Nachdem die Verhandlungen über die Europäische Datenschutzgrundverordnung teilweise zum Erliegen gekommen sind, hat nun der Rat der EU ein neues Kapitel der Verordnung vorläufig verabschiedet.
Das verabschiedete Kapitel soll das vierte Kapitel der Datenschutzverordnung werden und enthält Regelungen zu technisch-organisatorischen Maßnahmen, die Datenverarbeiter zum Schutz der Daten ergreifen müssen, damit die Datenverarbeitung auf dem Boden des Rechts bleibt.
Abweichend von der bisherigen Meinung der Europäischen Kommission und des Europäischen Parlaments sieht der Rat der EU u.a. vor, dass sich der Umfang der durchzuführenden Schutzmaßnahmen bei datenverarbeitenden Unternehmen nach dem Maß der Sensibilität der Daten und dem Risiko der Tätigkeit richten soll. Nur „besondere“ Unternehmen sollen insofern verpflichtet sein, umfangreiche Schutzmaßnahmen vorzunehmen. Betroffen sein sollen jedenfalls Unternehmen, die mit besonders sensiblen personenbezogenen Daten in Berührung kommen. Nach der Ansicht des Rats sollen das Gendaten, Angaben zur ethnischen Herkunft, politischen Meinungen, religiösen oder philosophischen Überzeugungen, zum Sexualverhalten oder zur Mitgliedschaft in einer Gewerkschaft. Ebenso sind besondere Schutzmaßnahmen zu treffen, wenn Unternehmen Daten verarbeiten, deren Nutzung zu Diskriminierungen, Ruf- und Finanzschädigung oder Vertrauensbrüchen führen könnten.
Inwiefern Daten über die Mitgliedschaft in einer Gewerkschaft sich von solchen über die Mitgliedschaft in einer anderen Vereinigung unterscheiden und eine höhere Sensibilität aufweisen sollen erscheint dabei jedoch fraglich. Ebenso können Meinungen, die nicht politischer Natur sind, eine besonders sensible Information darstellen. Ob also die Lösung des Rats der EU, Datenschutzmaßnahmen pauschal an die Sensibilität der Daten anzuknüpfen und damit im Ergebnis eine abgestufte Grundrechtsschutzgewährleistung vorzunehmen, erscheint wohl fraglich.
Eine weitere vorgesehene Regelung ist, dass auf die Harmonisierung der unterschiedlichen mitgliedstaatlichen Normen verzichtet werden soll, wenn es um die Frage geht, ob ein Unternehmen eigene Datenschutzbeauftragten bestellen muss. Ob ein Unternehmen eigene Datenschutzbeauftragte zu bestellen hat, soll sich insofern nach den jeweiligen nationalen Regelungen richten.
Insgesamt lässt sich bei der vorläufigen Verabschiedung des neuen Kapitels festhalten, dass die Verhandlungen über die EU-Datenschutzgrundverordnung wieder ins Rollen gekommen sind. Auch wenn ein Einigsein sicher derzeit noch nicht vorliegt, so wird doch weiter daran gearbeitet. 2015 soll die Datenschutzreform endgültig beschlossen sein. Es bleibt abzuwarten, ob diese Frist eingehalten wird.
Quellen: Artikel auf heise online vom 13.10.2014, „EU-Rat will die Datenschutzreform abschwächen„.
