Nach der heutigen Sitzung des Rates der Europäischen Union, zu dem Vermerk der derzeitigen irischen Präsidentschaft und möglichen Änderungen an der Datenschutz-Grundverordnung, lassen sich folgende Ergebnisse zusammenfassend darstellen:
Entscheidender Eckpfeiler für Verpflichtungen und Maßnahmen, die von einem für die Verarbeitung Verantwortlichen einzuleiten sind, soll das Kriterium des Risikos einer Datenverarbeitung für die Betroffenen werden.
Dies ist bereits im jetzigen Entwurf der Kommission angelegt (Art. 33 DS-GV), soll aber noch ausgebaut werden und quasi als Hauptvoraussetzung dienen, an welche sich viele weitere Pflichten knüpfen.
Genaue und praxistaugliche Kriterien erforderlich
Zum großen Teil stimmten die Vertreter der Mitgliedstaaten darin überein, dass dazu jedoch genau Kriterien und Definitionen in der Datenschutz-Grundverordnung vorzugeben sind, damit auch das kleinste Unternehmen erkennen kann, ob seine Datenverarbeitung eventuell ein Risiko birgt. Hier gab es verschiedene Vorschläge, wie etwa den Einfluss der Verarbeitung auf Grundrechte zu berücksichtigen. In dem derzeitigen Entwurf finden sich bereits eine Reihe von Ansatzpunkten, welche für ein hohes Risiko sprechen können (Art. 33 Abs. 2 DS-GV).
Stufen des Risikos
Auf einer zweiten Ebene muss dann geprüft werden, welche Höhe dieses Risiko erreicht. Die Vorschläge der Mitgliedstaaten beinhalteten etwa ein 2-stufiges System (hohes und niedriges Risiko) oder auch ein 3-stufiges (hohes, mittleres und niedriges Risiko). An diese Einteilung schließen sich dann teilweise obligatorische Pflichten und eventuell auch die zu erwartenden Strafen und Ordnungsgelder bei Verletzung dieser Pflichten an.
Niedriges Risiko
Kann die Datenverarbeitung als wenig risikoreich eingestuft werden, so sollen den Verantwortlichen nur geringe Pflichten treffen. Zum einen muss er nicht eine vorherige Genehmigung der zuständigen Datenschutzbehörde einholen. Auch waren sich die Mitgliedstaaten zum Großteil einig, dass dann die Bestellung eines Datenschutzbeauftragten rein freiwillig erfolgen sollte. Zudem würde der aus einer Verletzung solcher Pflichten folgende Sanktionsrahmen relativ niedrig bleiben.
Hohes Risiko
Ergibt die Folgenabschätzung jedoch ein potenziell hohes Risiko der Datenverarbeitung, so sprachen sich viele Mitgliedstaaten dafür aus, dass dann Kontakt zu den Datenschutzbehörden aufzunehmen sei, um entweder eine Genehmigung einzuholen oder zumindest eine Zurateziehung zu veranlassen. Auch wurde vorgeschlagen, in diesen Fällen die Bestellung eines Datenschutzbeauftragten als obligatorisch vorzuschreiben. Ebenso könnte bei Verletzungen der Umfang der Sanktionen hier schwerer ausfallen.
Es bleibt nun abzuwarten, auf welche konkreten Änderungen der Rat sich einigt und dann als Ergänzungen zur Datenschutz-Grundverordnung vorschlagen wird. Deutlich wurde während der Sitzung jedoch, dass der risiko-basierte Ansatz breite Zustimmung erfährt, auf der anderen Seite erfreulicherweise aber auch die Problematik um die Praxistauglichkeit und die Aufstellung genauer Kriterien für ein „Risiko“ erkannt wurden.