JuWiss-Schwerpunktwoche zum Datenschutzrecht
von FELIX KRÄMER
Mit der bis zum 06.05.2018 umzusetzenden sog. JI-Richtlinie und der Geltung der sog. Datenschutzgrundverordnung (DSGVO) ab dem 25.05.2018 ist ein Großteil der Reform des Europäischen Datenschutzrechts abgeschlossen. Dies wird zu Recht als Zeitwende oder Anbruch einer neuen Ära eingeordnet. Voraussetzung für eine kohärente Realisierung dieses Konzepts ist indes, dass Klarheit hinsichtlich der Anwendbarkeit der verschiedenen unionalen Rechtsakte besteht. Die Bestimmungen hinsichtlich des Anwendungsbereichs der DSGVO werfen diesbezüglich jedoch Bedenken auf, welche zentralen Weichenstellungen der EU-Datenschutzreform eine aktuelle und praktische Relevanz verleihen.
Ehrgeiziges Ziel – entsprechender Geltungsbereich?
Die DSGVO betont die Erforderlichkeit eines soliden, kohärenten und klar durchsetzbaren Rechtsrahmens im Bereich des Datenschutzes in der Union, wozu sie selbst insb. durch Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts (RFSR) beitragen soll. Jedoch ist es gerade das Merkmal der Rechtsklarheit, welches nicht nur, aber besonders deutlich in Bezug auf den RFSR Fragen aufwirft. Der sachliche Anwendungsbereich der DSGVO ist in ihrem Art. 2 durch mehrere Ausnahmen eingeschränkt, die schon für sich genommen teilweise vermeidbare Unklarheiten beinhalten:
So ist – neben dem deklaratorischen Hinweis auf die Beschränkung der Geltung auf dem Anwendungsbereich des Unionsrechts (dessen Reichweite zwar spätestens seit dem Åkerberg Fransson-Urteil des EuGH diskutiert wird, hier jedoch keine darüberhinausgehende Relevanz aufweist) unterfallende Datenverarbeitungen (Abs. 2 lit. a), der sog. Haushaltsausnahme (Abs. 2 lit. b), welche schon in der Vergangenheit zu Abgrenzungsschwierigkeiten geführt hat und dem Bereich der GASP (Abs. 2 lit. c) – die Tätigkeit der zuständigen Behörden im Hinblick auf Prävention und Repression von Straftaten und der Abwehr von Gefahren für die öffentliche Sicherheit (Abs. 2 lit. d) vom Anwendungsbereich der DSGVO ausgenommen. Während es für die ersten drei Ausnahmen im Ergebnis selbstverständliche (hins. Abs. 2 lit. a), nachvollziehbare (insb. hins. Abs. 2 lit. b) und/oder im Primärrecht wurzelnde (insb. hins. Abs. 2 lit. c, vgl. nur Art. 39 EUV) Gründe geben mag, ist die Ausnahme nach Abs. 2 lit. d hinsichtlich ihrer Reichweite (dazu zunächst) und ihrer Begründung (dazu sodann) schwer verständlich.
Nach Art. 2 Abs. 2 lit. d) entscheidet neben einem funktionalen Kriterium (Tätigkeit im Rahmen der Strafverfolgung oder Gefahrenabwehr) die Zuständigkeit der Behörde nach nationalem Recht über die Anwendbarkeit der DSGVO. Das könnte bedeuten, dass die Rechtmäßigkeit einer Datenverarbeitung im genannten Bereich durch die (örtlich, sachlich, instanziell?! – die einschlägige Kommentarliteratur legt sich jedenfalls häufig nicht fest…) unzuständige Strafverfolgungs- bzw. Gefahrenabwehrbehörde nach der DSGVO zu beurteilen ist, die gleiche Aktion der zuständigen Behörde hingegen „nur“ den Vorgaben des „kleinen Bruders“ JI-Richtlinie entsprechen muss. Ferner soll in diesem Zusammenhang die DSGVO nach ihrem Erw. 19 Anwendung finden können, wenn die zwar „zuständigen“ Behörden Aufgaben wahrnehmen, diese jedoch „nicht zwangsläufig“ – for whatever that means – dem Art. 2 Abs. 2 lit. d) unterfallenden Bereich dienen – wobei hier durch Verweis auf Art. 3 Nr. 7 der JI-Richtlinie die Zuständigkeit der Behörde (allein) durch deren sachliche Zuständigkeit nach nationalem Recht für Strafverfolgung und Gefahrenabwehr begründet wird. So weit, so unklar…
Aber auch der Hintergrund dieser Regelung ist schwer nachvollziehbar: So sollte durch die Ausnahme nach Art. 2 Abs. 2 lit. d) Rücksicht auf die Souveränität der Mitgliedstaaten genommen werden – ein kurzer Blick in Art. 16 Abs. 2, 67 ff., insb. 87 Abs. 2 AEUV veranschaulicht deutlich den politischen und primärrechtlich nicht gebotenen Ursprung dieser Entscheidung.
