3: Vorträge, Vorlesungen, Aufsätze
Modernisierung in Deutschland durch Europa - verbesserter Schutz der informationellen Selbstbestimmung
Beitrag von Dr. Thilo Weichert im Rahmen der Tagung "Datenschutz in Europa" am 5. Mai 2011 in Stuttgart
I. Verfassungsrechtliche Grundlagen
Bei einer Modernisierung des Datenschutzrechtes in Deutschland und in Europa müssen wir uns über den verfassungsrechtlichen Rahmen bewusst sein, in den die Technikregulierung eingepasst werden soll. Auf nationaler Ebene steht immer noch das in Art. 2 Abs. 1 i.V.m. 1 Abs. 1 GG garantierte allgemeine Persönlichkeitsrecht im Vordergrund. Dieses hat historisch eine Vielzahl von Ausprägungen erfahren, die bei einer Modernisierung des Datenschutzes sämtliche eine Rolle spielen: das Recht am eigenen Bild, das Recht am gesprochenen Wort, seit 1983 das Recht auf informationelle Selbstbestimmung und seit 2008 in Fortentwicklung der Rechtsprechung des Bundesverfassungsgerichtes (BVerfG) das Recht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme. Damit hat das BVerfG entsprechend etwa dem Schutz unserer familiären oder der räumlichen Privatsphäre (Art. 4, Art. 13 GG) eine besonders geschützte digitale Privatsphäre geschaffen, die der technischen Entgrenzung der Datenverarbeitung ein rechtliches Schutzkonzept entgegenstellt.
Angesichts der nicht nur technischen, sondern auch sozialen, ökonomischen und gesellschaftspolitischen Komplexität der personenbezogenen Informationsverarbeitung kann sich ein Regelungskonzept nicht auf ein Schutzziel beschränken. Es muss vielmehr die weiteren verfassungsrechtlichen Vorgaben mit berücksichtigen. Dies ist zum einen - in die selbe Richtung wie das allgemeine Persönlichkeitsrecht zielend - Art. 10 GG mit seinem Telekommunikationsgeheimnis. Dies sind aber auch tendenziell gegenläufige Grundrechte wie der Schutz der Berufsfreiheit in Art. 12 GG und der Eigentumsschutz mit Sozialpflichtigkeit nach Art. 14 GG. Neben diesen ökonomischen Grundrechten steht kommunikationsrechtlich vor allem Art. 5 GG mit seiner Meinungsäußerungs-, Informations- und Pressefreiheit mit dem Datenschutz in einem potenziellen Konfliktverhältnis sowie das hierüber mitgesicherte, in Art. 20 GG gewährleistete Demokratieprinzip.
Seit Ende 2009 besteht mit der Grundrechte-Charta eine dem nationalen Grundrechtekatalog entsprechende verbindliche Regulierung auf europäischer Ebene, in der wir die teilweise inhaltsgleichen Gewährleistungen wieder antreffen: die Achtung des Privat- und Familienlebens (Art. 7 EuGRCh), explizit normiert der Schutz personenbezogener Daten (Art. 8 EuGRCh), die Freiheit der Meinungsäußerung und die Informationsfreiheit (Art. 11 EuGRCh), die in Art. 15, 16 und 17 EuGRCh garantierten ökonomischen Rechte der beruflichen und der unternehmerischen Freiheit sowie das Eigentumsrecht. Moderner ist die Europäische Grundrechte-Charta mit seinem Art. 38, der den Verbraucherschutz verspricht und dem Art. 42, der über das Recht auf Zugang zu Dokumenten eine informationelle Demokratiesicherung durch Transparenz zusagt.
Angesichts der Automatisierung der Informationsverarbeitung kann festgestellt werden, dass inzwischen praktisch sämtliche Grundrechte auch eine digitale Dimension besitzen, weshalb sich die Frage stellt, ob wir unsere 1948 global normierten analogen Menschenrechte nicht um eine digitale Menschenrechtserklärung ergänzen müssen.
