der Union und den einzelnen Mitgliedstaaten, zwischen den Mitgliedstaaten untereinander, zwischen der EU und natürlichen Personen sowie Unternehmen der Mitgliedstaaten sowie zwischen den Mitgliedstaaten und natürlichen Personen und unter Umständen auch zwischen der Union und Drittstaaten.

Unter das Europarecht im engeren Sinne fallen der Vertrag über die Europäische Union (EUV), der Vertrag über die Arbeitsweise der Europäischen Union (AEUV) sowie der Vertrag zur Gründung der Europäischen Atomgemeinschaft (EAUV). Über Art. 6 EUV ist auch die Charta der Grundrechte der Europäischen Union (GRCh) Bestandteil des Europarechts im engeren Sinne. Diese werden zugleich als primäres Unionsrecht bezeichnet, zu dem auch die ungeschriebenen allgemeinen Rechtsgrundsätze des Unionsrechts und das Gewohnheitsrecht gehören. Der Vertrag über die Europäische Union und der Vertrag über die Arbeitsweise der Europäischen Union enthalten unter anderem Bestimmungen über die grundlegenden Werte und Ziele der Union, über die demokratischen Grundsätze, über die Struktur und Arbeitsweise der Organe der Union, über die Außenpolitik sowie über die Grundfreiheiten, über Wettbewerbsregeln und die Wirtschafts- und Währungspolitik. Im dritten Teil des Vertrags über die Arbeitsweise der Europäischen Union sind in 24 Kapiteln alle innenpolitischen Bereiche aufgeführt, in denen die Union tätig werden kann. Es werden jeweils Ziele, Mittel und Entscheidungsverfahren genannt, die dabei angewendet werden können.

Aus diesen Rechtssätzen wird sodann das sekundäre Unionsrecht abgeleitet. Hierunter fallen gemäß Art. 288 AEUV Verordnungen, Richtlinien, Beschlüsse sowie Empfehlungen und Stellungnahmen. Das Primärrecht wird auch als Verfassung der Union bezeichnet und ist Prüfungsmaßstab für die Rechtmäßigkeit des Sekundärrechts.

Die Verordnung – und somit auch die Datenschutz-Grundverordnung – hat allgemeine Geltung, ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat. Es bedarf keines Umsetzungsaktes durch die Mitgliedstaaten, vielmehr müssen Gerichte und Verwaltungsbehörden der Mitgliedstaaten die Verordnung mit ihrem In-Kraft-Treten anwenden und auch Individuen werden möglicherweise unmittelbar berechtigt oder verpflichtet. Verordnungen regeln eine unbestimmte Vielzahl von Fallgestaltungen generell und abstrakt und entsprechen damit auf nationaler Ebene einem Gesetz. Entgegenstehendes nationales Recht wir durch die Verordnung unanwendbar.

Im Gegensatz dazu ist die Richtlinie für jeden Mitgliedstaat, an den sie gerichtet wird, nur hinsichtlich ihres zu erreichenden Ziels verbindlich; die Wahl der Form und Mittel ist jedoch den staatlichen Stellen überlassen. Richtlinien richten sich damit nicht direkt an die Bürger, sondern an die Mitgliedstaaten, die verpflichtet sind, die Richtlinie binnen einer festgelegten Frist in nationales Recht umzusetzen. Der nationale Gesetzgeber muss also in aller Regel ein Gesetz erlassen oder modifizieren. Großbritannien, Dänemark, Slowenien und Ungarn haben sich im Laufe der Verhandlungen zur Grundverordnung dafür ausgesprochen, statt der Verordnung eine neue Datenschutz-Richtlinie zu erlassen.

Das Unionsrecht gilt in den Mitgliedstaaten unmittelbar und ist auch unmittelbar anwendbar, beim Sekundärrecht gilt das, soweit der jeweilige Rechtsakt unmittelbare Wirkung entfaltet. Das Unionsrecht genießt gegenüber dem nationalen Recht grundsätzlich einen Anwendungsvorrang, sodass entgegenstehendes nationales Recht unanwendbar wird.

Sicherheitsbehörden

Im Juni 2013 begannen die Zeitungen „The Guardian“ und „The Washington Post“ geheime Dokumente zu veröffentlichen, die sie von Edward Snowden, einem ehemaligen Mitarbeiter der amerikanischen National Security Agency (NSA), erhalten hatten. Dies war der Beginn der sog. Snowden-Enthüllungen, die ein weltweites Netzwerk von Spionagesystemen rund um den Geheimdienst National Security Agency und den britischen Geheimdienst „Government Communications Headquarters“ (GCHQ) aufdeckten. Die Dokumente zeigten, dass sie mit ihren Partnerdiensten und unter Einsatz von „PRISM“ (Planning Tool for Resource Integration, Synchronization and Management) jede Form von elektronischer Kommunikation überwachen wollen. PRISM ist ein Programm zur Überwachung und Auswertung von elektronischen Medien und elektronisch gespeicherten Daten.1 So wurden beispielsweise die Weltbank, einige Botschaften, Google, Yahoo, WikiLeaks, Unicef, zahlreiche Politiker*innen und Staatsoberhäupter ausspioniert und/oder gehackt, 122 Regierungschefs aus aller Welt abgehört, darunter auch Bundeskanzlerin Angela Merkel sowie in den Jahren 2001 bis 2015 in den USA sämtliche Verbindungsdaten des E-Mail-Verkehrs und der Telefongespräche gespeichert.2 Die Enthüllungen erinnern stark an den Echelon-Skandal aus dem Jahr 1997, bei dem der amerikanische Geheimdienst das gleichnamige System zum Abhören kommerzieller Telekommunikationssatelliten verwendete. Dabei wurden Telefonkabel angezapft und Aufklärungsmaterial durch Abhörstationen gesammelt. Im Mittelpunkt des Vorgehens standen heikle Informationen über Personen, Institutionen, Wirtschaftsunternehmen und Regierungen, was das Abhören der internationalen Kommunikation ermöglichte. Klar ist, dass sowohl mit Hilfe von Echelon als auch unter dem Einsatz von PRISM ebenso die normale Bevölkerung ausgespäht wurde. Ein solches Vorgehen zielt zunächst darauf ab, verdächtige Personen aufzuspüren, die zuvor innerhalb des Polizeisystems unauffällig waren. Zugleich kann aber aufgrund der überwachten Personen nicht nur die Terrorbekämpfung ein vordergründiges Ziel der Geheimdienste gewesen sein. Es ging daher wohl auch um die eigenen wirtschaftlichen und politischen Interessen der ausführenden Länder.

