DA+

Kurzbeitrag : Plädoyer für einen Datenschutz-Staatsvertrag : aus der RDV 2/2017, Seite 75 bis 78

Lesezeit 11 Min.

Die Datenschutz-Grundverordnung der EU vom 27. April 2016 erzwingt – wie in allen EU-Mitgliedsstaaten – auch in Deutschland Änderungen des nationalen Datenschutzrechts.

Dabei lassen sich zwei Bereiche unterscheiden:

  • Nationale Regelungen sind (klarstellend) aufzuheben, soweit sie den Bestimmungen der Verordnung widersprechen.
  • Von der Verordnung belassene Regelungsspielräume sind
  • teils zwingend, teils fakultativ – auszufüllen.

Im erstgenannten Bereich liegt vor den Gesetzgebern auf Bundes- und Landesebene eine schwierige Aufgabe, weil ihnen die Auslegung der noch neuen EU-Vorschriften abverlangt wird. Zu diesen Normen, ihrem genauen Anwendungsbereich etc. ist derzeit noch vieles ungeklärt und heiß umstritten.

Dennoch muss sich der Gesetzgeber nach rechtsstaatlichen Prinzipien dieser Aufgabe nicht „nur“ für das allgemeine Datenschutzrecht, sondern auch für den Datenschutz in Spezialbereichen (z.B. Patientendatenschutz, Sozialdatenschutz) stellen: Es wäre höchst bedenklich, dem Rechtsanwender (zusätzlich zur ohnehin komplexen und sanktionsbedrohten Umsetzung der Datenschutzvorgaben) auch noch abzuverlangen, das Regelungsgefüge einander widersprechender nationaler und gemeinschaftsrechtlicher Vorschriften selbst zu entwirren (weil der Gesetzgeber innerhalb der Umsetzungsfrist hierzu nicht fähig war).

Im zweitgenannten Bereich der Ausfüllung von Öffnungsklauseln sprechen rechtliche und wirtschaftliche Überlegungen (der Transparenz und leichteren Umsetzbarkeit) prima facie und allgemein dafür, so wenig als möglich vom Gemeinschaftsrecht abzuweichen – und zwar auch dort, wo Sonderwege zulässig wären.

Für das Bundesdatenschutzrecht liegt ein (dritter) Umsetzungsversuch in Gestalt des Kabinettsentwurfs vom 24.02.2017 vor.[1] Erlassen werden soll ein komplett novelliertes Bundesdatenschutzgesetz als Art. 1 eines Gesetzes „zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“.

In den Bundesländern sind „neue“ Landesdatenschutzgesetze geplant und Entwurfsarbeiten teils schon weit gediehen.

Spätestens jetzt wäre es an der Zeit, sich (u.a.) über zwei Fragen Klarheit zu verschaffen, die bisher wenig Beachtung finden:

  • Sind 17 deutsche Datenschutzgesetze (weiterhin) sinnvoll?[2]
  • Wo liegt die Gesetzgebungskompetenz für den Datenschutz?

I. Siebzehn deutsche Datenschutzgesetze?

Zu den Ärgernissen des Datenschutzrechts gehört seine extreme Zersplitterung und Unübersichtlichkeit. Auch Spezialisten können nicht von sich behaupten, einen Über – blick über sämtliche datenschutzrechtlichen Regelungen zu besitzen.[3]

Auf europäischer Ebene wurde das im Gesetzgebungsverfahren zur Datenschutz-Grundverordnung ursprünglich verfolgte Ziel einer Harmonisierung des Datenschutzrechts in vielen Bereichen wieder aufgegeben.