Unabhängig von dieser - einen globalen politischen Meinungsbildungsprozess voraussetzenden - Frage nimmt das deutsche Bundesverfassungsgericht hinsichtlich des informationellen bzw. digitalen Grundrechtsschutzes seit Jahrzehnten eine Vorreiterfunktion wahr. Der wohl bis heute markanteste Meilenstein war dessen Volkszählungsurteil im Jahr 1983 (1 BvR 09/83 u.a.), in dem das Grundrecht auf informationelle Selbstbestimmung aus der Taufe gehoben wurde:
„Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten vom allgemeinen Persönlichkeitsrecht … umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. ... Einschränkungen dieses Rechts auf ´informationelle Selbstbestimmung` sind nur im überwiegenden Allgemeininteresse zulässig.“
Angesichts der Informatisierung des privaten Sektors, der hinsichtlich der praktischen Bedeutung schon längst den hoheitlichen Sektor verdrängt hat, war es wichtig, dass das BVerfG den informationellen Grundrechtsschutz hierauf ausweitete. Dies kommt besonders prägnant in einer Entscheidung zur Versicherungswirtschaft aus dem Jahr.2003 zum Ausdruck (1 BvR 2027/02):
„Das allgemeine Persönlichkeitsrecht … entfaltet als Norm des objektiven Rechts seinen Rechtsgehalt auch im Privatrecht. ... Ist ersichtlich, dass in einem Vertragsverhältnis ein Partner ein solches Gewicht hat, dass er den Vertragsinhalt faktisch einseitig bestimmen kann, ist es Aufgabe des Rechts, auf die Wahrung der Grundrechtspositionen beider Vertragspartner hinzuwirken, um zu verhindern, dass sich für einen Vertragsteil die Selbstbestimmung in eine Fremdbestimmung verkehrt.“
Grundrechtskonflikte bestehen bei personenbezogener Datenverarbeitung spätestens seit der Informatisierung von Wirtschaft und Verwaltung in den 70er Jahren zwischen Sicherheitsgewährleistungen und den ökonomischen Rechten einerseits und dem Datenschutz andererseits. Erst durch die Popularisierung und Veralltäglichung der Datenverarbeitung mit dem Internet etwa seit der Jahrtausendwende hat ein anderes altes Grundrecht neue moderne Relevanz gewonnen, nämlich Art. 5 GG: "(1) Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten. Die Pressefreiheit und die Freiheit der Berichterstattung durch Rundfunk und Film werden gewährleistet. Eine Zensur findet nicht statt. (2) Diese Rechte finden ihre Schranken in den Vorschriften der allgemeinen Gesetze, den gesetzlichen Bestimmungen zum Schutze der Jugend und in dem Recht der persönlichen Ehre. (3) Kunst und Wissenschaft, Forschung und Lehre sind frei. Die Freiheit der Lehre entbindet nicht von der Treue zur Verfassung."
II. Moderne Datenverarbeitung und dessen Relevanz
Tatsächlich kann gesagt werden, dass die Menschheit mit dem Internet eine epochale neue Informations- und Kommunikationstechnik erworben hat. Nachdem die Menschen Sprachen entwickelten, dann lernten, diese durch Schrift zu verkörpern, durch den Buchdruck diese dann der Allgemeinheit zu Verfügung stellten, macht nun das Internet die ganze Welt zum Informations- und Kommunikationsrahmen und rüstet diesen durch die technische Informationsauswertung und -interpretation auf.
Wir müssen uns deshalb bei dem Versuch der Schaffung eines neuen Regulierungsrahmens der besonderen Eigenschaften dieser neuen Kulturtechnik bewusst werden. Hervorragend sind dabei diese vier Eigenschaften:
- Die Virtualität führt dazu, dass neben der körperlichen eine immaterielle und informationelle Realität entsteht, die die körperliche abbildet, beschreibt und interpretiert, ohne mit dieser aber identisch werden zu können.
- Die elektronischen Netze, leitungs- wie funkbasiert, haben die - grenzüberschreitende - Globalität der Datenverarbeitung realisiert, was zwangsläufig dazu führt, dass nationale Regelungskonzepte nur noch begrenzt effektiv sein können.
