In der Diskussion um das EU-Datenschutzpaket findet der Schutz des Bürgers gegen den datenverarbeitenden Staat viel zu wenig Beachtung. Dies obwohl der Verfassungsrichter Masing bereits im Januar 2012 auf „gravierende Einbußen beim Grundrechtsschutz“ hingewiesen hat, die mit dem Brüsseler Vorhaben verbunden sind („Politik: ‚Grundrechte in Gefahr'“, Süddeutsche.de v. 9.1.2012; vgl. Härting, „Lobbyarbeit in eigener Sache: EU-Kommission möchte selbst obersten Hüterin des Datenschutzes werden“, CRonline Blog v. 11.2.2013).
EU-Verordnung statt EU-Richtlinie
Die EU-Kommission plant, die aus dem Jahre 1995 stammende Datenschutzrichtlinie durch eine Verordnung zu ersetzen. Und eine Verordnung bedeutet ein einheitliches Schutzniveau für ganz Europa und nicht lediglich – wie bei einer Richtlinie – einen Mindestschutz. Da die Verordnung für Staat und Wirtschaft gleichermaßen gelten soll, heißt dies auch für die staatliche Datenverarbeitung, dass es dem deutschen Gesetzgeber verwehrt ist, den Bürger stärker, als dies die DS-GVO vorsieht, gegen den datenhungrigen Staat zu schützen.
Datenschutz in Deutschland
Ein starker Datenschutz ist ein Markenzeichen des deutschen Rechts. Hieran hat das BVerfG erheblichen Anteil, seit es im Jahre 1983 aus Art. 1 Abs. 1 GG und Art. 2 Abs. 1 GG das Grundrecht auf informationelle Selbstbestimmung abgeleitet hat. Anlass war das Volkszählungsgesetz 1983 (BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83 u.a., BVerfGE 65, 1 ff. – Volkszählung).
Künftige Volkszählungsgesetze und EU-DS-GVO
Nun stelle man sich einmal vor, dass der deutsche Gesetzgeber in den nächsten Jahren ein neues Volkszählungsgesetz verabschiedet. Könnten Bürger hiergegen – wie im Jahre 1983 – Verfassungsbeschwerde einlegen, wenn die DS-GVO gilt?
- Rechtsweg: Auf europäischer Ebene gibt es kein Verfassungsgericht und keine Verfassungsbeschwerde, sodass allenfalls das BVerfG über eine Verfassungsbeschwerde entscheiden könnte. Schon aus diesem Grund ist es ein gravierender Unterschied, ob der Grundrechtsschutz nationalen oder europäischen Regelungen überantwortet wird.
- Gesetzgebungskompetenz: Art. 6 Abs. 3 Satz 2 DS-GVO erlaubt es den Mitgliedsstaaten – beispielsweise durch ein Volkszählungsgesetz Grundlagen für eine Datenverarbeitung zu schaffen, wenn das Verhältnismäßigkeitsgebot beachtet wird:
„Die einzelstaatliche Regelung muss ein im öffentlichen Interesse liegendes Ziel verfolgen oder zum Schutz der Rechte und Freiheiten Dritter erforderlich sein, den Wesensgehalt des Rechts auf den Schutz personenbezogener Daten wahren und in einem angemessenen Verhältnis zu dem mit der Verarbeitung verfolgten legitimen Zweck stehen.“
[Vorschlag der EU-Kommission v. 25.1.2012 für eine Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), KOM(2012) 11, Seite 51] - Maßstab: Ein Volkszählungsgesetz 2020 müsste sich an Art. 6 Abs. 3 Satz 2 DS-GVO messen lassen. Strengeren Maßstäben -wie sie vielleicht das BVerfG anlegen würde – stünde die europaweite Vollharmonisierung entgegen. Das BVerfG wäre für die Prüfung der Einhaltung des Art. 6 Abs. 3 Satz 2 DS-GVO nicht zuständig. Somit bliebe für Karlsruhe keinerlei Prüfungsspielraum. Aus diesem formalen Grund müsste jede Verfassungsbeschwerde scheitern.
Aufgabe bewährter Checks and Balances?
Das BVerfG hat sich in den letzten Jahren um den Schutz des Bürgers vor einem allzu datenhungrigen Staat unbestreitbar erheblich verdient gemacht. Wollen wir diesen Schutz wirklich einer EU-Kommission überlassen, die:
- derzeit an Plänen für umfangreiche neue Datenbanken für Polizei und Justiz sowie für die Ein-/Ausreise von Bürgern arbeitet, ohne dem Datenschutz größere Beachtung zu widmen (Härting, EU-Kommission plant neue Datenbanken für Polizei, Justiz, Ein-/Ausreise. Kein Wort zum Datenschutz.“, CRonline Blog v. 8.3.2013);
- die meint, dass die DS-GVO für ihre eigenen Aktivitäten nicht gelten soll (Art. 2 Nr. 2 lit. b DS-GVO) [Vorschlag der EU-Kommission v. 25.1.2012 für eine Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), KOM(2012) 11, Seite 46];
- die mit erheblicher rhetorischer Schärfe ihre Pläne verteidigt, eine Letztentscheidungsinstanz zu sein, wenn sich europäische Datenschutzbehörden nicht einigen können (Härting, „Lobbyarbeit in eigener Sache: EU-Kommission möchte selbst oberste Hüterin des Datenschutzes werden“, CRonline Blog v. 11.2.2013);
- die keiner umfassenden Kontrolle durch ein (europäisches) Verfassungsgericht unterliegt?
Eigentliche Dimension des EU-Datenschutzes
Im EU-Datenschutz geht es nicht nur um Google, Apple und Amazon. Es geht ebenso um den Schutz der Bürgerrechte gegen den datenhungrigen Staat und um die Bewahrung des hohen Datenschutzniveaus, das wir hierzulande in erster Linie dem BVerfG zu verdanken haben.