In dem Maße, in dem der elektronische Datenverkehr alle Bereiche des Lebens durchdringt, nimmt die Bedeutung des Datenschutzes im Rahmen der persönlichen Freiheitsrechte zu. Das erreichte Datenschutzniveau muss daher gesichert werden. Das schließt zwar Reformen nicht aus - im Gegenteil: eine Aktualisierung des Datenschutzrechts ist eine drängende Aufgabe. Die Vorschläge der EU-Kommission laufen jedoch auf eine Nivellierung auf abgesenktem Niveau hinaus. Damit ginge ohne Grund ein Stück Freiheit verloren. Den Mitgliedstaaten würde die Möglichkeit genommen, über diese europäischen Vorgaben hinaus zu gehen. Dem treten wir entgegen.  

Wir fordern von den Europäischen Institutionen und von den Regierungen der Mitgliedstaaten, auf Folgendes hinzuwirken:

• Das deutsche Datenschutzniveau darf zum Schutz der Grundrechte nicht unter das erreichte Niveau gesenkt werden. Vielmehr sind praktizierte und erfolgreiche Regelungen in das europäische Regelungsinstrument aufzunehmen. Wo dies nicht durchsetzbar ist, sind Öffnungsklauseln vorzusehen sowohl für die Beibehaltung bestehender als auch für die
  Einführung günstigerer Regelungen in den Mitgliedstaaten.
• Die Europäische Union wählt – wie bisher – das Instrument einer Richtlinie, um die Regelungen der Mitgliedstaaten zu harmonisieren. Damit bleibt ihnen ein Spielraum, die europarechtlichen Vorgaben in ihre Rechtsordnungen einzupassen.  
• Etwaige Verordnungen müssen sich auf die Bereiche beschränken, in denen die Europäische Union nicht nur die Kompetenz für Wirtschaftsfragen hat, sondern auch die Kompetenz, den Gesellschafts- oder Verwaltungsbereich zu regeln.
• Die Regelungen müssen in dem Rechtsinstrument selbst getroffen werden, damit sie eine starke Legitimation durch den europäischen Gesetzgeber erfahren. Ermächtigungen der Europäischen Kommission für delegierte Rechtsakte und Durchführungsbestimmungen sollten so weit als möglich entfallen und ggf. auf tatsächlich nebensächliche Konkretisierungenbegrenzt bleiben.

Die Europäische Kommission hat im Jahre 2012 Entwürfe für eine „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“ vom 25. Januar 2012 und für eine „Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“
vom 4. Juni 2012 vorgelegt. Beide Verordnungen würden zentrale Aspekte der
Informationsgesellschaft regeln. Jeder Wirtschafts-, Verwaltungs- und Gesellschaftsbereich ist sowohl auf die Nutzung des Internets und der Sicherheitsdienste im Internet als auch auf die Verarbeitung personenbezogener Daten angewiesen. Wer Datenschutz sowie Identifizierungs- und Vertrauensdienste regelt, nimmt entscheidenden Einfluss auf die Fortentwicklung der Informationsgesellschaft und bestimmt das Schutzniveau für viele Grundrechte. Zugleich regelt er zwei der wichtigsten Querschnittsthemen und bestimmt damit die Handlungsmöglichkeiten in allen
Wirtschafts-, Verwaltungs- und Gesellschaftsbereichen.  

Die Verordnungen würden bei Verabschiedung unmittelbare Geltung in allen Mitgliedstaaten der Europäischen Union erlangen und Anwendungsvorrang gegenüber allen wörtlich und sinngemäß widersprechenden Regelungen des deutschen Rechts erhalten. Durch die Wahl einer Verordnung beansprucht die Europäische Kommission die Regelungskompetenz in einem zentralen
Querschnittsthema ausschließlich für die Europäische Union, obwohl diese für die letztlich betroffenen Verwaltungs- und Gesellschaftsbereiche keine Regelungskompetenz hat. Mit den beiden Verordnungen würde sie auch die wichtigsten Handlungsbedingungen für E-Government und E-Justice bestimmen, obwohl ihr keine Kompetenz zusteht, die Arbeitsweise der mitgliedsstaatlichen Verwaltungen und Gerichte an sich zu regeln.