- Universalität bedeutet, dass neue Technik nicht mehr hinsichtlich der Medien noch der Lebensbereiche separiert. Die Informationsträger sind austauschbar, ebenso die Art der Informationen als Schrift, Bild, Ton oder Programm. Es ist von der Konvergenz der Medien die Rede. Diese führt zu einer Konvergenz, also einer technisch bedingten Aufhebung der Trennung der Lebensbereiche Familie, Arbeit, Freizeit und der darin wahrgenommenen menschlichen Rollen.
- Diese qualitativen Verbesserungen und Veränderungen werden erkauft damit, dass die Informationsverarbeitung nicht mehr ansatzweise nachvollziehbar ist. Diese Intransparenz stellt die informationelle Selbstbestimmung der Menschen, von Gruppen wie der gesamten Gesellschaft in Frage.
Nicht unbedingt erleichternd kommt hinzu, dass im Internet Informations- und Kommunikationsdienste für Nutzende oft unentgeltlich zur Verfügung gestellt werden. Bezahlt wird nicht - spürbar - mit Geld, sondern - weniger direkt erkennbar - mit der Währung „Daten.“
Eine Konsequenz der Globalität ist, dass dominante Marktanbieter auf den gesamten globalen Markt präsent sind und ihre rechtlich und kulturell nicht angepassten Produkte auch in Europa und in Deutschland anbieten, ohne dass sie datenschutzrechtliche Ansprechpartner in Europa oder in Deutschland haben. Bei diesen globalen Anbietern liegt die rechtliche Verantwortlichkeit und Haftbarkeit oft im Dunkeln; auf Anfragen und Beschwerden gibt es oft keine adäquaten Reaktionen.
Die Risiken personenbezogener Datenverarbeitung im Netz haben quantitativ und qualitativ gegenüber der bisherigen Informationsverarbeitung zugenommen und lassen sich mit folgenden Begriffen kennzeichnen: Ausforschung, Ausspionieren von Privat- und Sozialsphäre, Anprangerung, Diskreditierung, Rufmord, Manipulation und Falschinformation, Belästigung durch Werbung, Spam, Identitätsdiebstahl, Internetbetrug und Abzocke. Durch die Popularisierung und die Erstreckung auf alle soziale und Alters-Gruppen entstanden zusätzlich das Problem der Internetabhängigkeit und des Netzkonsums von Sex, Glückspielen, Soziale Netzwerken als Droge.
Dem steht ein gewaltiger hoher Nutzen gegenüber, weshalb auf Datenverarbeitung und informationelle Vernetzung nicht verzichtet werden kann und darf. Dieser Nutzen erfasst in dem selben Maße wie die Risiken sämtliche individuellen und sozialen, ökonomischen wie politischen Grundrechte. Daher muss es Aufgabe des Gesetzgebers bei der Modernisierung sein, schützend zu regulieren, ohne die damit neu gewonnenen Freiheiten und Möglichkeiten zu gefährden.
III. Gesetzliche Grundlagen
Die überkommene persönlichkeitsrechtliche Regulierung ist zwar jung, aber angesichts der technischen Entwicklung dennoch rückständig. So stammen die ersten deutschen Datenschutzgesetze aus den 70er Jahren, das bestehende Regelungskonzept mit dem Verarbeitungsverbot mit Erlaubnisvorbehalt im Bundesdatenschutzgesetz (BDSG) aus der Zeit nach dem Volkszählungsurteil von 1983, also aus den 90er Jahren. Zu dieser Zeit hatte die Popularisierung der persönlichen Datenverarbeitung gerade begonnen; das Internet für den Normalverbraucher existierte noch nicht. Dieses BDSG regelt seitdem weitgehend unverändert die Dateninhalte.
Dem gegenüber sind das Telekommunikationsgesetz und das Telemediengesetz, die den Netzzugang und die Verarbeitung von Bestands- und Nutzungsdaten regeln, technik- und netzaffiner und neueren Datums. Daneben gibt es bisher viele bereichsspezifischen Regelungen im öffentlichen Bereich, auch spezielle Internet-Normen (z.B. zu öffentlichen Portalen). Der Bereich der privatwirtschaftlichen Nutzung des Netzes blieb aber seltsamerweise weitgehend ungeregelt.
