Digitale Bürgerrechte Brüssels Griff nach dem Datenschutz ist demokratiewidrig

Die Europäische Union will den Datenschutz im EU-Recht verankern. Doch die geplante Verordnung greift zu stark in nationale Belange ein und verhindert gleichzeitig einen dringend notwendigen weltweiten Ansatz. Das Resultat wäre ein Diktat, das unser gesamtes Dasein reglementieren würde.

Ein Gastbeitrag von Thomas Giesen

Die Europäische Kommission beklagt "die unterschiedliche Handhabung des Datenschutzes in der Union" und "die öffentliche Meinung, dass speziell im Internet der Datenschutz nicht immer gewährleistet ist"; sie will, dass die "Bürger Kontrolle über ihre eigenen Daten erhalten". Deshalb hat Kommissarin Viviane Reding am Anfang dieses Jahres den Entwurf einer EU-Verordnung vorgelegt: Der Datenschutz soll direkt geltendes und detailliertes EU-Recht werden.

Das Bundesdatenschutzgesetz (Zivilrecht und öffentliche Stellen des Bundes) und die Landesdatenschutzgesetze (öffentliche Stellen in den Ländern) sollen ersatzlos entfallen. Was aus speziellem Datenschutzrecht, vom Archivrecht bis zur Zwangsvollstreckung, werden soll, darüber hat man sich wohl keine Gedanken gemacht. Dieses Großprojekt europäischer Gesetzgebung eröffnet eine neue Dimension im Kampf um die Regelungszuständigkeiten.

Datenschutz ist ein viel weiteres Feld als viele denken. "Daten" sind alle Angaben über einzelne oder von einzelnen oder für einzelne Menschen, die in Zeichen verkörpert werden, um verstanden zu werden. Inhalt, Form und Vorgang der Einzelinformation können schwer voneinander getrennt werden.

Das Wort "User" verschleiert mehr, als es erklärt

Der Urheber der Information und deren Objekt, derjenige, der das Datum weiterleitet, und der Empfänger sind Beteiligte. Je nach Interessenlage will man wissen, von wem die Information stammt, auf wen sie sich bezieht, wer sie verbreitet, wer sie zur Kenntnis genommen, wer sie übermittelt, verändert, genutzt oder gelöscht hat. Im Internet gilt das verschärft: Dort sind alle Beteiligten datenschutzrechtlich Opfer und Täter zugleich. Das Wort "User" verschleiert da mehr, als es klärt.

"Person"-Sein heißt nichts anderes, als dass der so Bezeichnete mit Informationen umgeht oder von Information gemeint ist. Informationen sind das Fluidum unseres Zusammenlebens: Sie sind nicht nur wertvolle Ware in Auskunfteien, nicht nur Gegenstand aller Medien und der Wissenschaft. Alle Dienstleistungen werden von den ausgetauschten Informationen meist ganz persönlicher Art geprägt; jeder Vertrag, jeder Güteraustausch wird von Informationen mehr oder weniger bedeutsam begleitet. Alle Informationen über die Ware, ihren Schöpfer und seine Marktstellung, über seine Vertrauenswürdigkeit, seinen Charakter und seine Bonität sind, möglichst detailliert, von Belang.

Die EU hat für viele Randbereiche keine Kompetenz

Datenschutz ist deshalb kein Rechtsgebiet wie etwa die Agrarmarktregelung oder die Arbeitnehmerfreizügigkeit. Weil Informationen alle Rechtsgebiete, das materielle wie das Verfahrensrecht, prägen, würde eine europäische Datenschutzordnung unser gesamtes Dasein reglementieren und die nationalen Rechtsordnungen weitgehend überformen.

Auch die Behörden gehen von morgens bis abends mit Daten um. Das bedeutet: Auch das öffentliche Recht ist insgesamt vom Datenschutz durchzogen und wäre von einer direkten europäischen Gesetzgebung insgesamt betroffen, etwa Steuerrecht und Sozialrecht, aber auch Polizei- und Baurecht, Verwaltungsverfahrensgesetze, Prozessordnungen und so weiter. Dazu hat die Europäische Union ersichtlich keine Kompetenz.

Ein weiteres Problem: Die Unterscheidung zwischen einem Grundrecht als Abwehrgarantie gegen staatliche Bevormundung einerseits und als Maßstab für die zivilrechtliche Ordnung andererseits ist schon jetzt dem europäischen Recht nicht geläufig. Deshalb vermengt der Verordnungsentwurf die Gesetzesbindung aller staatlichen Datenverarbeitung und die grundlegende Freiheit der privaten Datenverarbeitung und stellt den freien Einzelnen (und sein Unternehmen) unter die gleiche Kuratel wie die öffentliche Gewalt.

Damit werden nahezu alle Grundrechte mal mehr, mal weniger intensiv betroffen, wenn die Freiheit der Informationsverarbeitung eingeschränkt wird: Kunst und Wissenschaft, Meinungs-, Presse- und Medienfreiheit, Berufs- und Gewerbefreiheit, geistiges Eigentum.

