SPEECH/12/200 Viviane Reding Vizepräsidentin der Justizkommissarin Europäischen Kommission, EU- Sieben Grundbausteine für Europas Datenschutzreform Rede auf dem eco MMR Kongress "Datenschutz 2012" Berlin, 20. März 2012 Meine Damen und Herren, ich freue mich sehr, heute hier in Berlin zu Gast bei der deutschen Internetwirtschaft zu sein, um mit Ihnen über die aktuellen europäischen und internationalen Herausforderungen im Bereich des Datenschutzrechts zu sprechen. Ich begrüße es, dass die Zeitschrift "Multimedia und Recht" die Initiative für diese Veranstaltung ergriffen hat. Und ich halte es für ein sehr gutes Zeichen, dass Bundesinnenminister Hans-Peter Friedrich die Schirmherrschaft über diesen Kongress übernommen hat. Dies zeigt einmal mehr, wie sehr die Internetwirtschaft der gesamten Bundesregierung am Herzen liegt. Gerade heute, wo Deutschland und Europa infolge der Finanz- und Schuldenkrise vor großen wirtschaftlichen und finanzpolitischen Herausforderungen stehen, muss die weitere Entwicklung der Internetwirtschaft in Europa ganz besondere Beachtung finden. Wenn Europa aus der gegenwärtigen Krise herauswachsen soll, dann brauchen wir das dynamische Wachstumspotenzial der Internetwirtschaft. Dann brauchen wir einen attraktiven, modernen Regulierungsrahmen für digitale Güter und Dienstleistungen. Und dann brauchen wir Regelungen, die vor allem auf die Bedürfnisse kleiner und mittlerer Unternehmen zugeschnitten sind. Denn kleine und mittlerer Unternehmen und innovative "Start ups" sind das Rückgrat einer Internetwirtschaft, die in Europa Wachstumskräfte entfesseln helfen kann. Als sich die Europäische Kommission vor zwei Jahren daran machte, das aus dem Jahr 1995 stammende europäische Datenschutzrecht zu modernisieren, waren solche wirtschaftlichen Überlegungen für uns außerordentlich wichtige Faktoren für die politische Ausrichtung unserer Reformbestrebungen. Natürlich war für uns erster Ausgangspunkt die Feststellung, dass der Datenschutz heute ein geschriebenes Grundrecht ist, das durch den Vertrag von Lissabon in äußerst moderner Kodifizierung im europäischen Primärrecht und insbesondere in der EU-Grundrechtecharta verankert ist. Zweiter Ausgangspunkt für uns war Artikel 16 AEUV, mit dem die EU-Mitgliedstaaten der Europäischen Union erstmals in ihrer Geschichte eine spezifische Gesetzgebungskompetenz zur Schaffung eines einheitlichen EU-Datenschutzrechts übertragen haben. Ich weiß sehr wohl, dass es vor allem die deutschen Mitglieder des EU-Verfassungskonvents wahren, die auf der Verankerung des Datenschutzgrundrechts und der entsprechenden EUGesetzgebungskompetenz im EU-Primärrecht bestanden haben. Schließlich ist der moderne Datenschutz in vieler Hinsicht eine deutsche Errungenschaft und Verfassungstradition. Und diese Tradition ist mit dem Vertrag von Lissabon nun zu einem überaus erfolgreichen deutschen Exportgut geworden. Als Luxemburgerin, die das deutsche Interesse an einem starken Datenschutz teilt – wir haben da ähnliche historische Erfahrungen wie Deutschland –, begrüße ich dies außerordentlich. 2 Mit den Neuerungen des Vertrags von Lissabon und der EU-Grundrechtecharta war allerdings nur die Frage beantwortet, dass es in absehbarer Zeit ein neues EUDatenschutzrecht geben würde, nicht aber die Frage, wie dieses neue EUDatenschutzrecht aussehen sollte. Als wir uns in der Europäischen Kommission die ersten Textvorentwürfe ansahen, war ich froh, auf meine praktische Erfahrung aus meiner fünfjährigen Tätigkeit als EU-Kommissarin für Telekommunikation, Internet und Medien zurückgreifen zu können. Denn der Datenschutz ist ja beiliebe keine abstrakte Rechtsmaterie. Es ist vielmehr eine Rechtsmaterie, die sich mehr als viele andere Rechtsgebiete mit dem ständigen technologischen Wandel auseinandersetzen muss. Neue Geschäftsmodelle müssen ebenso Berücksichtigung finden wie sich entwickelnde gesellschaftliche