Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

A. Problem und Ziel

Die letzten grundlegenden Änderungen des Bundesdatenschutzgesetzes (BDSG) erfolgten im Jahr 2001, als die personenbezogene Datenverarbeitung im Internet noch in den Kinderschuhen steckte. Inzwischen ist allgemein anerkannt, dass das BDSG diesen neuen technischen Formen der Datenverarbeitung nicht mehr gerecht wird. Die materiellrechtlichen, die organisatorischen und prozessualen wie auch die technischen Regelungen müssen den neuen technischen und sozialen Gegebenheiten angepasst und zugleich zukunftsoffen formuliert werden. Insbesondere wird das BDSG dem Erfordernis eines gerechten Ausgleichs zwischen dem Grundrecht auf informationelle Selbstbestimmung und den Grundrechten aus Art. 5 Grundgesetz (GG) auf Meinungsäußerungs-, Informations- und Pressefreiheit nicht mehr gerecht. Diese Mängel sind zu beheben. Wegen der Globalität der Datenverarbeitung muss eine rechtliche Einwirkungsmöglichkeit bei außereuropäischen Angeboten sichergestellt werden.

B. Lösung

Die datenschutzrechtliche Verantwortlichkeit bei Telemedien wird an das Telemediengesetz angepasst. Es wird als neue Form der Datenverarbeitung das "Veröffentlichen" eingeführt und materiell und prozessual geregelt. Die Bearbeitung von Betroffenenbeschwerden wie von Aufsichtsangelegenheiten werden den technischen Gegebenheiten angepasst. Hinsichtlich der Gestaltung von Angeboten der Datenverarbeitung wird das Gebot des "Datenschutzes by Default" gesetzlich normiert.

C. Alternativen

Der Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes des Bundesrates vom 18.08.2010 (BT-Drs. 17/2765) regelt lediglich die Verarbeitung von Geodaten im Internet und greift damit inhaltlich zu kurz. Die dort vorgeschlagenen Regelungen sind so spezifisch auf aktuelle Angebote bezogen, dass sie durch die weitere Entwicklung mittelfristig überholt sein werden. Maßnahmen zur Verbesserung des Selbstschutzes, z. B. durch sichere Authentisierung, Identifizierung, Verschlüsselung, Speicherung (Einführung des neuen Personalausweises, De-Mail-Angebot), machen die vorgeschlagenen Regelungen nicht überflüssig, sondern ergänzen diese.

D. Finanzielle Auswirkungen auf die öffentlichen Haushalte

Veröffentlichungen von personenbezogenen Daten durch öffentliche Stellen unterliegen weiterhin einem spezifischen Gesetzesvorbehalt und werden durch den Entwurf nicht berührt. Durch die Regulierung der Internetdatenverarbeitung ist damit zu rechnen, dass sich insofern das Beschwerdeaufkommen bei den Aufsichtsbehörden erhöht. Zugleich sind dort elektronische Verfahren einzurichten, mit denen eine verbesserte Aufsichtskommunikation ermöglich wird. Die dadurch entstehenden zusätzlichen Kosten entstehen insbesondere bei den Ländern und lassen sich noch nicht genau beziffern. Sie können teilweise durch über die Rationalisierung der Verfahren erzielte Einsparungen kompensiert werden. Diese zusätzlichen Kosten werden aber nicht durch das Gesetz ausgelöst, sondern durch die verstärkte personenbezogene Datenverarbeitung im Internet, auf welche der Regelungsvorschlag eine rechtlich adäquate und praktikable Antwort gibt.

E. Sonstige Kosten

Betreibern von Telemedien wird verstärkt die Pflicht auferlegt, auf den Datenschutz zu achten. Hierdurch wird das bestehende Vollzugsdefizit verringert. Soweit die Pflicht von Telemedien-Diensteanbietern zur Wahrung des Datenschutzes ernst genommen wurde, entstehen für diese keine weiteren Kosten.

Regelungsvorschlag

"Soweit eine verantwortliche Stelle ihren Sitz nicht im Gebiet nach Satz 2 hat, gilt als verantwortliche Stelle diejenige, die für die verantwortliche Stelle in diesem Gebiet wirtschaftlich tätig ist."

