Modernisierung des Datenschutz-Rechtes
Die SPD-geführte Bundesregierung und die Koalitionsfraktionen haben die immensen Herausforderungen, mit denen sich das Datenschutzrecht in der Wissens- und Informationsgesellschaft konfrontiert sieht, erkannt. Sie sind angetreten mit dem Ziel, die demokratischen Beteiligungsrechte der Bürgerinnen und Bürger zu stärken. In der Koalitionsvereinbarung heißt es: 'Effektiver Datenschutz im öffentlichen und im privaten Bereich gehört zu den unverzichtbaren Voraussetzungen für eine demokratische und verantwortbare Informationsgesellschaft. Die notwendige Anpassung des deutschen Datenschutzrechts an die Richtlinie der Europäischen Union soll kurzfristig umge- setzt werden.'
Modernisierung des Datenschutzes in 2 Stufen
In einer ersten wichtigen Entscheidung hat die SPD-geführte Bundesregierung unmittelbar nach ihrem Amtsantritt in einem gemeinsamen Moratorium des Bundesinnenministeriums und des Bundeswirtschaftsministeriums die jahrelange Debatte um eine Regulierung kryptographischer Verfahren beendet und angesichts der Bedeutung dieses wichtigen Selbstschutzinstrumentes auf eine gesetzliche Regelung verzichtet. Statt dessen hat das Bundeswirtschaftsministerium die Verfügbarkeit und Weiterentwicklung kryptographischer Verfahren � quasi als staatliche Dienstleistung � maßgeblich gefördert und forciert.
Darüber hinaus haben sich Bundesregierung und Koalitionsfraktionen auf eine umfassende Modernisierung des Datenschutzrechtes in einem zweistufigen Verfahren verständigt. In einem ersten Schritt wurden in der 14. Legislaturperiode die Vorgaben der EG-Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in deutsches Recht umgesetzt. Durch die Umsetzung der EG-Datenschutz-Richtlinie wird europaweit ein einheitliches Datenschutzniveau geschaffen und werden einheitliche Maßstäbe für die Erhebung und Verarbeitung von Daten in der Europäischen Union festgelegt. Die zentralen Ziele der EG-Datenschutzrichtlinie lauten zusammengefasst: Transparenz der Datenverarbeitung und Akzeptanz der Verbraucher und Nutzer. Mit dieser ersten Novellierung des Bundesdatenschutzgesetzes (BDSG) wurden zugleich erste Bausteine der Modernisierung des Datenschutzrechtes aufgenommen, beispielsweise die Prinzipien der Datenvermeidung und der Datensparsamkeit und das Datenschutzaudit.
In einem zweiten Schritt sollte nun � unmittelbar an die Umsetzung der EG-Datenschutzrichtlinie anschließend � das gesamte Datenschutzrecht mit dem Ziel einer umfassenden Modernisierung auf den Prüfstand gestellt werden. Hierzu hat das Bundesministerium des Innern ein Gutachten in Auftrag gegeben, welches den Reformbedarf und die Reichweite aufzeigen und Grundlinien zur 'Modernisierung des Datenschutzrechtes' erarbeiten sollte. Im Herbst 2001 wurde dieses Gutachten der Öffentlichkeit vorgestellt.
Die schrecklichen Ereignisse des 11. September 2001 in New York und Washington haben nicht nur die politische Agenda grundlegend verschoben, sondern auch die (sicherheits-)politische Debatte insgesamt: Galt angesichts der eingangs beschriebenen Herausforderungen in globalen Kommunikationsnetzen bis dahin die Feststellung, dass an die Stelle staatlicher Regulierung zunehmend die Anleitung und Hilfe zur Selbsthilfe der Nutzer treten müsse und dass das Kontrollmoment des Staates � im Sinne des Cybercontrol � hinter den Schutzmoment der Nutzer und der sensiblen Infrastrukturen � im Sinne der Cyberprotection � zurücktreten müssen, so hat der 11. September 2001 diese ungeschriebenen Regeln einer effektiven Netzund Datenschutzpolitik grundlegend verändert. Bereits früh wurde von Netzaktivisten vorhergesagt, dass eine massive Abkehr von diesen gewonnenen Überzeugungen und eine Umkehr des Verhältnisses von Cybercontrol und Cyberprotection bevorsteht. Die Entwicklung in fast allen westlichen Staaten hat diese Befürchtungen mittlerweile mehr als bestätigt. Der spezifische Kontext internationaler paketvermittelter Kommunikation ist in Gefahr, aus dem Blick zu geraten und unter dem wiedererstarkten Primat eines klassisch interpretierten (nationalen) Sicherheitsverständnisses zu verschwinden.