Die Sicherheitsbehörden sammeln zur Erfüllung ihrer Aufgaben folglich personenbezogene Daten und versuchen jede Art der elektronischen Kommunikation zu unterwandern. Dies führt jedoch zu einem Spannungsverhältnis zwischen dem Sicherheitsauftrag, den die Behörden haben, und den Interessen der Bürger*innen an ihrer Privatheit. Diese Problematik ist ursächlich für einen enormen Anstieg an verschlüsselten Internetverbindungen. Auch Großkonzerne wie Google Inc., Microsoft Corporation oder Apple Inc. bauen ihre Verschlüsselungstechniken zum Schutz ihrer Kundendaten aus. Zugleich schützen sich die Unternehmen auf diese Weise selbst. Denn indem sie selbst keine Möglichkeiten mehr haben auf die Kommunikation ihrer Kund*innen zuzugreifen, werden Sicherheitsbehörden solche Informationen nicht anfragen. Die aktuellen Bestrebungen der Geheimdienste fokussieren sich daher vermehrt auf das Aufbrechen solcher Verschlüsselungssysteme. Sie erschweren die Arbeit der Geheimdienste oder können es sogar technisch unmöglich machen eine elektronische Kommunikation zu überwachen. Dies führte schließlich zu einem Aufleben der sog. Kryptodebatte innerhalb der Gesellschaft und der Politik. Die Sicherheitsbehörden wünschen sich gesetzliche Ermächtigungsgrundlagen diese Verschlüsselungen aufheben zu dürfen oder den Einsatz von Hintertüren bei Verschlüsselungssystemen.3

Auch innerhalb Deutschlands gibt es ähnliche Bestrebungen, indem z. B. die Vorratsdatenspeicherung um Messengerdienste und E-Mail-Dienste ausgeweitet werden soll, da diese vermehrt auf Verschlüsselungstechnologien setzen. Außerdem wird eine neue Behörde des Bundesinnenministeriums mit der Bezeichnung „Stelle für Informationstechnik im Sicherheitsbereich“ (Zitis) eingerichtet, die von den Medien bereits jetzt als Mini-NSA bezeichnet wird. So äußerte sich Bundesinnenminister de Maizière in diesem Zusammenhang wie folgt:

Wir brauchen eine Technologieoffensive. Wir müssen unsere Sicherheitsbehörden noch viel mehr als bisher technisch ertüchtigen. (…) Wir müssen uns auch technologisch weiterentwickeln, etwa beim Einsatz von Biometrie. (…)

In Deutschland besitzen sowohl der Bund als auch die Bundesländer jeweils eigene Sicherheitsbehörden mit eigenen Aufgaben. Im Sinne des sog. Trennungsgebots werden die Aufgaben der Polizei und der Nachrichtendienste durch verschiedene und organisatorisch voneinander getrennte Behörden wahrgenommen. Die Gesetzgebungs- und Verwaltungskompetenzen liegen auf dem Gebiet der Sicherheitsbehörden in erster Linie bei den Bundesländern. Auf dieser Ebene wird zwischen den Landeskriminalämtern und den Landes-Verfassungsschutzbehörden unterschieden.4 Auf Bundesebene ist das Bundesamt für Verfassungsschutz der Inlandsnachrichtendienst des Bundes und untersteht dem Bundesministerium des Innern. Dessen Hauptaufgabe besteht gemäß § 3 Bundesverfassungsschutzgesetz in der Beobachtung derjenigen, die Bestrebungen gegen die freiheitliche demokratische Grundordnung, gegen den Bestand und die Sicherheit des Bundes oder eines Landes vornehmen. Der Bundesnachrichtendienst ist der deutsche Auslandsnachrichtendienst, der Informationen über bedeutsame und Deutschlands Sicherheit betreffende Sachverhalte im Ausland sammelt und auswertet. Die Bundespolizei und das Bundeskriminalamt bilden die Polizeibehörden des Bundes. Die Hauptaufgabe des Bundeskriminalamts besteht in der Abwehr von Gefahren des internationalen Terrorismus. Aufgrund der unterschiedlichen Befugnisse der verschiedenen Sicherheitsbehörden müssen sie sich im sog. Gemeinsamen Terrorismusabwehrzentrum untereinander über ihre Tätigkeiten austauschen.5


  1. Ulfkotte, Der Krieg im Dunkeln, Altenau 2013. ↩︎

  2. http://www.zeit.de/digital/datenschutz/2013-10/hintergrund-nsa-skandal. ↩︎

  3. Geminn, DuD 2015, 546. ↩︎

  4. http://www.kriminalpolizei.de/service/sicherheitsbehoerden.html. ↩︎

  5. http://www.bmi.bund.de/DE/Themen/Sicherheit/Terrorismusbekaempfung/Sicherheitsbehoerden/sicherheitsbehoerden_node.html. ↩︎

Vereinigtes Königreich

Das Vereinigte Königreich hat infolge eines am 23. Juni 2016 abgehaltenen, nicht bindenden Referendums seinen Willen zum Austritt aus der Europäischen Union erklärt. Dies wirkt sich auch auf den Datenschutz aus. Insbesondere bedeutet es, dass das Vereinigte Königreich nach erfolgtem Austritt nicht mehr direkt an europäisches Datenschutzrecht gebunden sein wird. Die euroskeptische Haltung Großbritanniens zeigte sich auch in deren Position während der Verhandlungen. Großbritannien drängte immer wieder darauf die Verordnung in eine Richtlinie umzuwandeln und so größtmöglichen nationalen Spielraum zu bewahren.

Viel spricht jedoch dafür, dass sich das Vereinigte Königreich in Sachen Datenschutz auch nach erfolgtem Austritt aus der Europäischen Union an deren datenschutzrechtlichen Bestimmungen orientieren wird – zu einem gewissen Grad auch orientieren muss. Sollte der Austritt bis zum 25. Mai 2018 nicht erfolgt sein, gilt die Datenschutz-Grundverordnung ohnehin zunächst unmittelbar auch im Vereinigten Königreich als hätte es das Brexit-Votum nie gegeben. Dies erscheint umso wahrscheinlicher, als der offizielle Austrittsantrag nach Art. 50 EUV frühestens Anfang 2017 gestellt werden soll.

Aufgrund des Marktortprinzips der Datenschutz-Grundverordnung sind Unternehmen ohnehin an diese gebunden, sofern sie Waren und Dienstleistungen in der EU anbieten. Hier dürfte es ein großes Interesse geben, nicht zwei unterschiedlichen Datenschutzregimes unterworfen zu sein – dem europäischen und einem neu zu schaffenden britischen. Vielmehr wird die Wirtschaft höchstwahrscheinlich Druck auf die neue Regierungschefin ausüben, um Kosten zu sparen.

