Datenschutz Eckpunktepapier der Aufsichtsbehörden – ein modernes Datenschutzrecht für das 21. Jahrhundert?

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat am 18.3.2010 ein 40 Seiten starkes Eckpunktepapier verabschiedet, das kürzlich im Internet veröffentlicht worden ist. In diesem Papier wird festgestellt, dass der Datenschutz im Zeitalter der alltäglichen Datenverarbeitung nicht nur eine Schutzfunktion habe, sondern einen Gestaltungsanspruch des Betroffenen beschreibe. Die Konferenz stellt klar, dass jeder Einzelne weitgehend selbst bestimmen solle, was andere über ihn wissen. In diesem Artikel möchten wir Ihnen den Inhalt des Eckpunktepapiers kurz vorstellen.

Das Recht auf informationelle Selbstbestimmung

Die Konferenz baut letztlich ihre Argumentation auf dem Recht der informationellen Selbstbestimmung auf. Die informationelle Selbstbestimmung ist nach dem Bundesverfassungsgericht unverzichtbare Grundbedingung für die demokratische Gesellschaft. Insgesamt muss der Betroffene als Grundrechtsträger in den Mittelpunkt der gesetzlichen Gestaltung gesetzt werden. Dies sind letztlich die Basis und das Ziel der vorgeschlagenen Veränderungen.

Gewünscht: gesetzlich festgelegter Mindeststandard für das Datenschutzrecht

Die Konferenz fordert, dass die Datenschutzgesetze einen verbindlichen Mindeststandard festlegen sollen. In diesem Rahmen sollen Schutzziele eindeutig definiert werden und dann den Maßstab der datenschutzrechtlichen Regelung bilden.
Der notwendige Schutz beinhaltet insbesondere:

• eine strikte Beschränkung der Datenverarbeitung auf das Erforderliche (Prinzip der Datensparsamkeit),
• eine konsequente Zweckbindung,
• die größtmögliche Selbstbestimmung der Betroffenen sowie
• die Transparenz der Datenverarbeitung.

Nach der Meinung der Konferenz ließe sich dies durch ein grundsätzliches Verbot der Profilbildung und einer Verpflichtung zur konsequenten Löschung der Daten verwirklichen.

Für das Verbot der Profilbildung müsste der Begriff der Profilbildung zunächst konkretisiert werden. Eine Bildung von Profilen soll schließlich nur zulässig sein, wenn eine gesetzliche Grundlage vorliegt, die diesem speziellen Gefährdungspotential ausreichend Rechnung trägt.

Transparenz der Datenverarbeitung ist zu sichern

Durch „Mikrotechnologie und Digitalisierung“ (S. 17 des Eckpunktepapiers] können viele Daten nebenher und quasi „beiläufig“ gesammelt werden. Dies muss verhindert oder mindestens transparent für das Datensubjekt dargestellt werden. Die Identität der datenverarbeitenden Stelle und die nötigen Schritte zur Rechtsverteidigung müssen klar dargelegt werden.

Öffentliche und nicht-öffentliche Stellen sind gleich zu behandeln

Die Gefährdungen, die sowohl von öffentlichen wie auch nicht-öffentlichen Stellen gleichermaßen ausgehen, sollen gleich behandelt werden. Das Persönlichkeitsrecht sei schließlich im gleichen Maße betroffen, so dass eine unterschiedliche Behandlung ungerechtfertigt erscheint. Dies lässt sich letztlich auch auf die Vorgaben der Europäischen Datenschutzrichtlinie zurückführen.

Eine eindeutige Subsidiaritätsregelung muss geschaffen werden

Gefordert werden daneben eindeutige Subsidiaritätsregelungen (dies sind Reglungen zu Frage, ob das BDSG oder Spezialgesetze anzuwenden sind). Spezialgesetze gehen weitgehend dem BDSG (dem eigentlichen „Hauptgesetz“) vor, so dass insbesondere für den Betroffenen gar nicht klar ist, welche Rechte diese für sich in Anspruch nehmen können. Bislang sei die gesetzliche Ausgestaltung sowohl unübersichtlich wie auch unverständlich. Diesem sollte Abhilfe geschaffen werden.

Internet: datenschutzfreundlich ausgestalten

Daneben wird das Augenmerk auch darauf gelegt, im Internet die Datenschutzrechte durchsetzbar zu gestalten. Insofern werden neben der Einführung eines Mediennutzungsgeheimnisses eine verbesserte Informationspflicht der Anbieter und eine sichere und datenschutzfreundliche Authentifizierung der Nutzer gefordert.

