3: Vorträge, Vorlesungen, Aufsätze
Datenschutzrechtliche Verantwortlichkeit - Anspruch und Wirklichkeit
Hintergrundtext für die
Sommerakademie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein am Montag, den 29.08.2011 in Kiel, Atlantic Hotel
mit dem Titel
Optimierte Verantwortung/slosigkeit
Wer verantwortet eigentlich was in unserer „smarten Welt?“
von Thilo Weichert
1 Einleitung
„Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt„. § 3 Abs. 7 Bundesdatenschutzgesetz (BDSG) definiert, wer aus Datenschutzsicht „verantwortlich“ ist. Die Europäische Datenschutzrichtlinie (EU-DSRL - Art. 2 d) EU-DSRL) stellt klar, dass die tatsächlichen objektiven Umstände bei der Feststellung des Verantwortlichen relevant sind. Es ist diejenige, der „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, also wer die Entscheidungsgewalt innehat.
Die datenschutzrechtliche Verantwortlichkeit ist relevant für die Feststellung, welche Stelle Adressat einer Datenschutzfrage ist, insbesondere der staatlichen Datenschutzkontrolle und der Betroffenen. An sie richten sich die Prüfungen der Datenschutzaufsicht, verbunden mit Auskunfts- und Duldungspflichten. Sie ist im Sanktionsfall Adressat einer Beanstandung, einer Anordnung, einer Untersagungsverfügung oder eines Bußgeldes. Der Betroffene, also die bestimmte oder bestimmbare Person, zu der „Einzelangaben über die persönlichen oder sachlichen Verhältnisse“ verarbeitet werden, kann sich an die verantwortliche Stelle wenden und seine Ansprüche geltend machen: Auskunft, Berichtigung, Sperrung, Löschung, Widerspruch, evtl. Gegendarstellung, Schadenersatz (§§ 34 f. BDSG). Es kann also für eine Stelle teuer und im übertragenen Sinn schmerzhaft werden, „verantwortlich“ zu sein.
Wer datenschutzrechtlich verantwortlich ist, war lange Zeit keine Streitfrage. Dies hat sich geändert. Komplexe arbeitsteilige Datenverarbeitungen, oftmals unter Einbindung des Internet, ermöglichen es, sich der Verantwortung zu entziehen. Begrifflichwird hier im Folgenden zwischen tatsächlicher Verantwortung und Verantwortlichkeit unterschieden. Mit „Verantwortung“ wird beschrieben, wer die Ursache für eine Datenverarbeitung gesetzt hat und somit zur Verantwortung gezogen werden könnte und sollte. Mit „Verantwortlichkeit“ wird beschrieben, wer rechtlich und tatsächlich zur Verantwortung gezogen werden kann und wird. Drei Muster, sich der Verantwortlichkeit zu entziehen, sind weit verbreitet:
- Der Nutzer, zugleich oft der Betroffene, wird für verantwortlich erklärt. Dies erleben wir v.a. bei Internetanwendungen, etwa in Social Communities, in Blogs und Foren, bei Online-Spielen und Verkaufsplattformen.
- Bei geteilter Verantwortlichkeit wird die Verantwortung abgeschoben. Dies finden wir bei Informationsverbünden.
- Die Auftragsdatenverarbeitung war schon immer ein Verfahren, bei dem entgegen den rechtlichen Vorgaben in vielen Fällen die Auftragnehmer die Verarbeitung bestimmen.
2 Diskrepanzen in der Praxis
2.1 Internet
Facebook und Google stellen nützliche Plattformen im Internet zur Verfügung und verdienen Milliarden von Dollar damit, dass sie die Datenverarbeitung der Nutzer, für die sie keine Verantwortung übernehmen, für Werbezwecke nutzen. Diese Unternehmen sind nur Beispiele eines universellen Phänomens mit vielen Profiteuren. Die Instrumentalisierung fremder Datenverarbeitung beschränkt sich nicht auf die Endnutzer, sondern erfasst auch viele Webseitenbetreiber mit privatem wie auch mit kommerziellem und professionellem Hintergrund. Was ökonomisch als Win-win-Situation erscheint, ist oft datenschutzrechtlich nicht akzeptabel. Der Einsatz des „Gefällt mir“-Button von Facebook auf europäischen Webseiten führt zu unzulässigen Übermittlungen und einer unkontrollierbaren Datenverarbeitung in den USA. Verantwortlich dafür ist Facebook nach eigener Lesart nicht; es profitiert nur davon.
Die Entscheidung über die technische Gestaltung der vieler Komponenten von Webseiten-Angeboten liegt bei den internationalen Großkonzernen. Nutzer und solche Komponeten nutzende Webseitenanbieter produzieren und vermitteln so Daten und Inhalte, ohne tatsächlich großen Einfluss nehmen zu können auf die Datenflüsse und die praktizierten Datenauswertungen. Facebook, Google & Co. nutzen die Daten zur informationellen Ausbeutung der Nutzer. Ihnen geht es dabei um den Profit - unter Inkaufnahme einer Verletzung der Nutzerrechte. Global Player wie Facebook, Google & Co. lassen sich bisher nicht durch nationales Datenschutzrecht bei der Gestaltung ihrer Prozesse leiten, sondern von Geschäftsmodellen, die in ihrem Sitzland, also zumeist in den USA, zumindest nicht eindeutig rechtswidrig sind.
Suchmaschinen speichern die erfassten Webinhalte in ihren Caches für Auswertezwecke. Rechtlich sind sie verantwortliche Stellen. Entsprechendes gilt für Portale, Foren, Blogbetreiber und sonstige Dienste, über die auch anonym Inhalte ins Netz gestellt werden können. Eine solche anonyme oder pseudonyme Nutzungsmöglichkeit ist nicht nur Fakt, sondern von § 13 Abs. 6 TMG gesetzlich, im Fall von Meinungsäußerungen nach Art. 5 GG sogar grundrechtlich gefordert.