Dieser Befund lässt sich auf die Europäische Union übertragen. Deren allgemeines Datenschutzrecht ist die Europäische Datenschutzrichtlinie 1995 (EU-DSRL), die auch die Internetinhalte erfasst, während der Bereich der Telekommunikation und damit des Internetverkehrs durch die zuletzt 2009 überarbeitete E-Privacy-Directive einen normativen Rahmen gefunden hat.
Am 18.03.2010 beschloss die Konferenz der Datenschutzbeauftragten des Bundes und der Länder das Eckpunktepapier "Ein modernes Datenschutzrecht für das 21. Jahrhundert". Diese Vorschläge befassen sich nicht gezielt mit der Internetdatenverarbeitung, sondern haben eine Modernisierung umfassend im Blick, wobei die Relevanz der Eckpunkte im Internet-Bereich besonders hoch ist. Hierauf soll in diesem Zusammenhang nur verwiesen werden.
Es kommt also nicht von ungefähr, dass die EU-Kommission mit ihrer Unterrichtung vom 04.11.2010 europaweit eine umfassende Modernisierung anstrebt und dabei wie 1995 bei der EU-DSRL einen ganzheitlichen Regelungsansatz verfolgt, der auf Grundrechtsschutz und freien Datenverkehr ausgerichtet ist (BR-Drs. 707/10). Es geht um die Stärkung der Betroffenenrechte wie des Binnenmarktes. Nach der vollständigen Integration des Polizei- und Justizbereiches in die EU wird weiterhin das Ziel verfolgt, hierfür bürgerrechtlich valide einheitliche Regelungen zu finden und den bisher geltenden aus Grundrechtssicht unsäglichen Rahmenbeschluss im Bereich der früheren dritten Säule abzulösen.
Positiv hervorzuheben ist die Unterrichtung der Kommission insofern, dass erkannt wird, dass inzwischen globale Datenschutzregelungen über internationale Verträge nötig sind und auch - trotz teilweise äußerst disparater regionaler Datenschutzkulturen - in Angriff genommen werden soll. Weiterhin ist erfreulich, dass der normative Ansatz ergänzt wird durch einen verstärkten technischen (Privacy by Design, Privacy by Default) und einen verbesserten institutionellen Schutz. Mit dem neuen Begriff der Accountability, der mit Zurechenbarkeit und mit Verantwortlichkeit übersetzt werden kann, zielt die neue Unterrichtung auf normative Festlegungen und Verpflichtungen zu einem Datenschutzmanagement.
Bei einer modernen Gesetzgebung muss dem Umstand Rechnung getragen werden, dass sich diese inzwischen an die gesamte Bevölkerung richtet und eine Technik regeln soll, die mittelfristig weiterhin starkem Wandel ausgesetzt sein wird. Daher ist zwar die Einpassung in das bisherige Regelwerk und dessen Fortschreibung anzustreben, zugleich aber muss die Lesbarkeit und Verständlichkeit massiv verbessert werden. Bürokratische Verfahren sollten vermieden werden. Wo dies möglich ist, sollte auf technische Hilfen zurückgegriffen werden. Angesichts des bestehenden gewaltigen Vollzugsdefizits muss Praktikabilität ein zentrales Anliegen sein. Dies schließt ein, dass die Orientierung an den fortgeschrittensten aktuellen Techniken erfolgt, ohne sich aber hierauf zu stark zu fixieren. Durch normative Abstraktion kann zugleich Technikneutralität und Entwicklungsfähigkeit bewahrt werden, indem nicht die Technik reguliert wird, sondern der Effekt der Technik auf grundrechtlich begründete Schutzziele.
Erste Regulierungsversuche im Bereich der privatwirtschaftlichen Datenverarbeitung zeigen, dass die Regelungsmaterien technisch, hinsichtlich der Abläufe und Organisationen und der tangierten Interessen zu komplex sind, als dass sie von der Ministerialverwaltung und der Politik hinreichend detailgenau erfasst werden könnten. Daher sollte sich der gesetzliche Regelungsrahmen auf Abwägungsklauseln und wenige zentrale verbindliche materiellrechtliche Vorgaben beschränken und darüber hinausgehend vor allem einen prozeduralen Ansatz verfolgen. Dies sollte dann der Rahmen für eine regulierte Selbstregulierung sein, bei der die Wirtschaftsverbände, die Datenschutzbehörden und evtl. zusätzlich der Verbraucherschutz aktive aushandelnde Rollen spielen.
