Telemedicus Logo
Weiterempfehlen Drucken

Unsere Vorschläge für die wichtigsten Problemfelder im Bereich Datenschutzrecht

Datenschutz in sozialen Netzwerken
Das Thema „Datenschutz in sozialen Netzwerken“ wird bisweilen sehr emotional diskutiert. Dabei ist die Ausgangslage deutlich: Personenbezogene Daten dürfen vom Betreiber nur erhoben, verarbeitet oder gespeichert werden, wenn der Nutzer dies ausdrücklich erlaubt oder das Gesetz es dem Betreiber gestattet. Da pauschale und umfassende Einwilligungen, z.B. bei Registrierung, hinsichtlich der Freiwilligkeit höchst problematisch sind, bleibt im Übrigen nur der Rückgriff auf die Erlaubnistatbestände der §§ 28 ff. BDSG. Was allerdings „berechtigte“ Interessen des Betreibers eines sozialen Netzwerks sind, ist völlig unklar. Deutlich ist nur, dass die Betreiber mit den im Netzwerk angesammelten personenbezogenen Daten zumindest mittelbar Erlöse, z.B. durch Werbung, generieren wollen. Sowohl Betreiber wie auch Nutzer sozialer Netzwerke tappen damit im Dunklen, was die Rechtmäßigkeit der Verwendung personenbezogener Daten angeht. Es wäre also keine Regelungswut, sondern einem realen, dringendem Bedürfnis geschuldet, würde man entsprechende Vorschriften ins Gesetz aufnehmen. Diese könnten z.B. die Vorschläge des Bundesverbandes der Verbraucherzentralen aufgreifen und sollten so konkret wie möglich ausgestaltet werden.

Datenschutz und Telemedien
Das Datenschutzrecht bei Telemedien ist durch Unklarheiten und Widersprüche gekennzeichnet. Schon der Anwendungsbereich des Datenschutzrechtes ist teilweise diffus. Ob und unter welchen Voraussetzungen Telemediendienste unter das Medienprivileg von § 41 BDSG fallen, ist beispielsweise strittig. Aber auch die anwendbaren Normen bereiten in der Praxis oft Probleme. So besagt etwa § 13 Abs. 1 TMG, dass Nutzer „zu Beginn des Nutzungsvorgangs“ über die Verwendung ihrer Daten informiert werden müssen. Dies ist in der Praxis kaum umsetzbar. Der Grundsatz der Anonymität aus § 13 Abs. 6 TMG widerspricht darüber hinaus der Rechtsprechung vieler Zivilgerichte zur Haftung von Diensteanbietern für Inhalte Dritter. Hier wäre ein schlüssiges Konzept notwendig, um einen vernünftigen, praxisgerechten Datenschutz bei Telemedien zu gewährleisten.

Arbeitnehmerdatenschutz
Zum 1.9.2009 ist eine Grundsatzregelung zum Arbeitnehmerdatenschutz in Gestalt des § 32 BDSG in Kraft getreten. Dabei sind viele Fragen offen geblieben, zum Beispiel in Hinblick auf die Einwilligung des Arbeitnehmers zur Erhebung, Verarbeitung oder Speicherung seiner Daten im Rahmen des Beschäftigungsverhältnisses. So wird man sich weiterhin im Zusammenhang mit den Datenschutzskandalen der jüngsten Vergangenheit fragen müssen, ob abgegebene Einwilligungen von Arbeitnehmern tatsächlich auf deren freier Entscheidung gemäß § 4a BDSG beruhen, oder vielmehr einer allumfassenden Übermacht der jeweiligen Arbeitgeber geschuldet sind. Darüber hinaus vermitteln die Generalklauseln des § 32 BDSG dem Arbeitnehmer keinerlei Transparenz, sondern verlangen fortlaufende Abwägungen, die allenfalls unter Kenntnis einschlägiger Rechtsprechung gelingen können. Unklar sind auch das Verhältnis und der Anwendungsbereich der Vorschrift im Hinblick auf § 28 BDSG. Ein umfassenderes gesetzgeberisches Tätigwerden bleibt wünschenswert.

