Stuttgart, 02. Juni 2010

Pressemitteilung
Ein modernes Datenschutzrecht für das 21. Jahrhundert – Datenschutzbeauftragte stellen Eckpunkte für eine Modernisierung des Datenschutzrechts vor

 

„Das gegenwärtige Datenschutzrecht passt nicht mehr ins Internetzeitalter, denn es stammt in seinen Grundstrukturen aus den siebziger Jahren des vorigen Jahrhunderts, als die Datenverarbeitung und die Verantwortlichkeiten noch überschaubar waren. Heute erleben wir eine allgegenwärtige und oft unbemerkte Verarbeitung zahlreicher personenbezogener Daten, die die Privatsphäre immer mehr ins Hintertreffen geraten lassen. Es ist daher höchste Zeit, den Bürger wieder zum ‚Herrn seiner Daten‘ zu machen und ihm sein informationelles Selbstbestimmungsrecht zurückzugeben, wie es das Bundesverfassungsgericht schon im Volkszählungsurteil 1983 gefordert hat.“ Dies erklärte der diesjährige Vorsitzende der Datenschutzkonferenz, der baden-württembergische Landesbeauftragte Jörg Klingbeil, am 2. Juni 2010 in Stuttgart anlässlich der Vorstellung einer Broschüre mit Eckpunkten für eine Modernisierung des Datenschutzrechts. Die Datenschutzbeauftragten des Bundes und der Länder hatten ein entsprechendes Eckpunktepapier unter dem Titel „Ein modernes Datenschutzrecht für das 21. Jahrhundert“ in den letzten Monaten erarbeitet und auf ihrer Konferenz am 17./18. März 2010 in Stuttgart verabschiedet. Die Broschüre kann bei der Dienststelle des Landesbeauftragten angefordert werden; das Dokument ist auch von dessen Internetseite (www2.baden-wuerttemberg.datenschutz.de) herunterzuladen.

Jörg Klingbeil erinnerte daran, dass der Deutsche Bundestag angesichts des Auseinanderklaffens von datenschutzrechtlichen Bestimmungen und technologischer Entwicklung zuletzt 2009 einstimmig ein modernes, leicht verständliches und übersichtliches Datenschutzrecht gefordert habe, das nicht nur einen wirtschaftlichen Standortvorteil darstellen, sondern auch einen Beitrag zur Entbürokratisierung leisten könne. In ähnlicher Weise bekenne sich auch die Koalitionsvereinbarung der Regierungsparteien auf Bundesebene vom Oktober 2009 dazu, das deutsche Datenschutzrecht zukunftsfest und technikneutral gestalten zu wollen. Eine grundlegende Umgestaltung des Datenschutzrechts stehe daher auch auf der politischen Agenda des Bundesgesetzgebers. Hier wollten sich die Datenschutzbeauftragten aufgrund ihrer Erfahrungen und zahlreichen Kontakte mit den Bürgerinnen und Bürgern mit eigenen Vorschlägen einbringen. Die Eckpunkte werden den Parlamenten und Regierungen auf Bundes- und Länderebene, Vertretern der Wissenschaft, zahlreichen Fachverbänden und den Medien, aber natürlich auch der interessierten Öffentlichkeit, zur Verfügung gestellt, um den Diskussionsprozess über eine grundlegende Modernisierung des deutschen Datenschutzrechts voranzubringen.

Wesentliche Forderungen der Datenschutzbeauftragten:

  1. Konkrete Schutzziele des Datenschutzes sind als Grundlage aller Regelungen und Maßnahmen zu verankern: Spezialgesetzliche Regelungen sollen nur noch ausnahmsweise vorgehen. Für öffentliche und nichtöffentliche Stellen sind gleiche Regeln zu schaffen. Datenschutz ist technisch in Produkte und Verfahren zu integrieren. Die Bildung von Profilen ist grundsätzlich strikt zu reglementieren.
  2. Im Interesse der Betroffenen ist die Datenerhebung, -verarbeitung und -nutzung möglichst transparent zu gestalten: Eine vom Betroffenen unbemerkte Datenerhebung soll grundsätzlich unzulässig sein; umgekehrt muss der Betroffene eindeutig und verständlich über die Art und Weise des Umgangs mit seinen Daten und seine Rechte aufgeklärt werden. Unvermeidliche Datenerhebungen sind auch hinsichtlich der weiteren Verwendung der gewonnenen Daten eng zu begrenzen. Verstöße sind wirksam zu ahnden.
  3. Die Beteiligung mehrerer Stellen an der Datenverarbeitung ist durch entsprechende datenschutzrechtliche Vorschriften rechtskonform zu gestalten: Die vielfach praktizierte arbeitsteilige Datenverarbeitung von öffentlichen und privaten Stellen, teilweise sogar mit Auslandsbezug, ist mit dem geltenden Recht nicht befriedigend in Einklang zu bringen. Die datenschutzrechtliche Verantwortung sollte unter Berücksichtigung der tatsächlichen Einflussmöglichkeiten und der Interessenlage der Betroffenen neu geregelt werden.
  4. Die Regeln zum technischen und organisatorischen Datenschutz sind grundlegend zu reformieren: Die bisher geltenden technikabhängigen Maßnahmen sind durch elementare, technikunabhängige und praxistaugliche Schutzziele zu ersetzen, aus denen sich konkrete Maßnahmen nach dem jeweiligen Stand der Technik ableiten lassen. Vor der Freigabe von EDV-Verfahren sind die Risiken für das Recht auf informationelle Selbstbestimmung zu dokumentieren und ein entsprechendes Schutzkonzept zu schaffen. Den Betroffenen müssen verstärkt Methoden und Mittel des Selbstdatenschutzes zur Verfügung gestellt werden.
  5. Die Rechte der Betroffenen sind nachhaltig zu stärken: Die Informationspflichten der Datenverarbeiter sind zu erweitern. Herkunft und Empfänger von Daten sowie Datenbankzugriffe sind zu protokollieren. Betroffene müssen verbesserte Auskunftsrechte erhalten. Über Datenpannen ist auch im öffentlichen Bereich zu informieren. Die informierte Einwilligung als zentrale Ermächtigungsgrundlage für die Datenverarbeitung in der Privatwirtschaft ist verbraucherfreundlich auszugestalten; statt einer formularmäßigen Erklärung soll ein aktives Tun (Ankreuzen, Haken setzen usw.) Voraussetzung sein. Einwilligungen sind zeitlich zu begrenzen. Aus einer Verweigerung dürfen keine Nachteile erwachsen.
  6. Das Datenschutzrecht ist internetfähig zu machen: Grundsätzlich ist die unbeobachtete Kommunikation und Nutzung des Internets zu gewährleisten. Zur Gewährleistung und Durchsetzung der Datenschutzrechte der Betroffenen sind besondere Schutzmechanismen zu entwickeln. So müssen die Grundeinstellungen von Internetdiensten ein Optimum an Datenschutz bieten; Abweichungen hiervon können vom informierten Nutzer eigenverantwortlich im Sinne einer Opt-In-Lösung gewählt werden. Betroffene sollen die von ihnen ins Internet eingestellten Daten mit einem „Verfallsdatum“ versehen können. Die Bundesregierung wird aufgefordert, sich auf internationaler Ebene für ein möglichst hohes Datenschutzniveau im Internet einzusetzen.
  7. Die Eigenkontrolle der verantwortlichen Stellen ist zu verbessern: Ein freiwilliges Audit für EDV-Verfahren und -Produkte kann Datenschutz zum Wettbewerbsvorteil machen. Datenschutzkonzepte sind verbindlich aufzustellen und zu dokumentieren. Die behördlichen und betrieblichen Datenschutzbeauftragten sind in ihrer Funktion zu stärken.
  8. Die Datenschutzaufsicht muss schlagkräftiger werden: Die Unabhängigkeit der Datenschutzkontrolle muss entsprechend der EuGH-Entscheidung vom 9. März 2010 rechtlich, organisatorisch und finanziell abgesichert werden. Das Anordnungsrecht der Kontrollstelle und die Mitwirkungspflicht der kontrollierten Stelle sind auszubauen. Die Aufsichtsbehörden sollen ggf. auch Strafanträge stellen dürfen.
  9. Ein wirksamer Datenschutz braucht effektive Sanktionen: Auch für nicht-öffentliche Stellen sollte eine Gefährdungshaftung (entsprechend § 8 Abs. 1 des Bundesdatenschutzgesetzes) eingeführt werden. Bei Datenschutzverstößen sollte ein pauschalierter Schadensersatz greifen. Zudem sollten die Betroffenen einen Folgenbeseitigungsanspruch erhalten, wenn unrichtige oder unrechtmäßige Datenübermittlungen zu negativen Folgen führen. Die Bußgeldtatbestände, insbesondere für das unbefugte Nutzen von Daten, die unzulässige Beobachtung durch automatisierte Verfahren (z.B. Videoüberwachung) sowie das Unterlassen technisch-organisatorischer Maßnahmen, sind zu erweitern. Die Zuständigkeit für die Verfolgung von Ordnungswidrigkeiten sollte konzentriert werden. Bei besonderem öffentlichen Interesse sind datenschutzrechtliche Straftaten auch von Amts wegen zu verfolgen. Durch die erweiterten Sanktionsmöglichkeiten können zugleich vorhandene Vollzugsdefizite abgebaut werden, wie sie aufgrund der unzureichenden Kontrollmöglichkeiten heute leider unvermeidlich sind.