Von Anwaltsverbänden wie von der Wirtschaft wird angesichts der aktuellen Modernisierungsdiskussion im Datenschutzrecht wieder die Forderung vorgetragen, das europaweit einheitlich geregelte Verarbeitungsverbot mit Erlaubnisvorbehalt abzulösen durch eine generelle Verarbeitungserlaubnis mit Verbotsvorbehalt. Abgesehen davon, dass diese Vorschlag vor allem ideologisch begründet wird und grundrechtsdogmatisch auf tönernen Füßen steht, wurde bisher nicht dargestellt, welche praktisch heute unzulässigen Verarbeitungen in Zukunft erlaubt sein sollen.
Hinsichtlich der strategischen Frage, ob ein nationaler oder ein europäischer Regelungsansatz verfolgt werden sollte, kann eine differenzierte Antwort gegeben werden. Für Europa spricht die darüber erreichte Einheitlichkeit und gemeinsame Verbindlichkeit, die für den Binnenmarkt förderlich ist. Dies kann zwar nicht globale Regelungen ersetzen. Wohl aber können europäische Regelungen im globalen Regelungsdiskurs stilbildend sein, so wie dies schon bei der EU-DSRL der Fall war. Hinderlich für eine qualifizierte einheitliche und verbindliche europäische Regelung sind die weiterhin bestehenden sehr unterschiedlichen Datenschutzkulturen in den Mitgliedstaaten.
Für einen nationalen Ansatz spricht zunächst die schnellere Durchsetzbarkeit von nationalen Regelungen sowie die intensiveren Diskussionszusammenhänge. Aus deutscher Sicht kommt hinzu, dass Deutschland für Europa eine Vorbildfunktion übernehmen kann, was im Bereich des Datenschutzes schon mehrfach der Fall war. Deutschland ist Vorreiter in vielen Bereichen, etwa dem gesellschaftlichen Diskurs, der Datenschutzorganisation, der Entwicklung von Privacy Enhancing Technologies, der Zertifizierung und der Integration des Verbraucherschutzes.
Für eine nationale Regulierung spricht zudem die hier eher zu erwartende Regelungstiefe und -klarheit. Die Diskussion über das Einwilligungserfordernis beim Setzen von Cookies im Bereich des Online Behavioural Advertising nach Art. 5 Abs. 3 E-Privacy-Directive zeigt, dass die Gefahr von inkonsistenten europäischen Regelungen bei großer Regelungstiefe erheblich größer ist als auf nationaler Ebene.
National wie europäisch gilt, dass von Seiten der Wirtschaft ein gewaltiger Lobbydruck ausgeübt wird. Unsichtbar aber dennoch sehr spürbar ist weiterhin, dass die wenig datenschutzfreundliche Rechtslage in den USA mit am Verhandlungstisch sitzt mit der Argumentation, dass scharfe europäische Regelungen für die einheimischen Unternehmen einen Wettbewerbsnachteil zur Folge hätten und die Praxis in den USA von Europa aus nicht beeinflusst werden könne. Beide Annahmen sind falsch bzw. nur bedingt richtig: Der Wettbewerbsnachteil stellt sich nur ein, wenn das für US-Anbieter ebenso geltende europäische Recht nicht durchgesetzt wird. In den USA besteht eine starke Bewegung für mehr und besseren Datenschutz. Dieser steht aber weiterhin eine unheilige Allianz von Unternehmen und der Regierung entgegen.
Eine pragmatische Antwort zur Regelungsebene ist ein "sowohl als auch": Deutschland und Europa stehen in einem Wettbewerb um die beste Regulierung. Was gut ist, wird übernommen, was schlecht ist, sollte verworfen werden. Angesichts der rasanten technischen Entwicklung kann ein nationaler Ansatz hinsichtlich eines Problems adäquater sein, hinsichtlich eines anderen Problems der europäische Ansatz. Es drängt sich auf, dass, soweit noch nationale Märkte bestehen, nationale Branchenregelungen gewählt werden sollten. Europäische und grenzüberschreitende Sachverhalte müssen - früher oder später - zumindest europäisch normiert werden.