Datenschutzauditgesetz
Eine gesetzliche Regelung in Sachen Datenschutz-Audit existiert in Deutschland auch weiterhin nicht. Die Möglichkeit zur Zertifizierung von Datenschutzkonzepten und entsprechenden technischen Einrichtungen datenverarbeitender Stellen sollte aber auch in Zukunft ein zentrales gesetzgeberisches Anliegen bleiben. Besonderes Augenmerk im Rahmen eines neu zu fassenden Gesetzentwurfes könnte auf der Frage liegen, wie die Qualitätssicherung eines solchen Zertifikats dauerhaft zu gewährleisten ist. Konkret wäre dann zu erörtern, welche Fachkunde ein Sachverständiger überhaupt aufweisen muss, um ein entsprechendes Zertifikat ausstellen zu können. Denkbar sind beispielsweise Akkreditierungsprüfungen bei Industrie- und Handelskammern, die auch eine Pflicht zur dauerhaften Fortbildung des Sachverständigen vorsehen. Ferner könnten Kriterien aufgestellt werden, die eine plausible Vergleichbarkeit der ausgegebenen Zertifikate ermöglichen um damit größtmögliche Transparenz unter den Marktteilnehmern und für die Betroffenen zu schaffen.

Verfallsdatum personenbezogener Daten
Das Internet vergisst nicht. Unterschiedslos und meist ohne eine Chronologie lassen sich Informationen mit Personenbezug im Internet auffinden. Da auch dem Betrachter der Informationen die Fähigkeiten fehlt, die Informationen in einen zeitlichen Zusammenhang einzuordnen, ergibt sich so oft ein verzerrtes und falsches Bild über die gesuchte Person. Mit durchaus weitreichenden Konsequenzen, z.B. im Bereich der Personalentscheidungen. Der Vorschlag des amerikanischen Professors Viktor Mayer-Schönberger, personenbezogene Daten mit einem Verfallsdatum auszustatten, wäre daher in Betracht zu ziehen. Wie ein solches Verfallsdatum technisch eingerichtet werden kann und im Gesetz zu verorten ist, sollte Gegenstand einer breit angelegten Diskussion sein.

Zum Hintergrund: Vorschläge für die Enquête-Kommission.

Problemfelder im Urheberrecht.

Problemfelder im Internetrecht.

Problemfelder im E-Commerce.

Haben Sie weitere Vorschläge für diese Liste? Wir freuen uns über alle Ergänzungen in den Kommentaren.
Anzeige:

Kommentare

* Simon 26.01.2010 15:36
Ich finde, die Enquete-Kommission sollte sich gerade beim Datenschutz vor allem ihrer eigentlichen Aufgabe widmen - den Grundsatzfragen. Also weniger Einzelfragen, sondern:

- Brauchen wir mehr oder weniger Datenschutz? Anders gesagt:
- Soll Datenschutz Selbstzweck sein - oder dient er einem bestimmten Zweck? Wenn ja: Welcher Zweck ist das?

- Ist das allgemeine Verbot mit Erlaubnisvorbehalt noch zeitgemäß?

- Wie tauglich ist das Kriterium des "personenbezogenen Datums"?

- Wie viel trauen wir den Usern/Bürgern zu? Gibt es auch ein negatives Recht auf Datenschutz, d.h. ein Recht auf Selbstentblößung?
* ElGraf 27.01.2010 01:23
@Simon: Was genau habe ich mir unter einem Recht auf Selbstentblößung vorzustellen und inwiefern wäre das als "negatives Recht auf Datenschutz" zu verstehen?
* Simon 27.01.2010 12:07
Das Grundrecht auf informationelle Selbstbestimmung wird bisher fast ausschließlich als positives Schutzrecht verstanden - der Bürger hat ein Recht, in seiner Privatsphäre geschützt zu werden. Dabei hat m.E. aber bisher immer zu wenig eine Rolle gespielt, dass (wie bei [fast] jedem Grundrecht) der Bürger selbst der Verfügungsberechtigte ist. Ob, wie und in welchem Umfang ich z.B. von meiner Meinungsfreiheit Gebrauch mache, entscheide ich selbst - in meinem Grundrecht auf informationelle Selbstbestimmung schützt mich der Staat aber von selbst, ganz unabhängig davon, ob ich das will oder nicht.