Obwohl sich die beschriebenen Rahmenbedingungen nicht wesentlich geändert haben, folgen die gegenwärtigen sicherheitspolitischen Maßnahmen infolge des Terroranschlages vor allem wieder dem Regelungsmodus 'law and order' � wenn auch mit gewissen Einschränkungen. Rechtsdurchsetzungs- und Strafermittlungsprobleme ergeben sich nun aus Sicht der Sicherheitsbehören wieder eher aus Rechtslücken sowie überzogenen datenschutzrechtlichen Bedenken, einem gefährlichen Laisser-faire und mangelnder finanzieller, technischer wie personeller Ausstattung der Behörden, als aus der technologischen Dynamik und globalen Vernetzung der neuen IuKMöglichkeiten. Die Ambivalenzen und mit ihnen die Warnungen vor einer Überregulierung oder einer überzogenen Kontrolle der Bürger erscheinen � vorerst � nachrangig. Der Staat, so die Argumentation weiter, sei in seiner ureigensten Aufgabe als Garant der öffentlichen Sicherheit herausgefordert und müsse regieren. Das 'Wer, Was und Wie' der Sicherheitsfrage lässt sich wieder eindeutig beantworten: Allein der Staat sorgt für eine umfassende Sicherheit für alle, bei der die Ermittlungs- und Rechtsdurchsetzungsperspektive im Vordergrund steht und durchgreifende Regulierung als einziges Mittel erscheint. Die wichtige Wechselbeziehung von Cybercontrol auf der einen und Cyberprotection auf der anderen Seite gerät aus dem Blick. Es setzt sich in der politischen Debatte wieder zunehmend die Überzeugung durch, dass beide Aspekte unvereinbar sind und dass der Kontrolle der Vorzug vor dem Schutz gegeben werden muss.
Das gemeinsame Ziel einer in diesem Sinne erhöhten Sicherheit wird derzeit zur Legitimation für zahlreiche Maßnahmen zur Erweiterung der Überwachungs- und Kontrollmöglichkeiten herangezogen, wofür die Debatten um die Telekommunikations-Überwachungsverordnung oder den Einsatz des sogenannten IMSI-Catchers beispielhaft angeführt werden können. Aber nur in Ausnahmefällen stehen Wirksamkeit, Angemessenheit und auch Nebeneffekte dieser Aktivitäten auf der Tagesordnung.
Immerhin sollte, und dies ist ein positiver Aspekt, darauf hingewiesen werden, dass auch dass sogenannte Sicherheitspaket II nicht die jüngsten Entwicklungen in der Form der Gesetzgebung vollständig zurückdrehen konnte: Mit der auf Initiative der Koalitionsfraktionen erfolgten grundsätzlichen Befristung der Maßnahmen und der Kopplung einer eventuellen Verlängerung an eine positive Evaluierung sind zwei zentrale Momente der neuen Formen moderner Gesetzgebung auch unter den derzeitigen schwierigen Rahmenbedingungen realisiert worden.
Natürlich gehört zu einer modernen Gesetzgebung mehr als Befristung und Evaluierung, und genau hier wird die zweite Stufe zur Modernisierung des Datenschutzrechtes ansetzen. So ist es geradezu eine Voraussetzung für die erfolgreiche Modernisierung des Datenschutzrechtes, dass die wichtige Wechselbeziehung zwischen Cybercontrol und Cyberprotection wieder thematisiert und vor allem die teilweise schwerwiegenden Nebenfolgen einer Verengung der Perspektive auf den Kontrollgedanken wieder in das Blickfeld der politischen Debatte gerückt werden.
Umsetzung der zweiten Stufe der Modernisierung des Datenschutzrechtes
Die positiven Erwartungen an das Datenschutzrecht und die Unzulänglichkeit der bisherigen Regelungen sollen mit der Umsetzung der zweiten Stufe ein modernes Datenschutzrecht aufgegriffen bzw. beseitigt werden. Dieses wird nicht nur einfacher und verständlicher sein, sondern darüber hinaus auch hinsichtlich der neuen Formen der Datenverarbeitung risikoadäquat. Um das erste Ziel zu erreichen, müssen die Selbstbestimmung der betroffenen Person gestärkt und die Selbstregulierung und Selbstkontrolle der Datenverarbeiter ermöglicht und verbessert werden. Um das zweite Ziel zu erreichen, müssen vor allem Konzepte des Selbstdatenschutzes und des Systemdatenschutzes umgesetzt werden.
Das nun vorliegende Gutachten markiert wichtige Eckpunkte für die Umsetzung der zweiten Stufe der Modernisierung des Datenschutzrechtes. Kurz gefasst lauten die Kernaussagen des Gutachtens wie folgt:
Die Koalitionsfraktionen haben noch vor der Sommerpause einen Antrag in den Deutschen Bundestag eingebracht, der diese zentralen Eckpunkte für einen Neuen Datenschutz aufgreift und die Ankündigung der Bundesregierung unterstützt, dass sie unter Einbeziehung von Wissenschaft und Praxis Gesetzentwürfe zu einem Arbeitnehmerdatenschutzgesetz sowie zu einem neuen Bundesdatenschutzgesetz vorlegen will. Die Koalitionsfraktionen geben mit diesem Antrag ihrer Erwartung Ausdruck, dass die Bundesregierung diese Gesetzentwürfe rechtzeitig in das parlamentarische Verfahren einbringen wird, damit diese bis Mitte der 15. Legislaturperiode beraten und verabschiedet werden können. Diese Erwartung ist von der Gewissheit bestimmt, dass eine Fortschreibung des nationalen Grundrechtsschutzes der überragenden Bedeutung der Entwicklung einer zivilen Informationsgesellschaft freier Bürger entsprechen würde. Wesentliche Unterstützung könnte die Modernisierung des Datenschutzrechtes zudem dadurch bekommen, wenn flankierend die informationelle und kommunikative Selbstbestimmung als Grundrecht der Informationsgesellschaft in das Grundgesetz aufgenommen würde. Der Deutsche Bundestag hat den Antrag im Juli 2002 beschlossen.