US-Unternehmen

Die USA sind Heimat der bedeutendsten datenverarbeitenden Unternehmen der Welt. Insbesondere das kalifornische Silicon Valley gilt als Herz der Computer- und Softwareindustrie. Hier haben Firmen wie Facebook Inc. (Menlo Park), Hewlett Packard Inc. (Palo Alto), Apple Inc. (Cupertino), Google Inc. und dessen Holding Alphabet Inc. (Mountain View), Intel Corporation (Santa Clara) und viele weitere ihren Sitz. Die amerikanischen Unternehmen prägen und dominieren die Digitalwirtschaft und nehmen eine überlegene Position auf dem digitalen Markt ein.

Das Internet hat uns gehört. Unsere Firmen haben es gebaut, verbreitet und perfektioniert, so dass andere nicht mithalten können. Und hinter den intellektuellen Positionen der Kritiker steckt das Interesse, diesen kommerziellen Erfolg auszuhöhlen. Zur Verteidigung von Google und Facebook muss man sagen, dass die europäische Reaktion manchmal mehr wirtschaftsgetrieben ist als alles andere.

US-Präsident Barack Obama, 15.02.20151

Nicht wenige dieser Unternehmen fokussieren sich auf datengetriebene Geschäftsmodelle. Sie sammeln, speichern und verkaufen personenbezogene Daten, indem sie sie zu einem handelbaren und kostbaren Gut erheben. Mittlerweile gelten personenbezogenen Daten als “Rohstoff” des 21. Jahrhunderts. Durch die erfassten Datenmengen lassen sich einfach Nutzerprofile erstellen, die wiederum hinsichtlich der Wirtschaftsziele der Unternehmen analysiert und genutzt werden können.

Deutlich wird ein solches datenbasiertes Geschäftsmodell am Beispiel von Facebook Inc. Das Unternehmen betreibt mit seiner Plattform das erfolgreichste soziale Netzwerk weltweit. Dabei erhebt das Unternehmen aus verschiedenen Quellen und in erheblichem Umfang Daten von seinen Nutzern. Durch das systematische Erfassen dieser Daten erstellt es Nutzerprofile, die wiederum durch andere Unternehmen zu Werbezwecken verwertet werden können. Wenn sich die Nutzer*innen auf der Internetplattform registrieren, willigen sie in diese Verwendung und Datenpraxis ein. Fraglich ist dabei jedoch, ob die Verwender*innen sich über den Umfang ihrer Einwilligung und den Datengebrauch bewusst sind. Aufgrund von Facebooks Datenumgang und seiner marktbeherrschenden Stellung im Bereich der sozialen Medien, ermittelt das Bundeskartellamt seit Anfang des Jahres 2016 gegen den Konzern, und zwar sowohl gegen die irische als auch gegen die deutsche Niederlassung. Dabei soll der Frage nachgegangen werden, ob Facebook durch die Ausgestaltung seiner Vertragsbestimmungen seine Marktstellung missbraucht und durch seine Nutzungsbedingungen gegen datenschutzrechtliche Vorschriften verstößt. Zusätzlich sammelt das Unternehmen mit der Hilfe des Messenger-Dienstes „WhatsApp“ Nutzerdaten. So werden aufgrund der geänderten Datenschutzbestimmungen von WhatsApp künftig die bei dem Dienst erfassten Telefonnummern mit Facebook geteilt. Die Übernahme von WhatsApp durch Facebook wurde vor zwei Jahren durch die Kartellbehörden genehmigt, da zwischen den beiden Unternehmen kein Datenaustausch stattfinden sollte. Aufgrund des neuen Vorhabens des Konzerns ermittelt in dieser Angelegenheit nun auch die EU-Kommission gegen Facebook.

Marktbeherrschende Unternehmen unterliegen besonderen Pflichten. Dazu gehört es auch, angemessene Vertragsbedingungen zu verwenden, soweit diese marktrelevant sind. Für werbefinanzierte Internetdienste wie Facebook haben die Nutzerdaten eine herausragende Bedeutung. Gerade deshalb muss auch unter dem Gesichtspunkt des Missbrauchs von Marktmacht untersucht werden, ob die Verbraucher über die Art und den Umfang der Datenerhebung hinreichend aufgeklärt werden.

Andreas Mundt, Präsident des Bundeskartellamts, 02.03.20162

Amerikanische Unternehmen versuchten während der Verhandlung durch gezielte Lobbyarbeit das Datenschutzniveau zu schwächen und pochten auf Selbstregulierung. Eine der Strategien US-amerikanischer Unternehmen lag darin, dem Gesetz zuvor zu kommen und mit der Auferlegung von Selbstverpflichtungen Selbstregulierungsmaßnahmen zu forcieren.

Das Datensammeln ist ein lukrativer Wachstumsmarkt, auf dem strenge Regeln nur stören. Unternehmen aus den Vereinigten Staaten sind im Vorteil, weil es bei ihnen keinen Datenschutz gibt, der über einen eng gefassten Privatbereich hinausgeht. Sie dürfen Daten sammeln, so viel sie wollen und die Ausbeute als ihr Eigentum betrachten. In Europa verbietet das die Datenschutzrichtlinie aus dem Jahr 1995 – sie wird jedoch kaum umgesetzt.

FAZ, 11.03.20143

  1. http://www.gruenderszene.de/allgemein/obama-recode-interview. ↩︎

  2. http://www.bundeskartellamt.de/SharedDocs/Meldung/DE/Pressemitteilungen/2016/02_03_2016_Facebook.html ↩︎

  3. http://www.faz.net/aktuell/feuilleton/debatten/die-digital-debatte/europas-it-projekt/digitale-agenda-machtprobe-mit-silicon-valley-12842407.html?printPagedArticle=true#pageIndex_2. ↩︎

USA

Von den meisten Mitgliedstaaten der Europäischen Union unterscheiden sich die USA schon durch ein deutlich unterschiedliches Verständnis von Privacy und von Datenschutz.