Technikneutralen Ansatz schaffen

Den aus der technologischen Fortentwicklung resultierenden Gefahren sollte durch „technikneutrale Vorgaben“ Rechnung getragen werden. In diesem Rahmen sollen einfache und flexible Gesetze geschaffen werden. Die Konferenz schlägt eine grundsätzliche Reform vor.

Betroffenenrechte weiter stärken

Die Konferenz betont, dass für einen effizienten Datenschutz letztlich der einzelne Betroffene maßgeblich ist. Dieser muss der Datenverarbeitung aufmerksam und vor allem kritisch gegenübertreten. Informations- und Auskunftsansprüche und die Freiwilligkeit der Einwilligung müssen insofern gestärkt werden. Dies meint nach der Konferenz u.a. einen erleichterten Zugang zu Informationen. Daneben sollen auch Auskunfteien die Auskunft nicht mehr unter Berufung auf überwiegende Geschäftsgeheimnisse verweigern können.

Echte Einwilligung statt faktischem Zwang

Die Einwilligung des Betroffenen macht viele Verarbeitungstatbestände der Datenverarbeitung überhaupt möglich. Insofern hebt das Eckpunktepapier hervor, dass das Augenmerk auf eine tatsächlich gewollte Einwilligung zu richten ist. So fordert die Konferenz, dass eine Einwilligung durch aktives Tun erteilt werden müssel (opt-in). Daneben soll auch die Geltungsdauer einer Einwilligung grundsätzlich begrenzt werden.

Die Eigenkontrolle der verantwortlichen Stellen muss gestärkt werden

Die Konferenz schlägt die Einführung eines freiwilligen bundesweiten Datenschutzaudits vor. Durch diese Einführung würde der Datenschutz letztlich zum Wettbewerbsfaktor und würde auch so weiter gestärkt werden. Daneben soll die Stellung der behördlichen und betrieblichen Datenschutzbeauftragten gestärkt werden.

Wirksamere Sanktionen für Datenschutzverstöße

Daneben werden auch wirksamere Sanktionen im Bereich des Datenschutzrechtes gefordert. Es soll neben einfach erkennbaren und durchsetzbaren Haftungsansprüchen für den Betroffenen auch eine wirksamere Verfolgung von Ordnungswidrigkeit durch den Staat angestrebt und durchgesetzt werden.

Die Datenschutzbeauftragten fordern daneben die Einführung einer Gefährdungshaftung im Sinne von § 8 BDSG auch für nicht-öffentliche Stellen sowie die Einführung eines pauschalierten Schadensersatzanspruches. Daneben wird eine Erweiterung der Bußgeldtatbestände gefordert. Die Zuständigkeit für die Verfolgung datenschutzrechtlicher Ordnungswidrigkeiten sollte daneben konzentriert werden.

Datenschutz als Bildungsaufgabe

Datenschutz ist nach der Ansicht der Konferenzteilnehmer Bildungsaufgabe und muss auch als solche festgeschrieben werden. Die Betroffenen müssen informiert werden, welche Gefahren für ihr Persönlichkeitsrecht bestehen und inwieweit sie bedacht und aufmerksam vorgehen sollen. Dies bedarf einer Verankerung in den Lehrplänen der Schulen und Bildungseinrichtungen. Dies würde dann auch einen besseren Schutz für Minderjährige sicherstellen.

Unabhängigkeit der Datenschutzaufsicht

Die Datenschutzbeauftragten fordern, dass die Datenschutzaufsicht rechtlich, organisatorisch und finanziell abgesichert werden muss. Daneben sollte der Bundesbeauftragte für den Datenschutz ein Anordnungsrecht bei Datenschutzverstößen erhalten. Insofern würden die Möglichkeiten der Aufsichtsbehörden, ihre Kontrollaufgaben wahrzunehmen, wirksam gestärkt.

Fazit

Die Konferenz schlägt eine Reihe datenschutzrechtlicher Änderungen vor. Die Konferenzteilnehmer betonen, dass das heutige Datenschutzrecht in immer mehr Bereichen Probleme hat, aktuellen technischen Fragen gerecht zu werden. Es bleibt abzuwarten, inwieweit die Vorstellungen der Aufsichtsbehörden an ein modernes und zeitgemäßes Datenschutzrecht Einfluss in künftige Gesetzgebungsverfahren finden können.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.