Vom Verbotsprinzip zur Risikoorientierung

Auf der Tagesordnung der Tagung der europäischen Justiz- und Innenmininster heute Vormittag: das EU-Datenschutzpaket (http://www.consilium.europa.eu/uedocs/cms_Data/docs/pressdata/en/jha/135...).

Schon in den letzten Tagen erschienen Berichte der Financial Times und des Guardian, nach denen mindestens 9 EU-Staaten (genannt werden Deutschland, Großbritannien, Schweden und Belgien) massive Kritik an den Vorschlägen der EU-Kommission für eine neue Datenschutz-Grundverordnung üben. Die Kritik solle sich vor allem gegen die Beibehaltung und Verschärfung des rigiden Verbotsprinzips sowie gegen das geplante “Recht auf Vergessen) richten. Es wird statt dessen ein risikoorientiertes Datenschutzrecht gefordert, das nicht alle Vorgänge der Datenverarbeitung gleich behandelt und einem grundsätzlichen Verbot unterwirft:

“EU member … favour using a so-called “risk-based” approach of regulation, which aims to deal with cases where there  is a substantial threat to a person’s data or privacy. This approach would spare  small companies, such as a local grocer with an email list of customers to which  it delivers, from suffering the burdens of data protections rules, an EU  diplomat said.”

(Financial Times v. 6.3.2013, http://www.ft.com/cms/s/0/dbf20262-8685-11e2-b907-00144feabdc0.html#ixzz...)

Am heutigen Vormittag hatten die Vertreter jeden Mitgliedsstaats jeweils drei Minuten Redezeit, um im Wesentlichen ihre Standpunkte zu einem "risikobasierten Ansatz" darzulegen. Auffällig waren dabei verschiedene Punkte, die zeigen, dass man von einem Kompromiss und einem Durchbruch in Sachen Verabschiedung der Verordnung im EP noch weit entfernt ist.

  • Nachdem sich bereits gestern Viviane Reding und der deutsche Bundesinnenminister Friedrich (http://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2013/mitMarginal...) für einen "risikobasierten Ansatz" aufgeschlossen zeigten, wiederholten diese Forderung heute neben den in der Einleitung genannten diverse weitere Mitgliedsstaaten (u.a. Polen, die Niederlande, Dänemark, Tschechien).
  • Offensichtlich ist umstritten, ob eine Verordnung wirklich das richtige Mittel ist oder ob nicht doch eine Richtlinie zweckmäßiger ist, um den einzelnen Mitgliedsstaaten mehr Umsetzungsspielraum zu gewähren. Dabei ist auch umstritten, ob nicht auch ein zweigleisiges Modell mit einer Verordnung für den nicht-öffentlichen Bereich und einer Richtlinie für den öffentlichen Bereich denkbar ist.
  • Diverse Mitgliedssaaten sprechen sich außerdem für den lediglich fakultativen Einsatz von Datenschutzbeauftragten für mittelständische Unternehmen aus.

Mit bemerkenswerter Schärfe hat der Berichterstatter im EU-Parlament Jan Philipp Albrecht reagiert und spricht im Zusammenhand mit dem von Reding und etlichen Mitgliedsstaaten jetzt befürworteten “risikobasierten Ansatz” von einem “massiven Täuschungsmanöver”:

“Mit einem so genannten Risikoansatz sollen die Rechte der Betroffenen beschnitten und die Pflichten für Unternehmen und Behörden reduziert werden… Sollte der Ministerrat diesen Änderungen stattgeben, wäre dies ein deutlicher Schritt hin zu weniger Datenschutz. Der Ministerrat muss jetzt zeigen, dass er diesen Weg nicht gehen wird, sondern die Rechte und Interessen der Bürgerinnen und Bürger schützt. Alles andere wäre ein massives Täuschungsmanöver und brächte großen Schaden für die Europäische Union.“

http://gruen-digital.de/2013/03/eu-datenschutz-ministerrat-muss-beim-dat...

Nicht alle Datenverarbeitungsvorgänge gleichzubehandeln, sondern ein Recht zu entwickeln, das nach Risikopotenzialen differenziert: Das ist wahrlich kein “Täuschungsmanöver”, sondern ein wichtiger Schritt zu einem wahrhaft modernen Datenschutzrecht. Wie ein solcher Ansatz in ein europäisches Gesetzgebungsvorhaben umgesetzt wird, bleibt abzuwarten. Verwiesen sei an dieser Stelle auf den Entwurf von Schneider/Härting aus dem Januar (http://www.schneider-haerting.de/2013/01/alternativentwurf-ds-gvo-fassun...).

8. März 2013