Anschauungen. Aus diesem Grund habe ich bei der Formulierung der EU-Reformvorschläge zum Datenschutz in besonders enger Weise mit EU-Kommissarin Neelie Kroes zusammengearbeitet. Gemeinsam haben wir die Datenschutzreform in den Mittelpunkt der Digitalen Agenda der Europäischen Union gestellt. Denn wir beide wissen genau, dass eine wachstumsorientierte digitale Wirtschaft und ein echter digitaler Binnenmarkt ohne ein modernes EU-Datenschutzrecht nicht vorstellbar sind. Sicherlich wird in den kommenden Monaten intensiv über die Details der EUDatenschutzreform diskutiert werden, sowohl hier in Berlin als auch im Gesetzgebungsverfahren im Europäischen Parlament und im EU-Ministerrat. Es ist ja gerade Zweck des europäischen Gesetzgebungsverfahrens, im Dialog zwischen Parlament, Rat und Kommission die richtige Balance in Einzelfragen auszuloten und das erforderliche "Fine-tuning" der einzelnen Gesetzesbestimmungen vorzunehmen. Ich sehe mit Freude, dass im EU-Ministerrat auf Arbeitsebene bereits die Lesung der ersten neun Artikel der Verordnung weit vorangeschritten ist. Nachdem ich zehn Jahre lang selbst Mitglied des Europaparlaments gewesen bin, werden Sie es mir sicherlich nachsehen, wenn ich persönlich gerade darauf setze, dass sich vor allem die direkt gewählte europäische Volksvertretung stark in das Gesetzgebungsverfahren einbringt. Und dieser Debatte möchte ich natürlich heute nicht vorgreifen. Sie wird uns ohne Zweifel noch einige Monate lang beschäftigen, und ich freue mich darauf. Lassen Sie mich daher im Folgenden auf sieben Grundbausteine der EUDatenschutzreform eingehen, die ich gerade aus dem Blickwinkel der Internetwirtschaft für besonders wichtig halte und für die sich die Kommission im Gesetzgebungsverfahren mit der uns üblichen Vehemenz einsetzen wird. 3 Der erste Grundbaustein ist die für die EU-Datenschutzreform gewählte Rechtsform. Wir haben von Anfang an kein Geheimnis daraus gemacht, dass nach fast 17 Jahren intensiver Erfahrung mit der EU-Datenschutzrichtlinie die Zeit gekommen ist, diese durch eine EU-Verordnung abzulösen. Ich danke vor allem der deutschen Wirtschaft dafür, und vor allem den deutschen Telekom- und Internetunternehmen, dass sie die Kommission in diesem Bestreben so nachhaltig unterstützt haben. Für eine Verordnung spricht an erster Stelle, dass wir in Europa einen digitalen Binnenmarkt ohne Grenzen schaffen wollen. Dafür brauchen wir einheitliche Regeln, unabhängig davon, ob ein Unternehmen seine Dienste nun aus Berlin oder Dublin anbietet. Andernfalls ist es für ein Unternehmen ja ein leichtes, sich durch die Sitzverlagerung in einen anderen EU-Mitgliedstaat einen Wettbewerbsvorteil zu verschaffen. Für eine Verordnung spricht zweitens, dass das Datenschutzrecht in den vergangenen 17 Jahren gerade im Online-Bereich zunehmend europäisiert worden ist. Dafür hat eine intensive Rechtsprechungstätigkeit des Europäischen Gerichtshofs gesorgt, die übrigens in zahlreichen Fällen von zielgerichteten Vorlagefragen deutscher Gerichte veranlasst wurde. Am 24. November 2011 hat der Europäische Gerichtshof sogar entschieden, dass im Bereich des Datenschutzes die Harmonisierung nicht auf eine Mindestharmonisierung beschränkt sei, sondern bereits unter der geltenden Datenschutzrichtlinie von 1995 zu einer grundsätzlich umfassenden Harmonisierung führen müsse, da andernfalls der Europäische Binnenmarkt nicht ordnungsgemäß funktionieren könne. Der Rechtsformwechsel von der Richtlinie zur Verordnung ist vor diesem Hintergrund also keine Revolution, sondern eine natürliche Evolution. Die Kommission hat insofern mit dem Verordnungsvorschlag vom 25. Januar 2012 diese Rechtsentwicklung lediglich nachvollzogen. Der dritte politische Grund, der für den Rechtsformwechsel spricht, ist die internationale Dimension des europäischen Datenschutzrechts. Datenströme machen heute nur nicht an