Der Begriff „Privacy“ ist im Text der Verfassung der Vereinigten Staaten von Amerika und ihrer Zusätze gar nicht enthalten; Gleiches gilt für den Begriff „Private Life“. Vielmehr finden sich einzelne Aspekte von Privatheit, die sich zu einem Schutz der Privatsphäre vor staatlichen Eingriffen summieren im First, Fourth, Fifth, Ninth und Fourteenth Amendment. Hervorzuheben ist vor allem der im Jahr 1791 ratifizierte vierte Verfassungszusatz, der ein Abwehrrecht gegen unangemessene Durchsuchungen, Festnahmen und Beschlagnahmen enthält. Die „Invasion of Privacy“ spielt allerdings vor allem im amerikanischen Deliktsrecht eine Rolle. Als Auslöser für die Entwicklung eines „Right to Privacy“ im amerikanischen Deliktsrecht gilt ein Artikel von Warren und Brandeis aus dem Jahr 1890. Die Autoren beklagten, die Presse übertrete „in every direction the obvious bounds of property and decency. Gossip is no longer the resource of the idle and the vicious, but has become a trade, which is pursued with industry.“1

Privacy wird vor allem von der sogenannten „Castle Doctrine“ her gedacht. Diese geht zurück auf einen Ausspruch des Rechtsgelehrten Coke aus dem Jahr 1628:

For a man’s house is his castle – et domus sua cuique est tutissimum refugium.

Hieraus hat sich im Gegensatz zu Deutschland ein eigenes „Privacy Law“ herausgebildet, das vornehmlich mit personenbezogenen Daten befasst ist. Der Begriff „Privacy Law“ ist demnach häufig auf die Erhebung und Verwendung personenbezogener Daten reduziert, also „Information Privacy“. Daneben lassen sich jedoch noch die Bereiche der „Bodily Privacy“, der „Privacy of Communication“ und der „Territorial Privacy“ identifizieren.

In besonders starkem Kontrast steht der Ansatz, das Sammeln und Speichern von Daten und die Zuordnung zu einem Pseudonym solle noch kein Eingriff in die Rechte der Bürger*innen sein, sondern erst das bedarfsorientierte „Anfassen“ der Daten etwa durch staatliche Behörden zur Verbrechensaufklärung.


  1. Die Presse überschreitet in allen Richtungen die offensichtlichen Grenzen von Anstand und Benehmen. Klatsch ist nicht mehr der Quell für Müßiggänger oder Böswillige; Klatsch ist vielmehr zur Handelssache geworden, der mit Eifer und Unverfrorenheit nachgegangen wird.,Warren/Brandeis Harv. L. Rev. 4/1890, 193, übersetzter Nachdruck DuD 2012, 755. ↩︎

Verbraucherschützer*innen

Das Anliegen der Verbraucherschützer*innen ist es den Datenschutz zu stärken, um es den Verbraucher*innen zu ermöglichen, ihre Rechte besser zu wahren und um Wettbewerbsgleichheit zwischen den unterschiedlichen Akteuren auf dem Markt zu erreichen.

In der digitalen Welt hinterlassen Verbraucher viele Daten. Wenn Unternehmen Daten kombinieren, entstehen umfassende Persönlichkeitsprofile. Die Profile sind für die Wirtschaft wertvoll, können für Verbraucher aber böse Nebenwirkungen haben. Dazu gehören unter anderem unerwünschte Werbung, höhere Versicherungsprämien, Nachteile bei der Wohnungssuche oder eine eingeschränkte Kreditfähigkeit.

(Verbraucherzentrale Bundesverband e. V. (vzbv), 25.11.2014)1

Die Verbraucherschützer*innen vertreten die Interessen der Verbraucher*innen gegenüber den Unternehmen und versuchen Chancengleichheit zwischen diesen herzustellen. Während der Verhandlungen veröffentlichten sie immer wieder Stellungnahmen und Kommentare.

Der Datenschutz ist vor allem durch die digitale Entwicklung zu einem immer wesentlicheren Teil des Verbraucherschutzes geworden. Eine Modernisierung ist dringend notwendig, um den Schutz der persönlichen Daten und die Privatsphäre der Verbraucher auch in Zukunft zu gewährleisten und gleichzeitig die Rechtssicherheit und Wettbewerbsfähigkeit der europäischen Unternehmen zu stärken.

(Verbraucherzentrale Bundesverband e. V. (vzbv), 29.02.2012)2

Die Verbraucher*innen sollen die Kontrolle über ihre Daten zurückgewinnen und ihre Autonomie gegenüber den Unternehmen behaupten. Im Zentrum steht das Individuum, dessen individuelle Privatheit es zu schützen gilt. Innerhalb Deutschlands bündelt der gemeinnützige Verbraucherzentrale Bundesverband e. V. (vzbv) als Dachverband 16 Verbraucherzentralen der Länder und 25 verbraucherpolitische Verbände. Er klagt Verbraucherrechte vor Gericht ein und ist formell lediglich den Verbraucher*innen verpflichtet. Dabei fungiert er als eine Art Marktwächter, indem er Verbraucherprobleme aufzeigt, Lösungen anbietet und sich für deren Umsetzung einsetzt. Indem der Bundesverband für starke Verbraucherrechte kämpft, sollen auf fairen Märkten unbedenkliche Produkte und Dienstleistungen angeboten werden. Seine Arbeit zielt auf klare Verbraucherinformationen, verlässliche und praktisch durchsetzbare Rechte sowie auf den Schutz der Verbraucher*innen vor Übervorteilung durch Unternehmen ab. Aufgrund des digitalen Wandels setzt sich der Verband darüber hinaus vermehrt für diejenigen Verbraucherrechte ein, die durch die Digitalisierung immer mehr an Bedeutung gewinnen. So möchte er dazu beitragen, dass sich neue technische Innovationen im rechtlichen Rahmen bewegen, ohne dass Verbraucherrechte missachtet oder Innovationen gehemmt werden. Zu den häufigsten Klagegründen der Verbraucherzentrale Bundesverband gehören Datenschutzverstöße in allgemeinen Geschäftsbedingungen.3

Verbraucher müssen die volle Kontrolle darüber erlangen wann, wie und wo Unternehmen ihre persönlichen Daten speichern.

(Helga Springeneer, Leiterin Geschäftsbereich Verbraucherpolitik der vzbv)4

Auf staatlicher Ebene ist das Bundesministerium der Justiz und für Verbraucherschutz innerhalb der Bundesregierung für den Bereich der Verbraucherpolitik zuständig.