Die organisierte rechtliche Unverantwortlichkeit im Netz findet ihre Steigerung beim Cloud Computing. Hier wird die Datenverarbeitung von rechtlich Verantwortlichen, seien es Endnutzer oder Unternehmen, auf global agierende Cloud-Anbieter übertragen, ohne dass ansatzweise die rechtliche und technische Verfügung der Auftraggeber über die Daten gesichert wird.
2.2 Komplexe Arbeitsteilung
Sind viele Personen und Stellen an einer IT-Anwendung beteiligt, so wird die Feststellung der Verantwortlichkeit zunehmend schwierig. Bei Anwendungen des Ambient Assisted Living (AAL), also der informationstechnischen Unterstützung von Senioren, Behinderten oder anderweitig unterstützungsbedürftigen Personen, tragen viele Beteiligte Verantwortung: die Hilfsbedürftigen selbst, Nachbarn, Freunde und Verwandte, System- und Netzbetreiber, professionelle Hilfs-, Pflege- und Medizindienste. Zumindest mitverantwortlich sind die Systementwickler und Komponentenlieferanten. Wer welche Verantwortung tragen soll, müsste minutiös technisch, organisatorisch und letztlich vertraglich bzw. rechtlich genau festgelegt werden: Wer ist für z.B. einen Fehlalarm verantwortlich, mit seinen finanziellen, gesundheitlichen und seelischen Folgen, wer für eine unterbliebene Alarmierung?
Die Verarbeitung von Fremddaten erfolgt nicht nur im Internet, sondern ist Jahrzehnte alte Praxis bei Auskunfteien und Adressenhändlern. Diese können die Richtigkeit und Zulässigkeit der ihnen von ihren Kunden oder Datenquellen gelieferten Daten nicht überprüfen. Dies führt dazu, dass im Fall von Betroffenen- und Behördenanfragen eine Rückkoppelung mit den Datenquellen erfolgen muss. Die Auflösung der Verantwortlichkeit für die Verarbeitung für fremde Zwecke wird beim Scoring noch weitergetrieben. Dabei werden nicht nur die Richtigkeit und Zulässigkeit der Daten selbst vom Dienstleister bestimmt, sondern auch die Art der Auswertung, deren Ergebnisse vom jeweiligen - verantwortlichen - Kundenunternehmen übernommen werden. Erfolgt hierüber eine Diskriminierung, so kann dies dort nicht wirksam überprüft und festgestellt werden.
Bei den Verträgen zur hausarztzentrierten Versorgung (HzV) ging es zunächst nur darum, mit der ärztlichen Abrechnung über die Hausarztverbände eine Konkurrenz zu den Kassenärztlichen Vereinigungen zu schaffen. Hierbei wollten die Hausarztverbände auf sensible Patientengeheimnisse in den Arztsystemen im Wege der Auftragsdatenverarbeitung zugreifen, ohne dass die Ärzte hierüber eine effektive Kontrolle gehabt hätten. Diese bundesweit vorgesehene und teilweise schon praktizierte Form der Verantwortungsaufösung wurde vom Oberverwaltungsgericht Schleswig-Holstein gestoppt.
2.3 Outsourcing
Seit Jahrzehnten besteht ein Verantwortungsdilemma bei der Auftragsdatenverarbeitung, praktiziert oft über mehrschichtige Unterauftragsverhältnisse. Der Auftragnehmer hat die Daten, die Macht über die Technik, das rechtliche und organisatorische Know-how - ist aber nur sehr beschränkt verantwortlich. Die Fiktion sieht vor, dass die materiell-rechtliche Verantwortlichkeit voll beim Auftraggeber bleibt. Von den Auftragsdatenverarbeitern wurde teilweise in großem Umfang nebenbei in die eigene Tasche gewirtschaftet, wie sich im Rahmen des Datenhandel-Skandals 2008 erwies. Teilweise wird dies gar von einigen Datenschutzbehörden toleriert, so beim Pooling von Meldedaten.
Von der Auftragsdatenverarbeitung rechtlich strikt zu unterscheiden ist die Funktionsübertragung, bei der die Verantwortlichkeit auf den „Auftragnehmer“ übertragen wird. Ein branchenweiter Anwendungsfall für die Aufgabenübertragung ist die Versicherungsbranche, wo oft die gesamte Aufgabenwahrnehmung von rechtlich selbstständigen Versicherungsunternehmen von Konzerntöchtern wahrgenommen wird, nur weil versicherungsrechtlich eine Spartentrennung gefordert wird. Die gesamte Datenverarbeitung wird von einer Konzerntochter wahrgenommen, wenngleich auf dem Briefkopf ein anderes Unternehmen geführt wird, das auch rechtlich verantwortlich ist.
Eine besondere Form der Abgabe von Verantwortung liegt in der Abtretung von Forderungen und der damit verbundenen Abtretung der dazu gehörenden Daten des Darlehensschuldners. Inzwischen arbeitet die gesamte Branche des elektronischen Lastschriftverfahrens im Handelsbereich mit dieser Methode. Während die Nutzung von Geld als Zahlungsmittel regelmäßig kontextfrei möglich ist, kann und darf dies nicht für die personenbezogene Datenverarbeitung gelten.