Landesgrenzen, sondern auch nicht an den Grenzen unseres Kontinents halt. Unsere persönlichen Daten werden heute zunehmend auf Servern in Kalifornien oder in Datenwolken in Indien gespeichert und verwaltet. Jeder Benutzung eines Flugzeugs kann dazu führen, dass persönliche Fluggastdaten weltweit ausgetauscht werden. Jede Banküberweisung kann den Zugriff ausländischer Unternehmen oder Behörden auslösen. Dabei steht Europa in der Welt mit seinem hohen politischen Interesse an einem hohen Datenschutzniveau relativ alleine da. Die historische europäische Erfahrung mit Diktaturen von rechts wie von links haben uns da offenbar mehr sensibilisiert als andere Kontinente, was man bei jeder Verhandlung zu den SWIFT- und PNRAbkommen miterleben konnte. Wenn Europa dennoch international seine Standards im Datenschutz verteidigen und vielleicht sogar exportieren möchte, dann müssen wir zwingend nach außen mit einer Stimme sprechen. Lassen Sie mich es ganz einfach sagen: Ein amerikanischer Kongreßabgeordneter oder ein chinesischer Minister wird sich sicherlich nicht von einer rechtlichen Lösung überzeugen lassen, die in Europa in 27 verschiedenen, stark voneinander abweichenden Varianten existiert. Er wird sich aber dann überzeugen lassen, wenn er sieht, dass Europa zu einem überzeugenden Rechtsrahmen gefunden hat, der einheitlich für einen Wirtschaftraum mit 500 Millionen Bürgern gilt. 4 Meine Damen und Herren, als Luxemburgerin ich bin eine große Freundin von kleinen Lösungen, von Vielfalt und von Subsidiarität. Wer mich kennt, der weiß von diesen meinen Überzeugungen, die sich nicht von denen vieler deutscher Ministerpräsidenten unterscheiden. Im globalen Wettstreit um den Datenschutz können wir allerdings mit kleinteiligen Lösungen keinen Blumentopf gewinnen. Hier müssen wir europäisch denken. Die Bundeskanzlerin hat in den vergangenen Wochen immer wieder gesagt: Es ist jetzt die Zeit für mehr Europa, nicht für weniger Europa. Das mag nicht in allen Politikbereichen so sein. Im Datenschutzrecht ist dies aber sicherlich der Fall. Hier haben wir Europäer nur eine Wahl: Entweder wir entscheiden uns für eine starke, einheitliche europäische Lösung. Oder das europäische Verständnis von Datenschutz als freiheitliches Bürgerrecht wird in wenigen Jahren der Vergangenheit angehören. Ich werde mich nach Kräften dafür einsetzen, dass wir uns europäisch entscheiden. Wer übrigens noch eines praktischen Beweises für die internationale politische Bedeutung einer starken europäischen Position im Datenschutzrecht bedarf, der muss sich nur einmal die Reaktion der US-Regierung auf den Verordnungsvorschlag der Kommission vom 25. Januar dieses Jahres ansehen. Zunächst einmal habe ich es in meiner politischen Karriere noch nicht erlebt, dass ein europäisches Gesetzesvorhaben bereits im Entstehungsprozess ein so intensives transatlantisches Interesse auslöst. Mehrere Generaldirektoren in der Europäische Kommission riefen mich um den Jahreswechsel an und berichteten mir, dass sie der Chefjurist des Weißen Hauses angerufen habe, um Einfluss auf den Verordnungstext zu nehmen. Bei den meisten der Generaldirektoren in der Kommission löste dieses Lobbying übrigens eine europäisch-patriotische Reaktion aus und sie verteidigten den Textvorschlag vehementer als man dies hätte erwarten können. Ich persönlich finde es ganz hervorragend, dass die USA ein so starkes Interesse an unserer Datenschutzverordnung haben. Sie haben offenbar verstanden, dass die Grundregeln des digitalen Datenschutzes auf bestem Weg sind, in Europa formuliert zu werden. Gewonnen ist dieser Wettbewerb aber noch lange nicht. Das sieht man bereits daran, dass nur vier Wochen nach dem Kommissionsvorschlag die US-Regierung einen eigenen Vorschlag nachlegte. Wir befinden uns also heute in einer Situation, die dem Verfolgungsrennen beim Biathlon vergleichbar ist. Ich hoffe sehr, dass alle Mitgliedstaaten