Die Datenschutzgrundverordnung befindet sich in der Phase des Trilogs (Verhandlung Parlament – Rat – Kommission). Angefacht von den Skandalen um eine umfassende Überwachung europäischer Bürger durch die NSA, mittels PRISM, wurde vor allem vom Europaparlament auf eine rasche Umsetzung der Datenschutzgrundverordnung gedrängt. Doch eine Umsetzung in der aktuellen Legislaturperiode droht an der Frage der Rechtmäßigkeit zu scheitern.
Datenschutzgrundverordnung entzieht Mitgliedsstaaten Entscheidungskompetenz
Momentan werden die Stimmen lauter, die einen Verstoß der Datenschutzgrundverordnung nach dem vorliegenden LIBE-Entwurf gegen Art. 5 EUV sehen. Als eines der Hauptprobleme gilt dabei der vorgesehene Art. 2 Nr. 1 DS-GVO-E. Kritiker bemängeln, dass nicht klar sei, ob der hier normierte weite Anwendungsbereich gerechtfertigt ist. Art. 2 Nr. 1 DS-GVO entzieht den Mitgliedsstaaten de facto die gesamte Entscheidungskompetenz über den Datenschutz im öffentlichen Bereich. Lediglich in den Art. 80 ff. DS-GVO-E verbleibt den Mitgliedsstaaten eine teilweise Regulierungsmöglichkeit. Ein solch umfassender Eingriff kann nur gerechtfertigt sein, wenn erhebliche Schwierigkeiten in Bezug auf den Datenschutz im öffentlichen Bereich zu verzeichnen sind. Gemäß dem Grundsatz der Subsidiarität darf die EU nur selber tätig werden, wenn eine nationalstaatliche Lösung nicht den erforderlichen Erfolg herbeiführen kann. Aber gerade dies ist momentan nicht der Fall, speziell wenn man die gesetzliche Situation in Deutschland betrachtet – die bei der Konzipierung der Datenschutzgrundverordnung umfassend Pate stand. Daher bleibt die Union bis dato eine Erklärung schuldig, weshalb eine vollkommene Vereinheitlichung der nationalen öffentlichen Datenschutzgesetze notwendig ist. Die Rechtmäßigkeit der geplanten Verordnung erscheint in diesem Punkt als fraglich.
Justiz- und Innenminister uneins über Detailfragen
Hinzu kommt, dass es nicht nur im Bereich des öffentlichen Datenschutzes und der Rechtmäßigkeit der Anwendungsweite bisher keine Einigung gibt. Die Justiz- und Innenminister der EU-Mitgliedstaaten sind uneins über Detailfragen des LIBE-Entwurfes, bzgl. der behördlichen Zuständigkeit bei Unternehmen. Zwar herrscht Einigkeit darüber, dass für grenzüberschreitende Angelegenheiten eine zentrale Anlaufstelle geschaffen werden soll. Welche Behörde diese Funktion übernehmen soll ist bis jetzt aber nicht klar. Nach dem Willen der Minister soll zuerst die Behörde des Landes zuständig sein, indem das betroffene Unternehmen seinen Hauptsitz hat. Dies würde aber eine Aufrechterhaltung des Status Quo, in einer gerade für Privatpersonen und Verbraucher relevanten Problematik bedeuten. Verletzen Unternehmen wie z.B. Facebook deutsche Datenschutzbestimmungen wäre (immer noch) der irische Datenschutzbeauftragte hierfür zuständig, da Facebooks europäische Hauptniederlassung in Irland liegt. Gerade diese Praxis ist aber in der Vergangenheit häufig in die Kritik geraten, da Facebook und andere Unternehmen so die strikteren deutschen Gesetze umgehen. Abhilfe soll hier ein zu gründender Europäischer Datenschutzausschuss schaffen, in dem wiederum die nationalen Aufsichtsbehörden sowie der EU-Datenschutzbeauftragte mitentscheiden könnten.
EU-Justizkommissarin Viviane Reding bezeichnete die Situation nach dem Treffen der Minister als „enttäuschenden Tag für den Datenschutz“. Der Verhandlungsführer im EU-Parlament, Jan Philipp Albrecht, wirft dem Rat und der deutschen Bundesregierung eine Blockade des Verfahrens vor. Unter diesen Aspekten ist eine Umsetzung in der laufenden Legislaturperiode kaum noch zu erwarten.
Art. 29-Datenschutzgruppe pocht auf Umsetzung und ein modernes europäisches Datenschutzrecht
Die festgefahrene Situation zum Anlass genommen, hat die Art. 29-Datenschutzgruppe, d.h. die nationalen Datenschutzbeauftragten der Mitgliedsstaaten, in einer Mitteilung mit Nachdruck die Umsetzung der DS-GVO in der laufenden Legislaturperiode gefordert.
Mit Blick auf die ökonomische Relevanz der Datenschutzgrundverordnung, nicht nur für die digitale Wirtschaft, mahnten die Datenschützer die rasche Verwirklichung der Gewährleistung einer einheitlichen und angeglichenen Anwendung für den öffentlichen und privaten Sektor an.