Natürlich ist ein Teil der Fragmentierungen auf den Charakter des Datenschutzes als Querschnittsmaterie zurückzuführen. Auch jenseits dieser – strukturell begründeten – Komplexität blieben aber Vereinheitlichungschancen ungenutzt. Beispielsweise ist nicht einzusehen, weshalb die EU-Behörden selbst den Regelungen der DatenschutzGrundverordnung ausweichen. Ohne weiteres hätte man die gesonderte Verordnung über den Datenschutz bei EU-Institutionen[4] aufheben können. Ähnliches gilt für die Ausnahmen in den Bereichen Außen- und Sicherheitspolitik, Polizei, Justiz und Geheimdienste. Seit Jahrzehnten gilt in der Bundesrepublik auch in diesen Sektoren das allgemeine Datenschutzrecht. Spezialgesetzlich geregelt werden dann (wie in vielen anderen Politik- und Lebensbereichen) nur notwendige Vorbehalte und Ausnahmen.

Auf europäischer Ebene fehlte der politische Wille für eine weitergehende Harmonisierung des Datenschutzes.

Es spricht aber nichts dafür, diesen kritikwürdigen Weg nun auf nationaler Ebene fortzusetzen. Der Umbau des Datenschutzrechts gibt vielmehr z.B. Gelegenheit, die zusätzliche unnötige Fragmentierung beim behördlichen Datenschutz in Frage zu stellen und zu korrigieren. Bekanntlich ist bisher das Datenschutzrecht der Bundesbehörden im BDSG und dasjenige der Landesbehörden im jeweiligen Landesdatenschutzgesetz normiert. Außerdem regelt der Bund den Datenschutz der nicht-öffentlichen Stellen (insbesondere, aber nicht nur Privatwirtschaft) im BDSG; insoweit wird das Bundesdatenschutzgesetz von Landesbehörden exekutiert.

Es mag dahinstehen, ob es jemals überzeugend war, für den Bereich automatisierter Datenverarbeitung landesspezifische Datenschutzregeln zu schaffen. Spätestens heute – in einer Zeit, die Datenverarbeitung vernetzt und großteils örtlich kaum zuordnungsfähig (in der viel zitierten „Cloud“) abbildet – ist es antiquiert, von Bundesland zu Bundesland abweichende Regelungskonzepte zu verfolgen.

Für die Rechtsunterworfenen (zu denen nicht nur Behörden, sondern z.B. auch deren Beschäftigte und Dienstleister gehören), wird in vermeidbarer Art und Weise der sprichwörtliche „Teufel im Detail“ versteckt. Es war und ist schwer (wenn überhaupt) zu erklären, dass

  • in einigen Bundesländern behördliche Datenschutzbeauftragte obligatorisch bestellt werden müssen, in anderen Bundesländern fakultativ bestellt werden können,
  • externe behördliche Datenschutzbeauftragte teils zugelassen und teils untersagt werden,
  • einige Bundesländer die Einschaltung von Auftragsdatenverarbeitern außerhalb der EU fast vollständig verbieten,
  •  manche Länder bei Beauftragung nicht-öffentlicher Stellen verlangen, die Aufsichtsbehörde am Sitz des Dienstleisters zu informieren (was in der Praxis gelegentlich sogar zu Rückfragen der zu informierenden Aufsichtsbehörde führt, weil ihr die entsprechende Regelung im „fremden“ Landesdatenschutzgesetz nicht präsent ist),
  • abweichende Terminologien (z.B. unterschiedliche Inhalte des Begriffs „Datenverarbeitung“) genutzt wurden.

Die Liste der Regelungsunterschiede ließe sich verlängern. Etliche dieser historischen Differenzen entfallen durch das Machtwort der Grundverordnung. So sind z.B. nach europäischem Recht zwingend künftig in allen Bundesländern behördliche Datenschutzbeauftragte zu bestellen. Ebenso zwingend ist die Zulässigkeit externer Beauftragter geregelt.

Es bleiben – in Reichweite und Bedeutung nochmals reduzierte – Detailunterschiede möglich. Doch was spricht dafür, von dieser rechtlichen Möglichkeit auch tatsächlich Gebrauch zu machen?

