Am 25. Januar 2012 hat die für Justiz zuständige Kommissions-Vizepräsidentin Viviane Reding Vorschläge für eine Datenschutz-Reform vorgestellt. Dieser Entwurf würde zu einer faktischen Entmündigung von Arbeitgebern und Arbeitnehmern führen, denn Einwilligungen sollen im Beschäftigungsverhältnis regelmäßig unzulässig sein.

Mit dem Entwurf soll die Datenschutz-Richtlinie 95/46 EG aus dem Jahr 1995, die vielfach als veraltet kritisiert wird, durch eine EU-weit unmittelbar geltende Verordnung ersetzt werden. Die Verordnung soll für die Datenverarbeitung in der Privatwirtschaft, aber auch durch Behörden gelten. Lediglich für die staatliche Strafverfolgung und -vollstreckung ist eine Richtlinie vorgesehen.

Sobald diese Verordnung in Kraft tritt, was wegen der zu erwartenden politischen Verhandlungen und zusätzlich einer vorgesehenen zweijährigen Umsetzungsphase erst in einigen Jahren zu erwarten ist, würde das deutsche Bundesdatenschutzgesetz (BDSG) weitgehend verdrängt. Damit wird eine weitgehende Vollharmonisierung angestrebt. Außerdem soll die Europäische Kommission umfangreiche Befugnisse erhalten, die Bestimmungen der Verordnung europaeinheitlich zu konkretisieren.

Es werden folgende Änderungen vorgeschlagen:

• Die Einwilligung soll keine Rechtsgrundlage für eine Datenerhebung und -verarbeitung sein, wenn ein sog. Über- / Unterordnungsverhältnis besteht. Als Beispiel hierfür wird in den Erwägungsgründen die Datenverarbeitung im Rahmen von Beschäftigungsverhältnissen genannt.
• Für den Beschäftigtendatenschutz ist eine Öffnungsklausel für nationale Regelungen vorgesehen.
• Erweiterte administrative Pflichten für Unternehmen, z.B. zusätzliche Transparenzpflichten, unbeschränkte Auskunftsansprüche, Erstellung von Unternehmensrichtlinien, Dokumentationen und Folgenabschätzungen.
• Unternehmen und Organisationen sollen bei einer schweren Verletzung des Schutzes personenbezogener Daten künftig die nationale Aufsichtsbehörde unverzüglich benachrichtigen müssen.
• Alleiniger Ansprechpartner für Organisationen wird künftig die nationale Datenschutzbehörde des EU-Landes sein, in dem sie ihre Hauptniederlassung haben.
• Jede außerhalb der EU erfolgende Bearbeitung von personenbezogenen Daten durch auf dem EU-Markt aktive Unternehmen, die ihre Dienste EU-Bürgern anbieten, soll künftig den EU-Vorschriften unterliegen.
• Bei 250 Mitarbeitern ist in der Regel ein betrieblicher Datenschutzbeauftragter zu bestellen.
• Bußgelder sind in Höhe von bis zu 2 % des jährlichen Weltumsatzes eines Unternehmens vorgesehen.
• Umfangreiche Rechte für die Kommission zur Weiterentwicklung des Datenschutzrechts sind geregelt.
• Es ist eine kollektive Rechtsverfolgung durch Organisationen und Verbände vorgesehen.

Bedauerlicherweise wird für die Datenverarbeitung im Konzern auch weiterhin keine klare Erlaubnisgrundlage geschaffen.

Die Vorschläge der Kommission werden nun dem Europäischen Parlament und dem EU-Ministerrat zur weiteren Erörterung übermittelt. Sie sollen zwei Jahre nach ihrer Annahme in Kraft treten.