Deutscher Bundestag – 16. Wahlperiode
– 99 –
markt“ (KOM (2007) 836 endg.) einen Prozess eingeleitet, „um die bereits ermittelten und dringlichsten Herausforderungen im Zusammenhang mit der OnlineVerbreitung kreativer Inhalte zu bewältigen“.
Aus Datenschutzsicht sehr positiv ist der Vorschlag des
Parlaments, Informationspflichten in die Datenschutzrichtlinie aufzunehmen. Danach müssen die Provider bei
Verlust, Diebstahl oder Missbrauch personenbezogener
Daten unverzüglich die hiervon betroffenen Bürgerinnen
und Bürger und die zuständigen Aufsichts- oder Kontrollbehörden unterrichten. Unklar ist noch, in welcher Ausprägung diese Regelung letztendlich festgeschrieben
wird. Denn sowohl die gemeinsame Position des Rates
als auch der geänderte Richtlinienvorschlag der Kommission sehen einen Vorbehalt vor, der die Provider nur in
schweren Fällen bzw. bei einer abzusehenden Gefährdung in die Pflicht nimmt.
Das Europäische Parlament hat seinen Bericht am
24. September 2008 mit verschiedenen Abänderungen zu
den Vorschlägen der Kommission und zu den Richtlinien
selbst verabschiedet. Die Kommission hat zu diesen Abänderungen Stellung genommen und am 6. November 2008 einen geänderten Vorschlag für die Richtlinien
vorgelegt, der einen Teil der Vorschläge des Parlaments
– teils modifiziert – übernimmt. Die Diskussion im Rat
mündete am 27. November 2008 in einer politischen Einigung der Minister der Mitgliedstaaten. Die gemeinsame
Position bildet die Grundlage für die weiteren Verhandlungen mit dem Parlament, um eine Einigung in der zweiten Lesung zu erreichen.
Anfang 2009 beginnt der „Trilog“ (Einigungsverfahren
zwischen Parlament und Rat unter Beteiligung der Kommission) mit dem Ziel, eine gemeinsame Lösung zu erarbeiten. Gelingt dies, wird die zweite Lesung im Parlament
Ende März 2009 überflüssig.
8
Technologischer Datenschutz
Immer enger sind Fragen zur Informationstechnologie
oder ihres Einsatzes mit rechtlichen Fragestellungen verknüpft. Das Urteil des BVerfG zur Online-Durchsuchung
vom 27. Februar 2008 setzt hier neue Maßstäbe.
„Das allgemeine Persönlichkeitsrecht (Artikel 2 Absatz 1
i. V. m. Artikel 1 Absatz 1 GG) umfasst das Grundrecht
auf Gewährleistung der Vertraulichkeit und Integrität
informationstechnischer Systeme.“ So lautet der erste
Leitsatz in dem Urteil des BVerfG zu Vorschriften des
Verfassungsschutzgesetzes Nordrhein-Westfalen. Diese
Entscheidung hat Konsequenzen, die weit über den eigentlichen Streitgegenstand, die Befugnisse des Landesamtes für Verfassungsschutz zu heimlichen Zugriffen auf
informationstechnischen Systeme, hinausgehen. Diese
Konsequenzen sind zum einen rechtlicher Natur (s. auch
unter Nr. 4.1). Darüber hinaus werden zur Gewährleistung des Datenschutzes im Sinne des „neuen Grundrechts“ auch technisch-organisatorische Vorkehrungen
umzusetzen sein. Deshalb müssen die Regelungen zu den
technisch-organisatorischen Maßnahmen im BDSG
– aber auch in einigen Landesgesetzen – fortgeschrieben
Drucksache 16/12600
werden, um den verfassungsrechtlichen Vorgaben gerecht
zu werden. Zudem ist eine bessere Verzahnung der Regelungen dringend geboten.
Da das Datenschutzrecht kein reines Abwehrrecht ist,
sondern auch als (IT-Systeme) gestaltendes Recht im öffentlichen und nicht-öffentlichen Bereich wirkt, sollte das
Urteil in den Regelungen der Datenschutzgesetze einfließen. So könnten die Sicherheitsziele Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit
und Transparenz (s. Kasten a zu Nr. 8) bei der Modernisierung der Datenschutzgesetze Einzug halten, denn moderne Technik verlangt moderne Regelungen. Diese Sicherheitsziele sind technologieunabhängig und bieten
damit einen Sicherheitsrahmen, der auch bei neuen Formen der Informationstechnik Bestand haben kann. Auch
die EG-Datenschutzrichtlinie und eine Reihe von Landesdatenschutzgesetzen bedienen sich dieser Begriffe.
K a s t e n a zu Nr. 8
Stichwort Sicherheitsziele:
Vertraulichkeit:
Nur Befugte dürfen Daten zur Kenntnis
nehmen.
Integrität:
Daten müssen während der Erhebung, Verarbeitung und Nutzung unversehrt, vollständig und aktuell bleiben.
Verfügbarkeit:
Daten müssen zeitgerecht zur Verfügung
stehen und ordnungsgemäß verarbeitet
oder genutzt werden können.
Authentizität:
Daten müssen jederzeit ihrem Ursprung
zugeordnet werden können.
Revisionsfähigkeit:
Es muss feststellbar sein, wer wann welche Daten in welcher Weise erhoben, verarbeitet oder genutzt hat.
Transparenz:
Die Verfahren zur Erhebung, Verarbeitung
und Nutzung müssen nachvollziehbar und
aktuell dokumentiert sein.
Angesichts der exponentiell zunehmenden Erhebung,
Verknüpfung und Bewertung von Informationen werden
Fragen des Datenschutzes und der Informationsfreiheit
immer bedeutsamer. Um eine Diskussion dieser Fragen
anzustoßen, habe ich aus Anlass des Dritten Nationalen
IT-Gipfels am 21. November 2008 eine Charta des digitalen Datenschutzes und der Informationsfreiheit vorgeschlagen (s. Kasten b zu Nr. 8). Es ist für mich besonders
wichtig, auf die Verantwortlichkeit aller Beteiligten, also
sowohl staatlicher Stellen und Unternehmen, aber auch
jedes Einzelnen für die Inhalte hinzuweisen, die er über
sich und insbesondere andere veröffentlicht. Der Vorschlag soll einen grundsätzlichen Meinungsaustausch zu
diesen Kernfragen anstoßen. Gerne werde ich den Dialog
mit den Bürgerinnen und Bürgern fortsetzen, aber auch
weitere Organisationen und Gruppen beteiligen.
BfDI 22. Tätigkeitsbericht 2007-2008