Deutscher Bundestag – 16. Wahlperiode
– 17 –
die Massenüberprüfungen bei den Beschäftigten der
Deutschen Bahn haben wohl auch dem letzten Zweifler
vor Augen geführt, wie es um den Arbeitnehmerdatenschutz in Deutschland steht. Der Deutsche Bundestag hat
seit vielen Jahren immer wieder einstimmig die Vorlage
eines Arbeitnehmerdatenschutzgesetzes gefordert (vgl.
Nr. 11.1), bislang ohne Erfolg. Als Reaktion auf den offen
zu Tage getretenen Missbrauch soll jetzt gehandelt werden. Ich hoffe, dass es nicht wieder bei Ankündigungen
bleibt und gesetzgeberische Taten folgen.
Die aufgedeckten Missstände beim Handel mit personenbezogenen Daten und die illegale Weitergabe von Kontoverbindungen und anderen geschützten persönlichen Daten haben zu einem Spitzengespräch der betroffenen
Bundesminister und der Datenschutzaufsichtsbehörden
geführt (vgl. Nr. 2.2), bei dem wichtige Änderungen für
den Datenhandel verabredet wurden. Den betroffenen
Bürgerinnen und Bürgern soll ein Stück weit die Entscheidung über den Umgang mit ihren persönlichen Daten zurückgegeben werden. Die Bundesregierung hat
hierzu im Dezember 2008 einen Gesetzentwurf vorgelegt,
der derzeit in den parlamentarischen Gremien behandelt
wird (vgl. Nr. 2.3 und 3.4.5). Ein weiterer Gesetzentwurf
soll den Datenschutz bei Score-Verfahren und im Auskunfteiwesen verbessern (Nr. 2.3 und 3.4.4).
So wichtig diese angestrebten Verbesserungen im Detail
sind, dürfen sie doch nicht darüber hinwegtäuschen, dass
die Modernisierung des Datenschutzrechts in seiner
Struktur und in seinen grundlegenden Regelungsmechanismen heute dringender ist denn je.
Beim Eintritt in das Zeitalter allgegenwärtiger Datenverarbeitung („ubiquitous computing“) erweisen sich die
hergebrachten Begriffe des Datenschutzrechts (verantwortliche Stelle, Auftragnehmer, personenbezogene Daten) genauso als diskussionsbedürftig wie die dem Datenschutzrecht zu Grunde liegenden Prinzipien, etwa die
Konzepte der Erforderlichkeit oder der Zweckbindung
und seine Aufsplitterung in eine Vielzahl von Rechtsvorschriften.
Bereits vor gut zehn Jahren wurde eine intensive Diskussion über die Modernisierung des Datenschutzrechts
geführt, deren immer noch lesenswerte Ergebnisse (insbesondere das „Professorengutachten“ von Garstka, Roßnagel und Pfitzmann) Ende 2001, unmittelbar nach ihrer Erstellung, allerdings in einer Ministeriumsschublade
landeten und inzwischen einigen Staub angesetzt haben
dürften. In der damaligen politischen Stimmungslage, die
geprägt war durch die Terroranschläge am 11. September 2001, erschien der Datenschutz Vielen bestenfalls
nachrangig, vielfach sogar eher hinderlich. Zum Versanden der Datenschutzdiskussion mag auch beigetragen haben, dass sie über eine bloße Problembeschreibung und
einige Regelungsansätze nicht hinausgekommen ist. Insbesondere war es seinerzeit unterblieben, einen neuen
Entwurf für das Bundesdatenschutzgesetz zu erarbeiten.
Diese Erfahrungen sollten bedacht werden, wenn in der
nächsten Legislaturperiode des Deutschen Bundestages
die überfälligen Arbeiten an der Modernisierung des Da-
Drucksache 16/12600
tenschutzrechts wieder aufgenommen werden. Es müssten dabei konkrete Wegmarken definiert werden, welche
die Etappen zu einem wirklich neuen und zeitgemäßen
Datenschutzgesetz abstecken. Zu beachten ist auch, dass
sich diese Diskussion nicht auf Datenschutzexperten beschränken darf und politische und wirtschaftliche Aspekte von vornherein einbeziehen muss. Von erheblicher
Relevanz dürfte darüber hinaus auch der Fortgang der
Datenschutzdebatte auf internationaler und europäischer
Ebene sein. Noch ist nämlich nicht entschieden, ob sich
der europäische Ansatz des Datenschutzes, verkörpert vor
allem in der EG-Datenschutzrichtlinie von 1995, in Konkurrenz mit anderen Ansätzen (etwa aus dem US-amerikanischen und pazifischen Bereich) behaupten kann. Dies
kann dann umso eher gelingen, wenn in anderen Rechtsordnungen entwickelte und dort erfolgreiche Regelungsansätze, etwa die aus dem US-amerikanischen Raum
stammende Verpflichtung zur Information über Datenschutzverstöße („security breach notification“), aufgenommen und in das europäische Rechtssystem integriert
werden.
Bei alledem dürfen auch die unübersehbaren Änderungen
im Bewusstsein und Verhalten der Menschen nicht ignoriert werden, die neue Freizügigkeit im Internet, aber
auch der alltägliche selbstverständliche Umgang mit Informationstechnik. Bereits in den Ursprungsjahren des
Datenschutzes ging es ja nicht darum, den Einzelnen vor
jeglicher Form von Verarbeitung seiner Daten zu bewahren, sondern es ihm zu ermöglichen, selbst darüber zu bestimmen, „wer was über ihn weiß“. Diese Maxime ist allerdings unter den Bedingungen des Internets und der
allgegenwärtigen Datenverarbeitung, wo Daten quasi als
Nebenprodukte der Kommunikation oder der Erbringung
irgendwelcher Dienstleistungen entstehen, heute unrealistischer denn je. Die zunehmende Komplexität technologischer Systeme erschwert die Herstellung von Transparenz
im Sinne einer umfassenden Kenntnis des Betroffenen
hinsichtlich der zu seiner Person verarbeiteten Daten.
Umso wichtiger ist eine Komplexitätsreduktion, bei der
die wesentlichen Informationen vermittelt und dem Einzelnen eine faktische Möglichkeit zur Entscheidung über
echte Alternativen gegeben wird. Immer umfangreichere
Datenschutzinformationen und Einwilligungsklauseln bewirken eher das Gegenteil: sie werden meistens nicht einmal zur Kenntnis genommen, sondern bloß abgehakt in
der Hoffnung, es werde schon nichts passieren. So wünschenswert eine möglichst hohe Granularität der von den
Betroffenen einzustellenden Systemparameter sein mag,
sind doch die meisten Nutzer damit hoffnungslos überfordert. Von entscheidender Bedeutung wird es deshalb sein,
die Grundeinstellung technologischer Systeme datenschutzfreundlich zu gestalten, das heißt, sie auf Datenvermeidung und Datensparsamkeit auszulegen (vgl.
Nr. 8 ff.).
Schließlich darf nicht vergessen werden, dass die wesentlichen Wertentscheidungen unserer Gesellschaft in der
Verfassung niedergelegt sind. In der demokratischen Informationsgesellschaft gebührt dem Schutz des Rechts
auf informationelle Selbstbestimmung auch explizit Verfassungsrang. Es überzeugt einfach nicht, dass diejeni-
BfDI 22. Tätigkeitsbericht 2007-2008