Wien – Die Verhandlungen über die neue Datenschutzgrundverordnung dauerten fast vier Jahre und erforderten viele Kompromisse. Zu den großen Neuerungen zählen die Anwendbarkeit europäischen Datenschutzrechts auf außereuropäische Internetdienstleister, der Entfall bürokratischer Melde- und Genehmigungspflichten, abschreckende Strafen, die Pflicht, über Datensicherheitsverletzungen zu informieren, sowie das Recht, seine Daten in einem Format zu erhalten, mit dem man Anbieter wechseln kann ("Datenportabilität").

Diese Neuerungen waren in der Tat überfällig. In der legistischen Umsetzung vieler Detailfragen konnten sich aber die Mitgliedstaaten, Europäische Kommission und Europaparlament auf keine Lösungen einigen. Stattdessen hat man die heiße Kartoffel an die nationalen Gesetzgeber weitergereicht.

Können Jugendliche schon ab 13 oder erst ab 16 Jahren der Verarbeitung ihrer Daten wirksam zustimmen? Welche Voraussetzungen gelten für die Verarbeitung von genetischen, biometrischen, gesundheitlichen oder strafrechtlich relevanten Daten? Sollen nur Unternehmen, die ein datengetriebenes Geschäftsmodell verfolgen, einen betrieblichen Datenschutzbeauftragten bestellen oder alle Unternehmen?

Wie ist Datenschutz mit der Meinungsäußerungsfreiheit von Journalisten oder sonstigen Rechten Dritter zu vereinbaren, wie der Arbeitnehmerdatenschutz mit unternehmerischer Freiheit? Zu all diesen Fragen verweist die Verordnung auf das nationale Recht eines jeden Mitgliedstaates.

Von einer Vollharmonisierung kann daher keine Rede sein. Vielmehr wird jeder Mitgliedstaat zu all diesen Fragen andere Antworten finden, sodass es zu einer ähnlichen Rechtszersplitterung kommen wird, wie dies bereits der Fall ist und die man eigentlich mit dem komplexen Regelungswerk hinter sich lassen wollte. Einer der wichtigsten Grundsätze der Kommission, "ein Kontinent, ein Gesetz", wird damit eindeutig verfehlt. Die Verordnung schafft daher weder Rechtsklarheit für Betroffene, noch stellt sie sicher, dass für Unternehmen in unterschiedlichen Mitgliedstaaten die gleichen Wettbewerbsbedingungen herrschen.

Wann gelten welche Regeln?

Die neue Verordnung lässt nicht nur in jedem Mitgliedstaat Sonderregelungen zu, sondern lässt auch offen, wann die Regeln welches Mitgliedstaates anzuwenden sind: Im Unterschied zur noch geltenden Datenschutzrichtlinie enthält die neue Verordnung keinerlei Regelungen zum anwendbaren nationalen Recht.

Die Verordnung hält lediglich fest, dass die Datenschutzbehörde jenes Staates zuständig ist, in dem sich die Hauptniederlassung des betreffenden Unternehmens befindet. Zur praktisch essenziellen Frage, ob hiermit auch das anwendbare nationale Recht festgelegt werden soll, schweigt sich der Verordnungstext aus. Es ist aber in einem Rechtsstaat nicht selbstverständlich, dass nationale Behörden nur das eigene Recht anzuwenden haben.

Diese Regelungslücke ist darauf zurückzuführen, dass der ursprüngliche Kommissionsentwurf tatsächlich EU-weit einheitliches Recht geschaffen hätte – ohne Bedarf einer Festlegung des anwendbaren nationalen Rechts. Aus drei Regelungskompetenzen für die Mitgliedstaaten in Sonderbereichen wurden jedoch im Verlauf der Verhandlungen mehr als 20, während sich die Kompetenzen der Kommission zur Erlassung von Durchführungsverordnungen von 26 auf zehn und schließlich auf nur mehr zwei reduzierten.

Angesichts dieser Re-Nationalisierung des Datenschutzes wäre eine Richtlinie mit klaren Regeln zum anwendbaren nationalen Recht das praktikablere Instrument gewesen – doch ein Wechsel des Regelungsinstrumentes wäre eine sichtbare Niederlage für die EU-Kommission gewesen. So werden sich Unternehmen und Betroffene mit einer undurchsichtigen Kombination von Verordnung und nationalen Datenschutzgesetzen anfreunden müssen. (Lukas Feiler, 21.12.2015)