Ein modernes Datenschutzrecht schaffen - Ein Fazit
Das Grundrecht auf informationelle Selbstbestimmung soll zu einem Kommunikationsgrundrecht weiterentwickelt werden, das als Querschnittsgrundrecht den kommunikativen Gehalt aller Grundrechte zum Ausdruck bringt. Aus diesem Grund sollten auch Datenschutz und Informationsfreiheit als Kehrseiten derselben Medaille angesehen werden, die zwar immer wieder auch in einem Spannungsverhältnis zueinander stehen, jedoch zugleich Funktionsbedingungen eines demokratischen Gemeinwesens und notwendige Bestandteile einer freiheitlichen Kommunikationsordnung sind. Denn noch immer gilt: Will die Gesellschaft beim Übergang zur Wissens- und Informationsgesellschaft am Ziel eines freiheitlich-demokratischen Gemeinwesens festhalten und will sie auch die wirtschaftlichen und arbeitsmarktpolitischen Potenziale nicht gefährden, kommt sie nicht umhin, auch in einer vernetzten und digitalisierten Welt das Grundrecht auf informationelle und kommunikative Selbstbestimmung zu bewahren � und das wird nur durch eine umfassende Modernisierung des bestehenden Datenschutzrechtes zu erreichen sein. Zugleich wird dem neuen Datenschutz eine grundlegend neue Bedeutung als Wettbewerbs- und Standortvorteil zukommen, die es auch im Hinblick auf den europäischen und internationalen Kontext und im Interesse des Datenschutzes zu nutzen gilt.
zurück
Modernisierung des Datenschutzes in 2 Stufen
In einer ersten wichtigen Entscheidung hat die SPD-geführte Bundesregierung unmittelbar nach ihrem Amtsantritt in einem gemeinsamen Moratorium des Bundesinnenministeriums und des Bundeswirtschaftsministeriums die jahrelange Debatte um eine Regulierung kryptographischer Verfahren beendet und angesichts der Bedeutung dieses wichtigen Selbstschutzinstrumentes auf eine gesetzliche Regelung verzichtet. Statt dessen hat das Bundeswirtschaftsministerium die Verfügbarkeit und Weiterentwicklung kryptographischer Verfahren � quasi als staatliche Dienstleistung � maßgeblich gefördert und forciert.
Darüber hinaus haben sich Bundesregierung und Koalitionsfraktionen auf eine umfassende Modernisierung des Datenschutzrechtes in einem zweistufigen Verfahren verständigt. In einem ersten Schritt wurden in der 14. Legislaturperiode die Vorgaben der EG-Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in deutsches Recht umgesetzt. Durch die Umsetzung der EG-Datenschutz-Richtlinie wird europaweit ein einheitliches Datenschutzniveau geschaffen und werden einheitliche Maßstäbe für die Erhebung und Verarbeitung von Daten in der Europäischen Union festgelegt. Die zentralen Ziele der EG-Datenschutzrichtlinie lauten zusammengefasst: Transparenz der Datenverarbeitung und Akzeptanz der Verbraucher und Nutzer. Mit dieser ersten Novellierung des Bundesdatenschutzgesetzes (BDSG) wurden zugleich erste Bausteine der Modernisierung des Datenschutzrechtes aufgenommen, beispielsweise die Prinzipien der Datenvermeidung und der Datensparsamkeit und das Datenschutzaudit.
In einem zweiten Schritt sollte nun � unmittelbar an die Umsetzung der EG-Datenschutzrichtlinie anschließend � das gesamte Datenschutzrecht mit dem Ziel einer umfassenden Modernisierung auf den Prüfstand gestellt werden. Hierzu hat das Bundesministerium des Innern ein Gutachten in Auftrag gegeben, welches den Reformbedarf und die Reichweite aufzeigen und Grundlinien zur 'Modernisierung des Datenschutzrechtes' erarbeiten sollte. Im Herbst 2001 wurde dieses Gutachten der Öffentlichkeit vorgestellt.
Die schrecklichen Ereignisse des 11. September 2001 in New York und Washington haben nicht nur die politische Agenda grundlegend verschoben, sondern auch die (sicherheits-)politische Debatte insgesamt: Galt angesichts der eingangs beschriebenen Herausforderungen in globalen Kommunikationsnetzen bis dahin die Feststellung, dass an die Stelle staatlicher Regulierung zunehmend die Anleitung und Hilfe zur Selbsthilfe der Nutzer treten müsse und dass das Kontrollmoment des Staates � im Sinne des Cybercontrol � hinter den Schutzmoment der Nutzer und der sensiblen Infrastrukturen � im Sinne der Cyberprotection � zurücktreten müssen, so hat der 11. September 2001 diese ungeschriebenen Regeln einer effektiven Netzund Datenschutzpolitik grundlegend verändert. Bereits früh wurde von Netzaktivisten vorhergesagt, dass eine massive Abkehr von diesen gewonnenen Überzeugungen und eine Umkehr des Verhältnisses von Cybercontrol und Cyberprotection bevorsteht. Die Entwicklung in fast allen westlichen Staaten hat diese Befürchtungen mittlerweile mehr als bestätigt. Der spezifische Kontext internationaler paketvermittelter Kommunikation ist in Gefahr, aus dem Blick zu geraten und unter dem wiedererstarkten Primat eines klassisch interpretierten (nationalen) Sicherheitsverständnisses zu verschwinden.