Die Argumente für eine Vereinheitlichung liegen auf der Hand. Transparenz und Anwendbarkeit des Datenschutzrechts würden gefördert. Kurzum und konkret: Der Datenschutz in Deutschland gewinnt durch bundesweit einheitliche Regelungen, und er verliert durch eine – ausgerechnet im Bereich elektronischer Datenverarbeitung – detailverschiedene Kleinstaaterei.

Völlig zutreffend haben die Datenschutzbeauftragten des Bundes und der Länder bereits vor Inkrafttreten der Europäischen Datenschutz-Grundverordnung den Bedarf nach einer einheitlichen Vorgehensweise erkannt und (angesichts der de lege lata bestehenden Rechtsunterschiede durchaus ambitioniert) eine eigene Arbeitsgruppe mit der Entwicklung des sogenannten „Standard-Datenschutzmodells“ beauftragt.[5]

Der (und die) Gesetzgeber sollte(n) solche Symptome eines praktischen Harmonisierungsbedarfs beachten und jedenfalls (anders als bisher) Optionen der Rechtsvereinheitlichung ernsthaft prüfen.

II. (Keine) Gesetzgebungskompetenz des Bundes im nicht-öffentlichen Bereich

In diesem Zusammenhang muss eine zweite Frage geprüft und die traditionelle (selten reflektierte) Antwort ggf. korrigiert werden: Besitzt der Bund die Gesetzgebung für den Datenschutz bei nicht-öffentlichen Stellen?

1. Soweit eine Diskussion der Frage erfolgt, wird die Gesetzgebungskompetenz bisher entweder aus Art. 74 Abs. 1 Nr. 11 GG („Recht der Wirtschaft“) abgeleitet, als Flickenteppich- bzw. Mosaikzuständigkeit dargestellt, oder als Annexkompetenz bejaht. All diese Argumentationswege können jedoch nicht überzeugen:

a) Hinsichtlich der Normadressaten des Datenschutzes unterscheidet das deutsche Recht traditionell zwischen den öffentlichen Stellen des Bundes, den öffentlichen Stellen der Länder und den nicht-öffentlichen Stellen. Letztgenannte wiederum werden datenschutzrechtlich verpflichtet, soweit der Datenumgang nicht im persönlichen oder familiären Kontext erfolgt (§ 1 Abs. 2 Nr. 3 BDSG). Bereits ein ideeller (nicht wirtschaftlich tätiger) Verein hat – ganz unstreitig – das Datenschutzrecht zu beachten. „Nicht-öffentliche Stellen“ und „Wirtschaftsunternehmen“ sind keine Synonyme. Deshalb taugt Art. 74 Abs. 1 Nr. 11 GG („Recht der Wirtschaft“) nicht zur umfassenden Legitimation der Bundesgesetzgebung für nicht-öffentliche Stellen.[6]

b) Bei einer – aus verschiedenen Teilzuständigkeiten abgeleiteten – „Mosaik-Kompetenz“ wäre es von vornherein erstaunlich, wenn sich ein geschlossenes KompetenzMosaik für nicht-öffentliche Stellen ergäbe. Wer eine Bundeskompetenz für den gesamten (!) Datenschutz bei nicht-öffentlichen Stellen unter Verweis auf „Mosaik-Zuständigkeiten“ behauptet, müsste sich einer sehr kleinteiligen Prüfung stellen und letztlich mit der Lückenhaftigkeit eines Mosaiks (also jenen fehlenden „Mosaik-Steinchen“, die eindeutig in Gesetzgebungskompetenz der Länder „fallen“) abfinden.[7]

Eine solche zusätzliche Zersplitterung der Gesetzgebung im Datenschutz ist sicher rechtspolitisch unerwünscht.

