Editorial : Wie weit öffnen Öffnungsklauseln? : aus der RDV 2/2017, Seite 51 bis 52
Das Datenschutzanpassungs- und Umsetzungsgesetz spaltet die Datenschützer. Ein grundlegender Streitpunkt ist der Regelungsspielraum, den die zahlreichen Öffnungsklauseln dem nationalen Gesetzgeber gewähren. Auf der einen Seite liegt es auf der Hand, dass mitgliedstaatliche Sonderregelungen das einheitliche Niveau der Grundverordnung schwächen. Das kann für Verwirrung sorgen, zumal die Datenschutz-Grundverordnung mit ihren Rechtsnormen und erläuternden Erwägungsgründen für sich allein schon komplex genug ist. Aber das Hauptargument gegen das neue deutsche Recht aus DS-GVO und ergänzendem BDSG ist nicht seine Komplexität sondern das Europarecht. Mit der Grundverordnung habe der europäische Gesetzgeber sich gegen eine mitgliedstaatliche Umsetzung entschieden und die Normen müssten gelten, wie sie vereinbart sind, so einige Aufsichtsbehörden. Die Datenschutzaufsicht droht an, das neue deutsche Datenschutzrecht nicht anzuwenden.
Das Argument der unmittelbaren Geltung der Grundverordnung ist grundsätzlich richtig. Es stimmt auch, dass der Europäische Gerichtshof in Übereinstimmung mit den deutschen Gerichten es allen öffentlichen mitgliedstaatlichen Stellen – als auch der Datenschutzaufsicht – ermöglicht, nationales Recht dann nicht anzuwenden, wenn es nach ihrer Überzeugung gegen unmittelbar geltendes EU-Recht verstößt.
Auf der anderen Seite betreten wir mit der Datenschutz-Grundverordnung nicht nur begrifflich Neuland. Die Grundverordnung ist ein Rechtsinstrument, das das EU-Primärrecht nicht kennt. Es unterscheidet sich nicht nur durch seinen komplexen Regelungsgegenstand – nämlich die europäische Privatheit in der Wirtschaft und Verwaltung – von einer üblichen Verordnung. Sie enthält zudem eine Vielzahl von Öffnungsklauseln, die den Mitgliedstaaten die Möglichkeit einräumen, im Anwendungsbereich der Öffnungen konkretisierendes Recht zu schaffen. Weil die Grundverordnung selbst an vielen Stellen schwammig und offen formuliert ist, liegt der Gedanke nah, dass solche Konkretisierungen von der Verordnung geradezu erwünscht sind, wenn Öffnungsklauseln sie ermöglichen. Über den Umfang der Konkretisierung und insbesondere darüber, ob die von der Grundverordnung nicht näher ausgefüllten Rechtspflichten der Unternehmen bei der Ausgestaltung der Betroffenenrechte auch einschränkend ausgelegt werden dürfen, sagt die Grundverordnung nichts. Ob die insbesondere mit Blick auf die Betroffenenrechte kritisieren Regelungen des geplanten deutschen Datenschutzrechts das Niveau senken, oder es nur spezifizieren, ist Ansichtssache. Wenn die Aufsicht es nicht anwenden will, dann muss sie sich sicher sein, dass der Europäische Gerichtshof dem deutschen Gesetzgeber bei der Ausfüllung der Öffnungsklauseln einen Bruch des Europarechts attestiert. Dazu dürfte es erforderlich sein, dass das deutsche Recht die offen formulierten Öffnungsklauseln offenkundig europarechtswidrig ausfüllt. Dass das der Fall ist, darf man angesichts der gesetzgeberischen Einschätzungsprärogativen bei der Ausfüllung von weit gefassten Öffnungsklauseln mit guten Gründen bezweifeln. Wer das neue deutsche Datenschutzrecht nicht anwendet, muss sich seiner Europarechtswidrigkeit schon sehr sicher sein, wenn er Wirtschaft und Verwaltung nicht seinerseits in die Gefahr eines Rechtsbruches drängen will.
Ralf Schwartmann
Prof. Dr. Rolf Schwartmann Leiter der Kölner Forschungsstelle für Medienrecht an der Technischen Hochschule Köln, Mitherausgeber von Recht der Datenverarbeitung (RDV) sowie Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)