die Kommission und das Europäische Parlament tatkräftig dabei unterstützen, dass wir auf den nächsten Kilometern alle Zielscheiben treffen. Dass uns keine Äste zwischen die Beine geworfen werden. Und dass Europa am Ende als erste ins Ziel einlaufen kann. Ich begrüße es vor diesem Hintergrund, dass neben der EU-Kommissarin für die Digitale Agenda, Neelie Kroes, auch Bundesinnenminister Friedrich zu den stärksten Befürwortern der Wahl einer Verordnung für die Datenschutzreform zählt. Bundesminister Friedrich war einer der ersten deutschen Politiker, die mir gegenüber deutlich gemacht hat, wie sehr es gerade im Interesse der deutschen Wirtschaft ist, dass die Kommission eine Verordnung vorschlägt. Ich werde diese politische Entscheidung mit Überzeugung im Interesse der Wettbewerbsfähigkeit Europas nach Kräften verteidigen – und mit Ihrer Unterstützung auch über die Ziellinie bringen. 5 Dies bringt mich zum zweiten Grundbaustein der EU-Datenschutzreform: den "One Stop Shop" bei der Rechtsanwendung und -durchsetzung. Die EUVerordnung schafft sicherlich europaweit einheitliche Regeln für den Datenschutz. Aber, so weiß jeder mit etwas Erfahrung in der Wirtschaft, was nützen uns einheitliche Regeln, die dann doch von Land zu Land unterschiedlich angewendet und durchgesetzt werden? Die Kommission hat im Interesse der Rechtssicherheit, der Rechtseinheitlichkeit und der Wettbewerbsgleichheit ein neues System der Anwendung des EU-Datenschutzrechts vorgesehen. Zunächst einmal bleibt es bei der dezentralen Anwendung des Datenschutzrechts durch nationale Behörden und Gerichte. Ich weiß, dass gerade in der Internetwirtschaft der eine oder andere es gerne gesehen hätte, wenn Europa in diesem Bereich mehr auf Zentralisierung gesetzt hätte. Doch es ist einfach nicht praktikabel, für einen ganzen Kontinent eine einheitliche zentrale Rechtsdurchsetzungsinstanz zu schaffen. Ich möchte auch betonen, dass wir nicht an der deutschen Tradition rühren, dass in Deutschland das Datenschutzrecht von sechzehn Landesbehörden durchgesetzt wird. Ob das so bleibt oder ob das geändert wird, das muss Deutschland schon selbst entscheiden, diese Entscheidung kann und werde ich Ihnen nicht abnehmen. Ich meine auch: Wenn Luxemburg und Estland eine eigene Datenschutzbehörde haben, warum soll das dann nicht auch für Bayern oder Nordrheinwestfalen gelten? Wer die Praxis kennt, der weiß genau, dass es eigentlich keine Rolle spielt, ob es nun eine, zwei oder 43 Datenschutzbehörden in Europa gibt. Entscheidend aus Sicht der Wirtschaft ist, dass erstens klar geregelt ist, dass für einen Sachverhalt stets nur eine einzige Datenschutzbehörde zuständig ist, nämlich die am Sitz des Unternehmens. Das ist der so genannte "One Stop Shop", den die Kommission vorgeschlagen hat und der nach unseren Berechnungen zu Einsparungen in Höhe von 2,3 Milliarden Euro pro Jahr führen wird. Zweitens muss sichergestellt werden, dass bei Sachverhalten, die grenzüberschreitend oder für den gesamten EUBinnenmarkt relevant sind, die nationalen Datenschutzbehörden eng, zuverlässig und schnell zusammenarbeiten. Dies soll das so genannte "Kohärenzverfahren" sicherstellen, dass die Verordnung einführt und das in diesen Tagen erstmals – gewissermaßen in praktischer Vorwegnahme der Neuregelung – von den nationalen Datenschutzbehörden bei der Untersuchung der neuen Datenschutzpolitik von Google erprobt wird. Dies bringt mich zum dritten Grundbaustein der EU-Datenschutzreform: der Frage nach dem richtigen Schutzniveau im europäischen Datenschutz. Ich habe mich in der Kommission für ein hohes Datenschutzniveau eingesetzt. Denn ich halte Datenschutz nicht für einen Kostenfaktor, sondern für einen Wettbewerbsvorteil in der digitalen Wirtschaft. Hier in Berlin kann ich dabei mit gutem Gewissen darauf hinweisen, dass sich die Datenschutzexperten der Kommission – von denen übrigens