Drucksache 17/5200
– 34 –
sich das Stiftungskonzept in das System der Datenschutzaufsicht einfügen. Die Beurteilung, ob die datenschutzrechtlichen Anforderungen eingehalten sind, unterliegt weiterhin
den Datenschutzaufsichtsbehörden. Insbesondere bei der
Prüfung von Produkten und Dienstleistungen auf ihre Datenschutzfreundlichkeit hin und bei der Entwicklung und
Vergabe von Datenschutzaudits durch die Stiftung muss
daher sicher gestellt sein, dass sich die Stiftung nicht in
Widerspruch zu der Kontrolltätigkeit der Datenschutzbehörden setzt. Gegenteilige Entscheidungen und Empfehlungen von Stiftung Datenschutz und Aufsichtsbehörden
wären weder im Interesse der Daten verarbeitenden Stellen noch der Verbraucherinnen und Verbraucher.
Die 80. Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat bereits im November 2010 darauf
hingewiesen, dass eine enge Kooperation zwischen der
Stiftung Datenschutz und den Datenschutzaufsichtsbehörden unerlässlich ist (vgl. Kasten zu Nr. 2.5).
K a s t e n zu Nr. 2.5
Entschließung der 80. Konferenz der der Datenschutzbeauftragten des Bundes und der
Länder vom 3./4. November 2010
Förderung des Datenschutzes durch Bundesstiftung
Die Konferenz der Datenschutzbeauftragten des Bundes
und der Länder nimmt zur Kenntnis, dass die Bundesregierung mit Hilfe einer Stiftung den Datenschutz stärken
will. Ungeachtet der noch zu klärenden verfassungsrechtlichen Vorfragen wird dieses Ziel von den Datenschutzbeauftragten nachdrücklich unterstützt. Dieses
Vorhaben setzt voraus, dass
– die Stiftung ihre Aufgaben unabhängig von den Daten verarbeitenden Stellen und der IT-Wirtschaft
wahrnimmt,
– die größtmögliche Transparenz der Tätigkeit garantiert ist und
– die Stiftung eng mit den Datenschutzbehörden des
Bundes und der Länder kooperiert.
Die Stiftung kann nur solche Aufgaben übernehmen, die
nicht ausschließlich den Datenschutzbehörden zugewiesen sind. Dies gilt insbesondere für die Kontrolle, ob gesetzliche Anforderungen eingehalten werden.
Die Datenschutzbeauftragten des Bundes und der Länder halten es für angezeigt, möglichst frühzeitig in die
Überlegungen zur Stellung und zu den Aufgaben der
Stiftung einbezogen zu werden. Insoweit bieten sie der
Bundesregierung ihre Unterstützung und Mitarbeit an.
Ich halte es darüber hinaus für angezeigt, dass die Datenschutzbehörden in den Gremien der Stiftung beteiligt
werden, damit sie frühzeitig über anstehende Entscheidungen der Stiftung informiert werden und ihre Erfahrungen einbringen können.
Bei der Besetzung der Stiftungsorgane und der Finanzierung ist zudem die organisatorische und finanzielle Unab-
BfDI 23. Tätigkeitsbericht 2009-2010
Deutscher Bundestag – 17. Wahlperiode
hängigkeit der Stiftung von den Daten verarbeitenden
Stellen und der Wirtschaft zu garantieren. Nur so kann sie
das für ihre Arbeit unverzichtbare Vertrauen der Bürgerinnen und Bürger in die Unabhängigkeit ihrer Arbeit gewinnen.
Die Stiftung Datenschutz könnte darüber hinaus auch als
„Trust-Center“ für ein zentrales Widerspruchsregister gegen die Veröffentlichung personenbezogener Daten im
Internet fungieren (vgl. Nr. 4.2).
2.6
Datenbrief – ein Vorschlag mit Tücken
Die Idee, alle Betroffenen einmal jährlich unaufgefordert
über die zu ihrer Person gespeicherten Daten zu informieren, ist ein anspruchsvolles Projekt, dessen Umsetzung allerdings schwierig sein dürfte.
Anfang des Jahres 2010 sorgte ein Vorschlag des Chaos
Computer Clubs für Diskussionen, alle Behörden, Unternehmen und Institutionen gesetzlich zu verpflichten, die
Betroffenen unaufgefordert einmal jährlich über die zu
ihrer Person erhobenen, gespeicherten oder übermittelten
Daten zu unterrichten. Ein solcher „Datenbrief“ solle die
Datensammelwut bremsen, Transparenz herstellen und
die Möglichkeit der Betroffenen verbessern, ihre Rechte
wahrzunehmen.
Diese Idee fand durchaus positive Resonanz in Politik und
Gesellschaft, zeigte sie doch auch, wie wenig die im
BDSG bereits enthaltenen Benachrichtigungspflichten
wegen der vielfältigen Ausnahmen greifen. Der Bundesminister des Innern berief zur Prüfung des Vorschlags eine
Projektgruppe aus Vertretern von Unternehmen, Verbänden und Behörden ein, in der auch ich vertreten war.
Schnell zeigte sich, dass die umfassende Konzeption des
Datenbriefes in vielen Bereichen nicht in die Praxis umgesetzt werden kann. So macht der Datenbrief wenig Sinn,
wo auf Grund unmittelbarer vertraglicher Beziehungen die
damit verbundenen Datenverarbeitungen auch für die betroffenen Bürgerinnen und Bürger offen liegen und sie ihre
datenschutzrechtlichen Ansprüche ohne weiteres geltend
machen können. Auch der Umfang eines Datenbriefs und
die technische Abwicklung warfen viele Fragen auf, die
letztendlich dazu geführt haben, dass der Vorschlag in dieser Form wohl keinen Eingang in das BDSG finden wird,
etwa im Hinblick auf Fallkonstellationen, in denen zwar
personenbezogene Daten gesammelt werden, die Identität
der Betroffenen aber nur indirekt – durch Hinzuziehung
weiterer Daten – festgestellt werden könnte.
Trotzdem hat die von dem Vorschlag ausgelöste Debatte
erhebliche Defizite offengelegt, insbesondere im Hinblick
auf die mangelnde Transparenz des Umgangs mit personenbezogenen Daten. Problematisch sind vor allem die
– durchaus zahlreichen – Fälle, in denen Betroffene von
Datenerhebungen, -speicherungen oder -übermittlungen
überhaupt keine Kenntnis haben und ihr informationelles
Selbstbestimmungsrecht deswegen auch nicht ausüben
können. Dies gilt sowohl für die heimliche Erhebung von
Daten im Internet (vgl. Nr. 4.1.2, 4.3) als auch für Bereiche, in denen Daten aus unterschiedlichen Quellen zusammengeführt werden, etwa zur – auch geschäftsmäßi-