Die Praxis des Datenschutzrechts verläuft aus meiner Sicht seit Jahren so, dass der Schutz immer stärker wird, die Belehrungspflichten immer weitreichender, etc. Demgegenüber besteht bei vielen - nicht allen - Bürgern das Bedürfnis, immer mehr personenbezogene Daten zu teilen, sich eben selbst zu entblößen - gleichzeitig aber dabei auch die Kontrolle über diese Daten zu behalten.

Mein Ansatz ist, dass man das Recht auf Datenschutz nun tatsächlich als Recht auf informationelle Selbstbestimmung auslegt. Das bedeutet, man nimmt den Bürger als Disposionsbefugten über seine personenbezogenen Daten ernst. Das würde z.B. bedeuten, das generelle Verbot mit Erlaubnisvorbehalt zumindest stark zu reduzieren, aber gleichzeitig den Bürger als Dispositionsbefugten in die Pflicht zu nehmen - ihm aber auch gleichzeitig die Möglichkeiten einzuräumen, von seinen Rechten in einer Weise, die er kennt, Gebrauch zu machen. Dies würde z.B. bedeuten, Schnittstellen (ich meine das auch wörtlich, im Sinn von GUIs) zu ihm zu schaffen, die er versteht. Die Überlegung zu "Datenbriefen" geht in diese Richtung.
* ElGraf 27.01.2010 13:53
* Simon 28.01.2010 18:45
Über die dogmatische Einordnung kann man sicher streiten. Es war aber oben auch nicht mein Anliegen, besonders dogmatisch sauber zu arbeiten, sondern mir ging es um die Sache selbst.

Trotzdem ;-) möchte ich darauf hinweisen, dass ich oben nicht von einem negativen Recht auf informationelle Selbstbestimmung gesprochen habe, sondern von einem negativen Recht auf Datenschutz. Diese beiden Begriffe werden zwar weitgehend synonym verwendet, bedeuten aber nicht zwangsläufig das Selbe.

Recht auf inf. Selbstbestimmung: Das Recht, bestimmen zu dürfen, wer welche Informationen über mich hat.
- Negative Dimension: Das Recht, nicht darüber zu bestimmen. Das hatte ich nicht gemeint.

Recht auf Datenschutz: Das Recht, in seiner Privatsphäre geschützt zu sein, so weit dies personenbezogene Daten betrifft.
- Negative Dimension: Das Recht, keinen solchen Schutz in Anspruch zu nehmen - sich selbst zu entblößen.

Genau dieses Recht ist den Bürgern aber aktuell relativ weitgehend verwehrt. Eine Erlaubnis ist zwar möglich, aber nur unter engen Voraussetzungen möglich, und selbst dann gilt sie nur für den konkreten Einzelfall.

Informationelle Selbstbestimmung kann man eben über zwei Varianten ausüben - per opt-in oder per opt-out. Ich denke, ein "Zurückfahren" des allgemeinen opt-out-Prinzips wäre sinnvoll. Denkbar wäre z.B. eine Beschränkung auf besonders sensible Daten.
* ElGraf 01.02.2010 22:20
Richtig, da habe ich Deine Wortwahl nicht korrekt wiedergegeben. Das lag vermutlich daran, dass ich ein Recht auf Selbstentblößung nun wirklich nicht als "negatives Recht auf Datenschutz" bezeichnen würde. Nochmal: Weder das "positive" Datenschutzrecht (m. E. passt hier negativ und positiv schlicht nicht) noch dessen aktuell normiertes opt-in-Prinzip (das war gemeint oder? Ich tu mir da peinlicherweise auch immer wieder schwer) verhindern es, sich selbst zu entblößen, oder kennst Du entsprechende Fälle? Vielmehr wird die Entblößung durch Dritte einem allgemeinen Erlaubnisvorbehalt unterstellt und das kann man kristisieren, m. E. aber nicht von der Warte eines Selbstentblößungsrechts.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.