Obwohl sich die beschriebenen Rahmenbedingungen nicht wesentlich geändert haben, folgen die gegenwärtigen sicherheitspolitischen Maßnahmen infolge des Terroranschlages vor allem wieder dem Regelungsmodus 'law and order' � wenn auch mit gewissen Einschränkungen. Rechtsdurchsetzungs- und Strafermittlungsprobleme ergeben sich nun aus Sicht der Sicherheitsbehören wieder eher aus Rechtslücken sowie überzogenen datenschutzrechtlichen Bedenken, einem gefährlichen Laisser-faire und mangelnder finanzieller, technischer wie personeller Ausstattung der Behörden, als aus der technologischen Dynamik und globalen Vernetzung der neuen IuKMöglichkeiten. Die Ambivalenzen und mit ihnen die Warnungen vor einer Überregulierung oder einer überzogenen Kontrolle der Bürger erscheinen � vorerst � nachrangig. Der Staat, so die Argumentation weiter, sei in seiner ureigensten Aufgabe als Garant der öffentlichen Sicherheit herausgefordert und müsse regieren. Das 'Wer, Was und Wie' der Sicherheitsfrage lässt sich wieder eindeutig beantworten: Allein der Staat sorgt für eine umfassende Sicherheit für alle, bei der die Ermittlungs- und Rechtsdurchsetzungsperspektive im Vordergrund steht und durchgreifende Regulierung als einziges Mittel erscheint. Die wichtige Wechselbeziehung von Cybercontrol auf der einen und Cyberprotection auf der anderen Seite gerät aus dem Blick. Es setzt sich in der politischen Debatte wieder zunehmend die Überzeugung durch, dass beide Aspekte unvereinbar sind und dass der Kontrolle der Vorzug vor dem Schutz gegeben werden muss.
Das gemeinsame Ziel einer in diesem Sinne erhöhten Sicherheit wird derzeit zur Legitimation für zahlreiche Maßnahmen zur Erweiterung der Überwachungs- und Kontrollmöglichkeiten herangezogen, wofür die Debatten um die Telekommunikations-Überwachungsverordnung oder den Einsatz des sogenannten IMSI-Catchers beispielhaft angeführt werden können. Aber nur in Ausnahmefällen stehen Wirksamkeit, Angemessenheit und auch Nebeneffekte dieser Aktivitäten auf der Tagesordnung.
Immerhin sollte, und dies ist ein positiver Aspekt, darauf hingewiesen werden, dass auch dass sogenannte Sicherheitspaket II nicht die jüngsten Entwicklungen in der Form der Gesetzgebung vollständig zurückdrehen konnte: Mit der auf Initiative der Koalitionsfraktionen erfolgten grundsätzlichen Befristung der Maßnahmen und der Kopplung einer eventuellen Verlängerung an eine positive Evaluierung sind zwei zentrale Momente der neuen Formen moderner Gesetzgebung auch unter den derzeitigen schwierigen Rahmenbedingungen realisiert worden.
Natürlich gehört zu einer modernen Gesetzgebung mehr als Befristung und Evaluierung, und genau hier wird die zweite Stufe zur Modernisierung des Datenschutzrechtes ansetzen. So ist es geradezu eine Voraussetzung für die erfolgreiche Modernisierung des Datenschutzrechtes, dass die wichtige Wechselbeziehung zwischen Cybercontrol und Cyberprotection wieder thematisiert und vor allem die teilweise schwerwiegenden Nebenfolgen einer Verengung der Perspektive auf den Kontrollgedanken wieder in das Blickfeld der politischen Debatte gerückt werden.
Umsetzung der zweiten Stufe der Modernisierung des Datenschutzrechtes
Die positiven Erwartungen an das Datenschutzrecht und die Unzulänglichkeit der bisherigen Regelungen sollen mit der Umsetzung der zweiten Stufe ein modernes Datenschutzrecht aufgegriffen bzw. beseitigt werden. Dieses wird nicht nur einfacher und verständlicher sein, sondern darüber hinaus auch hinsichtlich der neuen Formen der Datenverarbeitung risikoadäquat. Um das erste Ziel zu erreichen, müssen die Selbstbestimmung der betroffenen Person gestärkt und die Selbstregulierung und Selbstkontrolle der Datenverarbeiter ermöglicht und verbessert werden. Um das zweite Ziel zu erreichen, müssen vor allem Konzepte des Selbstdatenschutzes und des Systemdatenschutzes umgesetzt werden.
