EU-Justizkommissarin Viviane Reding wird bei der Verteidigung ihrer Datenschutzvorschläge in Zukunft kleinere Brötchen backen müssen. Bisher hatte sie der Bundesregierung, die für differenzierte Regelungen plädiert, eine „Blockadehaltung“ vorgeworfen („EU-Kommissarin Reding kritisiert deutsche Blockadehaltung scharf“, WirtschaftsWoche v. 10.12.2012).
Jetzt haben sich die Regierungsvertreter aller EU-Mitgliedsstaaten den Berliner Bedenken angeschlossen. In einer Stellungnahme hat sich der Rat der Europäischen Union zu der DS-GVO geäußert (Council of the European Union, 3207th Council Meeting, Justice and Home Affairs, Press Release 17315/12 v. 6./7.12.2012).
Drei Themenfelder werden behandelt:
- Befugnisse der EU-Kommission: Die EU-Mitgliedsstaaten bemängeln, dass der Entwurf einer DS-GVO zu weitreichende Befugnisse der Europäischen Kommission vorsehe, die Verordnung durch „delegated and implementing acts“ zu konkretisieren.
- Öffentlicher Bereich: Des Weiteren erwägen die Mitgliedsstaaten eine Flexibilisierung der Regelungen für den öffentlichen Bereich. Dies könnte dazu führen, dass es für den öffentlichen Bereich bei einer Richtlinie (statt einer Verordnung) bleibt.
- Risikoorientierter Ansatz: Last but not least: Der Rat berichtet von einem „breiten Konsens“ darüber, dass es für den nicht-öffentlichen Bereich eines „riskoorientierten Ansatzes“ bedürfe:
„During the discussion, there was a large consensus that in order to reduce the administrative burden and more generally the compliance costs on companies, a more risk-based approach should be followed. In this sense, the Council instructed the competent preparatory bodies to continue to work on concrete proposals to implement a strengthened risk-based approach in the text of the draft regulation.“ (Council of the European Union, 3207th Council Meeting, Justice and Home Affairs, Press Release 17315/12 v. 6./7.12.2012, Seite 13)
Der von der EU-Kommission vorgeschlagene Entwurf hält an dem „Schwarz-Weiß-Prinzip“ fest: Sobald Daten Personenbezug aufweisen, gilt das starre Verbotsprinzip, ohne dass es irgendeine Differenzierung gibt hinsichtlich möglicher Gefahren für die Persönlichkeitsrechte der Betroffenen. Für belanglose Daten der Alltagskommunikation (z.B. IP-Adressen) sollen weiterhin dieselben Regeln gelten wie für hochsensible Informationsprozesse (z.B. Verarbeitung von Gesundheitsdaten). Das kategorische Festhalten am Verbotsprinzip zählt zu den kardinalen Schwachpunkten des Brüsseler Entwurfs. (vgl. DAV-Stellungnahme 47/2012, Mai 2012, Ziffer 9., Seite 15 : „Je mehr Daten unter den Begriff fallen, desto mehr stellt sich die Frage, ob es nicht – im nicht-öffentlichen Bereich – einer stärkeren Differenzierung bedarf bei dem Schutz dieser Daten.“).
Die Stellungnahme des Rats stützt sich auf den Zwischenbericht der zypriotischen Regierung, die bis Ende 2012 die Ratspräsidentschaft innehat (Council of the European Union, Interinstitutional File 2012/0011 v. 3.12.2012).