Beispielhaft: Zu den „nicht-öffentlichen Stellen“ gehören Arztpraxen. Das Berufsrecht der Ärzte wird auf Landesebene normiert. Der Datenschutz betrifft nicht den Aspekt der ärztlichen Praxis als Wirtschaftseinheit – er regelt (schützt und beschränkt) die informationelle Selbstbestimmung u.a. der Patienten und Mitarbeiter. Beschäftigtendatenschutz in der Arztpraxis ließe sich mit Verweis auf die Bundeskompetenz für das Arbeitsrecht (Art. 74 Abs. 1 Nr. 12 GG) bundeseinheitlich regeln, Patientendatenschutz hingegen (auch nach Art. 74 Abs. 1 Nr. 19 und 19a GG) nicht. In diesen und ähnlichen Fällen fehlt eine Gesetzgebungskompetenz des Bundes für den einzelnen „Mosaikstein“.

c) Vielleicht deshalb wird aktuell, soweit sich überhaupt Äußerungen zur Thematik der Gesetzgebungskompetenz finden, der Topos einer Annexkompetenz bemüht. Exemplarisch heißt es im BDSG-Referentenentwurf des Bundesministeriums des Innern: „Die Gesetzgebungskompetenz des Bundes folgt für Regelungen des Datenschutzes als Annex aus den jeweiligen Sachkompetenzen der Art. 73 bis 74 GG … Für nicht-öffentliche Stellen folgt die Gesetzgebungskompetenz des Bundes im Bereich des Datenschutzes als Annex aus Art. 74 Abs. 1 Nr. 11 GG (Recht der Wirtschaft). Nach Art. 72 Abs. 1 GG steht dem Bund die Gesetzgebungskompetenz in diesen Fällen u.a. dann zu, wenn und soweit eine bundesgesetzliche Regelung zur Wahrung der Rechtseinheit im gesamtstaatlichen Interesse erforderlich ist. Eine bundesgesetzliche Regelung des Datenschutzes ist zur Wahrung der Rechtseinheit im Bundesgebiet im gesamtstaatlichen Interesse erforderlich. Eine Regelung dieser Materie durch den Landesgesetzgeber würde zu erheblichen Nachteilen für die Gesamtwirtschaft führen, die sowohl im Interesse des Bundes, als auch der Länder nicht hingenommen werden können. Insbesondere wäre zu befürchten, dass unterschiedliche landesrechtliche Behandlungen gleicher Lebenssachverhalte erhebliche Wettbewerbsverzerrungen und störende Schranken für die länderübergreifende Wirtschaftstätigkeit zur Folge hätten. Es bestünde die Gefahr, dass z.B. die betroffenen Rechte durch die verschiedenen Landesgesetzgeber unterschiedlich eingeschränkt würden, mit der Folge, dass bundesweit agierende Unternehmen sich auf verschiedenste Vorgaben einrichten müssten.“[8]

Die Einwände gegen diese Argumentation liegen auf der Hand:

  • Die gesamte Begründung erfasst nur den Datenschutz durch Wirtschaftsunternehmen, soll aber eine Gesetzgebungskompetenz für den Datenschutz bei sämtlichen „nicht-öffentlichen Stellen“ rechtfertigen.
  • Die im Grundgesetz geregelte föderale Struktur der Bundesrepublik Deutschland führt häufig und zwingend dazu, dass sich „bundesweit agierende Unternehmen … auf verschiedenste Vorgaben einrichten“ müssen. Dies allein genügt nicht dafür, Gesetzgebungskompetenz des Bundes zu unterstellen. Schlicht formuliert: Bedürfnisse der Rechtsunterworfenen führen womöglich zu Verfassungsänderungen, und aus einer geänderten Verfassung ergibt sich dann ggf. die Kompetenz des Bundesgesetzgebers. Sie folgt aber nicht ohne den „Umweg“ einer Verfassungsänderung direkt aus einem praktischen Bedürfnis.[9]