  1. http://www.vzbv.de/dokument/eu-datenschutzverordnung-es-gibt-keine-belanglosen-daten. ↩︎

  2. http://www.vzbv.de/dokument/datenschutz-grundverordnung-gute-ideen-aber-zu-vage. ↩︎

  3. Verbraucherzentrale Bundesverband, Die Stimme der Verbraucher, Februar 2016, http://www.vzbv.de/sites/default/files/downloads/2016_vzbv_imagebroschuere_mit_einleger_webansicht.pdf. ↩︎

  4. Verbraucherzentrale Bundesverband, Die Stimme der Verbraucher, Februar 2016, http://www.vzbv.de/sites/default/files/downloads/2016_vzbv_imagebroschuere_mit_einleger_webansicht.pdf. ↩︎

Welt der Digitalwirtschaft

Kennzeichnend für die Welt der Digitalwirtschaft sind Geschäftsmodelle, die auf den Umgang mit Daten angewiesen sind. Dies umfasst zum einen Unternehmen, deren Kerngeschäft auf dem Sammeln oder der Verarbeitung von Daten basiert. Dabei ist es für die Einordnung zunächst unerheblich, ob es sich um personenbezogene Daten oder solche ohne Personenbezug handelt. Prominente Beispiele für solche Geschäftsmodelle sind Google Inc., Facebook Inc. oder auch die Werbeindustrie, die mit Hilfe der Auswertung von Daten den Verkauf von Produkten ankurbelt. Zum anderen umfasst dies Unternehmen, die täglich eine große Menge Daten verarbeiten, um einen reibungslosen Geschäftsvorgang zu gewährleisten, deren Kerntätigkeiten jedoch nicht datengetrieben sind (z. B. die Finanzbranche oder das Gesundheitswesen). Je nach Geschäftsmodell ergeben sich hierdurch unterschiedliche Interessen an Daten und Datenschutz. Während Datenschutz für datenbasierte Geschäftsmodelle als hinderlich wahrgenommen wird, kann es für Bereiche wie die Telekommunikationsbranche oder den Finanzsektor essentiell sein, ein hohes Datenschutzniveau einzuhalten, um das Vertrauen der Kund*innen nicht zu verlieren. Zudem mag es im Interesse der Unternehmen sein, das Gut “Daten” zu schützen, um die eigenen Geschäftsgeheimnisse zu bewahren oder den Zugriff durch Konkurrenten zu unterbinden. Gemein ist jedoch allen, dass Datenschutz vor allem dann eine Rolle spielt, wenn er den übergeordneten Geschäftsinteressen dient. In den Verhandlungen propagierte die Digitalwirtschaft immer wieder die zukunftsweisenden Verheißungen digitaler Technologien für die Wirtschaft.

Europa braucht eine Datenschutzverordnung, die es ermöglicht, datengetriebene Innovationen auf den Weg zu bringen, die die Veränderung der Wirtschaft unterstützen und die gleichzeitig ausreichenden Schutz für personenbezogene Daten bietet, um sicherzustellen, dass die Bürger den Technologien vertrauen.

DigitalEurope, Pressemitteilung, 15.06.2015, eigene Übersetzung1

Der Wirtschaftszweig der Digitalwirtschaft ist gekennzeichnet durch permanente Veränderungen und durch zahlreiche Neuerungen. Großkonzerne wie Apple Inc., Google Inc., Amazon.com Inc. oder Facebook Inc. müssen sich besonders aus rechtlicher Sicht regelmäßig neuen Herausforderungen und Veränderungen stellen.

Zudem unterscheiden sich Unternehmensinteressen und -ziele häufig aufgrund der Unternehmensgröße oder des jeweiligen Standortes. Unterschiede ergeben sich dabei hinsichtlich:

  • Europäischer Unternehmen
  • Deutscher Unternehmen
  • US-Unternehmen

Noch vor Straßenbau und noch vor Schienenwegebau ist nichts so sinnvoll wie die Modernisierung der Energie- und der ICT-Infrastruktur. (information and communication technology.

Günther Oettinger, EU-Kommissar für die digitale Wirtschaft und Gesellschaft, 29.09.20142

  1. http://www.digitaleurope.org/DocumentDownload.aspx?Command=Core_Download&EntryId=984. ↩︎

  2. https://www.tagesschau.de/wirtschaft/oettinger-109.html. ↩︎

Welt der Europäischen Union

Bei der Europäischen Union handelt es sich um eine supranationale Institution. Anfänglich mit dem Ziel der Förderung der wirtschaftlichen Zusammenarbeit gegründet, deckt die Europäische Union heute zahlreiche Politikfelder ab.1 Sie hat die Möglichkeit in bestimmten Bereichen eigenständig Recht zu setzen. Die Mitgliedstaaten behalten aber ihre Souveränität und haben nur einzelne Souveränitätsrechte zugunsten einer Überstaatlichkeit aufgegeben. Es handelt sich insofern weder um einen Bundesstaat, der regelmäßig aus einem die Souveränität innehabenden Gesamtstaat und verschiedenen Gliedstaaten besteht noch um einen Staatenbund. Der Staatenbund ist eine rein völkerrechtliche Beziehung zwischen Staaten. Er beruht auf einem völkerrechtlichen Vertrag und seine Mitgliedstaaten bleiben souverän. Die Europäische Union ist aber etwas zwischen diesen beiden Gebilden. Während der Staatenbund einen loseren Zusammenschluss beschreibt, ist der Bundesstaat zu fest, als dass er die Europäische Union angemessen charakterisieren würde. Das Bundesverfassungsgericht hat insofern den Begriff des „Staatenverbunds“ geprägt. Dadurch soll zum Ausdruck kommen, dass die Union von den Mitgliedstaaten abhängig ist, da diese die „Herren der Verträge“ sind.

Die Rechtsetzungskompetenz der Europäischen Union im Bereich des Datenschutzes und damit die Befugnis der Union zum Erlass der Datenschutz-Grundverordnung ergibt sich aus Art. 16 AEUV.

