Deutscher Bundestag – 17. Wahlperiode
– 21 –
1
Modernisierung des Datenschutzrechts
1.1
Modernisierung des Datenschutzrechts
– (k)eine endlose Geschichte?
Nach punktuellen Verbesserungen des Datenschutzrechts
muss die dringend erforderliche Grundrevision endlich in
Angriff genommen werden.
Die letzte größere Überarbeitung des BDSG liegt inzwischen zehn Jahre zurück. 1998 hatte sich die damalige
rot-grüne Bundesregierung vorgenommen, das deutsche
Datenschutzrecht grundlegend neu zu gestalten. Statt des
großen Wurfs gab es aber im Jahr 2001 lediglich einen
kleinen Schritt, der sich im wesentlichen auf die überfällige Anpassung des BDSG an die Europäische Datenschutzrichtlinie beschränkte, die 1995 in Kraft getreten
war. Unmittelbar nach dieser Gesetzesnovelle sollte – so
hatte es zumindest das Bundesinnenministerium angekündigt – die „Zweite Stufe“ der Datenschutzreform in Angriff genommen werden. Zur Vorbereitung dieser grundlegenden Modernisierung hatte das BMI ein ausführliches
Gutachten in Auftrag gegeben, das im Herbst 2001 fertig
gestellt wurde (Roßnagel, Pfitzmann, Garstka, Modernisierung des Datenschutzrechts, 2001). Trotzdem ist es bis
heute – trotz wechselnder politischer Mehrheiten – bei dieser Absichtsbekundung geblieben, obwohl die Dringlichkeit einer solchen Reform seitdem noch ständig gewachsen ist (vgl. zuletzt 22. TB Nr. 2.1).
Es ist allgemein anerkannt, dass eine Neukonzeption des
Datenschutzrechts dringend erforderlich ist. Auch der
Deutsche Bundestag hat entsprechende Schritte mehrfach
angemahnt, so in seinen einstimmig getroffenen Entschließungen zu meinem 21. TB (unter Nr. 2, Anlage 4) und zum
22. TB (unter Nr. 1, 2, 3, Anlage 5).
Immerhin wurden im Berichtszeitraum punktuell einzelne
Bereiche neu geregelt, bei denen aufgrund von Datenschutzskandalen und öffentlicher Diskussion der Handlungsbedarf besonders deutlich geworden war (vgl. Nr. 2.2
und 2.3). Die Grundstruktur des Datenschutzrechts harrt
weiterhin der grundlegenden Überarbeitung.
Bisweilen drängt sich der Eindruck auf, dass der Reformstau im Datenschutzrecht inzwischen so groß ist, dass
niemand mehr diese Mammutaufgabe in Angriff nehmen
möchte. Ein derartiges Verharren auf dem rechtlichen Status Quo hätte angesichts zunehmender Herausforderungen
verheerende Konsequenzen, bis hin zum sukzessiven Verlust der Privatsphäre der Bürgerinnen und Bürger.
Um Bewegung in die Modernisierung des Datenschutzes
zu bringen, hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder eine Arbeitsgruppe eingesetzt, die unter meiner Leitung konkrete Vorschläge für
die Datenschutzreform erarbeitet hat. Die Datenschutzkonferenz hat im März 2010 das Eckpunktepapier „Ein
modernes Datenschutzrecht für das 21. Jahrhundert“ (vgl.
Anlage 6) beschlossen und einer breiten Öffentlichkeit
vorgestellt.
1.2
Drucksache 17/5200
Eckpunkte der Datenschutzkonferenz –
die Richtung ist vorgegeben
Das Eckpunktepapier der Datenschutzkonferenz soll die
Reformdiskussion in konkrete Bahnen lenken.
Die Eckpunkte beschreiben die zentralen Herausforderungen für den Datenschutz, analysieren die jeweiligen
Defizite der derzeitigen rechtlichen Rahmenbedingungen
und ziehen daraus Schlussfolgerungen in Form konkreter
Vorschläge für den Inhalt künftiger Regelungen.
Für die Gesamtkonzeption des Datenschutzrechts wird
vorgeschlagen, zentrale allgemeingültige Schutzziele gesetzlich zu verankern, die einen verbindlichen Mindeststandard festlegen. Diese Schutzziele sollen die Grundlage
aller datenschutzrechtlichen Regelungen und Maßnahmen
für öffentliche und nicht-öffentliche Stellen bilden. Darauf
basierend sollen zentrale Prinzipien, insb. die Erforderlichkeit, Zweckbindung und das Verbot der heimlichen
Profilbildung, verankert und mit entsprechenden Sanktionsmöglichkeiten durchgesetzt werden.
Der Umgang mit personenbezogenen Daten sollte grundsätzlich offen und transparent sein, das Prinzip von Datenvermeidung und Datensparsamkeit soll verbindlich gelten
und wirksamer durchgesetzt werden können. Darüber hinaus wird vorgeschlagen, für die Datenverarbeitung in verteilten Systemen (z. B. beim Cloud Computing) oder bei
mehreren Beteiligten (z. B. bei zentralen Datenbanken, die
von mehreren Stellen gemeinsam geführt werden) die datenschutzrechtlichen Verantwortlichkeiten so festzulegen,
dass die Einhaltung des Datenschutzrechts und dessen
Kontrolle besser handhabbar werden.
Für die Gewährleistung des technischen und organisatorischen Datenschutzes und der Datensicherheit sollten statt
konkreter, auf eine bestimmte technische Umgebung fixierter Maßnahmen allgemeinverbindliche Schutzziele
gesetzlich festgeschrieben werden. Damit wird ein technikneutraler und flexibler Ansatz geschaffen, der den
grundrechtlichen Vorgaben des Rechts auf informationelle
Selbstbestimmung und des Rechts auf Gewährleistung der
Vertraulichkeit und Integrität informationstechnischer
Systeme auch bei sich verändernden technologischen oder
organisatorischen Rahmenbedingungen Rechnung trägt
(vgl. unten).
Datenschutz ist kein Selbstzweck; im Mittelpunkt steht der
Einzelne, dessen Grundrechte durch die Verarbeitung seiner personenbezogenen Daten betroffen sind. Deshalb
muss die Datenverarbeitung transparenter werden. Der
Betroffene muss in der Lage sein, seine Rechte auf Auskunft, Berichtigung oder Löschung auf einfache Weise
und auf elektronischem Wege wahrnehmen zu können.
Entwickler und Verwender informationstechnischer Systeme sollten gesetzlich verpflichtet sein, datenschutzfreundliche Technik bereitzustellen und einzusetzen („Privacy by Design“, vgl. Nr. 3.1). Den Betroffenen – die
zunehmend selbst aktive Teilnehmer an IT-Verfahren sind
und dabei persönliche Daten von sich und von Dritten verwenden – sollten IT-Produkte und Dienste mit den jeweils
datenschutzfreundlichsten Einstellungen zur Verfügung
gestellt werden („Privacy by Default“).
BfDI 23. Tätigkeitsbericht 2009-2010