Besonders heikel wird das Outsourcing, wenn die Grenze zwischen öffentlichem und nicht-öffentlichem Bereich überschritten wird. Während der privatwirtschaftlich Tätige für sich selbst Grundrechtsschutz in Anspruch nehmen kann, gilt dies nicht für öffentliche Stellen. Diese rechtliche Situation kann durch die Technik konterkariert werden, die nicht unterscheidet zwischen öffentlich und privat. Öffentliche Stellen bedienen sich gerne einer privaten Rechtsform oder gar eines privaten Unternehmens, um ihre hoheitlichen Aufgaben wahrzunehmen. Dies wirft hinsichtlich der Verantwortlichkeit die in der Praxis oft nicht klar beantwortete Frage auf, wer wie datenschutzrechtlich zur Verantwortung gezogen werden kann.
Ein Beispiel für die Privatisierung öffentlicher Aufgaben ist die vorläufig gestoppte Vorratsspeicherung von Telekommunikationsdaten für behördliche Sicherheits-, vor allem Strafverfolgungszwecke. Die Verpflichtung von privaten Netzanbietern, Kundendaten für behördliche Zwecke zu bevorraten, ohne dass diese die Daten selbst nutzen dürfen, ermöglicht nicht nur ein Abwälzen der Kosten und des aufwendigen Datenhandlings, sondern auch der Verantwortung für die Vorratsverarbeitung, solange keine konkrete Nutzung erfolgt. Vergleichbare behördliche Verarbeitungspflichten für Private gibt es viele, z.B. bei der Hotelmeldepflicht von Übernachtungsgästen oder bei der abgabenrechtlichen und handelsrechtlichen Aufbewahrungspflicht von Geschäftsunterlagen, wobei hier die Privaten zumindest teilweise noch eigene Interessen mit verfolgen können. Eine weitere Fallgruppe der Externalisierung von Verantwortung für Datenverarbeitung durch öffentliche Stellen ist das Privatisieren bisher öffentlichrechtlich wahrgenommener Aufgaben. Dabei werden u.U. gezielt private Dienste in Anspruch genommen, um sich von den hoheitlichen Bindungen zu befreien. Ein Beispiel hierfür ist die langzeitige illegale und dann legalisierte Praxis der Einzugszentrale für Rundfunkgebühren (GEZ), sich Adressdatenbestände auf dem freien Markt zur Schwarzhörerermittlung zu beschaffen. Ein immer weiter um sich greifendes Beispiel ist die Beauftragung privater Inkassofirmen zur Eintreibung öffentlicher Forderungen. Hierbei kommt es i.d.R. zu einer Übermittlung öffentlicher Datenbestände an die privaten Dienstleister und zu einer Rückübermittlung.
Geradezu problemfrei erscheinen dagegen die klassischen privaten Auftragsdatenverarbeiter für öffentliche Stellen. Hierbei nehmen die privaten Dienstleister zumindest idealtypisch ausschließlich reine Hilfsfunktionen für die öffentlichen Stellen wahr, deren hoheitliche Verantwortung unbestritten und unbestreitbar ist. Dessen ungeachtet kann aber in diesen Fällen wie bei jeder Auftragsdatenverarbeitung ein klassisches Verantwortungsdilemma auftreten: Die öffentliche Stelle verlässt sich derart stark auf die Hilfe des privaten Auftragnehmers, dass sie diesem faktisch hilflos ausgeliefert ist.
3 Der „verantwortliche“ Nutzer
Der Begriff „verantwortliche Stelle“ in § 3 Abs. 7 BDSG setzt voraus, dass es sich nicht um den Betroffenen selbst handelt. Soweit dieser aber nicht zu seiner eigenen Person Daten verarbeitet, sondern von Dritten Bilder oder Angaben im Internet veröffentlicht, ist er jedenfalls verantwortlich. Dies passiert in der Praxis dauernd, ohne dass sich der Nutzer dieser rechtlichen Konsequenzen immer bewusst ist.
Die Verfügungsmacht der Nutzenden im Internet dauert zumeist nur kurze Zeit. Nach dem Hochladen von Daten im Netz auf dem Dienst eines fremden Anbieters geht zumeist umgehend die technische Verfügungsmöglichkeit über die Daten verloren. Selbst wenn durch eigene Änderungs- und Löschungsrechte eine Verantwortlichkeit weiterhin wahrgenommen werden kann und insofern auch rechtlich besteht, wird i.d.R. der Anwendungsbetreiber durch sein Dienstangebot mitverantwortlich, zumal er durch geringe Systemänderungen die Zugriffsmöglichkeit des Nutzers beenden oder verändern kann. Der damit verbundene Verlust an Verfügungsmacht über die Daten ändert aber nichts am Umstand, dass die Verantwortung für das erstmalige Hochladen datenschutzrechtlich beim Nutzer liegt.
Für die rechtliche Verantwortlichkeit eines Nutzers müssen einige Anforderungen kumulativ vorliegen: Die Daten müssen von dem Nutzer entweder selbst im IT-Verfahren generiert oder bewusst eingestellt worden sein. Bei darüber hinausgehenden Verarbeitungen muss er selbst - zumindest auch - die Verfügungsmacht über den Datensatz haben. Bei Webanwendungen setzt dies voraus, dass technisch eine Zuordnung des Datensatzes zu dem Nutzer langfristig gewährleistet ist. Dies kann durch die Speicherung in einem Mail- oder sonstigen Web-Account erfolgen oder durch eine Zuordnung durch einen Identifikator. Hierbei muss es sich nicht um eine namentliche Zuordnung handeln, es genügt auch ein eindeutiges Pseudonym. Weitere Voraussetzung für die Verantwortlichkeit des Nutzers ist, dass dieser das weitere Schicksal des Datensatzes selbst bestimmen, also dessen Berichtigung, Sperrung und Löschung eigenständig vornehmen kann. Die Verantwortlichkeit bleibt auf den Umfang der technischen Verfügungsmöglichkeit beschränkt.