d) Auch als „Sonder-Zivilrecht“[10] lässt sich das Datenschutzrecht nicht-öffentlicher Stellen nicht darstellen: Die Datenschutzregelungen erfolgen materiell- und formellrechtlich im Subordinationsverhältnis, tragen also das klassische Merkmal des öffentlichen Rechts.[11] Den Normunterworfenen („nicht-öffentlichen Stellen“) werden Verhaltensvorgaben gestellt, die gerade nicht nur (z.B. den Regeln des BGB vergleichbar) für den Verkehr zwischen Privaten gelten, sondern (1) die eigene Organisation der nicht-öffentlichen Stelle betreffen (z.B. Führen von Verfahrensverzeichnissen – künftig: Verzeichnis von Verarbeitungstätigkeiten –, Bestellung von Datenschutzbeauftragten, Durchführung von Vorabkontrollen – künftig: Datenschutz-Folgenabschätzungen) und (2) Aufsichtsbehörden sowie deren Verfahren konstituieren.

2. Nachdem das Bundesdatenschutzgesetz nun fast vier Jahrzehnte den Datenschutz nicht-öffentlicher Stellen regelt und die entsprechende Gesetzgebungskompetenz des Bundes kaum bestritten wurde, könnte argumentiert werden, dass sich inzwischen ein entsprechendes Verfassungsgewohnheitsrecht (ungeschriebene Regelungskompentenz des Bundesgesetzgebers für den Datenschutz nicht-öffentlicher Stellen) entwickelt habe. Letztlich trifft aber auch diese Überlegung nicht zu: Zunächst ist schon grundsätzlich die Zulässigkeit von Verfassungsgewohnheitsrecht sehr zweifelhaft. Der Text des Grundgesetzes (Art. 79 Abs. 1 Satz 1) spricht gegen die Entstehung von Verfassungsnormen außerhalb des dort vorgesehenen Verfahrens.[12]

Auch wenn man diese Bedenken ausräumen könnte, fehlt es konkret für eine Gesetzgebungskompetenz des Bundes zum Datenschutz nicht-öffentlicher Stellen an den Voraussetzungen des Entstehens von Gewohnheitsrecht. Zu ihnen gehört die längerfristige gemeinsame Beachtung ungeschriebener Verhaltensregeln durch denjenigen, der zur positivgesetzlichen Regelung befugt wäre (hier: teils den Bundes-, teils die Landesgesetzgeber) in der Überzeugung von ihrer Richtigkeit und Verbindlichkeit. Für den hiesigen Fall einer Gesetzgebungskompetenz: Nicht ausreichend ist die bloße Beanspruchung einer Kompetenz durch den Bundestag und deren Duldung durch die Landesgesetzgeber. Noch weniger maßgeblich sind Zweckmäßigkeitserwägungen (etwa der Art: bundesweit einheitliche Regeln sind wünschenswert, deshalb ist der Bundesgesetzgeber regelungskompetent[13]). Wie oben gezeigt, wird die Gesetzgebungskompetenz des Bundes nicht als ungeschriebenes Recht anerkannt, sondern teils (mit widersprüchlichen Begründungen und zu Unrecht) aus geschriebenem Verfassungsrecht abgeleitet und gelegentlich bestritten.

III. Fazit

Im Ergebnis ist festzuhalten, dass

  • Datenschutzregelungen ihrer Natur nach (wegen des Bezugs auf mobile elektronische Datenverarbeitung) sinnvoller Weise bundesweit harmonisiert werden sollten,
  • dies erst recht für die nach der EU-Datenschutz-Verordnung beim Bundesgesetzgeber und den Landesgesetzgebern verbleibenden Rest-Regelungskompetenzen gilt,
  • der Datenschutz nicht-öffentlicher Stellen nach dem Grundgesetz nicht (umfassend) vom Bundesgesetzgeber zu regeln ist.