Aus eins mach (mindestens) drei – Vereinheitlichung verkompliziert
Diese Schwierigkeiten sind jedoch nur symptomatisches Beispiel und Ausfluss eines der europäischen Datenschutzreform innewohnenden Defizits, das sich je nach weiterer Entwicklung als äußerst hinderlich für eine effektive Umsetzung der Reform erweisen könnte: Die DSGVO ist in materieller Hinsicht im Bereich der Straftatenbekämpfung (s.o.) und zudem bei Verarbeitung personenbezogener Daten durch Organe, Ämter und Agenturen der Union (vgl. Art. 2 Abs. 3) nicht anwendbar. Ersteres soll durch die JI-Richtlinie (die ebenfalls nicht auf EU-Akteure anwendbar ist, Art. 2 Abs. 3 lit. b JI-Richtlinie) ausgeglichen werden, letzteres durch eine Anpassung der für die unionalen Akteure geltenden Rechtsakte, insbesondere der Verordnung 45/2001. Jedenfalls im Rückblick erstaunen diese nun getroffenen Regelungen, da zu Beginn des Gesetzgebungsverfahrens sowohl Kommission (S. 4 f.), Rat (S. 3, S. 6 f.), Europäisches Parlament (S. 3) als auch „alle beteiligten Kreise“ im Rahmen der öffentlichen Konsultation – freilich mit Ausnahme von Europol und Eurojust – (S. 4) eine den Politikbereich des RFSR und die EU-Institutionen umfassende Verordnung mehr oder weniger nachdrücklich angestrebt hatten. Dies wurde jedoch schon im Kommissionsentwurf nicht mehr berücksichtigt, was Kritik durch den Europäischen Datenschutzbeauftragten in Bezug auf beide genannten Aspekte sowie durch den Europäischen Wirtschafts- und Sozialausschuss (S. 5) und den Ausschuss der Regionen (S. 6) bezüglich der fehlenden Einbeziehung der Akteure der EU zur Folge hatte.
Neben den dort geäußerten Bedenken ist aus Sicht des Verfassers eine wiederum beide genannten Bereiche betreffende potentielle negative Auswirkung zentral: Der Europäische Verwaltungsraum ist geprägt durch horizontale und (auch im RFSR) vertikale Behördenkooperation. Auseinanderfallende rechtliche Vorgaben für Unionsstellen, die – wie etwa Europol – zudem „eigene“ Datenschutzvorschriften haben (s. nur Art. 28 ff. der Europol-Verordnung), und Behörden der (verschiedenen) Mitgliedstaaten, die evtl. „nur“ den zur Umsetzung der JI-RL erlassenen nationalen Gesetzen unterworfen sind, dürften zu Schwierigkeiten in der Zusammenarbeit führen, falls die jeweiligen Vorgaben nicht zufällig übereinstimmen. In föderalistisch geprägten Mitgliedstaaten, in welchen etwa die (Gesetzgebungs-) Zuständigkeit für Gefahrenabwehr und Strafverfolgung auseinanderfallen, dürften diese Problematiken noch verstärkt auftreten. Letztlich gilt es also, einen föderalen Flickenteppich zu verhindern.
Aufholjagd noch möglich?
Insgesamt wird zu beobachten sein, ob die verpasste Chance einer umfassenderen Neuordnung des europäischen Datenschutzes anderweitig ausgeglichen werden kann. Im Bereich Justiz und Inneres liegt dies nun weitgehend in den Händen der Mitgliedstaaten – ein neues BDSG etwa trat ebenfalls am 25.05.2018 in Kraft. Hinsichtlich der Vorgaben für die unionalen Akteure ist die Kommission einen ersten Schritt zur Erfüllung ihrer Verpflichtung aus Art. 98 DSGVO gegangen – wie sich dies auf die für einzelne Unionsagenturen bestehenden speziellen Datenschutzbestimmungen auswirkt, bleibt abzuwarten. Bis dahin ist auf die Anwendung dieser Rechtsakte „im Lichte“ der DSGVO und somit auf die (politische) Selbstbindung (auch der Agenturen) der Union zu hoffen – ein schwacher Trost!?
Zitiervorschlag: Krämer, Das EU-Datenschutzpaket – über große Schritte und verpasste Chancen, JuWissBlog Nr. 53/2018 v. 29.5.2018, https://www.juwiss.de/53-2018/
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.