"Keine personenbezogene Angaben sind Sachangaben, die zu einem Betroffenen nicht hinsichtlich Zweck, Ergebnisorientierung oder Inhalt in einem Bezug stehen oder gestellt werden sollen."

"2a. Veröffentlichen das Bereitstellen für eine unbestimmte Zahl von Empfängern zum elektronischen Abruf,"

"§ 7 bis § 10 Telemediengesetz sind anwendbar."

"§ 3b Nutzergenerierte Datenverarbeitung

Erfolgt eine Erhebung oder Verarbeitung durch Aktivitäten einer natürlichen Person, so sind die Grundeinstellungen des Dienstes so zu gestalten, dass so wenig wie möglich personenbezogene Daten erhoben oder verarbeitet werden. Eine Änderung der Einstellungen setzt die Berücksichtigung der Voraussetzungen des § 4a voraus."

"Die Einwilligung bedarf der Schriftform, soweit nicht wegen der besonderen Umstände eine andere Form angemessen ist. Die Einwilligung kann elektronisch erklärt werden, wenn die verantwortliche Stelle sicherstellt, dass

"Veröffentlichung

(1) Das Veröffentlichen personenbezogener Daten in Telemedien ist zulässig, wenn dies dem Zweck dient, eine Meinung frei zu äußern und zu verbreiten und kein Grund zu der Annahme besteht, dass das überwiegende schutzwürdige Interesse der Betroffene am Ausschluss der Veröffentlichung überwiegt.

(2) Ein schutzwürdiges Interesse besteht bei besonderen Arten personenbezogener Daten nach § 3 Abs. 9, wenn nicht im Einzelfall das Interesse an der Veröffentlichung offensichtlich überwiegt.

(3) Ein schutzwürdiges Interesse besteht, wenn der Betroffene gegenüber der verantwortlichen Stelle widerspricht, es sei denn, die verantwortliche Stelle legt dem Betroffenen gegenüber das überwiegende Interesse an einer Veröffentlichung dar. Die Darlegung nach Satz 1 kann in der Form des vom Betroffenen erklärten Widerspruchs oder schriftlich erfolgen.

(4) Betroffene können ihre Datenschutzrechte gegenüber dem verantwortlichen Telemedien-Diensteanbieter elektronisch an die nach § 5 Absatz 1 Nr. 2 Telemediengesetz zu nennende Stelle richten. Wird die Beschwerde nicht unverzüglich beantwortet, so verletzt die weitere Veröffentlichung schutzwürdige Betroffeneninteressen. Kann die verantwortliche Stelle nicht die Richtigkeit der Daten nachweisen, so tritt neben die Löschungs- und Sperransprüche nach § 35 ein Anspruch auf Hinzufügung einer eigenen Darstellung von angemessenem Umfang. § 57 Abs. 3 Rundfunkstaatsvertrag zu Gegendarstellungen ist sinngemäß anzuwenden. 

(5) Die Veröffentlichung von personenbezogenen Daten aus allgemein zugänglichen Quellen hat zu unterbleiben, wenn der entgegen stehende Wille des Betroffenen aus dieser Quelle oder auf andere Weise eindeutig erkennbar ist. Der Empfänger von veröffentlichten Daten hat sicherzustellen, dass Kennzeichnungen bei der Übernahme übernommen werden.

(6) Beabsichtigt ein Telemedien-Diensteanbieter die Veröffentlichung von personenbezogenen Daten zu mehr als 1000 oder von einer unbestimmten Zahl von Personen, so hat er dies auf einer beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit eingerichteten Internetseite vorher unter Nennung der Datenart und der Quelle bekanntzugeben.

(7) Verantwortliche Stellen, die personenbezogene Daten veröffentlichen, können diese mit einem Löschdatum versehen. Werden diese Daten von einer anderen verantwortlichen Stelle übernommen, so ist bei der weiteren Veröffentlichung und der sonstigen Verarbeitung das jeweilige Löschdatum zu berücksichtigen."