Es kann keine freie Gesellschaft bestehen, wenn die privatrechtliche Verarbeitung von Informationen grundsätzlich einer Befugnis bedarf. Vielmehr muss der Gesetzgeber sehr sorgfältig die zivilrechtlichen Grenzen definieren, jenseits deren das Persönlichkeitsrecht des Einzelnen schutzwürdig wird, und er muss die Rechte der dabei betroffenen Privaten gegeneinander abwägen. Das Recht auf informationelle Selbstbestimmung muss als ein Teilaspekt des allgemeinen Persönlichkeitsrechts begriffen und geregelt werden. Das kann nur in grundrechtsabwägungsgerechter Differenziertheit gelingen.

Genau dazu fehlt der EU jedoch die Regelungszuständigkeit, die verfassungs- wie EU-vertragsgemäß (Art. 5 des EU-Vertrages) einer vertraglich begrenzten Einzelermächtigung bedarf. Gemäß dem Vertrag über die Arbeitsweise der Europäischen Union (Artikel 16) steht ihr nämlich nur zu, die Verarbeitung personenbezogener Daten durch die Mitgliedstaaten zu regeln, wenn die Verarbeitung im Rahmen der Ausübung von Tätigkeiten erfolgt, die in den Anwendungsbereich des Unionsrechts fallen. Ferner kann die EU Vorschriften über den freien Verkehr personenbezogener Daten erlassen.

Es wäre ein übrigens nicht ganz neuer Taschenspielertrick, wollte man eine umfassende Regelungskompetenz für die gesamte Querschnittsmaterie des Datenschutzes aus dem vertraglichen Auftrag ableiten, für die barrierefreie Grenzüberschreitung beim Transport von Daten zu sorgen. Der für das Gemeinschaftsrecht konstitutive Grundsatz der begrenzten Einzelermächtigung liefe leer, wenn der nun einmal ubiquitäre Grenzüberschreitungsaspekt eines Lebensbereichs die Gemeinschaftszuständigkeit aus sich heraus zu begründen vermöchte.

Die EU müsst sich um eine weltweite Ordnung kümmern

Hinzu kommt, dass die weltweite Datenautobahn, das Internet, seiner Natur nach nicht von der Union allein geregelt werden kann und sie auch innerhalb ihrer Grenzen nicht den Mut hat, das Internet, wie alle Lebensbereiche, der Herrschaft des Rechts zu unterstellen. Das kann nur gelingen, indem der einzelne User zumindest als Informationsschöpfer (und im Falle von Rechtsverletzungen auch als Informationsrezipient) persönlich erkennbar und verantwortlich gemacht werden können muss.

Im Zeitalter des Internets und namentlich des Cloud-Computing über "Grenzen" des Informationsverkehrs zu reden ist müßig. Bislang ist es jedenfalls nicht gelungen, Datenschutz im Netz zu garantieren. Die Anstrengungen der Union müssten deshalb einer weltweiten Ordnung gelten. Sie ist in allen Bereichen außerhalb der Spielerei nur mit einer personalen Kennung und einer personalen Verantwortlichkeit jedes Users zu erreichen.

Die vorgesehene Datenschutzaufsicht über den Privatbereich entspricht nicht der europäischen Kompetenzordnung, weil das Verwaltungsverfahren und die nationale Umsetzung grundsätzlich Sache der Mitgliedstaaten sind, vom gemeinschaftsstiftenden Subsidiaritätsprinzip ganz abgesehen. Überdies verstößt auf nationaler Ebene die geforderte "Unabhängigkeit" der Datenschutzkontrolle über private Verarbeiter gegen das Demokratiegebot, denn die Datenschutzkontrolle wäre dann unabhängig von der für alle exekutive Staatstätigkeit geltenden ständigen Verantwortlichkeit gegenüber der jeweiligen Mehrheit des Parlaments.

Der EuGH irrt gewaltig

Hier irrt der Europäische Gerichtshof in seinem Urteil vom 9. März 2010 gegen Deutschland gewaltig. Die Datenschutzaufsicht über private Stellen ist nämlich normale Exekutive und nicht dritte Gewalt, weil ihr Tätigwerden keines Klägers bedarf. Warum soll sie unabhängiger und ferner von Regierungsverantwortung sein als die Atom- oder die Bankenaufsicht? Hier müssen die Regierenden in der üblichen Weise dem Parlament und dem Volk verantwortlich sein. Alles andere ist demokratiewidrig.

Schließlich würde - darauf hat der Bundesverfassungsrichter Johannes Masing am 9. Januar 2012 hier im Feuilleton der Süddeutschen Zeitung hingewiesen - die Zuständigkeit des Bundesverfassungsgerichts für das Kernstück seiner Rechtsprechung wegbrechen, wenn die für die Rechtsordnung zentrale Regelungsmaterie des Datenschutzes von der EU direkt und zentral geregelt würde und die verbindliche Auslegung dieses Rechts nicht den nationalen Gerichten, sondern dem Europäischen Gerichtshof zustände.

Wir können eine Vorahnung haben: Zwischen dem Bundesverfassungsgericht und der EU müsste es, wenn es zu der Verordnung käme, also ausgerechnet beim Datenschutz zum Knall kommen. Bevor es so weit kommt, sollten die Beteiligten zumindest wissen, was sie tun. Enthusiasmus verstellt den Blick, von Machtversessenheit gar nicht zu reden.

Der Autor ist Rechtsanwalt und Vorstand des Instituts für Informationsordnung. Er war von 1991 bis 2003 Sächsischer Datenschutzbeauftragter.