Auf die intellektuellen Möglichkeiten des Nutzers kommt es nicht an, sondern nur auf dessen Wissens- und Einflussmöglichkeit: Weiß der Nutzer nicht, dass die von ihm eingestellten Daten von ihm weiterhin administriert werden können im Sinne von Ändern und Löschen und konnte er es auch nicht wissen, weil der Webanbieter keine entsprechende oder keine zumutbar verständliche Information und Benutzungsoberfläche zur Verfügung stellte, so geht die Verantwortlichkeit verloren. Will also ein Webanbieter, z.B. ein soziales Netzwerk, den Nutzer aus seiner Pflicht als verantwortliche Stelle nicht entlassen, so muss er die dafür nötigen Voraussetzungen durch Information, Technik und Wahlmöglichkeit schaffen.
§ 13 Abs. 6 TMG fordert, dass Telemedien auch anonym oder pseudonym genutzt werden können. Diese Pflicht beschränkt sich nicht auf reine passive Informationsdienste, sondern schließt auch solche ein, bei denen der Nutzer aktiv Daten ins Netz stellt. Das anonyme oder pseudonyme Einstellen von Informationen ins Web ist vom Grundrecht auf Meinungsäußerungsfreiheit geschützt. Zweck der Regelung ist der Schutz des Nutzers, insbesondere seines Rechts auf informationelle Selbstbestimmung. Diese Form des Hochladens führt zwangsläufig dazu, dass der eigentlich verantwortliche Nutzer faktisch nicht zur Verantwortung gezogen werden kann. Verantwortlichkeit für personenbezogene Datenverarbeitung darf sich so nicht völlig verflüchtigen. Deshalb muss der Webanbieter Vorkehrungen treffen, um die ihm zufallende Verantwortung faktisch wahrnehmen zu können.
4 Der Telemedienanbieter
Diese rechtliche Verantwortlichkeit des Telemedienanbieters steht in einem Spannungsverhältnis zu dem Umstand, dass er von den Inhalten oft keine positive Kenntnis hat. Dies gilt z.B. für die bei einem Suchmaschinenbetreiber im Cache vorhandenen personenbezogenen Daten von zig Millionen Webseiten. Dies gilt auch für Anbieter von Blogs, Foren oder Portalen. Es ist nicht zumutbar, diese für sämtliche Inhalte haftbar zu machen, die von ihnen gehostet werden. Deshalb hat der Gesetzgeber in den §§ 7 ff. TMG hinsichtlich der zivil- und strafrechtlichen Haftung klargestellt, dass erst mit der tatsächlichen Möglichkeit der bewussten Kenntnisnahme eines persönlichkeitsrechtlich beanstandeten Inhaltes und dem Unterlassen der Beseitigung dieser Störung die Verantwortlichkeit beginnt.
Eine solche differenzierte Verantwortlichkeit, wie sie das TMG hinsichtlich der Haftung und des Datenschutzes enthält, besteht im Datenschutzrecht nicht. Schon im Hinblick auf den Anwendungsbereich wird für Inhaltsdaten allgemein das BDSG für anwendbar angesehen und die Anwendung des TMG ausgeschlossen, das explizit für Bestands- und Nutzungsdaten gilt.
Werden von Content Provider automatisierte Verfahren eingesetzt, die die Angaben über die Nutzer oder die Inhalte anderer Anbieter weiterleiten, so besteht eine Verantwortlichkeit beim ursprünglichen Anbieter, soweit dieser die Verarbeitung steuern kann. Unabhängig davon wird eine Verantwortlichkeit der Stelle begründet, an die die Daten weitergeleitet werden, also beim Replikationsdienst. Dies gilt insbesondere, wenn die empfangende Stelle die technischen Voraussetzungen für die Weiterleitung selbst gesetzt hat, so wie dies regelmäßig bei der Indexierung von Webseiten durch Suchmaschinen der Fall ist. Deren Möglichkeit der Einflussnahme auf die konkreten Inhalte und damit auch auf deren Datenschutzkonformität ist aber noch geringer als beim Erstanbieter. Wegen der zumeist automatisch erfolgenden Verarbeitungen ist es äußerst aufwendig, den datenschutzrechtlichen Betroffenenrechten zu genügen. Berichtigungen können nur begrenzt vorgenommen werden, da durch die automatisierte Übernahme von fremden Inhalten deren Veränderung bei Replikationsdienst nicht vorgesehen ist. Selbst eine Löschung oder Sperrung stößt auf technische Probleme, da nicht auszuschließen ist, dass der Inhalt, evtl. leicht modifiziert, automatisch erneut eingespielt wird. So werden z.B. Suchmaschinenbetreiber kaum bereit sein, die Verantwortung für all das zu übernehmen, was sie mit ihren Maschinen erschließen - also tendenziell die Inhalte des gesamten öffentlichen World Wide Web.
Die Datenschutzverantwortlichkeit für Telemedieninhalte sollte also praxisgerechter geregelt werden sollte. Einen entsprechenden Vorschlag hat das ULD im Rahmen eines umfassenderen Gesetzentwurfes zur Regulierung von personenbezogenen Veröffentlichungen im Internet gemacht. Der Vorschlag läuft darauf hinaus, dass die datenschutzrechtliche Verantwortlichkeit nach dem BDSG an die der §§ 7-10 TMG angepasst wird. Die entstehende zeitliche Verantwortungslücke bis zur Kenntnisnahme des Telemedienanbieters kann wohl hingenommen werden, wenn gewährleistet wird, dass die Verantwortung vom Telemedienbetreiber dann tatsächlich übernommen wird.