Die europäische Integration geht auf ein kurz nach Beendigung des Zweiten Weltkriegs von dem Franzosen Jean Monnet entwickeltes Konzept zurück, das durch den französischen Außenminister Robert Schuman aufgegriffen wurde. Der Grundgedanke des sog. Schuman-Plans war es, durch die Eingliederung Deutschlands in ein supranationales System zusammen mit anderen Staaten die deutsche Produktion von Kohle und Stahl, als wirtschaftlich und militärisch bedeutende Faktoren, unter internationale Kontrolle zu bringen und so eine Bedrohung des europäischen Friedens durch ein wiedererstarkendes Deutschland auszuschließen. Am 1./2. Juni 1955 beschlossen die Außenminister der Mitgliedstaaten der Europäischen Gemeinschaft für Kohle und Stahl die Integration auf alle Wirtschaftsbereiche auszudehnen. Infolgedessen wurden am 25. März 1957 die Römischen Verträge unterzeichnet. Dies waren der Vertrag zur Gründung der Europäischen Wirtschaftsgemeinschaft, der die Errichtung eines gemeinsamen Marktes und die Annäherung der nationalen Wirtschaftspolitiken zum Ziel hatte sowie der Vertrag zur Gründung der Europäischen Atomgemeinschaft (Euratom/EAG), der die Förderung der friedlichen Nutzung der Kernenergie bezweckte. Die Europäische Union wurde mit dem am 1. November 1993 in Kraft getretenen Vertrag über die Europäische Union gegründet. Dieser Vertrag bildet durch die Gründung der Europäischen Union die Grundlage für die Vollendung der Europäischen Wirtschafts- und Währungs-Union bis zum Jahr 1999 sowie für weitere politische Integrationsschritte, insbesondere eine gemeinsame Außen- und Sicherheitspolitik und eine verstärkte polizeiliche und justizielle Zusammenarbeit in Strafsachen. Am 01.12.2009 trat der Vertrag von Lissabon zur Reform der EU-Institutionen in Kraft. Ziel war unter anderem die Demokratisierung der Institutionen sowie der Ausbau von Kompetenzen der Europäischen Union. Im Zuge dessen kam es zur Ausweitung der Rechte des Parlaments sowie zur Stärkung nationaler Parlamente. Außerdem wurde die Charta der Grundrechte der europäischen Union rechtsverbindlich. Die Unionsorgane und EU-Mitgliedsstaaten sind an dieses Recht gebunden. Die Einhaltung dieser Rechte kann in Verfahren vor dem Europäischen Gerichtshof sowie vor nationalen Gerichten geltend gemacht werden.2


  1. https://europa.eu/european-union/about-eu/eu-in-brief_de. ↩︎

  2. https://europa.eu/european-union/about-eu/institutions-bodies/court-justice_de. ↩︎

Welt der Massenmedien

Die Massenmedien sind an der Herstellung von Öffentlichkeit beteiligt und berichteten regelmäßig über die Verhandlungen zur Datenschutz-Grundverordnung. Das Medien-Echo zur Datenschutz-Grundverordnung ist deshalb nicht nur nach ihrem Inkrafttreten enorm. Denn bereits während der Einigungsgespräche der EU-Organe zur Verordnung und nach der Veröffentlichung der finalen Version war das mediale Interesse an den Neuerungen des europäischen Datenschutzrechts gewaltig. Die Medien bilden eine Art Schnittstelle zwischen den Bürger*innen und dem politischen Entscheidungsprozess. Sie informieren die Bevölkerung über die aktuellen Entwicklungen und die einzelnen Ergebnisse der Verhandlungsprozesse zur Datenschutz-Grundverordnung. Diese Berichte dienen den Bürger*innen wiederum als Informationsgrundlage. Sie werden aber nicht nur durch professionelle Journalist*innen erbracht, sondern auch durch soziale Medien verbreitet. Gleichzeitig kann die mediale Berichterstattung sowohl eine kritische als auch eine positive Position einnehmen und so ihre Rezipienten beeinflussen. Darüber hinaus haben die Medien auf diese Weise aber auch selbst Einfluss auf die Debatte um die Datenschutz-Grundverordnung nehmen können. So wurde beispielsweise durch die mediale Berichterstattung nach dem Ratsentwurf der Europäischen Union der Eindruck vermittelt, dass die Verordnung den Grundsatz der Zweckbindung aufweichen wolle. Indem Massenmedien mobilisiert werden, kann eine rechtliche Debatte angestoßen und ein Gesetzgebungsverfahren vorangetrieben werden.

Welt der Nationalstaaten

Die Welt der Nationalstaaten vertritt und verteidigt ihre nationalstaatlichen Interessen. Die Praktiken des Regierens sind dabei stets an nationalstaatliche Territorien gebunden. Die Datenschutzinteressen der einzelnen Mitgliedsländer variieren entsprechend je nach den verschiedenen Datenschutzkulturen sowie den wirtschaftlichen und politischen Bedingungen, die vor Ort herrschen. Diese Diversität erschwert die Kompromissbildung zwischen den Nationalstaaten und führte in den Verhandlungen um die Datenschutz-Grundverordnung immer wieder zu Verzögerungen. Während der Verhandlungen um die Datenschutz-Grundverordnung haben insbesondere Großbritannien sowie die Bundesrepublik Deutschland den Einigungsprozess gebremst. Die USA wiederum verfolgten in den Debatten eigene Interessen und versuchten den Verhandlungsprozess zu ihren Gunsten zu beeinflussen. Ebenfalls immer wieder Gegenstand der Diskussionen war Irland, das als europäischer Zufluchtsort vieler Firmen galt, die strenge Datenschutzregeln umgehen wollten.

Welt der Nutzer*innen

In den Debatten ist immer wieder die Rede von den Nutzer*innen, den Verbraucher*innen, den Bürger*innen oder auch den Datensubjekten. Gemeint sind damit all jene Personen, deren Daten beispielsweise bei der Nutzung von Informations- und Kommunikationstechniken, sozialen Netzwerken oder bei der Wahrnehmung verschiedener Dienstleistungen des Alltags erhoben, verarbeitet und genutzt werden. Sie nehmen in der datenschutzrechtlichen Diskussion eine Art Doppelrolle ein. Sie fungieren einerseits als Subjekte, die mit Rechten ausgestattet sind oder sein sollten. Andererseits sind ihre Daten und die von ihnen hinterlassenen Datenspuren aber auch selbst Waren und werden gehandelt. Auch auf Sicherheitsbehörden bezogen ergibt sich eine Zweiteilung. Einerseits sind die Nutzer*innen von den Sicherheitsbehörden zu schützen. Andererseits gelten sie auch als potentielle Bedrohung, die nur durch vermehrte Kontrolle eingehegt werden kann. So fordern die einen, das Vertrauen der Nutzer*innen oder Verbraucher*innen, das aufgrund von Datenskandalen erschüttert wurde, zurückzugewinnen. Andere wiederum distanzieren sich von so einem instrumentellen Zugriff und verstehen den Schutz der Bürger*innen vor unrechtmäßigem Datenzugriff und Datenmissbrauch als notwendige Bedingung, um Demokratie zu gewährleisten oder die Autonomie der Individuen zu bewahren. Andererseits wird auch auf das ökonomische Potential der Datenverwertung hingewiesen sowie auf die Notwendigkeit, Zugang zu den Daten der Bürger*innen zu haben, um staatliche Kontrollfunktionen ausüben zu können. Dabei kommen die Datensubjekte selten selbst zu Wort, vielmehr sind sie Gegenstand der Verhandlungen, derer sich verschiedene Parteien bedienen.

Entgegenzuwirken und um die Spielräume, die die Grundverordnung dem nationalen Gesetzgeber lässt, zu nutzen, arbeitet das Bundesministerium des Innern derzeit an einem Referentenentwurf für ein Allgemeines Bundesdatenschutzgesetz. Dieses soll das deutsche Datenschutzrecht an die Vorgaben der Datenschutz-Grundverordnung anpassen.

