Drucksache 17/5200
– 188 –
Deutscher Bundestag – 17. Wahlperiode
n o c h Anlage 6
Konferenz der Datenschutzbeauftragten des Bundes und der Länder
„Ein modernes Datenschutzrecht für das 21. Jahrhundert“
3. Technischer und organisatorischer Datenschutz
Das Recht auf informationelle Selbstbestimmung kann nur gewährleistet werden, wenn es durch besondere Vorkehrungen für die technische Durchführung
und Organisation der Erhebung, Verarbeitung und Nutzung personenbezogener Daten gesichert wird. Angesichts der weit fortgeschrittenen Digitalisierung
der automatisierten Datenverarbeitung und ihrer Allgegenwart, angesichts der
Verkettbarkeit personenbezogener Daten kommt technischen und organisatorischen Schutzvorkehrungen eine immer größere Bedeutung zu. Die besten rechtlichen Verarbeitungsbeschränkungen sind praktisch wertlos, wenn ihre technische und organisatorische Absicherung fehlt oder mangelhaft ist.
Die Konzeption des BDSG und vieler Landesdatenschutzgesetze wird diesen
Anforderungen indes nicht mehr gerecht. Die in der Anlage zu § 9 BDSG aufgeführten einzelnen Maßnahmen zur Gewährleistung des technischen und organisatorischen Datenschutzes stammen noch aus der Zeit der Großrechnertechnologie und lassen sich nur noch mit Mühe auf die heutige Welt vernetzter
und ubiquitärer Systeme übertragen. Es ist zu erwarten, dass sie für die weitere
Entwicklung der IuK-Technologien noch weniger geeignet sein werden.
Im geltenden Recht finden sich nur punktuelle Lösungsansätze hinsichtlich der
konzeptionellen Absicherung vor Datenschutzrisiken beim Einsatz automatisierter Verfahren. Dies betrifft auch Verfahren, bei denen eine Verarbeitung
personenbezogener Daten nicht von vornherein intendiert, aber (ggf. zu einem
späteren Zeitpunkt) möglich ist.
Die Konferenz der Datenschutzbeauftragten schlägt deshalb eine grundsätzliche
Reform der Regeln zum technischen und organisatorischen Datenschutz vor,
die folgende Aspekte berücksichtigen müsste:
•
Die bisher in der Anlage zu § 9 BDSG beschriebenen Maßnahmen zur
Gewährleistung des technischen und organisatorischen Datenschutzes („10
Gebote“) sind durch die Definition elementarer Schutzziele zu ersetzen.
Diese sollten folgende Bedingungen erfüllen:
o Die Schutzziele sollten einfach, verständlich und praxistauglich sein.
o Die Schutzziele sind an den Vorgaben des Datenschutzes zu messen,
müssen längere Zeit Bestand haben und dürfen sich trotz aller Überschneidungen nicht allein an den Vorgaben der IT-Sicherheit orientieren.
o Aus den Schutzzielen sollten sich die konkret in der Praxis zu treffenden Maßnahmen ableiten lassen. Die Maßnahmen müssen in einfa-
18
BfDI 23. Tätigkeitsbericht 2009-2010