5 Verarbeitung zum Zweck der Übermittlung
Dass die Anlieferung personenbezogener Daten zu Konflikten und Rechtsverstößen führen kann, ist Adressenhändlern und Auskunfteien von Anfang bekannt. Die Antwort des Gesetzes und der Gerichte hierzu war und ist eindeutig: Die Anbieter von Diensten zum Zweck der Datenübermittlung sind nach § 29 BDSG sind von Anfang an für die von ihnen bereitgestellten Daten verantwortlich. Diese Generalverantwortung ist die Konsequenz dafür, dass unter Aufgabe des generell geltenden Erforderlichkeitsgrundsatzes eine Vorratsdatenspeicherung erlaubt und bei der Frage der Datenspeicherung einer pauschale Bewertung zugelassen wird. Werden Daten aus allgemein zugänglichen Quellen erhoben, so muss sich der Auskunftsdienst vorher von deren genereller Zuverlässigkeit vergewissern. Sind dagegen Kunden oder Geschäftspartner die Datenlieferanten, so muss vom Auskunftsdienst erwartet werden, dass er sich über die bestehenden zivilrechtlichen Verträge mit diesen die Gewähr verschafft, seiner datenschutzrechtlichen Verantwortlichkeit gerecht werden zu können, z.B. um die Richtigkeit und gesetzeskonforme Erhebung der erlangten Daten nachzuweisen. Insofern besteht ein Unterschied zu Internetdiensten, bei denen zwischen den Webanbietern und den Nutzern oder anderen Webangeboten entweder gar keine oder nur eine sehr schwache vertragliche Bindung besteht.
Der Auskunftsdienst wird nicht von der Klärung eines Einzelfalls, etwa bei einer Betroffenenbeschwerde entbunden. Dem kann der Auskunftsdienst in unterschiedlicher Weise nachkommen. Für den Adressenhandel hat das Gesetz ausdrücklich ein Widerspruchsrecht vorgesehen, das zumindest zu einer Datensperrung führen muss. Bei komplexeren Diensten, bei denen die Richtigkeit und Vollständigkeit der Information wichtig sind, bedarf es oft der Rückfrage beim Datenlieferanten und der Anforderung von Legalitäts- und Richtigkeitsnachweisen. Bis zur Klärung ist der Auskunfteidienst verpflichtet, die umstrittenen Daten zu sperren. Bei Dokumentationsdiensten ist schon außerhalb des Einsatzes des Internet und der neuen Medien das Instrument der Gegendarstellung anerkannt.
6 Informationsverbünde
Engere und zumeist komplexere Verantwortlichkeitsbeziehungen bestehen in Informationsverbünden. Beim automatisierten Abrufverfahren nach § 10 BDSG ist der Übergang der Verantwortlichkeit von der speichernden zur abrufenden Stelle klar geregelt. Für den Internetabruf können heute aber faktisch keine Angemessenheitsprüfung, keine Protokollierung der Vorgänge und keine Stichprobenprüfungen im laufenden Betrieb verlangt werden. § 10 BDSG lässt sich aber auch nur beschränkt auf Informationsverbünde mit einem höheren Verbindlichkeitsanspruch als bei Internetangeboten übertragen und verallgemeinern: Hier sind Dokumentation, Test, Freigabe, Technikfolgenabschätzung, Protokollierung, Monitoring und Audit nicht nur wünschenswert, sondern geboten. Gesetzlich gefordert wird dies aber bisher nicht.
Komplexere Verarbeitungssysteme bedürfen klare Verantwortlichkeits-Zuordnungen. Doch gibt es hierfür bisher im BDSG keine Regelung, anders als in einzelnen Landes- oder Spezialgesetzen (z.B. § 8 LDSG SH). § 6 Abs. 2 BDSG sichert lediglich die Wahrung der Betroffenenrechte. Unklar bleibt bei kollektiven Verarbeitungsverfahren: Welche Stellen sind für welche Daten verantwortlich, wie können diese ihre Verantwortlichkeit im Hinblick auf Abrufe gewährleisten, wie werden Konflikte zwischen gemeinsam verantwortlichen Stellen gelöst, z.B. wenn eine Stelle eine Löschung oder Änderung vornehmen möchte, die andere aber nicht ...?
Gemeinsame Verfahren sind heute oft Data Warehouses. Damit verfolgen verschiedene verantwortliche Stellen mit unterschiedlichen Zuständigkeiten und Befugnissen zumeist unter einer Zweckglocke zumindest teilweise unterschiedliche Zwecke. Beispiele sind im öffentlichen Bereich die Sicherheitsverbunde INPOL und NADIS oder die hoch umstrittene derzeit im Aufbau befindliche ELENA-Datei, der elektronische Einkommensnachweis für Sozialverfahren. Der Missachtung des Erforderlichkeitsgrundsatzes bei Speicherung und Zugriff muss durch adäquate Maßnahmen vorgebeugt werden. Derartig komplexe Systeme müssen zudem wegen technischer wie rechtlicher Änderungen dauernd angepasst und fortgeschrieben werden können. Gefordert ist aus Datenschutzsicht ein systematisches Vorgehen, wie es bei der technischen Verfahrensentwicklung schon üblich ist.
