Im Rahmen ihrer „closed session“, die den Datenschutzbeauftragten selbst und ihren Vertretern vorbehalten ist,
beschäftigte sich die Konferenz mit dem Phänomen der „App-ification“ der Gesellschaft. Gemeint ist damit,
dass für immer neue Zwecke und Lebenslagen kleine Anwenderprogramme (Applikationen oder „Apps“) insbe sondere für mobile Kommunikationsgeräte (sog. Smartphones und Tablets), entwickelt und interessierten Kunden oftmals entgeltfrei zur Nutzung angeboten werden. Dafür muss der Kunde in der Regel allerdings einwilligen, der Applikation Zugriff auf die Daten seines mobilen Endgerätes zu gewähren, was häufig die Standortdaten des Nutzers einschließt und somit das Anfertigen von Bewegungsprofilen ermöglicht. Daher forderte die
35. Internationale Datenschutzkonferenz in ihrer „Warschauer Erklärung zur App-ifizierung der Gesellschaft“,
dass auch für diese innovativen Anwenderprogramme die Grundsätze des Datenschutzes, wie Zweckbindung,
Erforderlichkeit oder Datensparsamkeit, gelten müssen; zudem müsse für die Nutzer hinreichende Transparenz
bei der Erhebung und Verarbeitung ihrer personenbezogenen Daten gewährleistet sein.
Als weitere Orientierungshilfen verabschiedete die Konferenz Entschließungen zu den Themen „Profiling“,
„Web-Tracking“ und „Digital Education“ (Alle Entschließungen sind auf meiner Internetseite unter www.datenschutz.bund.de abrufbar).
Darüber hinaus hat die 35. Internationale Konferenz auf Initiative meines Hauses - mit der Unterstützung von
Datenschutzbehörden aus Europa, Asien und Amerika - eine Resolution zur Verankerung des Datenschutzes im
internationalen Recht beschlossen und die Regierungen weltweit aufgefordert, in Verhandlungen für ein verbindliches internationales Datenschutzabkommen einzutreten. Die Resolution schlägt vor, zu diesem Zweck an
Artikel 17 des Internationalen Paktes über Bürgerliche und Politische Rechte der Vereinten Nationen, der u. a.
den Schutz des Heims und der Privatsphäre zum Inhalt hat, sowie an die von der Internationalen Datenschutzkonferenz bereits 2009 beschlossenen „Internationalen Standards“ für den Schutz personenbezogener Daten und
der Privatsphäre anzuknüpfen. (vgl. auch Nr. 4.1).
Erstmals tagte die Internationale Konferenz anlässlich ihrer 36. Zusammenkunft in der Region Afrika, die auf
Einladung der Datenschutzbehörde der Republik Mauritius vom 13. bis 16. Oktober 2014 stattfand.
Als Schwerpunktthema der „closed session“ wurde das „Internet der Dinge“ behandelt (vgl. hierzu auch
Nr. 2.2). Durch die fortschreitende Miniaturisierung der Technik ist es möglich geworden, Sensoren, die ständig
Daten erfassen können, in immer kleineren Geräten einzusetzen. Beispielhaft genannt seien Fitness-Armbänder,
die permanent Schrittfrequenz und Herzschlag des Nutzers aufzuzeichnen und an ein mobiles Kommunikations endgerät wie ein Smartphone oder ein Tablet übertragen, damit diese Daten dort in einer Gesundheits-App weiter verarbeitet werden. Durch diese ubiquitäre Entstehung und Speicherung personenbezogener Daten werden
- insbesondere unter Nutzung der fortgeschrittenen Analysetechniken von „Big Data“ - äußerst detaillierte individuelle Nutzerprofile möglich, die sehr viele und sensible Informationen über den Betroffenen preisgeben können. Daher fordert die „Mauritius Declaration on the Internet of Things“, dass der Schutz der nutzerbezogenen
Daten gestärkt werden muss, z. B. durch Nutzung anonymisierter Daten. Insbesondere die Verwendung einmal
erhobener Daten zu anderen Zwecken oder die Weiterübermittlung an Dritte („out-of-context-use“) muss streng
reglementiert werden. Darüber hinaus sollte spätestens beim Kauf eines Gerätes, das das Internet der Dinge
nutzt, der Kunde hinreichend über die vorgesehene Datenverarbeitung informiert werden.
Im Zusammenhang mit dieser Problematik ist auch die Entschließung zu „Big Data“ zu sehen, die ich wie die
Resolution zum Schutz der Privatsphäre im digitalen Zeitalter als so genannter Co-Sponsor mitgetragen habe.
Letztere nimmt Bezug auf die Resolution der Generalversammlung der Vereinten Nationen vom Dezember
2013 zum gleichen Thema, die vor dem Hintergrund der im Sommer 2013 bekannt gewordenen Massenüberwa chungsprogramme einiger Staaten auf Vorschlag Deutschlands und Brasiliens angenommen worden war (vgl.
Nr. 4.1).
Darüber hinaus hat die Internationale Konferenz eine Entschließung zur Verstärkung der grenzüberschreitenden
Zusammenarbeit der Datenschutzaufsichtsbehörden und ein damit verbundenes „Cooperation Arrangement“ ge-
– 64 –
BfDI 25. Tätigkeitsbericht 2013-2014