Ein modernes Datenschutzrecht für das 21. Jahrhundert

Die Datenschutzbeauftragten erinnern heute wieder an ihre Eckpunkte für eine Modernisierung des Datenschutzrechts: Ein modernes Datenschutzrecht für das 21. Jahrhundert (Update: komplettes Papier als PDF). Wesentliche Forderungen der Datenschutzbeauftragten sind dabei:

1. Konkrete Schutzziele des Datenschutzes sind als Grundlage aller Re-gelungen und Maßnahmen zu verankern: Spezialgesetzliche Regelungen sollen nur noch ausnahmsweise vorgehen. Für öffentliche und nichtöffentliche Stellen sind gleiche Regeln zu schaffen. Datenschutz ist technisch in Produkte und Verfahren zu integrieren. Die Bildung von Profilen ist grundsätzlich strikt zu reglementieren.

2. Im Interesse der Betroffenen ist die Datenerhebung, -verarbeitung und -nutzung möglichst transparent zu gestalten: Eine vom Betroffenen unbemerkte Datenerhebung soll grundsätzlich unzulässig sein; umgekehrt muss der Betroffene eindeutig und verständlich über die Art und Weise des Umgangs mit seinen Daten und seine Rechte aufgeklärt werden. Unvermeidliche Datenerhebungen sind auch hinsichtlich der weiteren Verwendung der gewonnenen Daten eng zu begrenzen. Verstöße sind wirksam zu ahnden.

3. Die Beteiligung mehrerer Stellen an der Datenverarbeitung ist durch entsprechende datenschutzrechtliche Vorschriften rechtskonform zu gestalten: Die vielfach praktizierte arbeitsteilige Datenverarbeitung von öffentlichen und privaten Stellen, teilweise sogar mit Auslandsbezug, ist mit dem geltenden Recht nicht befriedigend in Einklang zu bringen. Die datenschutzrechtliche Verantwortung sollte unter Berücksichtigung der tatsächlichen Einflussmöglichkeiten und der Interessenlage der Betroffenen neu geregelt werden.

4. Die Regeln zum technischen und organisatorischen Datenschutz sind grundlegend zu reformieren: Die bisher geltenden technikabhängigen Maßnahmen sind durch elementare, technikunabhängige und praxistaugliche Schutzziele zu ersetzen, aus denen sich konkrete Maßnahmen nach dem jeweiligen Stand der Technik ableiten lassen. Vor der Freigabe von EDV-Verfahren sind die Risiken für das Recht auf informationelle Selbstbestimmung zu dokumentieren und ein entsprechendes Schutzkonzept zu schaffen. Den Betroffenen müssen verstärkt Methoden und Mittel des Selbstdatenschutzes zur Verfügung gestellt werden.

5. Die Rechte der Betroffenen sind nachhaltig zu stärken: Die Informationspflichten der Datenverarbeiter sind zu erweitern. Herkunft und Empfänger von Daten sowie Datenbankzugriffe sind zu protokollieren. Betroffene müssen verbesserte Auskunftsrechte erhalten. Über Datenpannen ist auch im öffentlichen Bereich zu informieren. Die informierte Einwilligung als zentrale Ermächtigungsgrundlage für die Datenverarbeitung in der Privatwirtschaft ist verbraucherfreundlich auszugestalten; statt einer formularmäßigen Erklärung soll ein aktives Tun (Ankreuzen, Haken setzen usw.) Voraussetzung sein. Einwilligungen sind zeitlich zu begrenzen. Aus einer Verweigerung dürfen keine Nachteile erwachsen.

6. Das Datenschutzrecht ist internetfähig zu machen: Grundsätzlich ist die unbeobachtete Kommunikation und Nutzung des Internets zu gewährleisten. Zur Gewährleistung und Durchsetzung der Datenschutzrechte der Betroffenen sind besondere Schutzmechanismen zu entwickeln. So müssen die Grundeinstellungen von Internetdiensten ein Optimum an Datenschutz bieten; Abweichungen hiervon können vom informierten Nutzer eigenverantwortlich im Sinne einer Opt-In-Lösung gewählt werden. Betroffene sollen die von ihnen ins Internet eingestellten Daten mit einem „Verfallsdatum“ versehen können. Die Bundesregierung wird aufgefordert, sich auf internationaler Ebene für ein möglichst hohes Datenschutzniveau im Internet einzusetzen.