Der Datenschutz in Deutschland würde durch eine einheitliche Regelung gewinnen, die als Staatsvertrag oder in Form eines (durch die beteiligten Gesetzgeber zu übernehmenden) Modellgesetzes denkbar ist. Vorzugswürdig scheint der Staatsvertrag, weil er die beim Modellgesetz verbleibenden Risiken abweichender Detail-Regelungen vermeidet und vollständige Harmonisierung sicherstellt.

* Der Autor ist Rechtsanwalt, Datenschutzbeauftragter und Lehrbeauftragter für Datenschutzrecht an der Universität Dresden.

[1] Text verfügbar z.B. unter http//dip21.bundestag.de/dip21/btd/18/113/1811325.pdf; Referentenentwurf vom 23.11.2016, abrufbar unter https://www.datenschutzverein.de/wp-content/uploads/2016/ 11/161123_BDSG-neu-RefE_-2.-Ressortab-Verbaende-Laender.pdf; Referentenentwurf vom 05.08.2016 abrufbar unter https://netzpolitik.org//wp-upload/2016/09/Referentenentwurf_DSAnpUG_EU.pdf.

[2] Die Zählung erfasst nur die Datenschutzgesetze des Bundes und der Länder, nicht z.B. die zusätzlichen, in unterschiedlichem Ausmaß autonomen Regelungen der Kirchen und Medien.

[3] Vgl. die (explizit nur beispielhafte) Auflistung datenschutzrechtlicher Spezialnormen des Bundes und der Länder über mehr als 80 Seiten bei Bergmann/Möhrle/Herb, Stand 51. Ergänzung, September 2016, Systematik Ziffer 4.2.2 und 4.3.2.

[4] Verordnung (EG) Nr. 45/2001. Die Aufrechterhaltung dieser Vorschrift (ausdrücklich erwähnt in Art. 2 Abs. 3 DS-GVO) konterkariert das (gerade EU-seits häufig betonte) Ziel einer Rechtsharmonisierung und weckt den Verdacht, dass sich der europäische Gesetzgeber privilegiert.

[5] Vgl. einführend den Wikipedia-Artikel „Standard-Datenschutzmodell“, dort auch weiterführende Links zu dem Tagungsband des Arbeitskreises und dem vom Düsseldorfer Kreis akzeptierten Handbuch.

[6] A.A. Weichert, in: Däubler u.a. (Hrsg.) 5. Aufl., 2016, Einleitung Rn. 59 ff., insbes. Rn. 61.

[7] In diesem Sinne z.B. Kunig, in: von Münch u.a. (Hrsg.), 6. Aufl., 2012, Art. 74 GG Rn. 9 („teilweise Anknüpfung für Bundeskompetenzen“); Simitis, in: Simitis (Hrsg.), 8. Aufl., 2014, § 1 BDSG Rn. 1 ff. (ausführlich und differenzierend); Taeger/Schmidt, in: Taeger u.a. (Hrsg.), 2. Aufl., 2013, Einführung Rn. 7 – jeweils mit weiteren Nachweisen.

[8] Stand 23.11.2016, S. 65 unter A.IV. der Gesetzesbegründung

[9] Vgl. bereits Schulte/Kloos, in: Baumann-Hasske u.a. (Hrsg.), Die Verfassung des Freistaates Sachsen, 3. Aufl., 2011, Art. 57 Rn. 8.

[10] Mit dem Ziel, eine Gesetzgebungskompetenz des Bundes aus Art. 74 Abs. 1 Nr. 1 GG abzuleiten.

[11] Am Ergebnis wie hier: Simitis, in: Simitis (Hrsg.), 8. Aufl., 2014, § 1 BDSG Rn. 6.

[12] Ausführlich und mit weiteren Nachweisen Unruh, Der Verfassungsbegriff des Grundgesetzes, 2002, 431 f

[13] So aber die Begründung des Referentenentwurfs zum BDSG, Stand 23.11.2016, S. 65 unter A.IV. der Gesetzesbegründung.