Deutscher Bundestag – 17. Wahlperiode
– 25 –
gar nicht vorsehen oder nur in unübersichtlichen Einstellungen, die schwer zu finden sind. Aber selbst wenn eine
solche Funktion verfügbar ist und genutzt wird, bedeutet
dies für die Nutzer nicht immer, dass ihre Daten tatsächlich entfernt werden. Oft bleiben sie gespeichert und können später analysiert werden.
Darüber hinaus stellen Onlinedienste oft technische Möglichkeiten bereit, um personenbezogene Daten weiteren
Anbietern zur Verfügung zu stellen, die diese selbst noch
einmal abspeichern und von einer späteren Löschung der
Ursprungsdaten nichts erfahren.
Deswegen muss es das Ziel eines effektiven Datenschutzes im Internetzeitalter sein, dem Internet das Vergessen
beizubringen oder einen „Radiergummi für das Internet“
zu entwickeln.
Drucksache 17/5200
– Anbieter sollten verpflichtet werden, den Zugang der
Betroffenen zu Löschfunktionen möglichst einfach
und verständlich zu gestalten.
– Die Veröffentlichung personenbezogener Daten im Internet durch Dritte ohne Wissen des Betroffenen sollte
gesetzlich geregelt und grundsätzlich von einer Einwilligung abhängig gemacht werden.
– Die technische Bereitstellung personenbezogener Daten durch Onlineanbieter an Dritte (etwa die Entwickler von Software, Anbieter von Spielen und sonstigen
Diensten) sollte nur erfolgen, soweit dies vom Benutzer explizit genehmigt wurde, wobei er zuvor ausdrücklich darauf hinzuweisen wäre, welche Empfänger für welche Zwecke auf die Daten zugreifen, diese
kopieren, speichern und auswerten können.
Bei näherem Hinsehen offenbart sich aber die Vorstellung, persönliche Informationen im Internet auf einfache
Weise und nachhaltig löschen zu können, als kaum lösbares Problem. Der Radiergummi der realen Welt lässt sich
in der digitalen nicht nachbilden, setzt er doch voraus,
dass der Betroffene weiß, wo überall im Netz seine Daten
veröffentlicht sind, und dass er tatsächlich „Herr seiner
Daten“ ist.
Technische und rechtliche Lösungen dieser Problematik
sind dringend erforderlich, werden aber nur greifen können, wenn sie auch international akzeptiert und durchsetzbar sind. Deshalb sind die Bestrebungen zur europaund weltweiten Verbesserung des Datenschutzes von herausragender Bedeutung (vgl. Nr. 13.2).
2
Datenschutzrechtlicher Rahmen
Der Idee eines Verfallsdatums im Internet – unabhängig
von den Vorgaben der jeweiligen Diensteanbieter – wurde
kürzlich eine erste Form gegeben: Bei einem an der Universität Saarbrücken entwickelten System (x-pire) stellt
der Betroffene seine persönlichen Daten in verschlüsselter Form ins Netz, beim Herunterladen durch andere Nutzer werden sie wieder entschlüsselt. Mit der Gültigkeitsdauer des dafür erforderlichen Schlüssels legt der
Betroffene das Datum fest, bis zu dem seine Daten abrufbar sein sollen.
2.1
Lektion aus Luxemburg: Datenschutzaufsicht in Deutschland nicht
unabhängig
Die Lösung ruft einige kritische Fragen hervor – nach der
Vertrauenswürdigkeit des Schlüsselverwalters oder wie
man verhindern will, dass die heruntergeladenen Daten
kopiert und an anderer Stelle wieder öffentlich gemacht
werden. Ich halte sie aber dennoch für einen hilfreichen
Beitrag zur Entwicklung neuer Ideen, um auch im Internet das Recht auf Löschung zu realisieren.
Weitere Ansätze sind erforderlich, um den Nutzerinnen
und Nutzern eine möglichst weit gehende Kontrolle über
die sie betreffenden Daten zu geben:
– Bereits bei der Erhebung müssen die Grundsätze der
Datenvermeidung und -sparsamkeit gelten. So sollten
die Dienste so gestaltet werden, dass nur die wirklich
erforderlichen Daten erhoben und gespeichert werden.
Die Inanspruchnahme der Dienste unter Verwendung
von Pseudonymen sollte grundsätzlich möglich sein.
– Durch datenschutzfreundliche Voreinstellungen sollten die von den Nutzern eingestellten Inhalte zunächst
nur einem von diesen selbst bestimmten begrenzten
Kreis anderer Teilnehmer zugänglich gemacht werden. Die Veröffentlichung gegenüber einer allgemeinen, weltweiten Internetöffentlichkeit sollte nur erfolgen, soweit die Nutzer dies ausdrücklich wollen.
Wie der Europäische Gerichtshof (EuGH) mit Urteil vom
9. März 2010 (C-518/07) festgestellt hat, genügt die Datenschutzaufsicht im nicht-öffentlichen Bereich in Deutschland nicht den in der EG-Datenschutzrichtlinie 95/46 festgelegten Anforderungen an die völlige Unabhängigkeit.
Die Feststellungen des Gerichts müssen jetzt zügig umgesetzt werden – nicht nur in den Ländern, sondern auch
beim Bund.
Die Europäische Kommission hatte das Verfahren eingeleitet (vgl. 21. TB Nr. 2.2), weil nach ihrer Ansicht die
Organisation der Datenschutzaufsicht im nicht-öffentlichen Bereich in Deutschland gegen Artikel 28 Absatz 1
der EG-Datenschutzrichtlinie verstößt: Die Aufsichtsbehörden könnten ihre Aufgaben nicht in der geforderten
„völligen Unabhängigkeit“ wahrnehmen. Dies betraf
nicht nur die Länder, in denen die Datenschutzaufsicht
bei Behörden der Innenverwaltung oder den Innenministerien selbst angesiedelt ist, sondern auch die, in denen
die Datenschutzaufsicht im nicht-öffentlichen Bereich
den Landesbeauftragten für den Datenschutz zugewiesen
war.
Diese Auffassung wurde nun vom EuGH sehr weitgehend
bestätigt. Nach seinem eindeutigen Urteil muss die Datenschutzaufsicht von jeder äußeren Einflussnahme frei sein.
Völlige Unabhängigkeit bedeute nicht allein, dass eine
Einflussnahme von den zu kontrollierenden Daten verarbeitenden Stellen auszuschließen sei (funktionelle Unabhängigkeit). Vielmehr sei der Begriff der völligen Unabhängigkeit in einem umfassenden Sinne zu verstehen. Es
müsse gewährleistet sein, dass keinerlei politische und institutionelle Einflussnahme, etwa im Sinne einer Aufsicht
BfDI 23. Tätigkeitsbericht 2009-2010