Drucksache 17/5200
– 22 –
Das Datenschutzrecht muss internetfähig werden. Dabei
kommt der grundsätzlich unbeobachteten Nutzung elektronischer Dienste besondere Bedeutung zu. Es sind die
Voraussetzungen zu schaffen, dass die Betroffenen auch
im Netz ihre Rechte adäquat wahrnehmen können. Ebenso
wie das Internet global ist, müssen auch datenschutzrechtliche Mindeststandards global gelten und durchgesetzt
werden können.
Gesetzliche Regelungen für ein hohes und verbindliches
Datenschutzniveau sind weiterhin wichtig. Zusätzlich
müssen aber auch die Anreize gestärkt werden, dass die
verantwortlichen Stellen Datenschutz als im eigenen Interesse liegendes Anliegen begreifen. Dies kann beispielsweise durch ein Datenschutzaudit geschehen, also die
Zertifizierung der Datenschutzeigenschaften von Produkten und Diensten auf Basis unabhängiger Begutachtung.
Ein durch gesetzliche Vorgaben in seiner Qualität gesichertes Datenschutzaudit könnte die Erfolgsaussichten
datenschutzfreundlicher Angebote im Wettbewerb verbessern.
Die staatliche Datenschutzaufsicht und ihre Unabhängigkeit müssen gestärkt werden, um die Umsetzung der gesetzlichen Datenschutzanforderungen in der Praxis zu garantieren. So muss die personelle und finanzielle
Ausstattung der Aufsichtsbehörden den gesteigerten Anforderungen entsprechen und sie benötigen wirksame
Durchsetzungsbefugnisse. Die durch den Europäischen
Gerichtshof in seinem Urteil vom 9. März 2010 festgelegten Anforderungen an die Unabhängigkeit der Datenschutzkontrolle (vgl. Nr. 2.1) müssen in Bund und Ländern zügig umgesetzt werden.
Die bei Verstößen gegen das Datenschutzrecht vorgesehenen Sanktionen haben sich zum Teil als nicht ausreichend
erwiesen. Deshalb muss die Durchsetzung von Schadensersatzansprüchen sowie die Verfolgung von Ordnungswidrigkeiten erleichtert werden.
Schließlich muss das Datenschutzrecht insgesamt leichter
lesbar und damit einfacher anwendbar werden. Durch die
seit 1990 vorgenommenen zahlreichen Gesetzesänderungen haben einige Vorschriften des BDSG einen solchen
Umfang angenommen, dass sie von den Rechtsanwendern
– auch von solchen mit juristischer Vorbildung – bisweilen
kaum noch verstanden werden. Zudem sind stellenweise
sogar Widersprüche, Lücken und Überregulierungen entstanden, die fast zwangsläufig zu Unsicherheiten und
Streit über die Auslegung der Bestimmungen führen.
Ich wünsche mir, dass unsere Eckpunkte die datenschutzpolitische Diskussion über die grundlegende Modernisierung auf eine neue Qualitätsstufe heben und im Ergebnis
in entsprechende gesetzgeberische Aktivitäten münden.
Ich sehe es positiv, dass der Deutsche Bundestag das Eckpunktepapier bereits positiv aufgenommen und die Bundesregierung aufgefordert hat, Möglichkeiten zu seiner
Umsetzung zu prüfen (unter Nr. 6, Anlage 5). Selbstverständlich werde ich die Eckpunkte auch in die Diskussion
über die Neuordnung des europäischen Rechtsrahmens
(vgl. Nr. 13.2) einbringen.
BfDI 23. Tätigkeitsbericht 2009-2010
Deutscher Bundestag – 17. Wahlperiode
Das vollständige Eckpunktepapier ist als Anlage 6 diesem Bericht beigefügt und ist in meinem Internetangebot
veröffentlicht.
1.3
Datenschutz durch Technik
und Organisation
In den Reformvorschlägen der Datenschutzkonferenz
kommt technischen und organisatorischen Komponenten
eine wichtige Funktion zu.
Das Bundesverfassungsgericht hat die Gewährleistung
der Vertraulichkeit und Integrität informationstechnischer
Systeme als neues Grundrecht aus Artikel 1 und 2 des
Grundgesetzes hergeleitet (Entscheidung des Bundesverfassungsgerichts zum „Grundrecht auf Gewährleistung
der Vertraulichkeit und Integrität informationstechnischer
Systeme“, 1 BvR 370/07 vom 27. Februar 2008). Damit
werden diese beiden klassischen Schutzziele, die bereits
in einigen Landesdatenschutzgesetzen ihren Niederschlag
gefunden haben, in ihrer verfassungsrechtlichen Gültigkeit bestätigt. Bei den Überlegungen zu einer Weiterentwicklung der technisch-organisatorischen Regelungen in
den Datenschutzgesetzen sollten deswegen folgende Bedingungen berücksichtigt werden:
1. Die Grundlage sollten elementare Schutzziele bilden,
aus denen sich weitere (Schutz-)Ziele systematisch
herleiten lassen. Die Schutzziele sollten einfach, verständlich und praxistauglich sein (vgl. Kasten zu
Nr. 1.3).
2. Die Schutzziele korrespondieren mit den elementaren
Schutzzielen der IT-Sicherheit (Verfügbarkeit, Unversehrtheit, Vertraulichkeit) und weisen mit diesen
Überschneidungspunkte auf. Gleichzeitig sollte aber
die spezielle Sichtweise des Datenschutzes zum Tragen kommen.
3. Die Schutzziele müssen nachhaltig sein, damit sie
über längere Zeit Bestand haben.
4. Auf der Basis der Schutzziele sollten sich – anwendungsübergreifende und spezifische – Kataloge von
Datenschutzmaßnahmen ableiten lassen, die – ähnlich wie der IT-Grundschutzkatalog des BSI – in flexible, praxistaugliche und durch Software unterstützte Verfahren umgesetzt werden können und als
Kriterien-Kataloge eines Datenschutzaudits dienen
könnten.
5. Die elementaren Schutzziele sollten weitgehend technologieunabhängig definiert werden, während die
daraus abgeleiteten Maßnahmen den konkreten Anforderungen und Einsatzbedingungen der jeweiligen
IT-Systeme Rechnung zu tragen haben. Somit gilt:
Die Schutzziele bleiben, die Maßnahmen müssen sich
dagegen weiterentwickeln.
6. IT-Systeme sind so zu gestalten, dass sie den grundlegenden rechtlichen Anforderungen des Datenschutzes
entsprechen bzw. diese unterstützen (Datenvermeidung, Datensparsamkeit, Zweckbindung, Betroffenenrechte wie Berichtigung und Löschung). Dies greifen
Konzepte wie Systemdatenschutz und Datenschutz