überproportional viele deutsche Juristen sind – in vielen Punkten am Bundesdatenschutzgesetz orientiert haben. Das hohe deutsche Datenschutzniveau war für uns Richtschnur und Messlatte für unsere Reformvorschläge. Das heißt sicherlich nicht, dass wir nun jedes Detail aus dem deutschen Datenschutzrecht übernommen haben. Auch das deutsche Datenschutzrecht – und das kann ich sicherlich sagen, ohne gleich der Majestätsbeleidigung angeklagt zu werden – kann sicherlich hier und da noch verbessert und vielleicht auch etwas entrümpelt werden. Aber am hohen Schutzniveau, das in Deutschland Tradition ist, möchte ich nichts Grundsätzliches ändern, im Gegenteil: Ich wünsche mir, dass mit Inkrafttreten der Reform ganz Europa mindestens zu einem so hohen Schutzniveau kommt, wie es die Bürgerinnen und Bürger in Deutschland bereits heute gewohnt sind. 6 Ich weiß sehr wohl, dass einige von Ihnen hier im Raum der Auffassung sind, dass die Kommissionsvorschläge in einigen Punkten ein zu hohes Schutzniveau vorsehen. Diese Kritik zielt meist auf unseren Vorschlag, in einigen Fällen für die Datenverarbeitung nicht nur die Zustimmung, sondern die ausdrückliche Zustimmung des Nutzers zu verlangen. Lassen sie mich zunächst erläutern, was das in der Praxis bedeutet: In den Fällen, in denen die Datenverarbeitung auf der Einwilligung des Nutzers beruht – und nur in diesen –, muss es sich nach unserer Auffassung dabei um eine echte und gültige Einwilligung handeln. Sie muss ausdrücklich erfolgen, und darf nicht aus irgendwelchen Umständen gefolgert werden. Ausdrückliche Einwilligung heißt dabei nicht notwendig, dass sie der Nutzer schriftlich erteilen oder in Worte fassen muss. Sicher ist aber: Schweigen und Nichtstun stellen keine wirksame Einwilligung darf. Die Einwilligung kann dabei auch durch Anklicken auf einer Website erfolgen oder durch eine andere Art und Weise, wenn der Betroffene damit klar und deutlich sein Einverständnis mit der Verarbeitung seiner Daten zum Ausdruck bringt. Es reicht schließlich auch, dass der Nutzer seine Einwilligung einmal für denselben Zweck zu geben, so dass das Erfordernis anschließend weder den Nutzer stören noch den Online-Dienst unnötig unterbrechen wird. Wird durch dieses neue, strengere Erfordernis das Geschäftsmodell des Internets gefährdet? Ich möchte da Entwarnung geben. Das neue Erfordernis ist zunächst einmal eine Klarstellung dessen, was heute bereits in vielen Fällen in der Rechtsprechung und von den Datenschutzbehörden verlangt wird. Insofern trägt die Klarstellung im Gesetzestext zur Rechtssicherheit bei. Außerdem weiß ich, dass die meisten Unternehmen unter Ihnen gar kein Interesse daran haben, sich die Einwilligung eines Nutzers gewissermaßen konkludent zu erschleichen. Die meisten von Ihnen sind an einer klaren, informiert erteilten und eindeutigen Einwilligung des Nutzers in die Datenverarbeitung interessiert und möchten nicht in einer rechtlichen Grauzone operieren. Schließlich wissen Sie alle sehr gut, dass die größte Gefahr, die dem Geschäftsmodell Internet droht, nicht rechtliche Klarstellungen sind, sondern das schwindende Vertrauen der Nutzer in die Sicherheit ihrer Daten und die Sicherheit des Internets insgesamt. Schon jetzt machen sich 81% der Deutschen Sorgen darüber, was mit ihren Daten im Internet passiert. Wir müssen also mehr Vertrauen schaffen. Nur ein Verbraucher, der sich fest darauf verlassen kann, dass seine Daten bei Ihnen sicher sind und nicht gegen seinen Willen verarbeitet oder weiter gegeben werden, wird ein Kunde werden oder bleiben. 