IV. BDSG-Defizite und Probleme
Im Folgenden soll exemplarisch an einigen bestehenden Regelungen des BDSG dargestellt werden, dass und welche Regelungsdefizite bestehen:
§ 1 Abs. 5: Die Vertretungsregelung für ausländische Firmen ist angesichts der Marktmacht von Unternehmen wie Google, Apple, Facebook oder Microsoft zu unverbindlich. Die Regelung zur einheitlichen Verantwortlichkeit in der EU führt dazu, dass oft Stellen in einem anderen EU-Staat verantwortlich sind, die nicht in der Markt- und Betroffenensprache kommunizieren (können).
§ 3 Abs. 1: Der Begriff des personenbezogenen Datums darf einerseits nicht jede auch nur theoretische Beziehbarkeit zu einer natürlichen Person erfassen, z.B. im Bereich der Geolokalisierung mit der Zuordnung zur Wohnung oder zum Grundstück; andererseits müssen kommerziell ausgenutzte Beziehungsstrukturen erfasst werden, auch wenn sie nicht mit direkt zugeordneten Identifikatoren arbeiten, um den Datenschutz nicht leerlaufen zu lassen.
§ 3 Abs. 7: Die Verantwortlichkeit einer Stelle orientiert sich bisher ausschließlich an der materiellen Verfügungsmacht über ein personenbezogenes Datum und nicht an der tatsächlichen inhaltlichen Verantwortlichkeit hierfür. Verfahrensbetreiber sind einerseits überhaupt nicht inhaltlich verantwortlich, wenn die Daten von Dritten stammen (z.B. bei reiner Verfahrensbereitstellung), anderseits ausschließlich, wenn die eingebende Stelle keine Verfügungsmacht mehr hat (z.B. bei Suchmaschinen und Foren). Beide rechtlichen Schlüsse sind nicht angemessen.
§ 4a: Nach derzeitigem Recht müssten Einwilligungen im Internet heute immer noch schriftlich - d.h. auf Papier - erteilt werden.
§§ 4b, 4c: Die Übermittlungsregelungen ins Ausland produzieren oft Scheinlösungen ohne wirksamen materiellen Datenschutzgehalt. Am offensichtlichsten ist dies beim Safe Harbor-Abkommen mit den USA.
§ 10: Die Regelung zum automatisierten Abrufverfahren setzt voraus, dass eine förmliche Angemessenheitsprüfung erfolgt. Das Internet ist ein großes solches Abrufverfahren und wäre nach dieser Regelung schlicht illegal.
§ 29: Jedes Internetangebot ist auch eine Datenverarbeitung zum Zweck der Übermittlung. Die Übermittlung ist nur zulässig bei glaubhafter Darlegung eines berechtigten Interesses. Damit wären alle personenbezogenen Abrufe aus dem öffentlichen Netz illegal.
§ 41: Medien bzw. die Presse werden nach dem BDSG vollständig privilegiert und einer Selbstregulierung überlassen. Ob das bei Online-Medien noch zeitgemäß ist, ist ebenso fraglich wie, ob sich die Privilegierung nach Art. 5 auf Presse beschränken kann.
V. ULD-Gesetzgebungsvorschläge
Angesichts dieser desolaten Situation hat das ULD Gesetzgebungsvorschläge erarbeitet und im Oktober 2010 der Öffentlichkeit zur Diskussion gestellt und inzwischen leicht modifiziert und weiterentwickelt.
§ 1 Abs. 5: Die datenschutzrechtliche Verantwortlichkeit sollte sich daran orientieren, wer ein ökonomisches Interesse an der Verarbeitung hat. Wer einen nationalen Markt anspricht, soll nach dem Recht und der Sprache dieses Marktes verantwortlich gemacht werden (können).
§ 3 Abs. 1: Gemäß einem Arbeitspapier der Art.-29-Gruppe wird der Personenbezug konkretisiert über die Merkmale Zweck, Ergebnis und Inhalt.
§ 3 Abs. 7: Die Verantwortlichkeitsregeln sollten an die nach dem Telemediengesetz angepasst werden (§§ 7-10 TMG), wonach eine Kenntniserlangung nötig ist. Zudem sollte eine neue Kategorie der Verfahrensverantwortlichkeit eingeführt werden.
