Drucksache 17/13000
56 ––
–– 56
zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu schaffen. Solche Überlegungen orientieren sich offensichtlich an Selbstverpflichtungen der Wirtschaft in anderen Bereichen, in denen es noch keine
gesetzlichen Regelungen gibt und aufgrund der Selbstregulierung auch nicht geben soll. Dies ist beim Datenschutzrecht aber anders: § 38a BDSG soll kein neues Datenschutzrecht oder neue Befugnisse schaffen. Dies bleibt
Aufgabe des Gesetzgebers. Selbstregulierung im Sinne
von § 38a BDSG ist auf die Konkretisierung des bestehenden Datenschutzrechts beschränkt.
Gerade in den letzten Jahren wurden datenschutzpolitische Debatten über die Notwendigkeit der Anpassung
datenschutzrechtlicher Rahmenbedingungen dadurch abgebrochen, dass die Politik – vor allem das Bundesministerium des Innern (BMI) – eine Selbstregulierung zur Lösung unübersehbarer Probleme in Aussicht gestellt hat. In
der jüngeren Vergangenheit gibt es gleich zwei Beispiele,
in denen dieses Vorgehen ganz oder teilweise gescheitert
ist: Beim so genannten Geodatenkodex des Branchenverbandes BITKOM (vgl. 23. TB Nr. 4.1.3) und bei der geplanten Selbstregulierung für soziale Netzwerke.
Der Geodatenkodex sollte als Selbstverpflichtung der entsprechenden Unternehmen einen datenschutzgerechten
Umgang mit so genannten Panoramadiensten (z. B.
Google Street View oder Bing Street Side) sicherstellen.
Das BMI wollte gesetzgeberisch die rote Linie festlegen,
die beim Umgang mit personenbezogenen Daten im Internet nicht überschritten werden dürfe. Am Ende hatte
sich die öffentliche Aufregung um die Angebote gelegt
und es kam weder eine anerkannte Selbstregulierung
noch das angekündigte „Rote-Linie-Gesetz“. Der Versuch
des zuständigen Verbandes, Verhaltensregeln vorzulegen,
die den gesetzlich vorgesehenen Standard sogar unterschreiten, konnte nicht gut gehen. Der von der Wirtschaft
schließlich in Kraft gesetzte Geodatenkodex wurde – anders als in § 38a BDSG vorgesehen – den Aufsichtsbehörden überhaupt nicht vorgelegt. Er genügt nicht einmal
den gesetzlichen Anforderungen, wie die Datenschutzaufsichtsbehörden festgestellt haben, und bleibt sogar
hinter den Zusagen zurück, die die Firma Google für ihren Dienst „Streetview“ dem Hamburgischen Beauftragten für den Datenschutz und die Informationsfreiheit gegeben hatte. Anschließend hat sich der eigens zu diesem
Zweck von der Wirtschaft gegründete Verein lange Zeit
noch nicht einmal an seine eigenen Regeln gehalten, denn
erst eineinhalb Jahre nach Unterzeichnung des Kodexes
nahm die zentrale Anlaufstelle im September 2012 ihre
Arbeit auf. Inzwischen steht das Portal www.geodatendienstekodex.de zur Verfügung, fristet jedoch ein Schattendasein.
Als im Jahre 2011 die öffentliche Debatte um den Datenschutz in sozialen Netzwerken einen vorläufigen Höhepunkt erreichte, ging das BMI wieder nach demselben
Muster vor. Es ergriff die Initiative zur Schaffung einer
Selbstregulierung. Seitdem beraten verschiedene Branchenvertreter über einen Kodex für den Datenschutz in
sozialen Netzwerken. Die Arbeiten an diesen Verhaltensregeln kommen indes kaum voran.
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
Es gibt aber auch erfolgreichere Beispiele der Selbstregulierung:
Eher unbemerkt von der Öffentlichkeit berät eine Arbeitsgruppe der Kommission für Geoinformationswirtschaft
(GIW-Kommission) und der Konferenz der Datenschutzbeauftragten des Bundes und der Länder über einen
GeoBusiness Code of Conduct. Zweck dieser Selbstregulierungsinitiative ist es, für Unternehmen, die Geoinformationen von der öffentlichen Hand bekommen, einheitliche und standardisierte Regeln zum Umgang mit diesen
Informationen zu schaffen und damit die allgemeinen gesetzlichen Bestimmungen zu konkretisieren. Gleichzeitig
soll den bereitstellenden Verwaltungen eine Orientierungshilfe gegeben werden, um ihnen die Auslegung der
einschlägigen datenschutzrechtlichen Bestimmungen zu
erleichtern. Der Code of Conduct konnte allerdings bisher
nicht der zuständigen Aufsichtsbehörde vorgelegt werden, weil es von einzelnen Datenschutzbehörden noch
Vorbehalte gibt. Dies zeigt ein weiteres Dilemma von
Selbstregulierung auf: Die föderale Struktur der Datenschutzaufsicht macht die Einführung bundesweit anerkannter Verhaltensregeln zuweilen zu einem mühsamen
und langwierigen Prozess.
Als bisher einziges erfolgreiches Beispiel einer Selbstregulierung kann der Code of Conduct der Versicherungswirtschaft angesehen werden (vgl. Nr. 10.4).
Als Fazit bleibt festzuhalten: Selbstregulierung im Sinne
von § 38a BDSG kann nur dann erfolgreich sein, wenn
sich die Wirtschaft im Dialog mit den Aufsichtsbehörden
konstruktiv und ernsthaft im Sinne der Förderung des Datenschutzes in bestimmten Sektoren einsetzt. Dies ist ein
zeitlich und inhaltlich anspruchsvolles und sorgfältig zu
planendes Unterfangen. Wer Selbstregulierung als „Blitzableiter“ zur Befriedung datenschutzpolitischer Debatten
oder als Ersatz für notwendige gesetzgeberische Aktivitäten einsetzt, verhindert nicht bloß sinnvolle datenschutzrechtliche Lösungen, sondern diskreditiert das Instrument
selbst.
3.5
Transparenz – auch bei Datenschutzpannen!
Auch wenn beim Datenschutz gilt, Vorbeugen ist besser
als heilen, lassen sich doch Datenpannen nicht völlig ausschließen. Ob aus Nachlässigkeit oder vorsätzlich: Wenn
personenbezogene Daten abhanden kommen, kann dies
erhebliche Nachteile für die Betroffenen und wirtschaftliche Schäden für die verantwortliche Stelle mit sich
bringen. Öffentliche Stellen und Unternehmen tun sich
trotzdem schwer, angemessen mit derartigen Vorfällen
umzugehen. Seit mehreren Jahren wird deshalb auf nationaler, europäischer und internationaler Ebene daran gearbeitet, hier für mehr Transparenz zu sorgen. Dabei verspricht man sich von den Meldepflichten zweierlei: Zum
einen sollen die verantwortlichen Stellen dazu angehalten
werden, sich intensiver um IT-Sicherheit und Datenschutz
zu kümmern. Zum anderen sollen die Betroffenen in die
Lage versetzt werden, Gegenmaßnahmen zu treffen,
Schäden zu erkennen und zu begrenzen.