Technisch bietet sich eine Trennung der Verantwortlichkeiten an, bei der zwischen Verfahrensverantwortlichkeit und materieller Datenverantwortlichkeit unterschieden wird: Die Verfahrensverantwortlichkeit wird danach von einer gemeinsamen oder übergeordneten Stelle übernommen, die Verantwortlichkeit für die Richtigkeit und Rechtmäßigkeit der einzelnen Daten verbleibt bei den Anwendern. Eine solche Regelung wurde jüngst im LDSG Mecklenburg-Vorpommern getroffen. Die Bündelung der Verfahrensverantwortlichkeit hat zwar den Nachteil, dass man es bei der Rechtmäßigkeitskontrolle einer Datenverarbeitung möglicherweise mit zwei Ansprechpartnern zu tun hat, dem Verfahrens- und dem Datenverantwortlichen. Die Vorteile überwiegen aber: Es bedarf nur eines Tests und einer Freigabe. An die Stelle der Fiktion einer Verfahrensüberprüfung durch die jeweiligen materiellrechtlich Verantwortlichen tritt die tatsächliche Verantwortlichkeit des Verfahrensbetreibers. Eine solche Regelung ermutigt zur Standardisierung von Verfahrensabläufen und zur Überlassung der Verfahrensgestaltung in professionelle Hände.
7 Outsourcing
7.1 Auftragsdatenverarbeitung
Die Auftragsdatenverarbeitung, ein klassisches datenschutzrechtliches Instrument, zielt auf professionelle Unterstützung bei Wahrung der materiellen Verantwortung. Der Preis für die Freigabe der Weitergabe der Daten sind strenge vertragliche Bindungen des Auftragnehmers an den Auftraggeber. 2009 wurden diese Anforderungen in § 11 Abs. 2 BDSG verschärft. Die Praxis war und ist aber eine andere: Dem Auftraggeber fehlt oft technisch-organisatorisches wie rechtliches Know-how. Die Verantwortung des Auftraggebers ist oft fiktiv. Angesichts dessen ist erstaunlich, dass nicht noch mehr Datenschutzskandale bei derartigen Strukturen geschehen. Unbestreitbar besteht ein struktureller Bedarf an informationstechnischem Outsourcing angesichts der komplexen und spezialisierten und deshalb arbeitsteiligen Informationsverarbeitung.
§ 11 Abs. 2 BDSG entbindet den Auftraggeber nicht von der Notwendigkeit der Auftragnehmerkontrolle. Soll die Verantwortlichkeit für die Datenverarbeitung nicht übertragen werden, geht kein Weg an dieser Kontrolle vorbei. Um diese ausüben zu können, sind weitere Hilfen nötig und möglich. Keine Entbindung von der Verantwortlichkeit, aber eine Form Selbstversicherung des Auftraggebers besteht in der Überprüfung der Tätigkeit des Auftragnehmers durch einen unabhängigen qualifizierten Auditor gemäß der Wahl des Auftraggebers.
Ein zentrales praktisches Problem der Auftragsdatenverarbeitung liegt oft in mehrfachen Unterauftragsverhältnissen. Diese eröffnen Möglichkeiten zur Verdrängung der Verantwortung nach unten oder oben. Bisher gibt es keine Standards, in welchem Umfang derartige Unterbeauftragungen noch tolerierbar sind und wann schon durch die Unterbeauftragung ein Organisationsverschulden vorliegt. Zwar muss datenschutzrechtlich gewährleistet sein, dass der Erstauftraggeber bis zum letzten Unterauftragnehmer hinsichtlich Kontrolle und Weisung durchgreifen kann, doch ist dies derzeit in der Praxis eine Illusion. Über eine Standardisierung typischer Auftragsverhältnisse könnten Datenschutz-Mindestanforderungen in ein technisch-organisatorisch-rechtliches Gesamtpaket gebracht werden, was vom Auftraggeber dann systematisch überprüft werden könnte. Ein gewisses Maß an Expertise muss aber in jedem Fall beim Auftraggeber bleiben.
7.2 Funktionsübertragung
Nicht nur bei der klassischen Auftragsdatenverarbeitung besteht ein Verantwortungsdilemma. Rechtsnormen und ökonomische Zwänge zwingen teilweise zur Übertragung der materiellen Datenhoheit auf einen „Auftragnehmer“. Ein Beispiel hierfür ist die unter 2.3 angeführte Versicherungswirtschaft. Zwei Lösungsansätze bieten sich an:
Eine Legalisierung der bisher unzulässigen Datenübermittlungen wird oft über eine datenschutzrechtliche Konzernklauselangestrebt. Diese kann und darf sich aber nicht auf die Legalisierung beschränken, sondern muss kompensierende datenschutzrechtliche Sicherungen vorsehen. Die Notwendigkeit zu Funktionsübertragungen im Konzern bestehen nicht generell, sondern, branchen- und anwendungsspezifisch. Daher können sie auch spezifisch vorgesehen werden, z.B. auch bei der Arbeitnehmerdatenverarbeitung, wo oft ein konzernübergreifender Datenaustausch notwendig zu sein scheint. Unterhalb einer gesetzlichen Regelung sollte Spielraum für Vereinbarungen mit der Arbeitnehmerschaft gelassen werden. Als Kompensation für die Duplizierung der Datenverarbeitung ist eine normativ festgelegte höhere Transparenz für die Betroffenen denkbar, zumal zu den Betroffenen, also den Beschäftigten, regelmäßig ein direkter Kontakt besteht. Eine weitere Kompensation kann darin bestehen, dass bei der Konzerndatenverarbeitung eine Doppelung der Verantwortlichkeit festgelegt ist, also dass sich z.B. die Betroffenen mit ihren Ansprüchen sowohl an die ursprünglich verantwortliche Stelle sowie an die Funktion übernehmende Stelle wenden können.
