Dienstag, 26. Januar 2010, von Tobias Kläner

Vorschläge für die Enquête-Kommission: Datenschutzrecht

Unsere Vorschläge für die wichtigsten Problemfelder im Bereich Datenschutzrecht
Datenschutz in sozialen Netzwerken
Das Thema „Datenschutz in sozialen Netzwerken“ wird bisweilen sehr emotional diskutiert. Dabei ist die Ausgangslage deutlich: Personenbezogene Daten dürfen vom Betreiber nur erhoben, verarbeitet oder gespeichert werden, wenn der Nutzer dies ausdrücklich erlaubt oder das Gesetz es dem Betreiber gestattet. Da pauschale und umfassende Einwilligungen, z.B. bei Registrierung, hinsichtlich der Freiwilligkeit höchst problematisch sind, bleibt im Übrigen nur der Rückgriff auf die Erlaubnistatbestände der §§ 28 ff. BDSG. Was allerdings „berechtigte“ Interessen des Betreibers eines sozialen Netzwerks sind, ist völlig unklar. Deutlich ist nur, dass die Betreiber mit den im Netzwerk angesammelten personenbezogenen Daten zumindest mittelbar Erlöse, z.B. durch Werbung, generieren wollen. Sowohl Betreiber wie auch Nutzer sozialer Netzwerke tappen damit im Dunklen, was die Rechtmäßigkeit der Verwendung personenbezogener Daten angeht. Es wäre also keine Regelungswut, sondern einem realen, dringendem Bedürfnis geschuldet, würde man entsprechende Vorschriften ins Gesetz aufnehmen. Diese könnten z.B. die Vorschläge des Bundesverbandes der Verbraucherzentralen aufgreifen und sollten so konkret wie möglich ausgestaltet werden.

Datenschutz und Telemedien
Das Datenschutzrecht bei Telemedien ist durch Unklarheiten und Widersprüche gekennzeichnet. Schon der Anwendungsbereich des Datenschutzrechtes ist teilweise diffus. Ob und unter welchen Voraussetzungen Telemediendienste unter das Medienprivileg von § 41 BDSG fallen, ist beispielsweise strittig. Aber auch die anwendbaren Normen bereiten in der Praxis oft Probleme. So besagt etwa § 13 Abs. 1 TMG, dass Nutzer „zu Beginn des Nutzungsvorgangs“ über die Verwendung ihrer Daten informiert werden müssen. Dies ist in der Praxis kaum umsetzbar. Der Grundsatz der Anonymität aus § 13 Abs. 6 TMG widerspricht darüber hinaus der Rechtsprechung vieler Zivilgerichte zur Haftung von Diensteanbietern für Inhalte Dritter. Hier wäre ein schlüssiges Konzept notwendig, um einen vernünftigen, praxisgerechten Datenschutz bei Telemedien zu gewährleisten.

Arbeitnehmerdatenschutz
Zum 1.9.2009 ist eine Grundsatzregelung zum Arbeitnehmerdatenschutz in Gestalt des § 32 BDSG in Kraft getreten. Dabei sind viele Fragen offen geblieben, zum Beispiel in Hinblick auf die Einwilligung des Arbeitnehmers zur Erhebung, Verarbeitung oder Speicherung seiner Daten im Rahmen des Beschäftigungsverhältnisses. So wird man sich weiterhin im Zusammenhang mit den Datenschutzskandalen der jüngsten Vergangenheit fragen müssen, ob abgegebene Einwilligungen von Arbeitnehmern tatsächlich auf deren freier Entscheidung gemäß § 4a BDSG beruhen, oder vielmehr einer allumfassenden Übermacht der jeweiligen Arbeitgeber geschuldet sind. Darüber hinaus vermitteln die Generalklauseln des § 32 BDSG dem Arbeitnehmer keinerlei Transparenz, sondern verlangen fortlaufende Abwägungen, die allenfalls unter Kenntnis einschlägiger Rechtsprechung gelingen können. Unklar sind auch das Verhältnis und der Anwendungsbereich der Vorschrift im Hinblick auf § 28 BDSG. Ein umfassenderes gesetzgeberisches Tätigwerden bleibt wünschenswert.

Datenschutzauditgesetz
Eine gesetzliche Regelung in Sachen Datenschutz-Audit existiert in Deutschland auch weiterhin nicht. Die Möglichkeit zur Zertifizierung von Datenschutzkonzepten und entsprechenden technischen Einrichtungen datenverarbeitender Stellen sollte aber auch in Zukunft ein zentrales gesetzgeberisches Anliegen bleiben. Besonderes Augenmerk im Rahmen eines neu zu fassenden Gesetzentwurfes könnte auf der Frage liegen, wie die Qualitätssicherung eines solchen Zertifikats dauerhaft zu gewährleisten ist. Konkret wäre dann zu erörtern, welche Fachkunde ein Sachverständiger überhaupt aufweisen muss, um ein entsprechendes Zertifikat ausstellen zu können. Denkbar sind beispielsweise Akkreditierungsprüfungen bei Industrie- und Handelskammern, die auch eine Pflicht zur dauerhaften Fortbildung des Sachverständigen vorsehen. Ferner könnten Kriterien aufgestellt werden, die eine plausible Vergleichbarkeit der ausgegebenen Zertifikate ermöglichen um damit größtmögliche Transparenz unter den Marktteilnehmern und für die Betroffenen zu schaffen.

Verfallsdatum personenbezogener Daten
Das Internet vergisst nicht. Unterschiedslos und meist ohne eine Chronologie lassen sich Informationen mit Personenbezug im Internet auffinden. Da auch dem Betrachter der Informationen die Fähigkeiten fehlt, die Informationen in einen zeitlichen Zusammenhang einzuordnen, ergibt sich so oft ein verzerrtes und falsches Bild über die gesuchte Person. Mit durchaus weitreichenden Konsequenzen, z.B. im Bereich der Personalentscheidungen. Der Vorschlag des amerikanischen Professors Viktor Mayer-Schönberger, personenbezogene Daten mit einem Verfallsdatum auszustatten, wäre daher in Betracht zu ziehen. Wie ein solches Verfallsdatum technisch eingerichtet werden kann und im Gesetz zu verorten ist, sollte Gegenstand einer breit angelegten Diskussion sein.

Zum Hintergrund: Vorschläge für die Enquête-Kommission.