7 Ein vierter Grundbaustein der EU-Datenschutzreform ist, dass wir uns für bei der Formulierung der Reformvorschläge eine differenzierte Architektur entschieden haben. Während alle Grundfragen des neuen Datenschutzrechts in der EUDatenschutzverordnung geregelt werden – die deshalb hier in Deutschland auch teilweise mit einiger Berechtigung bereits als "Datenschutz-Grundverordnung" bezeichnet wird –, wird der Datenschutz im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafrechtssachen von einer ergänzenden Richtlinie erfasst. Das ist ein politischer Kompromiss. Sicherlich hätte man sich auch vorstellen können, auch diesen Bereich in die Verordnung aufzunehmen. Das hätte jedoch aus meiner Sicht die Gefahr mit sich gebracht, die Reform in den für die Wirtschaft zentralen Bereichen und die Realisierung des wichtigen Anliegens eines digitalen Binnenmarktes um Jahre wenn nicht um Jahrzehnte zu verzögern. Europa ist nun mal im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen noch nicht so weit wie in Binnenmarktfragen. Denn EU-Binnenmarkt gibt es seit 1992, die EU-Datenschutzrichtlinie für Binnenmarktfragen gilt seit 1995. Im Bereich Justiz und Inneres konnte sich Europa dagegen erst 2008 auf erste gemeinsame Mindeststandards verständigen. Dies geschah damals in einem Rahmenbeschluss, der nur für grenzüberschreitende Datentransfers galt. Wenn wir diesen Rahmenbeschluss nun im Rahmen unserer Reform in eine Richtlinie überführen und ihren Inhalt modernisieren, ist das aus meiner Sicht bereits ein wichtiger und nicht zu unterschätzender Schritt. Ich weiß sehr wohl, dass dieser Teil der EUDatenschutzreform sehr viel umstrittener ist als die Datenschutz-Grundverordnung, und ich habe ein gewisses Verständnis dafür. Die Zusammenarbeit von Polizei- und Justizbehörden ist in Europa eben noch längst nicht so weit wie es die Nutzung des Binnenmarkts durch Unternehmen und Verbraucher ist. Ich meine aber, dass wir diesen Politikbereich im Rahmen der Reform nicht vernachlässigen sollten. Europa ist schließlich heute mehr als ein Binnenmarkt. Es ist auch ein gemeinsamer Rechtsraum für den Bürger, auch wenn in diesem Bereich Subsidiaritätserwägungen naturgemäß eine größere Rolle spielen. Eine weitere Differenzierung der Architektur unserer Reformvorschläge als die zwischen Datenschutz-Grundverordnung und Richtlinie für den Bereich Justiz und Inneres ist aus meiner Sicht nicht angezeigt. Ich weiß, dass einige Rechtsgelehrte in Deutschland auf dem Standpunkt stehen, man sollte darüber hinaus zwischen Datenschutzvorgaben für den privaten und für den öffentlichen Bereich unterscheiden. Ich habe intellektuell für solche Überlegungen Verständnis. Aus Sicht der Praxis ergeben sie allerdings weniger Sinn. Denken Sie nur einmal an die Vorratsdatenspeicherung: Sie bedeutet doch, dass privaten Unternehmen vom Gesetzgeber Datenspeicherungspflichten im Interesse der Bekämpfung von schwerer Kriminalität auferlegt werden. Sind wir nun im öffentlichen oder im privaten Bereich? Oder denken Sie an die Fluggastdaten, die Sie gegenüber Ihrer Fluggesellschaft angeben müssen, bevor diese die Daten dann zum Abruf durch US-amerikanischen Sicherheitsbehörden bereitstellen. Ist das nun Datenerhebung im öffentlichen oder im privaten Bereich? Oder wie ist die Datenerhebung durch die LKW-Mautstellen zu bewerten, die zunächst allein zur Abrechnung der Maut erfolgte, später aber dann doch im Interesse der Strafverfolgung eingesetzt wird? 8 Wie Sie sehen, lässt sich eine Einteilung "hier öffentlicher, da privat-wirtschaftlicher Bereich" in der modernen Datenwelt nicht mehr trennscharf vornehmen. Denken Sie bitte darüber hinaus daran, dass die in Deutschland bekannte Unterscheidung zwischen öffentlichem Recht und Privatrecht in anderen Mitgliedstaaten zum Teil ganz anders, wenn überhaupt, vorgenommen wird. Und dass schließlich die EUDatenschutzrichtlinie seit 1995 mit gutem Grund ohne diese Unterscheidung ausgekommen ist. Ich hoffe also, dass in den kommenden Monaten nicht durch formalistische Kriterien die Debatte allzu kompliziert und akademisch werden wird. Schließlich brauchen wir kein EU-Datenschutzrecht, dass allein einige deutsche Juraprofessoren zufriedenstellt. Sondern vielmehr