Einen weiteren Lösungsansatz besteht in Verhaltensregeln nach § 38a BDSG. Der Weg wird derzeit von der Versicherungswirtschaft versucht. Als materiell-rechtliche Basis kann im nicht-öffentlichen Bereich auf § 28 Abs. 1 S. 1 Nr. 2 BDSG zurückgegriffen werden, der eine Datenverarbeitung nach einer positiven Abwägung zwischen berechtigten und schutzwürdigen Interessen grundsätzlich erlaubt. Um den Schutzinteressen der Betroffenen hinreichend Gewicht zu geben, können in den von der zuständigen Aufsichtsbehörde zu genehmigenden Verhaltensregeln Transparenzpflichten vorgesehen werden. Denkbar sind weiter eine an die Auftragsdatenverarbeitung nach § 11 BDSG angelehnte Abhängigkeit des Funktionsnehmers vom Funktionsgeber und/oder zivilrechtliche zusätzliche Betroffenenansprüche, etwa analog der o.g. Verantwortungsdoppelung oder in Form von Vertragsstrafen und Haftungsansprüchen im Fall von Datenschutzverletzungen durch den Funktionsnehmer.
8 Verantwortlichkeit für ein IT-Produkt
Unser Datenschutzrecht kennt bisher keine datenschutzrechtliche Verantwortlichkeit von Produktherstellern bzw. -verkäufer. Diese könnte analog zu der unter Textziffer 6 dargestellten Verfahrensverantwortlichkeit gestaltet werden mit dem Unterschied, dass die Produktverantwortlichkeit der Produktinstallation und dem Einsatz vorgelagert ist. Sie setzt voraus, dass dem Hersteller bzw. dem Verkäufer zu beachtende Vorgaben gemacht werden. Dem für die Datenverarbeitung Verantwortlichen müssen von Hersteller bzw. Verkäufer Hinweise für die Installation und den Betrieb gegeben werden. Beachtet er diese, könnte er von der Datenschutzhaftung freigestellt werden. Der Hersteller muss sein Produkt so gestalten und die Garantie dafür geben, dass es datenschutzkonform eingesetzt werden kann. Wird nun ein Datenschutzverstoß durch eine datenschutzwidrige Nutzung des Produktes bewirkt, so bleibt es bei der Verantwortlichkeit der verarbeitenden Stelle. Ist aber der Verstoß durch das Produkt bedingt, so geht die Haftung auf den Produkthersteller über. Eine solche Verteilung der Verantwortlichkeit würde die Bereitschaft zur Entwicklung und Herstellung von datenschutzfreundlichen IT-Produkten fördern. Produkte, die nicht datenschutzkonform eingesetzt werden können, ließen sich nicht länger auf dem Markt halten. Solche von Anfang an datenschutzwidrigen Produkte sind derzeit sowohl in der Internet- wie auch in der sonstigen IT-Welt weit verbreitet.
Eine ohne gesetzliche Neuregelung mögliche Erhöhung der tatsächlichen Verantwortung durch Produkthersteller oder auch Verfahrensbetreiber kann schon heute mit Zertifikaten erreicht werden, die von einer qualifizierten unabhängigen Stelle in einem transparenten Verfahren vergeben werden. Die Vergabe solcher freiwilligen Zertifikate lässt sich gesetzlich regeln, so wie dies in Schleswig-Holstein mit den §§ 4 Abs. 2, 43 Abs. 2 LDSG SH erfolgte. Vom ULD wird mit dem European Privacy Seal (EuroPriSe) auch ein Zertifikat ohne staatlich normierte Vorgaben - aber mit behördlicher Autorität - vergeben. Die Zertifikate können zur Vertrauensbildung bei Käufern und Kunden beitragen und auf dem Markt einen Marktvorteil bewirken. Auf Bundesebene sind durch eine „Stiftung Datenschutz“ vergebene Zertifikate geplant.
9 Die Einführung einer expliziten Rechenschaftspflicht
Die bisherigen Ausführungen befassten sich vorrangig mit dem Versuch einer adressatspezifischen Gestaltung rechtlicher Verantwortlichkeit. Relevant ist natürlich, welche konkreten Maßnahmen von den Verantwortlichen abverlangt werden bzw. werden sollten. Die Entwicklung des Datenschutzrechtes begann in den 70ern mit materiell-rechtlichen Forderungen und allgemeinen technisch-organisatorischen, dann auch verfahrensrechtlichen Anforderungen. Inzwischen steht die Forderung nach einem umfassenden „Datenschutzmanagement“ als Bestandteil eines noch umfassenderen Compliance-Ansatzes im Raum.
Bestandteile eines Datenschutzmanagements sind die Institution des betrieblichen bzw. behördlichen Datenschutzbeauftragten (§§ 4f, 4g BDSG), Pflichten zum Führen von Verfahrensverzeichnissen, Melde- und weitere Transparenzpflichten. Zentraler Ansatzpunkt dieser Maßnahmen ist es, die grundrechtlich begründete Pflicht zur Beachtung des Datenschutzes nachvollziehbar zu planen, zu organisieren und zu verifizieren. Als eine konkrete Umsetzung wird von den Datenschutzaufsichtsbehörden zunehmend die Vorlage eines konsistenten Sicherheitskonzeptes gefordert, etwa gegenüber Google für dessen Panoramadienst „Street View“ unter Ableitung aus dem Abwägungsgebot nach § 29 BDSG zwischen berechtigten Verarbeitungs- und schutzwürdigen Betroffeneninteressen.