Die Wahl der Rechtssetzung durch Verordnung – statt wie bisher durch Richtlinie – wird damit begründet, dass die Internetwirtschaft eines einheitlichen Rechtsrahmens bedürfe. Auf diese Weise schließt die Kommission die Mitgliedstaaten von der weiteren Gesetzgebung zum Recht des Datenschutzes und der Sicherheitsdienste aus. Sie wendet sich damit ab von einer Politik der Angleichung und Harmonisierung mitgliedstaatlicher Rechtsordnungen (Art. 114 AEUV) und ersetzt diese durch eine Rechtsvereinheitlichung. Zugleich hält sie die Regelungen in den Verordnungen so abstrakt, dass sie kaum inhaltliche Festlegungen enthalten. Um sie zu konkretisieren, sieht sie vielfältige Ermächtigungen für sich selbst vor, „delegierte Rechtsakte“ und „Durchführungsbestimmungen“ zu erlassen. Hierdurch monopolisiert sie die künftige Rechtsetzung in beiden Rechtsbereichen bei sich und entmachtet in diesen Fragen die Mitgliedstaaten vollständig.  

Inhaltlich würden beide Verordnungen dazu führen, dass viele Errungenschaften des Datenschutzes und der Sicherheitsdienste in Deutschland der Rechtsvereinheitlichung geopfert werden und das Schutzniveau gesenkt wird. Wichtige Schutzregelungen des Datenschutzes – wie etwa besondere Zweckbindungen für den Datenschutz im Internet im Telemediengesetz oder die Differenzierungen des berechtigten Interesses im Bundesdatenschutzgesetz – würden aufgegeben. Entscheidungsfreiheit gewährleistende Sicherungen in der Anwendung der elektronischen
Identifizierungsfunktion des deutschen Personalausweises werden ausgeschlossen. Anforderungen an eine vertrauenswürdige Identifizierung und Authentifizierung der Teilnehmer elektronischer Zustelldienste, wie vom De-Mail-Gesetz gefordert, werden beseitigt. Damit würde die Verordnung zu
Identifikations- und Vertrauensdiensten vielen Regelungen in den deutschen Entwürfen zu einem EGovernment-Gesetz und einem E-Justice-Gesetz die sicherheitstechnische Grundlage entziehen.  Hinzu kommt, dass diese Verordnung neue Beweisvermutungen ohne Rücksicht auf die gewachsenen Strukturen der Beweisverfahren der Mitgliedstaaten unmittelbar verbindlich einführt. Diese sind nicht nur fremdartig, sondern auch widersprüchlich, unsystematisch und ohne ausreichende Regelung ihrer Anforderungen.

Beide Verordnungsentwürfe lassen viele Rechtsfragen, die für eine Vollregelung in Form einer Verordnung erforderlich sind, ungeregelt. Sie beanspruchen, eine Vollregelung für alle Wirtschafts-, Verwaltungs- und Gesellschaftsbereiche und alle Anwendungen von Datenverarbeitungen und
Sicherheitsdiensten zu sein. Die materiellen Regelungen in beiden Verordnungen enthalten allerdings nur einen kleinen Bruchteil der Regelungen, die im deutschen Recht dem Datenschutz und den  Sicherheitsdiensten gewidmet worden sind. Selbst wenn nicht jede Regelung im deutschen Recht
unabdingbar ist, zeigt doch der Vergleich, in welch hohem Maß die Entwürfe der Kommission unterkomplex sind. Dadurch vergrößern sie die ohnehin bestehende Rechtsunsicherheit erheblich.  

Breites Vertrauen in den Datenschutz und die Sicherheitsdienste wird aufgrund dieser fehlenden Rechtssicherheit nicht entstehen.