§ 3b (neu): Bei Internetdiensten wird "Privacy by Default" zur Pflicht gemacht.
§ 4a: Eine elektronische Einwilligung entsprechend § 13 Abs. 2 TMG wird eingeführt.
§ 29a (neu): Die elektronische Veröffentlichung wird in einem gesonderten Paragrafen umfassend geregelt.
§ 38 Abs. 1a (neu): Durch ein elektronisches Beschwerdemanagement wird die europaweite elektronische Kommunikation zwischen Betroffenen, Aufsichtsbehörden und verantwortlichen Stellen beschleunigt, standardisiert und qualifiziert.
Kern des Vorschlages des ULD ist die Neuaufnahme eines Paragrafen zur Veröffentlichung in einem § 29a, der folgenden Wortlaut haben könnte:
- Das Veröffentlichen personenbezogener Daten in Telemedien ist zulässig, wenn dies einem grundrechtlich geschützten Zweck dient, etwas eine Meinung frei zu äußern und zu verbreiten, und kein Grund zu der Annahme besteht, dass das überwiegende schutzwürdige Interesse der Betroffene am Ausschluss der Veröffentlichung überwiegt.
- Ein schutzwürdiges Interesse besteht bei besonderen Arten personenbezogener Daten nach § 3 Abs. 9, wenn nicht im Einzelfall das Interesse an der Veröffentlichung offensichtlich überwiegt.
- Ein schutzwürdiges Interesse besteht, wenn der Betroffene gegenüber der verantwortlichen Stelle widerspricht, es sei denn, die verantwortliche Stelle legt dem Betroffenen gegenüber das überwiegende Interesse an einer Veröffentlichung dar. Die Darlegung nach Satz 1 kann in der Form des vom Betroffenen erklärten Widerspruchs oder schriftlich erfolgen.
- Betroffene können ihre Datenschutzrechte gegenüber dem verantwortlichen Telemedien-Diensteanbieter elektronisch an die nach § 5 Absatz 1 Nr. 2 Telemediengesetz zu nennende Stelle richten. Wird die Beschwerde nicht unverzüglich beantwortet, so verletzt die weitere Veröffentlichung schutzwürdige Betroffeneninteressen. Kann die verantwortliche Stelle nicht die Richtigkeit der Daten nachweisen, so tritt neben die Löschungs- und Sperransprüche nach § 35 ein Anspruch auf Hinzufügung einer eigenen Darstellung von angemessenem Umfang. § 57 Abs. 3 Rundfunkstaatsvertrag zu Gegendarstellungen ist sinngemäß anzuwenden.
- Die Veröffentlichung von personenbezogenen Daten aus allgemein zugänglichen Quellen hat zu unterbleiben, wenn der entgegen stehende Wille des Betroffenen aus dieser Quelle oder auf andere Weise eindeutig erkennbar ist. Der Empfänger von veröffentlichten Daten hat sicherzustellen, dass Kennzeichnungen bei der Übernahme übernommen werden.
- Beabsichtigt ein Telemedien-Diensteanbieter die Veröffentlichung von personenbezogenen Daten zu mehr als 1000 oder von einer unbestimmten Zahl von Personen, so hat er dies auf einer beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit eingerichteten Internetseite vorher unter Nennung der Datenart und der Quelle bekanntzugeben.
- Verantwortliche Stellen, die personenbezogene Daten veröffentlichen, können diese mit einem Löschdatum versehen. Werden diese Daten von einer anderen verantwortlichen Stelle übernommen, so ist bei der weiteren Veröffentlichung und der sonstigen Verarbeitung das jeweilige Löschdatum zu berücksichtigen.
Die Notwendigkeit einer datenschutzrechtlichen Regelung der Internet-Datenverarbeitung bestätigte inzwischen ein Vorschlag des Landes Hessen vom 21.03.2011 (BR-Drs. 156/11). Dieser sieht verbesserte Informationspflichten von Diensteanbietern vor, enthält auch eine Normierung des "Privacy by Default", u.a. mit einer Wahlmöglichkeit hinsichtlich der Erreichbarkeit durch Suchmaschinen und soll die Möglichkeiten der Nutzenden, die von ihnen eingegebenen Daten zu löschen, verbessern. Diese Regelungsvorschläge sind weitere, wenngleich eher kleine Mosaiksteine für eine umfassende Modernisierung.