Welt der Wissenschaft

Die Wissenschaft spielt in der Debatte um Datenschutz allgemein und speziell um die Datenschutz-Grundverordnung vielfältige Rollen. Zum einen sind Teile der Wissenschaft, die in ihrer Forschungspraxis auf personenbezogenen Daten angewiesen sind, von der Datenschutz-Grundverordnung selbst betroffen. Zum anderen fällt der Wissenschaft die Rolle des kritisch-distanzierten Beobachters zu. Und zuletzt wird die Wissenschaft als Gegenstand der Verhandlungen, nämlich im Sinne technischer Entwicklungen und des technisch Machbaren thematisiert und formt die Verhandlungen so zugleich mit.

Die Rechtswissenschaft hat zunächst die Rolle eines Kommentators von Gesetzen und gerichtlichen Entscheidungen. Zudem ist sie mit der Bearbeitung bisher ungelöster Rechtsprobleme befasst. Ihre Erkenntnisse macht sie über zahlreiche Publikationsformen wie etwa Fachzeitschriften und Gesetzeskommentare der Öffentlichkeit zugänglich. Daneben berät die Rechtswissenschaft aber auch die Politik, Unternehmen, Verbände und andere Institutionen. Der Rechtswissenschaft kommt damit letztlich eine indirekt steuernde Funktion zu.

Die Informatik als mit der Verarbeitung von Informationen befasste Wissenschaft gibt softwareseitig den technischen Rahmen vor, in dem Datenverarbeitung stattfindet. Sie beeinflusst zusammen mit den technischen Wissenschaften und den Naturwissenschaften aber auch das Recht, denn nur technisch Mögliches kann vom Recht überhaupt gefordert werden. Zudem befinden sich Recht und Technik in einer Art ständigem Wettlauf, dessen Sieger nicht so leicht auszumachen ist: Einerseits geht der technische Fortschritt schneller voran, als seine rechtliche Regulierung; andererseits gibt das Recht den Rahmen für alle künftigen technischen Entwicklungen vor.

Wissenschaftliche Disziplinen wie etwa Soziologie, Ethik, Medien- und Politikwissenschaften oder Philosophie beobachten und bewerten die gesellschaftlichen Auswirkungen zunehmender Datenverarbeitung auf Individuen wie auf die Gesellschaft insgesamt. Es gibt zahlreiche Projekte, die sich mit den Folgen der Digitalisierung, dem Thema Privatheit und den Wechselwirkungen mit der Gesellschaft auseinandersetzen. Nicht zuletzt trägt das hier vorgestellte Projekt “Privacy-Arena” selbst dazu seinen Beitrag bei. Die Grenzen zwischen passiver Beobachtung und aktiver Teilnahme am Diskurs sind dabei stets fließend. Anstelle eine allwissende Objektivität zu beanspruchen, kann das Projekt vielmehr selbst als Teil der Arena betrachtet werden, welches versucht seine (wissenschaftliche) Geschichte der Datenschutz-Grundverordnung zu erzählen.

Welt des Datenschutzes

Es gibt verschiedene Institutionen und Organisationen, die sich für den Datenschutz einsetzen und versuchen, ein zuverlässiges und starkes Datenschutzniveau innerhalb Deutschlands, der Europäischen Union oder aber auch weltweit zu etablieren. Im Zentrum stehen die informationelle Selbstbestimmung des Einzelnen sowie der Ausgleich von Machtasymmetrien zwischen Individuen und Organisationen. So gibt es zum einen Aktivist*innen, die alleine oder im Verbund auf ihrer Meinung nach unrechtmäßige Praktiken im Bereich des Datenschutzes aufmerksam machen wollen und gegen diese vorgehen. Zum anderen setzen sich staatliche Behörden für die Einhaltung der Datenschutzbestimmungen ein und stehen den Bürger*innen beratend zur Seite. Für Unternehmen werden Daten aufgrund der Digitalisierung zu einem immer wichtigeren Gut, sodass der Datenschutz auch in den Fokus des Verbraucherschutzes gerückt ist.

Beim Datenschutz geht es nicht um den Schutz von Daten. Im Mittelpunkt steht das informationelle Selbstbestimmungsrecht des Einzelnen und damit der Mensch.

Andrea Voßhoff, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit1

Datenschutz dient den Datenschützer*innen nicht als Selbstzweck, sondern wird häufig mit einem höheren Wert verknüpft. Oft findet man den Bezug zur informationellen Selbstbestimmung und zu Privatheit als Wert, den es zu verteidigen gilt. Was Privatheit in diesen Kontexten genau bedeutet, wird nicht explizit ausbuchstabiert.

Der Datenschutz ist vor allem durch die digitale Entwicklung zu einem immer wesentlicheren Teil des Verbraucherschutzes geworden. Eine Modernisierung ist dringend notwendig, um den Schutz der persönlichen Daten und die Privatsphäre der Verbraucher auch in Zukunft zu gewährleisten und gleichzeitig die Rechtssicherheit und Wettbewerbsfähigkeit der europäischen Unternehmen zu stärken.

Verbraucherzentrale Bundesverband e. V. (vzbv), Stellungnahme zum Entwurf der EU-Kommission, 29.02.20122

EDRi welcomes the European Commission’s proposal for a new data protection Regulation. Europe needs a comprehensive reform in order to ensure the protection of its citizens’ personal data and privacy, while enhancing legal certainty and competitiveness in a single digital market.

European Digital Rights (EDRi), Initial Comments on the Proposal for a Data Protection Regulation, 27.01.20123

Wenngleich die unterschiedlichen Akteure ein gemeinsames Ziel verfolgen, nämlich den Schutz der Rechte des Einzelnen, so unterscheiden sie sich doch hinsichtlich des Mitteleinsatzes, um dieses Ziel zu erreichen, sowie hinsichtlich einer unterschiedlichen Rechtfertigungslogik. So macht es einen Unterschied, ob man institutionelle Mittel wie das Recht aktiviert (beispielsweise in Form von Klagen), oder ob man versucht, durch öffentlichen Druck Veränderungen herbeizuführen. Ebenso kann der Schutz der Privatheit des Einzelnen mit weiteren gesellschaftlichen Zielen verknüpft und als kollektives Gut betrachtet werden, das dem Wohle der Gemeinschaft dient (Beispiel: Privatheit als Bedingung für Demokratie). Privatheit kann ebenso als individuelle Angelegenheit betrachtet werden im Sinne eines persönlichen Anspruchs (Beispiel: Autonomie des Individuums).