"Kontrolliert die Aufsichtsbehörde einen Telemediendienst nach § 1 Abs. 1 Telemediengesetz, so kann die Kommunikation über die nach § 5 Absatz 1 Nr. 2 genannte Adresse erfolgen. Der Telemediendienst hat auf eine elektronische Anfrage der Aufsichtsbehörde unverzüglich, spätestens innerhalb von 14 Tagen zu antworten. Bei Datenschutzverstößen in Telemedien kann die zuständige Datenschutzaufsichtsbehörde zu Warnzwecken einen öffentlichen Hinweis hierauf sowie auf die Schutzmöglichkeiten für Nutzer geben."

"7c. entgegen § 29a Abs. 4 S. 2 eine Beschwerde nicht unverzüglich beantwortet,
7d. entgegen § 29a Abs. 6 bei einer Veröffentlichung umfangreicher Datenbestände eine Benachrichtigung unterlässt,"

Änderung des Telemediengesetzes (TMG)

1. § 1 Abs. 5 S. 3 erhält folgende Fassung:
2. In § 3 Abs. 1 wird folgender Satz 2 angefügt:
3. 3. In § 3 Abs. 4 wird eine Nr. 2a eingefügt:
4. In § 3 Abs. 7 wird folgender Satz 2 angefügt:
5. Es wird folgender § 3b eingefügt:
6. In § 4a Abs. 1 wird Satz 2 gestrichen. Satz 3 wird Satz 2. Es wird folgender Abs. 1a eingefügt:
   1. der Nutzer seine Einwilligung bewusst und eindeutig erklärt hat,
   2. die Einwilligung protokolliert wird,
   3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
   4. der Nutzer die Einwilligung jederzeit mit der Wirkung für die Zukunft widerrufen kann."
7. § 29 Abs. 3 wird gestrichen. Die Absätze 4 bis 7 werden die Absätze 2 bis 6.
8. Es wird folgender § 29a eingefügt:
9. Es wird in § 38 folgender Absatz 1a eingefügt:
10. In § 43 Abs. 1 wird eingefügt:
11. § 13 Abs. 2 wird gestrichen. Die Absätze 3 bis 7 werden die Absätze 2 bis 6.

Begründung

Die personenbezogene Datenverarbeitung in globalen Netzen ist eine praktische und rechtliche Herausforderung an die Gesellschaft und an den Staat beim Schutz der Grundrechte, insbesondere des Grundrechts auf informationelle Selbstbestimmung. Die informationellen Freiheits- und Abwehrrechte der Betroffenen sind mit den Teilhaberechten der Menschen in ein Gleichgewicht zu bringen. Dem Staat kommt insofern eine Gewährleistungs- und Schutzfunktion zu. Schon im Jahr 2001 hat das Bundesverfassungsgericht (BVerfG) auf die Gefahr der "Prangerwirkung" bei Internetveröffentlichungen hingewiesen (BVerfG NJW 2002, 741 - Schuldnerspiegel), die durch die unkontrollierte und unbegrenzte Öffentlichkeit und die einfache technische Suchbarkeit von Personendaten im Internet entsteht. Der Gesetzgeber muss durch materielle, organisatorische, prozedurale und technische Regelungen einen Rahmen schaffen, mit dem solche und ähnliche Persönlichkeitsverletzungen verhindert bzw. eingeschränkt werden.

Gesetzgebungsbedarf besteht zudem durch das vom BVerfG mit Urteil vom 20.03.2008 neu geschaffene Computergrundrecht, also das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (BVerfG NJW 2008, 822). Diesem Grundrecht kommt Drittwirkung zu. Es begründet eine Pflicht des Gesetzgebers zu schützenden Maßnahmen der Vertraulichkeit und Integrität im Bereich der Datenverarbeitung durch privatwirtschaftliche Internet-Unternehmen.

Im Gutachten "Modernisierung des Datenschutzrechts" im Auftrag des Bundesministeriums des Innern, verfasst im Jahr 2001 von Alexander Roßnagel, Andreas Pfitzmann und Hansjürgen Garstka, wurden erstmals umfassende Vorschläge zu einer Anpassung des Rechts an die neuen Gegebenheiten elektronischer Vernetzung gemacht, die mit den Begriffen Globalität, Virtualität, Konvergenz und Intransparenz beschrieben werden können. Die Vorschläge wurden aber über viele Jahre hinweg nicht weiterverfolgt.