Das nun vorliegende Gutachten markiert wichtige Eckpunkte für die Umsetzung der zweiten Stufe der Modernisierung des Datenschutzrechtes. Kurz gefasst lauten die Kernaussagen des Gutachtens wie folgt:
- Ein modernes Datenschutzrecht sollte auf einem allgemeinen Gesetz gründen, das bereichsspezifischen Regelungen vorgeht. Dieses sollte grundsätzliche und präzise Regelungen der Verarbeitung personenbezogener Daten und vermeidet möglichst offene Abwägungsklauseln enthalten.
- Das Gesetz soll darüber hinaus auch allgemeine Regelungen zur Technikgestaltung, zur Datensicherung, zur Datenschutzorganisation, zur Datenschutzkontrolle und zur Selbstregulierung enthalten. Wird die Vorrangregelung im Verhältnis zwischen BDSG und bereichsspezifischen Regelungen umgedreht, können die bisherige Normenflut und Rechtszersplitterung verringert und Widersprüche vermieden werden. Spezialregelungen in bereichsspezifischen Gesetzen sollten nur Ausnahmen von den allgemeinen Regelungen enthalten und nur für bestimmte riskante Datenverarbeitungen die Anforderungen verschärfen oder bei unterdurchschnittlich riskanten Datenverarbeitungen Erleichterungen bieten. Auch könnten Ausnahmen vorgesehen werden, wenn Aufgaben im Allgemeininteresse ansonsten nicht erfüllt werden können.
- Die allgemeinen Datenschutzgrundsätze sollten gleichermaßen für den öffentlichen und für den nichtöffentlichen Bereich gelten. In beiden Bereichen ist � risiko- und nicht bereichsabhängig � das gleiche Datenschutzniveau zu gewährleisten. Unterschiede sind insoweit zu berücksichtigen, als im nichtöffentlichen Bereich die Regelungsadressaten Grundrechtsträger sind und im öffentlichen Bereich Allgemeininteressen verfolgt werden müssen.
- Wenn das Datenschutzrecht entlastet und die Regelung des Datenverarbeitungsverhältnisses stärker seinen beiden Parteien überlassen werden soll, muss die Transparenz der Datenverarbeitung gegenüber der betroffenen Person erhöht werden. Zielsetzung eines modernen Datenschutzrechts muss es sein, ausreichende Informationen über die Erhebung personenbezogener Daten, über die Umstände und Verfahren ihrer Verarbeitung und die Zwecke ihrer Nutzung für die betroffenen Personen und die Kontrollstellen sicherzustellen. Wer geschäftsmäßig personenbezogene Daten automatisiert verarbeitet, sollte verpflichtet sein, die Struktur der Datenverarbeitung in verständlicher Form zu veröffentlichen, soweit dies ohne Offenlegung von schützenswerten Geheimnissen möglich ist. Mit angemessenem Aufwand muss überdies durchschaubar sein, was das System einschließlich aller Betriebs- und Anwendungssoftware genau tut. Im Interesse konsistenter Regelungen müssen die datenschutzrechtlichen Informationspflichten mit den für Anbieter und Unternehmen geltenden Transparenzregeln beispielweise aus dem Recht des Fernabsatzes harmonisiert werden.
- Soweit die Datenverarbeitung Interessen der betroffenen Person beeinträchtigen könnte, soll die Entscheidung über diese vorrangig der Selbstbestimmung der betroffenen Person überlassen werden. Im Einzelfall muss die Datenverarbeitung grundsätzlich durch Einwilligung oder Einwilligungssurrogate wie Vertrag und vertragsähnliches Vertrauensverhältnis oder Antrag gegenüber einer Behörde erlaubt werden können. Die Einwilligung ist der genuine Ausdruck des Rechts auf informationelle Selbstbestimmung. Da aber zwischen den betroffenen Personen und den verantwortlichen Stellen in der Regel ein erhebliches Machtgefälle besteht, muss die Selbstbestimmung gestärkt werden. Ziel eines modernen Datenschutzrechts muss es daher sein, einerseits die Zulässigkeit der Datenverarbeitung im vertretbaren Umfang der individuellen Selbstbestimmung zu überlassen, andererseits aber deren Freiwilligkeit durch Rahmenregelungen abzusichern.
- Grundsätzlich sollte im nichtöffentlichen Bereich eine 'Opt-in-Lösung' gewählt werden: Die Datenverarbeitung setzt die vorherige Einwilligung der betroffenen Person voraus. Allerdings muss eine Datenverarbeitung auch ohne Einwilligung der betroffenen Person möglich sein. Zur Umschreibung dieser Ausnahmefälle ist der bisher die Datenverarbeitung steuernde Begriff des 'berechtigten Interesses' zu weit. Ausnahmen sollten nur erlaubt sein, wenn dies zum Schutz oder zur Verfolgung eigener Rechte oder Rechte Dritter notwendig ist, oder wenn es erforderlich ist, um eine Gefahr für Leben, Gesundheit oder sonstige bedeutende Rechtsgüter der betroffenen Person zu beseitigen und die betroffene Person ihre Zustimmung nicht geben kann, oder wenn die Datenverarbeitung erforderlich ist, um Verpflichtungen zu erfüllen, die durch Rechtsvorschriften der verantwortlichen Stelle auferlegt wurden.