ein modernes Datenschutzrecht, das der Realität gerecht wird, die Bürger und Unternehmen im Alltag erleben. Ein fünfter wichtiger Grundbaustein der EU-Datenschutzreform ist die besondere Berücksichtung kleinerer und mittlerer Unternehmen im Verordnungstext. Ich bin der deutschen Internetwirtschaft dankbar, dass Sie uns frühzeitig auf dieses Erfordernis hingewiesen haben. Auch wenn die Geltung des Datenschutzrechts in seinen Grundsätzen selbstverständlich nicht nach der Größe eines Unternehmens unterscheiden kann, so ist es doch möglich und sehr sinnvoll, bei bestimmten formalen Erfordernissen Erleichterungen für kleinere und mittlere Unternehmen vorzusehen. So werden alle Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, von der Verpflichtung befreit, einen Datenschutzbeauftragten zu ernennen. Eine Ausnahme gilt insofern nur für solche Unternehmen, die besonders riskante Datenverarbeitung – z.B. die Verarbeitung von Gesundheitsdaten – durchführen. Zweites Beispiel: Kleine und mittlere Unternehmen werden von der Verpflichtung befreit, eine Dokumentation über die Datenverarbeitung zu führen, sofern es sich bei der Datenverarbeitung nicht um ihre Haupttätigkeit handelt. Ich meine, dass es sich bei diesen Sonderregelungen um sinnvolle und ausgewogene Maßnahmen handelt, um vor allem kleinere Unternehmen von unnötigem Verwaltungsaufwand zu verschonen. Ich habe natürlich gelesen, dass einige deutsche Datenschützer wenig Verständnis für diese Sonderregeln haben. Ich möchte daher in dieser Debatte dafür plädieren, dass wir alle das richtige Augenmaß anwenden; Starker Datenschutz überall dort, wo er notwendig ist; und die Anwendung des Verhältnismäßigkeitsgrundsatzes immer dann, wenn übermäßige Formerfordernisse innovative Geschäftstätigkeit im Keim ersticken könnten. Über die Details lohnt es sich da natürlich zu streiten. 9 Der sechste wichtige Grundbaustein der EU-Datenschutzreform muss aus meiner Sicht ein ausgewogenes Verhältnis zwischen dem DatenschutzGrundrecht und anderen Grundrechten sein. Die EU-Datenschutzreform ist von der Europäischen Kommission erst nach einer ausführlichen Grundrechtsprüfung vorgeschlagen worden, wie sie seit 2010 integraler Bestandteil unseres Rechtsetzungsverfahrens ist. Ausgangspunkt dabei ist, dass das Grundrecht auf Datenschutz zwar ein wichtiges, aber keinesfalls das einzige Grundrecht ist, das auf europäischer Ebene Geltung beansprucht. Die EU-Grundrechtecharta, die in vielerlei Hinsicht die modernste Grundrechtekodifizierung der Neuzeit darstellt, kennt eine Vielzahl von anderen Grundrechten, die mit dem Grundrecht auf Datenschutz naturgemäß in Kontakt geraten oder sogar mit diesem kollidieren können. In Fall eines solchen Grundrechtskonflikts passiert rechtlich dasselbe, was auch bei Grundrechtskollisionen unter Geltung des Grundgesetzes geschieht: Es muss zu einer Abwägung zwischen den betroffenen Grundrechten kommen, wobei der Verhältnismäßigkeitsgrundsatz und das Ziel praktischer Konkordanz zu beachten sind. Lassen Sie mich dies am Beispiel des "Rechts auf Vergessen" illustrieren, das prominenter und in der Öffentlichkeit kontrovers diskutierter Bestandteil des Verordnungsvorschlags ist. Hinter dem "Recht auf Vergessen" steht das legitime Nutzerinteresse, persönliche Daten, die der Nutzer einmal in einen Internetdienst eingestellt hat, zu einem späteren Zeitpunkt wieder löschen zu können. Die Verfügbarmachung von Daten über das Internet bedeutet heute für den Nutzer leider viel zu oft den endgültigen Kontrollverlust über seine persönlichen Daten. Dem soll das "Recht auf Vergessen" einen datenschutzrechtlichen Riegel vorschieben. Da das Datenschutz-Grundrecht aber kein absolutes Recht ist, kann auch das "Recht auf Vergessen" nicht absolut verstanden werden. Wir leben nun einmal in einer vielfältig miteinander vernetzten Gesellschaft, wir stehen als Menschen in sozialem Kontakt