Die Rechtslage bei der Veröffentlichung personenbezogener Daten im Internet ist derzeit wenig übersichtlich und weitgehend unklar (Überblick bei Weichert VuR 2009, 323 ff.). Die Notwendigkeit einer spezifischen Datenschutzregulierung der Verarbeitung von Internetinhalten zeigte sich im vom EuGH entschiedenen Lindqvist-Fall, wo das Gericht in der Bereitstellung von Internet-Inhalten keine Datenübermittlung ins Drittausland sah, da Derartiges nach den bisherigen Regelungen hätte pauschal als rechtswidrig erklärt werden müssen. Dies aber hätte zu einer generellen Infragestellung personenbezogener Datenveröffentlichung im Internet geführt (EuGH MMR 2004, 95 = JZ 2004, 242). In den Folgejahren kam es zunehmend zu Datenschutzkonflikten bei Internetveröffentlichungen und insbesondere zu Spannungen zwischen der Meinungsfreiheit und dem Persönlichkeitsschutz im Netz, z.B. auf Webseiten, in Diskussionsforen, in Social Communities, auf sog. Prangerseiten oder in Suchmaschinen (zu Letzterem ausführlich Weichert in Lewandowski, Handbuch Internet-Suchmaschinen, 2009, S. 285 ff.). Im Spickmich-Urteil des Bundesgerichtshofes (BGH) vom 23.06.2009 wurde erstmals höchstrichterlich festgestellt, dass Regelungen des Datenschutzrechtes, hier des § 29 Abs. 2 BDSG, mit den praktischen Gegebenheiten des Internet und der dort wahrgenommenen Meinungsfreiheit nicht angewendet werden können (BGH NJW 2009, 2888). Schon zuvor bestand z. B. bei der Sommerakademie 2008 weitgehend Konsens, dass das Internet eine Überarbeitung des Datenschutzrechtes erforderlich macht (vgl. https://www.datenschutzzentrum.de/sommerakademie/2008/20080901-weichert-internet-datenschutzrecht.html; zum Regelungsbedarf siehe auch DuD 2009, 7 ff.).

Im Koalitionsvertrag von CDU, CSU und FDP für die 17. Legislaturperiode des Bundestags nach der Bundestagswahl 2009 heißt es: "Wir werden prüfen, wie durch die Anpassung des Datenschutzrechts der Schutz personenbezogener Daten im Internet verbessert werden kann" (Kapitel IV. Freiheit und Sicherheit 2. Informations- und Mediengesellschaft).

Am 18.03.2010 beschloss die Konferenz der Datenschutzbeauftragten des Bundes und der Länder die Eckpunkte "Ein modernes Datenschutzrecht für das 21. Jahrhundert". Dort wird im Kapitel 5. "Datenschutz im Internetzeitalter" ein umfangreicher Katalog von Regelungsvorschlägen gemacht. Gegenstand der Vorschläge sind u.a. "Privacy by default", die elektronische Wahrnehmung von Betroffenenrechten gegenüber den Anbietern, die erleichterte Durchsetzung von Nutzerrechten, Hinweispflichten für Anbieter bzgl. der Veröffentlichung personenbezogener Daten. Die Bundesregierung wird aufgefordert, "im Rahmen internationaler Vereinbarungen die Anforderungen des Datenschutzes zur Geltung zu bringen", u.a. durch Absprachen auf UNO-Ebene, durch internationale Standardisierung und durch internationale Forschungsprojekte.

Die Auseinandersetzung um die Veröffentlichung von Straßenbilder durch Google (Street View) im Internet führte zu einem Gesetzentwurf des Bundesrates mit einer Spezialregelung zur "geschäftsmäßigen Datenerhebung und -speicherung im Zusammenhang mit der georeferenzierten großräumigen Erfassung von Geodaten zum Zweck der Bereithaltung fotografischer oder filmischer Panoramaaufnahmen im Internet zum Abruf für jedermann oder zur Übermittlung an jedermann" (vom 18.08.2010, BT-Drs. 17/2765). Einer der zentralen Aspekte des Regelungsvorschlages ist die Aufnahme eines rechtlich verpflichtenden Widerspruchsrechts. Diese sehr spezifische Regelung wurde von den zuständigen Bundesministerien nach einem "Datenschutzgipfel" am 20.09.2010 vorläufig zurückgestellt, verbunden mit der Erwartung an die Internetwirtschaft, durch Selbstregulierung in Form eines Datenschutz-Kodexes sich Grenzen zu setzen. In der Folge wurde eine Gesetzesinitiative angekündigt (http://www.bmi.bund.de/cln_183/SharedDocs/Kurzmeldungen/DE/2010/09/geodienste.html). Dies wird mit dem vorliegenden Entwurf aufgegriffen.