- Im öffentlichen Bereich sollte die Datenverarbeitung zulässig sein, wenn sie 'zur Erfüllung einer gesetzlich zugewiesenen und in der Zuständigkeit der öffentlichen Stelle liegenden bestimmten Aufgabe erforderlich' ist. Soweit es allerdings um Verarbeitungszwecke und -formen geht, die gegen den Willen der betroffenen Person durchgesetzt werden müssen und deren Interessen stark beeinträchtigen können, sollen bereichsspezifische Regelungen die Zwecke und Formen risikoadäquat regeln. Die Einwilligung kann im öffentlichen Bereich die Datenverarbeitung im Wesentlichen nur im nicht gesetzlich gebundenen Bereich legitimieren.
- Insgesamt sind den Prinzipien der Datenvermeidung und Datensparsamkeit eine grundlegende Bedeutung einzuräumen. Soweit für die Zwecke der Datenverarbeitung ein Personenbezug nicht erforderlich ist, muss dieser von Anfang an vermieden oder nachträglich durch Löschung der Daten, ihre Anonymisierung oder Pseudonymisierung beseitigt werden. Darüber hinaus sind die verantwortlichen Stellen zu verpflichten, soweit dies technisch möglich und verhältnismäßig ist, ihre Datenverarbeitungsverfahren so zu gestalten, dass sie möglichst keinen Personenbezug und auch keine Personenbeziehbarkeit aufweisen. Dieses Ziel kann durch Anonymität oder Pseudonymität der betroffenen Person erreicht werden. Anonymität und anonymitätsnahen Arten von Pseudonymen sollte grundsätzlich Vorrang gegeben werden. Die vorgenannten Grundsätze der Transparenz und der Vermeidung des Personenbezugs können nur durch die betroffenen Personen selbst durchgesetzt werden (Selbstdatenschutz). Sie müssen in die Lage versetzt werden, die Nutzung von technischen und organisatorischen Schutzinstrumenten selbst zu bestimmen. Dies sind Instrumente für Inhaltsschutz (Konzelation, Steganographie), Anonymität, Pseudonymität und Identitätsmanagement. Programme, die Schlüssel, Identitäten und Pseudonyme verwalten und den Nutzer bei der Verwendung von Selbstschutztechniken unterstützen, müssen gefördert werden. Eine Bildungsoffensive zum Umgang mit Instrumenten des Selbstdatenschutzes wäre zu erwägen.
- Darüber hinaus müssen die Grundsätze der Datenverarbeitung organisatorisch sichergestellt werden. Viele bereits bestehende organisatorische Verpflichtungen der verantwortlichen Stellen sollten zu einem integrierten Datenschutzmanagementsystem zusammengefasst und fortentwickelt werden, um Verantwortlichkeit sicherzustellen, das Datenschutzbewusstsein zu stärken und eine datenschutzfreundliche Betriebsorganisation zu erreichen. Die Bestellung eines Datenschutzbeauftragten, die Erarbeitung eines Plans der Datenschutzorganisation und die Erstellung eines Datenschutz- und Datensicherungskonzepts sind die wesentlichen Bestandteile.
- Zur Stärkung der Akzeptanz des Datenschutzes und um eine ständige Fortentwicklung entsprechend den sich verändernden und zunehmenden Risiken zu ermöglichen, muss ein modernes Datenschutzrecht auch Anreize für einen effektiven und sich fortentwickelnden Schutz bieten. Daher wird den verantwortlichen Stellen die Möglichkeit geboten, mit ihren Anstrengungen zur Implementierung eines effektiven Datenschutzes zu werben. Hierzu gehören insbesondere die vertrauenswürdige Auditierung von Datenschutzmanagementsystemen. Verantwortliche Stellen, die am Datenschutzaudit teilnehmen, sollten von öffentlichen Stellen bevorzugt berücksichtigt werden, wenn es um Aufträge zur Verarbeitung personenbezogener Daten geht.
- Insgesamt muss der zu entwickelnde neue Datenschutz künftig durch, nicht gegen Technik erreicht werden. Datenschutzrecht muss versuchen, die Entwicklung von Verfahren und die Gestaltung von Hard- und Software am Ziel des Datenschutzes auszurichten und die Diffusion und Nutzung datenschutzgerechter oder -fördernder Technik zu fördern. Datenschutz sollte so weit wie möglich in Produkte, Dienste und Verfahren integriert sein. Adressaten des Datenschutzrechts können daher nicht mehr nur die für die Datenverarbeitung verantwortlichen Stellen sein. Das Datenschutzrecht muss bereits bei der Entwicklung der Technik Einfluss auf deren Gestaltung nehmen. Es muss datenschutzgerechte Technik fordern und fördern. Zu diesem Zweck sollten zumindest drei Regelungen vorgesehen werden. Die Hersteller sollten verpflichtet werden, für die Gestaltung ihrer Produkte zumindest die Erfüllung einiger zentraler Produktanforderungen zu überprüfen. Wer datenschutzgerechte Produkte herstellt, sollte die Möglichkeit erhalten, diese zertifizieren zu lassen und mit dem Zertifikat werben zu können. Schließlich sollten die verantwortlichen Stellen aufgefordert werden, datenschutzgerechte Produkte zu verwenden. Zumindest für öffentliche Stellen sollte dies zu einer gesetzlichen Pflicht erhoben werden.
