Heute wurde in der Öffentlichkeit und in Blogs über einen Vermerk des derzeitigen Vorsitzenden des Rates der Europäischen Union vom 22.02.2013, zu dem Entwurf der Kommission für eine Datenschutz-Grundverordnung diskutiert.
Der Grund der Diskussion: die Ratspräsidentschaft (derzeit wahrgenommen durch Irland) schlägt unter anderem vor, die Datenschutz-Grundverordnung und das Eingreifen von Pflichten für Verantwortliche von einem „risiko-basierten Ansatz“ abhängig zu machen. Dies würde eine Abkehr von dem derzeit noch geltenden Verbotsprinzip mit Erlaubnisvorbehalt darstellen. Datenverarbeitungen könnten damit zunächst entweder erlaubt oder zumindest unter geringeren Anforderungen als bisher erlaubt sein.
Das Motiv hinter diesen (von einigen Mitgliedstaaten, darunter wohl auch Deutschland) Änderungsvorschlägen leuchtet ein. Warum soll die Ein-Mann-Handwerker-Firma oder der Bäcker um die Ecke genau so hohe Anforderungen erfüllen, wie ein Weltkonzern, dessen tägliches Geschäft der Umgang mit Millionen von Daten ist?
Zunächst muss klargestellt werden, dass dieses Thema (risiko-basierter Ansatz vs. allgemeines Verbotsprinzip) keine inhaltliche Frage des Datenschutzrechts darstellt. Es geht hierbei um die Anwendbarkeit an sich und das zugrundeliegende Prinzip im allgemeinen. Diese Frage ist zu trennen von, durch die Präsidentschaft des Rates, ebenfalls vorgeschlagenen inhaltlichen Änderungen, etwa zu den Vorschriften zu der Bestellung von Datenschutzbeauftragten oder zur vorherigen Einholung einer Genehmigung der Datenschutzbehörden bei konkret riskanten Verarbeitungsvorgängen (Art. 33 ff. DS-GV).
Am morgigen Freitag wird der Rat der Europäischen Union tagen und über diesen Vermerk diskutieren. Ausgang offen.
Ein paar Gedanken zu der vorgeschlagenen Verstärkung eines risiko-basierten Ansatzes:
1. Eine Frage wird sein, ab wann strengere Pflichten gelten sollen? Wann liegt also ein Risiko für die von der Verarbeitung Betroffenen vor?
Es wird nicht ausreichen, dies etwa allein von dem Kriterium des Umfangs der Verarbeitung abhängig zu machen. Zu mal, wo soll hier die Grenze liegen? Bei 20, 50, 100 Personen und ihren Daten? Vielmehr wird es zumindest auch auf den Inhalt der Daten ankommen müssen. Denn bereits ein personenbezogenes Datum kann für den Betroffenen gefährlich sein, wenn es besonders sensible Informationen enthält und in die falschen Hände gerät. Wo liegt dann hier aber die Grenze? Was ist ein privater, intimer, gefährlicher Inahlt?
Die Mischung der beiden Kriterien (Umfang der Verarbeitung und Inhalt der Daten) wird wohl notwendig sein.
2. Das schöne an dem Verbotsprinzip im derzeitigen Datenschutzrecht ist seine (prinzipiell) einfache Anwendbarkeit. Grundsätzlich ist die Verarbeitung personenbezogener Daten verboten, außer….
Das ist aber auch gleichzeitig der „Fluch“ dieses Prinzips. Es stellt Hürden, gerade für die Wirtschaft, auf, die es wahrlich nicht immer braucht. Gerade in einer von Datenverarbeitungsvorgängen geprägten Gesellschaft wie der unseren. Diese negative, wirtschaftliche Auswirkung ist jedoch freilich eine zweite zu betrachtende Ebene.
Anders stellt sich die Frage der sachlichen Anwendbarkeit des Datenschutzrechts bei einem risiko-basierten Ansatz dar. Je nach Ausgestaltung kann es sein, dass die Datenverarbeitung bis zu einem gewissen Grad (Problem: welchem?, siehe 1.) zunächst frei erlaubt sein wird oder aber ebenfalls grundsätzlich verboten ist, dafür aber weniger strenge Anforderungen an die Voraussetzungen der Erlaubnis gestellt werden.
Die Praxistauglichkeit dieses vorgeschlagenen Ansatzes wird damit maßgeblich von den Anforderungen und Definitionen (an Umfang und Inhalt der zu verarbeitenden Daten) abhängen, die der europäische Gesetzgeber für tauglich erachtet…ein risiko-basierter Ansatz.