7. Die Eigenkontrolle der verantwortlichen Stellen ist zu verbessern:
Ein freiwilliges Audit für EDV-Verfahren und -Produkte kann Datenschutz zum Wettbewerbsvorteil machen. Datenschutzkonzepte sind verbindlich aufzustellen und zu dokumentieren. Die behördlichen und betrieblichen Datenschutzbeauftragten sind in ihrer Funktion zu stärken.

8. Die Datenschutzaufsicht muss schlagkräftiger werden: Die Unabhän-gigkeit der Datenschutzkontrolle muss entsprechend der EuGH-Entscheidung vom 9. März 2010 rechtlich, organisatorisch und finanziell abgesichert werden. Das Anordnungsrecht der Kontrollstelle und die Mitwirkungspflicht der kontrollierten Stelle sind auszubauen. Die Aufsichtsbehörden sollen ggf. auch Strafanträge stellen dürfen.

9. Ein wirksamer Datenschutz braucht effektive Sanktionen: Auch für nicht-öffentliche Stellen sollte eine Gefährdungshaftung (entsprechend § 8 Abs. 1 des Bundesdatenschutzgesetzes) eingeführt werden. Bei Datenschutzverstößen sollte ein pauschalierter Schadensersatz greifen. Zudem sollten die Betroffenen einen Folgenbeseitigungsanspruch erhalten, wenn unrichtige oder unrechtmäßige Datenübermittlungen zu negativen Folgen führen. Die Bußgeldtatbestände, insbesondere für das unbefugte Nutzen von Daten, die unzulässige Beobachtung durch automatisierte Verfahren (z.B. Videoüberwachung) sowie das Unterlassen technisch-organisatorischer Maßnahmen, sind zu erweitern. Die Zuständigkeit für die Verfolgung von Ordnungswidrigkeiten sollte konzentriert werden. Bei besonderem öffentlichen Interesse sind datenschutzrechtliche Straftaten auch von Amts wegen zu verfolgen. Durch die erweiterten Sanktionsmöglichkeiten können zugleich vorhandene Vollzugsdefizite abgebaut werden, wie sie aufgrund der unzureichenden Kontrollmöglichkeiten heute leider unvermeidlich sind.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

6 Ergänzungen

  1. Schön und gut, aber das
    „statt einer formularmäßigen Erklärung soll ein aktives Tun (Ankreuzen, Haken setzen usw.) Voraussetzung sein. Einwilligungen sind zeitlich zu begrenzen. Aus einer Verweigerung dürfen keine Nachteile erwachsen.“
    ist entweder missverständlich formuliert oder unhaltbar.

    Soll dem Kunden durch bspw. die Verweigerung einer Prüfung der Kreditwürdigkeit nicht der Nachteil der Kreditverweigerung (oder höherer Zinsen) entstehen dürfen???

    Mir ist schon klar, dass die Datenschützer einen schweren Stand bei der Politik haben und diese Eckpunkte wohl eher ein Katalog von Maximalforderungen sind – aber auch so ein „wünsch-Dir-was“ sollte mit Bedacht formuliert werden.

  2. Aus den Forderungen fühl ich mich in meinen Befürchtungen gestärkt, dass der Datenschutz so wie ihn da einige Juristen sehen, nicht im Sinne des Wortes mehr zu verstehen ist, sondern eher als (bürokratisch bequemere) Datenverhinderung.

    Aufgabe der Datenschützer ist es aber auch, für Informationsfreiheit zu sorgen. Durch eine Erschwernis der Möglichkeiten zur Erhebung von Daten, wird dies aber nicht geleistet.
    Der Datenschutz wie ihn die Punkte propagieren, würde auch viele heute gängige IT-Trends (Meshups, Clouds) behindern.

    Der Punkt 6 ist da eine typische Juristensichtweise: Die Welt hat sich an derren Sichtweise anzupassen. Möglich ist nur das, was erlaubt ist.
    Im Gegenteil hätten die Datenschützer akzeptieren müssen, das sich die IT stetig weiter entwickelt, dass diese neue Trends und neue Möglichkeiten auftut. Die regeln zum datenschutz müssten sich daher eher an die Realität anpassen. Und nicht versuchen die Realität zu verändern.

  3. Hört sich ja völlig blöde an, aber ein richtiger Fortschritt wäre auch eine vorgeschrieben Seite, auf der ich vor der Anmeldung lesen kann, wie ich meinen account ggf. wieder löschen kann.

    Es gibt unendlich viele Seiten, durch die man sich erst mal klicken muß, um am Ende zu erfahren, daß man nicht wieder aussteigen kann. Wenn man den Text bis dahin durchgehalten und verstanden hat.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.