- Eine weitaus größere Bedeutung wird für einen Neuen Datenschutz der gesellschaftlichen Selbstregulierung zukommen, beispielsweise durch Konkretisierungen der gesetzlichen Grundsätze durch branchen- oder unternehmensspezifische Selbstverpflichtungen. Um in dieser ein faires Verfahren, einen angemessenen Interessenausgleich, die Berücksichtigung von Gemeinwohlinteressen und eine gewisse demokratische Legitimation zu gewährleisten, muss der Gesetzgeber auch für diese Regelsetzung einen gesetzlichen Rahmen vorgeben, um den Mindeststandard zum Schutz der Betroffenen zu gewährleisten und die Selbstregulierung zu entlasten. Selbstregulierung ermöglicht es der Wirtschaft, relativ schnell passgerechte branchen- oder unternehmensbezogene verbindliche Regelungen zu entwickeln, die die schnelle Entwicklung der Technik, die Komplexität ihrer Systeme und die Vielfalt ihrer Anwendungen berücksichtigen. Der entscheidende Anreiz für Branchen, Verbände oder Unternehmen, eigene, durch Kontrollstellen anerkannte Verhaltensregeln zu erstellen, besteht in der Möglichkeit, die zu konkretisierenden Gesetzesvorgaben selbstständig und auch für die Kontrollstellen verbindlich auszugestalten.
- Schließlich müssen mit dem neuen Datenschutzrecht auch die Betroffenenrechte weiter gestärkt werden. Sie bieten eine wesentliche Stütze für einen effektiven Datenschutz nur, wenn sie von den Betroffenen auch tatsächlich wahrgenommen werden und wahrgenommen werden können. Die betroffenen Personen müssen ihre Rechte frei und unbehindert sowie unentgeltlich ausüben können, ohne Zwang, dies zu tun oder nicht zu tun. Betroffenenrechte sollten wenn möglich nur im allgemeinen Datenschutzgesetz geregelt und möglichst knapp und einfach formuliert werden, damit auch die Betroffenen selbst sie verstehen. Sie sind ausdrücklich für unabdingbar zu erklären und dürfen nicht durch Rechtsgeschäft ausgeschlossen werden können. Die Unterscheidung zwischen öffentlichen und nichtöffentlichen Stellen ist auch bezüglich der Betroffenenrechte aufzugeben. Im Rahmen der Online-Kommunikation sollten die betroffenen Personen ihre Rechte auch telekommunikativ wahrnehmen können. Die betroffene Person sollte bereits vor der Datenerhebung über ihre Rechte informiert werden. Die Informations- und Unterrichtungspflichten sind daher entsprechend auszuweiten. Die Auskunft sollte umfassend erfolgen und sich je nach Anforderung der betroffenen Person auf alle Aspekte der Datenverarbeitung erstrecken. Insbesondere gehören hierzu Angaben zu den gespeicherten Daten selbst, zu deren Herkunft, zu den Empfängern der Daten und Teilnehmern eines automatisierten Abrufverfahrens, zum Zweck der Datenverarbeitung, zum Auftragnehmer bei Datenverarbeitung im Auftrag und zum Dienstleister bei Out-sourcing, wie auch Angaben über die erfolgte Berichtigung, Löschung oder Sperrung von Daten, über den Aufbau, die Struktur und den Ablauf der automatisierten Datenverarbeitung, insbesondere über Profilbildungen und deren Struktur. Ausnahmen von der Auskunftspflicht sollten im Unterschied zur heutigen Regelung auf wenige unabdingbare Fallkonstellationen reduziert werden.
- Entscheidender Bedeutung kommt natürlich auch in Zukunft der Datenschutzkontrolle zu. Die Datenschutzkontrolle sollte für den öffentlichen und nicht öffentlichen Bereich einschließlich der Telekommunikation, Mediendienste und Rundfunkanstalten zusammengeführt werden. Hierfür bieten sich der Bundes- und die Landesbeauftragten an. Sie müssen zu Kompetenzzentren für Datenschutz und Datensicherheit entwickelt werden, die Kontroll- und Beratungsaufgaben aus einer Hand anbieten. Eine solche Vereinheitlichung der Kontrollstellen entspricht der Europäischen Datenschutzrichtlinie und führt zu wünschenswerten Synergieeffekten. Überdies erleichtert eine Vereinheitlichung es den Betroffenen, ihre Anrufungsrechte wahrzunehmen. Im Sinn einer völligen Unabhängigkeit der Kontrollstellen nach Art. 28 DSRL sollte die Rechtsaufsicht über die Kontrollstellen sowohl für den öffentlichen wie auch für den nichtöffentlichen Bereich neu überdacht werden. Rechtsaufsicht ist immer mit einer Einflussnahme auf die Amtsführung der beaufsichtigten Stelle verbunden. Die Einführung der Initiativkontrolle auch im nichtöffentlichen Bereich führt überdies zu einem weitergehenden Eingriff in die Unternehmensrechte und legt eine Kontrolle über diese durch unabhängige, nicht in die Ministerialverwaltung eingebundene und von ihr kontrollierte Stellen nahe. Die notwendige demokratische Legitimation der Kontrollstellen erfolgt � wie auch heute schon � durch die Wahl der Amtsinhaber durch die Parlamente und ihre Berichtspflicht gegenüber diesen. Zur Klarstellung der Unabhängigkeit wäre eine Einrichtung des Bundesbeauftragten als oberste Bundesbehörde oder aber die Anbindung des Bundesbeauftragten für den Datenschutz an den Deutschen Bundestag � ähnlich der Stellung der Wehrbeauftragten � wünschenswert.
