Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat am 18.3.2010 ein 40 Seiten starkes verabschiedet, das kürzlich im Internet veröffentlicht worden ist. In diesem Papier wird festgestellt, dass der Datenschutz im Zeitalter der alltäglichen Datenverarbeitung nicht nur eine Schutzfunktion habe, sondern einen Gestaltungsanspruch des Betroffenen beschreibe. Die Konferenz stellt klar, dass jeder Einzelne weitgehend selbst bestimmen solle, was andere über ihn wissen. In diesem Artikel möchten wir Ihnen den Inhalt des Eckpunktepapiers kurz vorstellen.
Das Recht auf informationelle Selbstbestimmung
Die Konferenz baut letztlich ihre Argumentation auf dem Recht der informationellen Selbstbestimmung auf. Die informationelle Selbstbestimmung ist nach dem Bundesverfassungsgericht unverzichtbare Grundbedingung für die demokratische Gesellschaft. Insgesamt muss der Betroffene als Grundrechtsträger in den Mittelpunkt der gesetzlichen Gestaltung gesetzt werden. Dies sind letztlich die Basis und das Ziel der vorgeschlagenen Veränderungen.
Gewünscht: gesetzlich festgelegter Mindeststandard für das Datenschutzrecht
Die Konferenz fordert, dass die Datenschutzgesetze einen verbindlichen Mindeststandard festlegen sollen. In diesem Rahmen sollen Schutzziele eindeutig definiert werden und dann den Maßstab der datenschutzrechtlichen Regelung bilden.
Der notwendige Schutz beinhaltet insbesondere:
- eine strikte Beschränkung der Datenverarbeitung auf das Erforderliche (Prinzip der Datensparsamkeit),
- eine konsequente Zweckbindung,
- die größtmögliche Selbstbestimmung der Betroffenen sowie
- die Transparenz der Datenverarbeitung.
Nach der Meinung der Konferenz ließe sich dies durch ein grundsätzliches Verbot der Profilbildung und einer Verpflichtung zur konsequenten Löschung der Daten verwirklichen.
Für das Verbot der Profilbildung müsste der Begriff der Profilbildung zunächst konkretisiert werden. Eine Bildung von Profilen soll schließlich nur zulässig sein, wenn eine gesetzliche Grundlage vorliegt, die diesem speziellen Gefährdungspotential ausreichend Rechnung trägt.
Transparenz der Datenverarbeitung ist zu sichern
Durch "Mikrotechnologie und Digitalisierung" (S. 17 des Eckpunktepapiers, www.baden-wuerttemberg.datenschutz.de/service/gem-materialien/modernisierung.pdf) können viele Daten nebenher und quasi "beiläufig" gesammelt werden. Dies muss verhindert oder mindestens transparent für das Datensubjekt dargestellt werden. Die Identität der datenverarbeitenden Stelle und die nötigen Schritte zur Rechtsverteidigung müssen klar dargelegt werden.
Öffentliche und nicht-öffentliche Stellen sind gleich zu behandeln
Die Gefährdungen, die sowohl von öffentlichen wie auch nicht-öffentlichen Stellen gleichermaßen ausgehen, sollen gleich behandelt werden. Das Persönlichkeitsrecht sei schließlich im gleichen Maße betroffen, so dass eine unterschiedliche Behandlung ungerechtfertigt erscheint. Dies lässt sich letztlich auch auf die Vorgaben der Europäischen Datenschutzrichtlinie zurückführen.
Eine eindeutige Subsidiaritätsregelung muss geschaffen werden
Gefordert werden daneben eindeutige Subsidiaritätsregelungen (dies sind Reglungen zu Frage, ob das BDSG oder Spezialgesetze anzuwenden sind). Spezialgesetze gehen weitgehend dem BDSG (dem eigentlichen "Hauptgesetz") vor, so dass insbesondere für den Betroffenen gar nicht klar ist, welche Rechte diese für sich in Anspruch nehmen können. Bislang sei die gesetzliche Ausgestaltung sowohl unübersichtlich wie auch unverständlich. Diesem sollte Abhilfe geschaffen werden.
Internet: datenschutzfreundlich ausgestalten
Daneben wird das Augenmerk auch darauf gelegt, im Internet die Datenschutzrechte durchsetzbar zu gestalten. Insofern werden neben der Einführung eines Mediennutzungsgeheimnisses eine verbesserte Informationspflicht der Anbieter und eine sichere und datenschutzfreundliche Authentifizierung der Nutzer gefordert.