  1. http://www.bfdi.bund.de/DE/BfDI/bfdi-node.html. ↩︎

  2. Verbraucherzentrale Bundesverband, Modernisierung des europäischen Datenschutzrechts, http://www.vzbv.de/sites/default/files/downloads/EU-Datenschutz-Grundverordnung_Stellungnahme-vzbv_2012-02-29.pdf. ↩︎

  3. “EDRi begrüßt den Vorschlag der Europäischen Kommission für eine neue Datenschutz-Grundverordnung. Europa braucht eine umfassende Reform, um den Schutz der personenbezogenen Daten und die Privatheit ihrer Bürger zu gewährleisten und zugleich die Rechtssicherheit und Wettbewerbsfähigkeit im digitalen Binnenmarkt zu steigern.” (eigene Übersetzung), https://edri.org/commentsdpr/. ↩︎

WP29

Die „Article 29 Working Party“, die auch als „Artikel 29-Datenschutzgruppe“ bezeichnet wird, wurde im Rahmen der Richtlinie 95/46/EG1 des Europäischen Parlaments und des Rates eingerichtet. Sie ist im Bereich des Datenschutzes das wichtigste Beratungsgremium der EU-Kommission bei der Zusammenarbeit mit den Mitgliedstaaten der Europäischen Union. Sie handelt in einer unabhängigen Beratungsfunktion und besteht aus einem/einer Vertreter*in der Kontrollstelle/n, die von jedem EU-Mitgliedstaat eingerichtet werden, einem/einer Vertreter*in der Behörde/n, die für die EU-Institutionen und EU-Organe geschaffen werden und einem/einer Vertreter*in der Europäischen Kommission. Innerhalb der Gruppe treffen die Datenschutzaufsichtsbehörden aller Mitgliedstaaten der Europäischen Union einen Konsens bezüglich verschiedener Datenschutzfragen und beraten dahingehend die EU-Kommission.2 Darüber hinaus hat die Arbeitsgruppe Expertenmeinungen bezüglich Fragen des Datenschutzes auf der Ebene der Mitgliedstaaten für die EU-Kommission bereitzustellen und eine einheitliche Auslegung der EG-Richtlinie 95/46/EG innerhalb aller europäischer Mitgliedstaaten sowie Norwegen, Lichtenstein und Island zu fördern. Ziel der Gruppe ist es, eine Harmonisierung des Datenschutzes innerhalb der Europäischen Union herbeizuführen.

Im Zuge der Verhandlungen zur Datenschutz-Grundverordnung versuchte die Arbeitsgruppe, durch Veröffentlichung von Dokumenten und Einschätzungen stets dazu beizutragen, dass ein hohes Datenschutzniveau innerhalb der Europäischen Union sichergestellt wird. Dabei legte sie besonderen Wert auf die Pseudonymisierung, den Schutz und die Stärkung der Rechte Betroffener, die Stärkung der Position der Aufsichtsbehörden sowie auf eine umfassende und aufgrund der technischen Möglichkeiten (z. B. technische Identifizierungsmöglichkeiten wie IP-Adressen) angemessene Definition des Begriffs „personenbezogene Daten“.3 Gleich zu Beginn der Einigungsgespräche veröffentlichte die Arbeitsgruppe im Jahr 2012 eine detaillierte Stellungnahme zu dem Entwurf der Datenschutz-Grundverordnung. Auch wenn sie grundsätzlich eine positive Haltung gegenüber dem Vorhaben einnahm und besonders Aspekte wie das „Recht auf Vergessenwerden“, die Datenminimierung und die Vorschriften für die Verarbeitung von personenbezogenen Daten von Kindern lobte, hatte die Gruppe auch viele Kritikpunkte. So waren ihr einige Ausführungen der Verordnung nicht präzise genug, sodass sie die Wichtigkeit des Begriffs der „Einwilligung“ und verbesserte Schutzmechanismen für die Betroffenen betonte. Auch bei den Trilog-Verhandlungen nahm die Artikel 29-Datenschutzgruppe ihre Beratungsaufgaben wahr. So wünschte sie sich klare, einfache und effektive Lösungen, die zum einen den Betroffenen einen hohen Schutz ihrer Daten ermöglichen, aber zum anderen auch die Unternehmen nicht im Wettbewerb und im Kampf um Innovationen hemmen. Damit die Verordnung in den Mitgliedstaaten besser und einfacher implementiert werden kann, möchte die Arbeitsgruppe einen Aktionsplan als Richtwert zur Implementierung der Datenschutz-Grundverordnung entwickeln.

Im Zuge der Datenschutz-Grundverordnung wird die Richtlinie 95/46/EG zum 25. Mai 2018 aufgehoben und die Artikel 29-Datenschutzgruppe durch den Europäischen Datenschutzausschuss ersetzt.4 Der Europäische Datenschutzausschuss wird als Einrichtung der Union mit eigener Rechtspersönlichkeit handeln. Er wird durch einen Vorsitz vertreten und besteht aus dem/der Leiter*in einer oder mehrerer Aufsichtsbehörde/n jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten. Die EU-Kommission ist berechtigt ohne Stimmrecht an den Tätigkeiten und Sitzungen des Ausschusses teilzunehmen und ist von diesem stets über seine Tätigkeiten zu informieren. Die Aufgaben des Ausschusses umfassen beispielsweise:

  • Überwachung und Sicherstellung einer ordnungsgemäßen Anwendung der Datenschutz-Grundverordnung

  • Beratung der EU-Kommission bei allen Fragen bezüglich des Schutzes personenbezogener Daten

  • Bereitstellen von Leitlinien, Empfehlungen und bewährten Verfahren zur Löschung von Links zu personenbezogenen Daten oder Kopien dieser Daten sowie zur näheren Bestimmung der Kriterien und Bedingungen für die Übermittlung personenbezogener Daten

  • Förderung der Ausarbeitung von Verhaltensregeln und der Einrichtung von datenschutzspezifischen Zertifizierungsverfahren sowie Datenschutzsiegeln und Datenschutzprüfzeichen


  1. Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Amtsblatt L 281/31 vom 23.11.1995. ↩︎

  2. http://www.bfdi.bund.de/DE/Europa_International/Europa/europa-node.html. ↩︎

  3. Letter from the Articel 29 Working Party to Ms Ilze JUHANSONE: opinion on the draft Regulation in view of the triloque, http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2015/20150617_letter_from_the_art29_wp_on_trilogue_to_msjuhansone.pdf. ↩︎

  4. Erwägungsgrund 139 der Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), Amtsblatt L 119/1 vom 04.05.2016. ↩︎

Zurück