Dieser Ansatz wurde nun von der Art.-29-Datenschutzgruppe aufgegriffen, die am 13.07.2010 ein Arbeitspapier zum Grundsatz der Rechenschaftspflicht (Accountability) verabschiedete. Dessen Zielsetzung ist es, die für die Datenverarbeitung Verantwortlichen zu verpflichten, angemessene und wirksame Maßnahmen zur Umsetzung des Datenschutzes zu ergreifen und dies gegenüber den Kontrollstellen auf Verlangen nachzuweisen. Die Gruppe schlägt vor, bei Überarbeitung der Europäischen Datenschutzrichtlinie (EU-DSRL) folgende neue Norm mit aufzunehmen: „Umsetzung der Grundsätze des Datenschutzes (1) Der für die Verarbeitung Verantwortliche trifft geeignete und wirksame Maßnahmen, die die Einhaltung der in der Richtlinie festgelegten Grundsätze und Verpflichtungen gewährleisten. (2) Der für die Verarbeitung Verantwortliche weist gegenüber der Kontrollstelle auf deren Verlangen die Einhaltung des Absatzes 1 nach.“
Als Beispiele für mögliche Maßnahmen zur Umsetzung des Grundsatzes der Rechenschaftspflicht nennt die Art.-29-Gruppe: interne Verfahren vor Beginn neuer Verarbeitungen (interne Prüfung, Beurteilung), schriftliche verbindliche und transparente Datenschutzstrategien, Datenschutzbeauftragte, Mitarbeiterschulungs- und -fortbildungsangebote (für Anwender, IT-Manager, Entwickler, Bereichsleiter), transparente Verfahren für die Bearbeitung von Anträgen auf Zugang, Berichtigung und Löschung. internes Beschwerdebearbeitungssystem, festgelegte Verfahren bei Sicherheitsverstößen, Datenschutzverträglichkeitsprüfungen, Kontrollverfahren (interne oder externe Audits).
10 Schlussfolgerungen
Die Analyse der bestehenden Verantwortungsstrukturen im Datenschutzrecht zeigt, dass unser Recht den aktuellen Herausforderungen nicht mehr voll gerecht wird. Dies gilt für große Bereiche des Internets, wo informationelle Fremdbestimmung und informationelle Ausbeutung allgegenwärtig sind, aber nicht nur dort. Wir müssen lernen, was digitale Menschenrechte sind und wie diese verantwortungsbewusst gewahrt werden. Wenn es zutrifft, dass wir an der Schwelle zur Informationsgesellschaft stehen, in der also Informationsverarbeitung unser Leben und Wirtschaften bestimmt, ist der Diskurs über digitale Verantwortungsethik und über Verantwortlichkeit durch Recht von zentraler Bedeutung.
Die informationstechnischen Infrastrukturen, die sich entwickelt haben, haben mit den uns bisher bekannten rechtlichen, wirtschaftlichen und organisatorischen Strukturen wenig gemeinsam. Globalen Unternehmen ist es möglich, unter Missachtung nationaler rechtlicher Regelungen das Geschehen auf dem IT-Markt zu bestimmen. Auch jenseits des internationalen Geschehens stellen wir fest, dass sich die Verantwortlichen oft ihrer Verantwortung nicht bewusst sind. Nur so ist zu erklären, dass bei der informationstechnischen Arbeitsteilung die Verantwortung der Entwickler, Hersteller und Dienstleister noch stark ausgeblendet wird. Die Nutzer bzw. Betroffenen einerseits und viele rechtlich Verantwortlichen andererseits können die ihnen derzeit vom Recht aufgelastete Verantwortung nicht schultern, weil ihnen hierfür das technische Know-how und/oder die technischen/finanziellen Ressourcen fehlen. Der Umstand, dass der Administrator in einem IT-System der mächtigste Mensch ist, ohne dass dies bisher das die bestehenden Normen erkannt haben, zeigt, dass hier Entwicklungsbedarf besteht.
Letztendlich geht es darum, in den Behörden und in der Wirtschaft wie auch bei Diensten im globalen Internet Managementstrukturen aufzubauen, bei denen eine adäquate Informationsverteilung wie auch begründete Geheimhaltungserwartung gesichert werden. Dies bedingt eine massive Verstärkung der Verantwortlichkeit von IT-Entwicklern, -Produzenten und Dienstleistern, eine adäquate Arbeitsteilung bei der Wahrnehmung der Verantwortung bei den Betreibern und den nachhaltigen Schutz der Nutzenden bzw. Betroffenen. Erste richtige Schlüsse wurden mit der Neuregelung der Auftragsdatenverarbeitung in § 11 Abs. 2 BDSG gezogen. In die richtige Richtung gehen die Entwicklungen hin zu einer Internet-Regulierung, bei der kontrollierter Selbstregulierung ein angemessener Raum der Wirtschaft zugestanden wird. Ebenso in die richtige Richtung gehen die Bestrebungen für eine Stiftung Datenschutz, mit der Medienkompetenz und Markttransparenz in Sachen Datenschutz massiv gefördert werden sollen. Ebenso richtig ist der Ansatz der Bundesregierung, mit Instrumenten wie De-Mail oder dem neuen Personalausweis eine rechtlich-technische Infrastruktur zu schaffen, in der die Betroffenen ihre Datenhoheit zurückerlangen können und mit denen Verantwortlichkeit bei E-Government und E-Commerce verlässlich und grundrechtskonform abgebildet werden können.
Dies sind aber erst einige rechtliche und technische Bausteine für eine umfassendere, von Verantwortungsethik geprägte IT-Infrastruktur. Regelungsbedarf besteht zum einen bei der Realisierung eines adäquaten Verbraucherschutzes, auch gegenüber außereuropäischen Anbietern. Regelungsbedarf besteht zum anderen hinsichtlich des Aufbaus valider Datenschutzmanagementstrukturen in Wirtschaft und Verwaltung. Vor allem aber bedarf es des Einforderns der tatsächlichen und rechtlichen Verantwortlichkeit durch eine effektive Datenschutzkontrolle.