- Auch die Stellung der betrieblichen und behördlichen Datenschutzbeauftragten muss gestärkt werden. Ihre Weisungsfreiheit und Unabhängigkeit sollte durch einen verstärkten Kündigungsschutz unterstützt werden, der sich an dem für Mitglieder der Mitarbeitervertretung orientiert. Lediglich natürliche Personen sollten als Datenschutzbeauftragte bestellt werden können. Externe Datenschutzbeauftragte sollten nur noch für einen Mindestzeitrahmen von fünf Jahren bestellt werden dürfen, um eine Umgehung des Kündigungsschutzes zu verhindern. Die Anforderungen an Fachkunde und Qualifikation sowie die sachliche und personelle Ausstattung der Beauftragten sollten näher beschrieben werden. Das Verhältnis zwischen Datenschutzbeauftragtem und Mitarbeitervertretung muss geklärt werden. Ein neues BDSG sollte auch die Funktion eines Konzerndatenschutzbeauftragten aufnehmen. Dies würde zu wünschenswerten Synergieeffekten führen und die Rolle des Datenschutzes im gesamten Konzernverbund stärken. Einem vom deutschen Datenschutzrecht sanktionierten Konzerndatenschutzbeauftragten wird es darüber hinaus in weltweit tätigen Konzernen leichter fallen, Datenschutzgrundsätze im gesamten Konzern durchzusetzen.
Die Koalitionsfraktionen haben noch vor der Sommerpause einen Antrag in den Deutschen Bundestag eingebracht, der diese zentralen Eckpunkte für einen Neuen Datenschutz aufgreift und die Ankündigung der Bundesregierung unterstützt, dass sie unter Einbeziehung von Wissenschaft und Praxis Gesetzentwürfe zu einem Arbeitnehmerdatenschutzgesetz sowie zu einem neuen Bundesdatenschutzgesetz vorlegen will. Die Koalitionsfraktionen geben mit diesem Antrag ihrer Erwartung Ausdruck, dass die Bundesregierung diese Gesetzentwürfe rechtzeitig in das parlamentarische Verfahren einbringen wird, damit diese bis Mitte der 15. Legislaturperiode beraten und verabschiedet werden können. Diese Erwartung ist von der Gewissheit bestimmt, dass eine Fortschreibung des nationalen Grundrechtsschutzes der überragenden Bedeutung der Entwicklung einer zivilen Informationsgesellschaft freier Bürger entsprechen würde. Wesentliche Unterstützung könnte die Modernisierung des Datenschutzrechtes zudem dadurch bekommen, wenn flankierend die informationelle und kommunikative Selbstbestimmung als Grundrecht der Informationsgesellschaft in das Grundgesetz aufgenommen würde. Der Deutsche Bundestag hat den Antrag im Juli 2002 beschlossen.
Ein modernes Datenschutzrecht schaffen - Ein Fazit
Das Grundrecht auf informationelle Selbstbestimmung soll zu einem Kommunikationsgrundrecht weiterentwickelt werden, das als Querschnittsgrundrecht den kommunikativen Gehalt aller Grundrechte zum Ausdruck bringt. Aus diesem Grund sollten auch Datenschutz und Informationsfreiheit als Kehrseiten derselben Medaille angesehen werden, die zwar immer wieder auch in einem Spannungsverhältnis zueinander stehen, jedoch zugleich Funktionsbedingungen eines demokratischen Gemeinwesens und notwendige Bestandteile einer freiheitlichen Kommunikationsordnung sind. Denn noch immer gilt: Will die Gesellschaft beim Übergang zur Wissens- und Informationsgesellschaft am Ziel eines freiheitlich-demokratischen Gemeinwesens festhalten und will sie auch die wirtschaftlichen und arbeitsmarktpolitischen Potenziale nicht gefährden, kommt sie nicht umhin, auch in einer vernetzten und digitalisierten Welt das Grundrecht auf informationelle und kommunikative Selbstbestimmung zu bewahren � und das wird nur durch eine umfassende Modernisierung des bestehenden Datenschutzrechtes zu erreichen sein. Zugleich wird dem neuen Datenschutz eine grundlegend neue Bedeutung als Wettbewerbs- und Standortvorteil zukommen, die es auch im Hinblick auf den europäischen und internationalen Kontext und im Interesse des Datenschutzes zu nutzen gilt.
zurück