Drucksache 17/13000
24 ––
–– 24
darf nicht erst bei der Nutzung, sondern muss bereits bei
der Entstehung von Persönlichkeitsprofilen ansetzen.
Auch lassen sich die Gefahren der Profilbildung nicht
allein durch rechtliche Verbote bewältigen. Vielmehr
bedarf es technologischer Ansätze, wie zum Beispiel
wirksamen und rücknahmefesten Anonymisierungs- oder
Verschlüsselungsmechanismen, die die Gefahren für die
Persönlichkeitsrechte begrenzen. Umgekehrt könnte die
Profilbildung unter Verwendung von Pseudonymen bei
gleichzeitigem Verbot der Herstellung des unmittelbaren
Personenbezugs privilegiert werden. Das deutsche Telemediengesetz enthält hier Ansätze, die auch auf eine
europäische Regelung übertragen werden könnten.
Stärkung des technologischen Datenschutzes
Die Informationsverarbeitung und mit ihr auch der Datenschutz unterliegen einer ungeheuren technologisch bedingten Veränderungsdynamik. Ich hoffe deshalb, dass
die Reform des europäischen Datenschutzrechts zu einer
viel stärkeren Verankerung des technologischen Datenschutzes führt.
Der Entwurf der Datenschutz-Grundverordnung enthält
in dieser Beziehung zahlreiche positive Ansätze, den
technologischen Datenschutz auf europäischer Ebene zu
stärken. Im Vergleich zur geltenden Richtlinie nimmt der
technologische Datenschutz einen sehr viel breiteren
Raum ein. Die Kommission hat offenbar die Notwendigkeit erkannt, in diesem Bereich auch auf der normativen
Ebene deutlich mehr zu tun. An einigen Stellen sehe ich
jedoch noch Verbesserungsbedarf:
Ein zeitgemäßer und zukunftsfähiger Datenschutz umfasst technisch-organisatorische Maßnahmen, die Datenschutz und Datensicherheit angemessen berücksichtigen.
Dies ist eine der zentralen Forderungen aus dem Eckpunktepapier „Ein modernes Datenschutzrecht für das
21. Jahrhundert“ der Konferenz der Datenschutzbeauftragten des Bundes und der Länder aus dem Jahre 2010
(vgl. 23. TB Nr. 1.2).
Im Verordnungsentwurf sind verschiedene Grundsätze
und Vorgaben enthalten, die den technologischen Datenschutz auf breiter Ebene vorantreiben können. Insbesondere Kapitel IV befasst sich zu einem großen Teil mit diesen Fragen. Dazu gehören unter Anderem
– die Verpflichtung zu „Privacy by Design“, also zur
Berücksichtigung von Datenschutzanforderungen bereits bei der Systemkonzeption,
– die Forderung nach „Privacy by Default“, d. h. nach
datenschutzgerechten Grundeinstellungen etwa bei sozialen Netzwerken,
– die Verpflichtung zur Einhaltung technisch-organisatorischer Grundsätze der IT-Sicherheit zum Schutz
personenbezogener Daten,
– die ebenfalls obligatorische Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung oder
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
– der wiederholte Hinweis auf die Notwendigkeit zur
Durchführung technisch-organisatorischer Maßnahmen.
Leider sind die diversen Aspekte der Datensicherheit und
technologischen Anforderungen über eine Vielzahl einzelner Regelungen verstreut, ohne dass die hohe Bedeutung
des technologischen Datenschutzes an zentraler Stelle der
Verordnung verdeutlicht wird. In einer solchen technischen
„Zentralnorm“ sollten die elementaren Datenschutzschutzziele Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettbarkeit und Intervenierbarkeit als Zielvorgaben für technisch-organisatorische Maßnahmen in
die in der Datenschutz-Grundverordnung verankerten
Grundsätze des Datenschutzes aufgenommen werden.
Diese Schutzziele sind bereits jetzt als Grundlage für die
Durchführung technisch-organisatorischer Maßnahmen sowohl auf europäischer Ebene (vgl. WP 196 der Artikel-29Gruppe zum Thema „Cloud Computing“, Nr. 5.3) als
auch auf nationaler Ebene (vgl. Konferenz der Datenschutzbeauftragten des Bundes und der Länder [Hrsg.],
Ein modernes Datenschutzrecht für das 21. Jahrhundert,
2010, Kapitel 3, www.datenschutz.bund.de, 23. TB Anlage 6) anerkannt.
Der Verordnungsentwurf enthält viele begrüßenswerte
technikneutrale Gestaltungsansätze. Hierfür nur zwei
Beispiele:
Die Grundsätze von „Privacy by Design“ und „Privacy by
Default“ in Artikel 23 des Verordnungsentwurfs berücksichtigen bereits die im deutschen Datenschutzrecht bekannten Grundsätze der Datenvermeidung und Datensparsamkeit als Kerngedanken und gestalten diese weiter
aus. Damit sollen etwaige Datenschutzprobleme bereits
bei der Entwicklung neuer Technologien festgestellt werden, um den Datenschutz von vorneherein in die Gesamtkonzeption einzubeziehen – im Nachhinein können systemimmanente Datenschutzprobleme – wenn überhaupt –
vielfach nur mühsam und mit viel Zeit- und Kostenaufwand behoben werden.
Das Instrument der Datenschutz-Folgenabschätzung (Privacy Impact Assessment – PIA) ist ein weiterer Baustein
zur Implementierung datenschutzgerechter IT-Prozesse.
Nicht erst durch den Artikel 33 des Entwurfs der Datenschutz-Grundverordnung, sondern auch durch die von der
Europäischen Kommission vorangetriebene Entwicklung
von PIAs für RFID-Systeme (vgl. 23. TB Nr. 5.9,
WP 180 der Artikel-29-Gruppe) oder für Smart-Grid-/
Smart-Metering-Systeme (vgl. Nr. 10.1) werden Datenschutz-Folgenabschätzungen eine zunehmend wichtigere
Rolle einnehmen. Bislang handelt es sich dabei aber ganz
überwiegend um freiwillige und unverbindliche Vorgaben. Ich begrüße es daher, dass die Durchführung solcher
Folgenabschätzungen nunmehr in bestimmten Fällen verbindlich vorgeschrieben werden soll. Die Ergebnisse einer Datenschutz-Folgenabschätzung sollten nicht nur für
Hersteller und Anwender, sondern auch für die Betroffenen transparent sein. Nur so kann nachvollzogen werden,
welche Risiken bei welchen Datenverarbeitungsprozessen bestehen. Neben einer Dokumentationspflicht sollten