und können daher kein Recht auf absoluten Datenschutz in Anspruch nehmen, solange wir an der Gesellschaft teilnehmen. Genauso wenig wie Sie Ihren Nachbarn zwingen können, zu vergessen, dass er Sie gestern beim Einkaufen gesehen hat, genauso wenig können Sie im Internet ein absolutes Recht auf Vergessen durchsetzen. Deshalb sieht unsere Verordnung auch nur ein relatives Recht auf Vergessen gegenüber dem jeweiligen Diensteanbieter vor. Wer Nutzerdaten von diesem übertragen bekommt, muss sie auf Verlangen des Nutzers auch wieder löschen. Das Recht auf Vergessen soll also dem Verbraucher eine bessere Kontrolle über seine Daten ermöglichen, um so mehr Vertrauen in Onlinedienste zu schaffen. Wenn aber Nutzerdaten an Dritte gelangen und z.B. über die Online-Ausgabe einer Tageszeitung oder über eine Suchmaschine im Internet verbreitet werden, dann sind andere Grundrechte zu berücksichtigen, die dem Recht auf Vergessen entgegenstehen. Zu nennen sind hier die Unternehmerfreiheit ebenso wie die Meinungs-, Presse- und Informationsfreiheit. So wichtig es ist, dass Sie das Recht haben, ein peinliches Photo, das Sie als 16-jähriger auf Facebook gestellt haben, später wieder zu löschen, so wichtig ist es auch, dass in einer demokratisch-pluralen Gesellschaft kein absolutes Recht auf Vergessen geben kann. Dieses Grundverständnis durchzieht unsere Verordnung wie ein roter Faden. Denn trotz aller Bedeutung des Datenschutzes darf dieser niemals zur Rechtfertigung einer Beschneidung der Meinungsfreiheit oder gar Maßnahmen der Internetzensur instrumentalisiert werden. 10 Damit komme ich zum siebten und letzten aus meiner Sicht wichtigen Grundbaustein der EU-Datenschutzreform: ihrer Offenheit für künftige technologische und gesellschaftliche Entwicklungen. Die EUDatenschutzrichtlinie von 1995 war 17 Jahr lang eine solide Basis für die Rechtsentwicklung in diesem wirtschaftlich wie gesellschaftlich zentralen Rechtsgebiet, da sie offen und technologieneutral formuliert war. Der EUGesetzgeber hatte 1995 der Versuchung widerstanden, jede Einzelheit der aktuellen Erfahrungen im Gesetzestext detailliert regeln zu wollen. Die Europäische Kommission hat diese richtige Grundentscheidung in die EUDatenschutzverordnung übernommen. Wir regeln bewusst nicht Google Street View oder den Datenschutz bei Apps, sondern konzentrieren uns auf Grundprinzipien und allgemeine Vorgaben des Datenschutzes. Die Datenschutz-Grundverordnung ist daher wie ein Rahmengesetz formuliert, nicht wie die Rechtsverordnung eines deutschen Landesministeriums. Ich plädiere an alle Beteiligten, an dieser Grundentscheidung im Gesetzgebungsverfahren festzuhalten. Die Anwendung der Grundsätze der Datenschutzverordnung auf einzelne Dienste und Anwendungen muss den nationalen Datenschutzbehörden und den Gerichten überlassen bleiben. Falls erforderlich, können die Artikel 29-Arbeitsgruppe oder die Europäische Kommission bei Auslegungsdivergenzen Auslegungshilfestellung geben, um für eine einheitliche Rechtsanwendung auf dem Europäischen Binnenmarkt zu sorgen. Hüten wir uns aber davor, jede Frage, die den Datenschutz in Europa in den nächsten 20 Jahren beschäftigen wird, bereits heute im Detail regeln zu wollen. Das würde Europa nicht dazu verhelfen, globaler Standard-Setzer im Datenschutz zu werden. Sondern uns schnell zum globalen Schlusslicht werden lassen. Ich weiß, dass Sie, meine sehr verehrten Damen und Herren, an einer solchen Entwicklung kein Interesse haben. Bitte helfen Sie daher dabei, dass Europa in den kommenden Monaten ein modernes, zukunftsorientiertes und wachstumsförderndes EU-Datenschutzrecht erhält. Ein Datenschutzrecht, dass nicht die Zukunft einengt, sondern einem innovativen digitalen Binnenmarkt den Weg bereitet. Die Stimme Deutschland und der deutschen Internetwirtschaft wird dabei von ganz besonderer Bedeutung sein. Vielen Dank für Ihre Aufmerksamkeit. 11