Heute und morgen tagen die europäischen Innen- und Justizminister in Brüssel. Auf der Tagesordnung morgen Vormittag: das EU-Datenschutzpaket (3228th session of the Council of the European Union – JUSTICE and HOME AFFAIRS, Orientation debate on Friday 8 March 2013, Seite 2).
Kritik der EU-Mitgliedstaaten
Laut Berichten der Financial Times und des Guardian üben mindestens 9 EU-Staaten (genannt werden Deutschland, Großbritannien, Schweden und Belgien) massive Kritik an den Vorschlägen der EU-Kommission für eine neue Datenschutz-Grundverordnung. Die Kritik richtet soll sich vor allem gegen die Beibehaltung und Verschärfung des rigiden Verbotsprinzips sowie gegen das geplante „Recht auf Vergessen“ richten. Es wird statt dessen ein risikoorientiertes Datenschutzrecht gefordert, das nicht alle Vorgänge der Datenverarbeitung gleich behandelt und einem grundsätzlichen Verbot unterwirft:
„EU member … favour using a so-called “risk-based” approach of regulation, which aims to deal with cases where there is a substantial threat to a person’s data or privacy. This approach would spare small companies, such as a local grocer with an email list of customers to which it delivers, from suffering the burdens of data protections rules, an EU diplomat said.“
(„Brussels to soften data protection rules“, Financial Times v. 6.3.2013)
Kritik des Information Commissioner’s Office
Erstmals hat sich auch eine europäische Datenschutzbehörde für ein modernes, differnziertes Datenschutzrecht ausgesprochen. Über den Standpunkt des britischen Information Commissioner’s Office heißt es:
„The UK’s Information Commissioner’s Office is suggesting that individual countries should be given more leeway to interpret the law as appropriate, using a ‚risk-based‘ approach. ‚If you have a butcher whose data processing only affects 20 local people, you need to be able to treat an infringement there differently from a company with private health records,‘ said a spokesperson for the ICO. Other countries including Germany, Sweden and Belgium have made similar objections.“
(„UK joins US in lobbying Brussels over data protection rules“, The Guardian v. 7.3.2013)
Kehrtwende der EU-Kommissarin
Sogar EU-Kommissarin Viviane Reding, die sich bisher stets vehement für das angeblich „bewährte“ Verbotsprinzip ausgesprochen hat, zeigt sich heute in einer gemeinsamen Verlautbarung mit Bundesinnenminister Friedrich aufgeschlossen für einen „risikobasierten Ansatz“. Dies ist eine spektakuläre Kehrtwende:
„Bei der Frage, wie die Regelungen den jeweiligen Risiken der Datenverarbeitung angepasst werden könnten, sei man in den ersten Wochen unter irischer Präsidentschaft einen großen Schritt vorangekommen. Die Stärkung eines risikobasierten Ansatzes sei sinnvoll und in der neuen Verordnung bereits angelegt. Jeder erkennt, dass für die Verarbeitung von Gesundheitsdaten strengere und detailliertere Datenschutzregeln gelten müssen als für eine einfache Handwerkerleistung,‘ stellten beide Politiker fest.
(„EU Justizkommissarin trifft Friedrich“, Pressemitteilung des BMI v. 7.3.2013)
Reaktion im EU-Parlament
Mit bemerkenswerter Schärfe hat der Berichterstatter im EU-Parlament Jan Philipp Albrecht reagiert und spricht im Zusammenhang mit dem von Reding und etlichen Mitgliedsstaaten jetzt befürworteten „risikobasierten Ansatz“ von einem „massiven Täuschungsmanöver“:
„Mit einem so genannten Risikoansatz sollen die Rechte der Betroffenen beschnitten und die Pflichten für Unternehmen und Behörden reduziert werden… Sollte der Ministerrat diesen Änderungen stattgeben, wäre dies ein deutlicher Schritt hin zu weniger Datenschutz. Der Ministerrat muss jetzt zeigen, dass er diesen Weg nicht gehen wird, sondern die Rechte und Interessen der Bürgerinnen und Bürger schützt. Alles andere wäre ein massives Täuschungsmanöver und brächte großen Schaden für die Europäische Union.“
http://gruen-digital.de/2013/03/eu-datenschutz-ministerrat-muss-beim-datenschutz-liefern/
Chance für ein modernes Datenschutzrecht
Nicht alle Datenverarbeitungsvorgänge gleichzubehandeln, sondern ein Recht zu entwickeln, das nach Risikopotenzialen differenziert: Das ist wahrlich kein „Täuschungsmanöver“, sondern ein wichtiger Schritt zu einem wahrhaft modernen Datenschutzrecht. Wie ein solcher Ansatz in ein europäisches Gesetzgebungsvorhaben umgesetzt wird, bleibt abzuwarten. Prof. Dr. Schneider und ich haben hierzu zuletzt im Januar einen Vorschlag veröffentlicht („Ein Alternativentwurf für eine Datenschutz-Grundverordnung“, CRi 2013 Supplement 1, mit Begründung und Synopse; der Text des Alternativentwurfs ist abrufbar unter: http://www.schneider-haerting.de/2013/01/alternativentwurf-ds-gvo-fassung-januar-2013/).