Wer EU-Gesetze verabschiedet, gestaltet nicht nur politische Rahmenbedingungen, sondern greift regelmäßig tief in Grundrechte, wie etwa in das Recht auf Datenschutz, ein. Dass dieser Eingriff rechtsstaatlich kontrolliert und datenschutzkonform ausgestaltet werden muss, zeigen am 07.05.2025 veröffentlichte Leitlinien für die EU-Gesetzgebung des Europäischen Datenschutzbeauftragten (EDSB). Mit seinem neuen Leitfaden für EU-Mitgesetzgeber legt er dar, wie sich gesetzgeberische Initiativen datenschutzgerecht ausgestalten lassen.
Zielrichtung des Leitfadens
Der Leitfaden richtet sich auf insgesamt 27 Seiten an die drei zentralen EU-Gesetzgebungsorgane, nämlich die Kommission, das Parlament und den Rat. Er soll ihnen helfen, Datenschutzaspekte frühzeitig, strukturiert und auf nachvollziehbare Weise in Gesetzgebungsverfahren zu integrieren. Der EDSB versteht den Leitfaden dabei nicht als abstraktes Grundsatzpapier, sondern als praxisorientiertes Arbeitsinstrument im Rahmen einer „Checkliste“. Darüber hinaus sei laut des Leitfadens (abrufbar hier) aber stets eine Bewertung anhand des Einzelfalls erforderlich. Kernanliegen sei es, die Einhaltung der Grundrechte, insbesondere das Recht auf Schutz personenbezogener Daten und Achtung des Privatlebens, in den Mittelpunkt gesetzgeberischer Abwägungsprozesse zu stellen, ohne dabei die angestrebten politischen Ziele zu verfehlen.
Kernelemente datenschutzkonformer Gesetzgebung
Der EDSB unterstreicht in seiner Pressemitteilung, dass jede ergriffene gesetzgeberische Maßnahme klar, präzise und vorhersehbar sein muss. Er fordert daher, dass der Zweck der Datenverarbeitung sowie die zu verarbeitenden Daten eindeutig bestimmt sein müssen. Zugleich ist laut EDSB darzulegen, weshalb eine Datenverarbeitung zur Zielerreichung notwendig und verhältnismäßig ist. Darüber hinaus müsse klar sein, welche Verantwortlichkeiten Datenverarbeitende tragen. Die Mitgesetzgeber sollten zudem konkret begründen, weshalb mildere Mittel nicht in Betracht kommen oder warum auf bestimmte personenbezogene Datenkategorien nicht verzichtet werden kann. Ebenfalls im Fokus stehen Vorgaben zur Dauer der Datenverarbeitung. Außerdem müssten Datenverarbeitungen und die Weitergabe an andere Behörden oder andere Private offengelegt und mit angemessenen Schutzmechanismen versehen werden.
Checkliste für EU-Gesetzgeber
Zuletzt hat der EDSB eine Checkliste erstellt, die europäischen Gesetzgebern im Gesetzgebungsprozess unterstützen soll. Diese unterscheidet zum einen zwischen den Anforderungen an das europäische Grundlagengesetz und das Umsetzungsgesetz. Andererseits differenziert sie zwischen Gesetzen, die keinen schweren Eingriff in das Datenschutzrecht darstellen und solchen, die einen schwerwiegenderen Eingriff rechtfertigen.
So kann sich beispielsweise der Zweck bei nicht schwerwiegenden Eingriffen in Grundlagengesetz aus der generellen Zielrichtung des Gesetzes ergeben. Auch müssen Verantwortliche nur identifiziert werden, wenn dies verhältnismäßig und möglich ist. Außerdem können im Durchführungsgesetz die Kategorien betroffener personenbezogener Daten genannt sein, wenn dies nicht bereits im Grundlagengesetz der Fall war und dies nicht die Gesetzgebungskompetenz überschreitet.
Bei schwerwiegenden Eingriffen dürfen die Durchführungsgesetze hingegen zum Beispiel den Zweck nicht mehr selbst (weiter) bestimmen. Dies muss bereits im Grundlagengesetz geschehen sein. Verpflichtend ist hier auch, dass das Grundlagengesetz die Kategorien der personenbezogenen Daten bestimmt. Je nach schwere des Eingriffs soll dann die EU-Kommission die Befugnis haben, weitere Spezifizierungen vorzunehmen. Außerdem ist es zwingend, Vorgaben zur maximalen Speicherdauer oder deren Bestimmung im Grundlagengesetz festzuschreiben. Auch hier kann die EU-Kommission die Befugnis erhalten, weitere Bestimmungen im Durchführungsgesetz zu erlassen.
Fazit
Der neue Leitfaden des EDSB liefert einen wichtigen Beitrag zu einer rechtsstaatlich verantwortbaren und datenschutzkonformen Gesetzgebung in der EU. Er erinnert die Mitgesetzgeber daran, dass jede Verarbeitung personenbezogener Daten einer besonderen Begründung bedarf. Das gilt sowohl in ihrer Zielsetzung ebenso wie in ihrer konkreten Ausgestaltung. Der Leitfaden bietet hierfür klare Kriterien und legt die Messlatte hoch. Unternehmen sollten die Inhalte aufmerksam verfolgen, um frühzeitig absehen zu können, welche Anforderungen künftige europäische Gesetzgebung stellen könnten.
