Die Europäische Kommission hat schon vor einer Weile angekündigt, dass sie manche Bestimmungen der Datenschutz-Grundverordnung (DSGVO) abschwächen will. Ein Brief der EU-Datenschutzbehörden gibt nun Einblicke darin, was genau Justizkommissar Michael McGrath plant. Offiziell vorgestellt werden soll das Vorhaben schon in der kommenden Woche.
Das große Motto der EU-Kommission in der zweiten Amtszeit von Ursula von der Leyen ist die Wettbewerbsfähigkeit und, damit verbunden, das „Vereinfachen“ von EU-Gesetzen. Dabei besteht sie sehr auf ihrer Wortwahl: Es gehe nicht ums Deregulieren, sondern nur darum, die bestehenden Gesetze für Unternehmen einfacher umsetzbar zu machen, heißt es immer wieder.
Ausweitung von Ausnahmen
Der Brief der Datenschutzbehörden zeigt nun, was das in einem ersten Schritt für die DSGVO bedeuten soll. Sie antworten darin auf die Kommission, die in einem eigenen Brief, der nicht öffentlich ist, ihre Vorschläge dargelegt hatte. Die drehen sich hauptsächlich um das sogenannte Datenverarbeitungsverzeichnis aus Artikel 30 der DSGVO.
Dieser Artikel regelt, wie Organisationen dokumentieren müssen, welche Daten sie wie verarbeiten. Sie müssen etwa festhalten, welche Daten sie wofür verarbeiten, welche Kategorien von Personen von einer Datenverarbeitung betroffen sind und auch, an welche Empfänger:innen Datenübermittelt werden. Zudem soll technische und organisatorische Maßnahmen dokumentiert werden, mit denen die Daten geschützt werden.
Organisationen mit weniger als 250 Beschäftigten sind von diesen Regeln ausgenommen – außer, die Verarbeitung könnte ein Risiko für Rechte und Freiheiten der Betroffenen bergen. Die Kommission will diese Ausnahme nun anscheinend auf Organisationen mit bis zu 500 Beschäftigten ausdehnen, die unter einer bestimmten Umsatzgrenze bleiben. Sie würde dann nicht mehr nur für kleine und mittelständische Unternehmen gelten, sondern auch für sogenannte Midcap-Unternehmen mit mittlerer Marktkapitalisierung.
Außerdem soll die Ausnahme von der Ausnahme nur noch gelten, wenn die verarbeiteten Daten ein „hohes Risiko für Rechte und Freiheiten“ bedeuten könnten. Darüber hinaus sollen Organisationen von der Dokumentationspflicht befreit werden, wenn sie Daten verarbeiten, weil Sozial- oder Beschäftigungsgesetze das vorschreiben.
Datenschutzbehörden stimmen vorläufig zu
Diesem Vorschlag stehen der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss vorsichtig optimistisch gegenüber. Man könne „vorläufige Zustimmung“ zu dem Vorhaben äußern, heißt es im Antwortbrief der Datenschützer. Sie erinnern jedoch daran, dass mit dem Wegfall der Dokumentationspflicht keine Entbindung von Vorgaben zum tatsächlichen Datenschutz sei. Zudem fordern sie die Kommission auf, zu prüfen, ob der Entwurf einen angemessenen und fairen Ausgleich zwischen dem Schutz personenbezogener Daten und den Interessen der Organisationen gewährleistet.
Wesentlich kritischer äußert sich Itxaso Domínguez de Olazábal von EDRi, dem europäischen Dachverband der digitalen Zivilgesellschaft. In einer Analyse auf TechPolicy.Press warnt sie davor, dass auch die Verarbeitung sensibler Daten künftig nicht mehr zwingend dokumentiert werden müsste. „Diese Änderungen könnten einfach nur ein aufgrund der Größe und des Umsatzes eines Unternehmens weitreichende Ausnahmen schaffen“, so Domínguez de Olazábal. Dabei werde ignoriert, dass datenbezogene Risiken nicht unbedingt proportional zur Anzahl von Mitarbeiter:innen seien.
Auch Elisabeth Niekrenz vom Verein Digitale Gesellschaft ist skeptisch. Die Rechtsanwältin berät Unternehmen beim Datenschutz und berichtet von der praktischen Bedeutung des Datenverarbeitungsverzeichnisses für einen funktionierenden Datenschutz: „Gerade im Mittelstand ist der erste Schritt, um Datenschutz im Unternehmen in den Griff zu bekommen, oft schlichtes Aufräumen: Welche Datenbestände haben wir überhaupt? Was davon brauchen wir wirklich und was kann weg? Welche IT-Dienstleister hängen daran?“
Wer keinen Überblick über die eigenen Verarbeitungen habe, werde an der Einhaltung des Rechts scheitern. „Dem Bürokratieabbau würde man mit der Abschaffung einen Bärendienst erweisen.“
“Das würde die Büchse der Pandora öffnen“
Itxaso Domínguez de Olazábal von EDRi warnt zudem davor, dass die Mini-Reform im derzeitigen politischen Klima nur ein Türöffner für weitere Deregulierung sein könnte. Für das Jahresende hat die EU-Kommission ein größeres „Digitalpaket“ angekündigt, das viele Digital-Gesetze der EU vereinfachen soll. Davon könnte auch die Datenschutzgrundverordnung betroffen sein, fürchtet Domínguez de Olazábal. Wer sie jetzt für vermeintlich kleine Änderungen aufmache, würde die „Büchse der Pandora öffnen“.
Domínguez de Olazábal zieht hier eine Parallele zum aktuellen Vorgehen der EU beim Lieferkettengesetz. Auch hier hatte Ursula von der Leyen ursprünglich nur kleinere Maßnahmen zum Bürokratieabbau versprochen, nun soll das Gesetz weitgehend entkernt werden. „Es scheint ein allgemeiner Drang zu bestehen, regulatorische Schutzmaßnahmen aufzuheben – eine Bereitschaft, vermeintliche Hindernisse für das Wirtschaftswachstum zu beseitigen, ungeachtet der möglichen Folgen für soziale Gerechtigkeit und Menschenrechte.“