Technikneutralen Ansatz schaffen
Den aus der technologischen Fortentwicklung resultierenden Gefahren sollte durch "technikneutrale Vorgaben" (S. 7 des Eckpunktepapiers, www.baden-wuerttemberg.datenschutz.de/service/gem-materialien/modernisierung.pdf) Rechnung getragen werden. In diesem Rahmen sollen einfache und flexible Gesetze geschaffen werden. Die Konferenz schlägt eine grundsätzliche Reform vor.
Betroffenenrechte weiter stärken
Die Konferenz betont, dass für einen effizienten Datenschutz letztlich der einzelne Betroffene maßgeblich ist. Dieser muss der Datenverarbeitung aufmerksam und vor allem kritisch gegenübertreten. Informations- und Auskunftsansprüche und die Freiwilligkeit der Einwilligung müssen insofern gestärkt werden. Dies meint nach der Konferenz u.a. einen erleichterten Zugang zu Informationen. Daneben sollen auch Auskunfteien die Auskunft nicht mehr unter Berufung auf überwiegende Geschäftsgeheimnisse verweigern können.
Echte Einwilligung statt faktischem Zwang
Die Einwilligung des Betroffenen macht viele Verarbeitungstatbestände der Datenverarbeitung überhaupt möglich. Insofern hebt das Eckpunktepapier hervor, dass das Augenmerk auf eine tatsächlich gewollte Einwilligung zu richten ist. So fordert die Konferenz, dass eine Einwilligung durch aktives Tun erteilt werden müsse (opt-in). Daneben soll auch die Geltungsdauer einer Einwilligung grundsätzlich begrenzt werden.
Eigenkontrolle der verantwortlichen Stellen muss gestärkt werden
Die Konferenz schlägt die Einführung eines freiwilligen bundesweiten Datenschutz-Audits vor. Durch diese Einführung würde der Datenschutz letztlich zum Wettbewerbsfaktor und würde auch so weiter gestärkt werden. Daneben soll die Stellung der behördlichen und betrieblichen Datenschutzbeauftragten gestärkt werden.
Wirksamere Sanktionen für Datenschutzverstöße
Daneben werden auch wirksamere Sanktionen im Bereich des Datenschutzrechtes gefordert. Es soll neben einfach erkennbaren und durchsetzbaren Haftungsansprüchen für den Betroffenen auch eine wirksamere Verfolgung von Ordnungswidrigkeit durch den Staat angestrebt und durchgesetzt werden.
Die Datenschutzbeauftragten fordern daneben die Einführung einer Gefährdungshaftung im Sinne von § 8 BDSG auch für nicht-öffentliche Stellen sowie die Einführung eines pauschalierten Schadensersatzanspruches. Daneben wird eine Erweiterung der Bußgeldtatbestände gefordert. Die Zuständigkeit für die Verfolgung datenschutzrechtlicher Ordnungswidrigkeiten sollte daneben konzentriert werden.
Datenschutz als Bildungsaufgabe
Datenschutz ist nach der Ansicht der Konferenzteilnehmer Bildungsaufgabe und muss auch als solche festgeschrieben werden. Die Betroffenen müssen informiert werden, welche Gefahren für ihr Persönlichkeitsrecht bestehen und inwieweit sie bedacht und aufmerksam vorgehen sollen. Dies bedarf einer Verankerung in den Lehrplänen der Schulen und Bildungseinrichtungen. Dies würde dann auch einen besseren Schutz für Minderjährige sicherstellen.
Unabhängigkeit der Datenschutzaufsicht
Die Datenschutzbeauftragten fordern, dass die Datenschutzaufsicht rechtlich, organisatorisch und finanziell abgesichert werden muss. Daneben sollte der Bundesbeauftragte für den Datenschutz ein Anordnungsrecht bei Datenschutzverstößen erhalten. Insofern würden die Möglichkeiten der Aufsichtsbehörden, ihre Kontrollaufgaben wahrzunehmen, wirksam gestärkt.
Das komplette Eckpunktepapier können Sie unter www.baden-wuerttemberg.datenschutz.de/service/gem-materialien/modernisierung.pdf abrufen.
Fazit
Die Konferenz schlägt eine Reihe datenschutzrechtlicher Änderungen vor. Die Konferenzteilnehmer betonen, dass das heutige Datenschutzrecht in immer mehr Bereichen Probleme hat, aktuellen technischen Fragen gerecht zu werden. Es bleibt abzuwarten, inwieweit die Vorstellungen der Aufsichtsbehörden an ein modernes und zeitgemäßes Datenschutzrecht Einfluss in künftige Gesetzgebungsverfahren finden können. (oe)
Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Die Autorin Alma Lena Fritz ist Rechtsassessorin.
Kontakt:
IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de