Neben diesen Vorschlägen drängen sich angesichts aktuell bekannt gewordener Missstände bei weltweit tätigen Internetunternehmen weitergehende Regelungsüberlegungen auf: So ist z.B. bei grenzenlosen Verstößen ausnahmsweise an eine länderübergreifende oder gar europäische Sanktionierung zu denken, die dann natürlich über den bisherigen deutschen Rahmen von 300.000 Euro Bußgeld weit hinausgehen sollte. Mit einer Verbandsklagemöglichkeit für Verbraucherverbände könnte neben den repressiv agierenden Aufsichtsbehörden eine wirksame wettbewerbsrechtliche Ergänzung eingeführt werden.
VI. Perspektiven
Die Modernisierung des Datenschutzes ist keine Aufgabe, die ein für allemal und umfassend rechtsklar möglich wäre. Wir müssen uns damit abfinden, dass wegen der technischen Entwicklung und der schnellen Veränderung der Geschäftsmodelle und der Praktiken bei der personenbezogenen Datenverarbeitung immer wieder Unsicherheit und Anpassungsbedarf entsteht. Rechtliche Grauzonen werden bisher relativ schamlos v.a. von US-amerikanischen Anbietern ausgenutzt. Es ist daher nötig, die Regelungen zur Verwirklichung eines effektiven Betroffenenschutzes an die Verarbeitungsrealitäten anzunähern. Zugleich sollten wir uns von der Hoffnung verabschieden, dass in diesem Regelungsbereich Ruhe einkehrt.
Umso wichtiger ist aber ein zukunftsfähiges, zwischen nationalem und europäischem Gesetzgeber abgestimmtes Regelungskonzept. Hierbei kommt einem integrierten verbindlichen europäischen Datenschutzansatz über eine EU-Verordnung mit allgemeinen Regelungen eine wichtige Bedeutung zu. Diese muss einerseits rechtlich verbindlich, aber andererseits für die Praxis flexibel sein. Dies lässt sich über Abwägungsregelungen, die heute im Datenschutzrecht schon weit verbreitet sind, realisieren. Einheitlich und verbindlich festgelegt werden können Begriffe, bestimmte Betroffenenrechte und grundlegende Abläufe und Verfahren, v.a. wenn diese eine europäische Dimension haben.
Nicht europäisch geregelt werden sollten Verarbeitungen, die noch keine europäische grenzüberschreitende Relevanz haben und bei denen branchenbezogene Besonderheiten im Vordergrund stehen. So bleibt für ausfüllende und konkretisierende nationale Regelungen genug Raum. Diese können auch nationale historische und kulturelle Besonderheiten berücksichtigen.
Insbesondere im Hinblick auf die Datenverarbeitung bei bestimmten Wirtschaftsbranchen sollte die Konkretisierung und Weiterentwicklung der gesetzlichen Festlegungen über Verhaltensregeln (Codes of Conduct) erfolgen. Über das bestehende Modell der Genehmigungspflicht durch die Art. 29-Gruppe oder die nationale Datenschutzaufsicht kann gewährleistet werden, dass sich die erarbeiteten Regeln im demokratisch legitimierten Rahmen bewegen. Zugleich kann über die Aushandlung zwischen Datenschutzaufsicht und Branchen große Praxisnähe und hohe Akzeptanz und schnelle Umsetzung erreicht werden.
Daneben sollte, wie in Deutschland ansatzweise praktiziert und geplant eine europäische integrierte transparente und unabhängige Datenschutzzertifizierung etabliert werden. Eine Stiftung Datenschutz auf nationaler Ebene kann hierfür ein Baustein sein. Das ULD in Schleswig-Holstein hat mit seiner Vergabe von europäischen Gütesiegeln (European Privacy Seal - EuroPriSe) schon sehr weitgehende Konzepte erarbeitet und praktiziert diese erfolgreich. Das EuroPriSe-Modell kann den bisherigen repressiven Ansatz durch präventive Wettbewerbsanreize sinnvoll ergänzen.