Der Entwurf verzichtet - in bewusster Abkehr vom Regelungsansatz des Bundesrates in seinem Vorschlag vom 18.08.2010 (BT-Drs. 17/2765) – auf detaillierte Spezialregelungen. Derartige Regelungen können sich die Branchenverbände nach § 38a unter Einschaltung der zuständigen Aufsichtsbehörden als Verhaltensregeln selbst geben. Der Entwurf formuliert die wichtigsten Leitlinien, die bei einer spezifischen Konkretisierung, etwa über eine regulierte Selbstregulierung, beachtet und konkretisiert werden können und müssen. Insofern greift er die Eckpunkte des Bundesministeriums des Innern anlässlich des Spitzengesprächs "Digitalisierung von Stadt und Land" vom 20.09.2010 auf.

Der Regelungsvorschlag wird in das Normengefüge des BDSG integriert, da die Grenzen zwischen internetbasierter und sonstiger Datenverarbeitung fließend sind. Ein separates Gesetz zu Datensammlungen im Internet (vgl. z. B. Härting BB 2010, 843) könnte dem grundrechtlichen Schutzauftrag nicht wirksam genügen.

Begründung im Einzelnen

Zu 1. Änderung des § 1 Abs. 5 S. 3 (Verantwortliche Stelle außerhalb der EU/des EWR)

Die Datenverarbeitung durch internationale Konzerne erfolgt oft in der Form, dass die bisher verantwortliche Stelle im Sinne des § 3 Abs. 7 eine Stelle außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraumes (EWR) ist. Dies hat zur Folge, dass der Adressat von datenschutzrechtlichen Ansprüchen oder Aufsichtsmaßnahmen für Betroffene oder Aufsichtsbehörden nicht erreichbar ist, dass aber der wirtschaftliche Nutzen einem Unternehmen oder einer Unternehmensgruppe, das bzw. die in der EU oder im EWR wirtschaftlich agiert, zufließt. Daher wird im Fall einer rechtlichen Nichterreichbarkeit der verantwortlichen Stelle diejenige Stelle als verantwortlich behandelt, die für die verantwortliche Stelle wirtschaftlich tätig ist, z. B. weil sie dem Konzernverbund angehört oder den wirtschaftlichen Nutzen aus der Datenverarbeitung zieht. Dass deutsche Gerichte für Internet-Veröffentlichungen in Drittländern zuständig sein können, wurde vom BGH mit Urteil vom 02.03.2010 in einem Zivilrechtsstreit festgestellt (BGH NJW 2010, 1752 – New York Times).

Zu 2. Änderung des § 3 Abs. 1 (Sachbezogene Daten)

Durch die verstärkte Erfassung von Sachdaten, zu denen ein Personenbezug hergestellt werden kann, z. B. über das "Internet der Dinge" (z. B. Smartphones, "intelligenter Haushalt") oder über die Erfassung von Sachen (z. B. auch Kfz, Häuser, Grundstücke) als Inhaltsdaten von Internetveröffentlichungen, ist eine Unsicherheit bei der Abgrenzung von Personen- zu reinen Sachdaten entstanden. Die Art.-29-Datenschutzgruppe der Europäischen Union hat hierzu eine Stellungnahme erarbeitet, bei der nicht auf die theoretische Personenbeziehbarkeit eines Sachdatums abgestellt wird, sondern darauf, ob das Sachdatum in einem Kontext zu einer natürlichen Person steht bzw. funktionell gestellt werden kann und dadurch eine persönlichkeitsrechtliche Relevanz besteht. Die Art.-29-Gruppe stellt ab auf den 1. Ergebniskontext, 2. Zweckkontext oder 3. Inhaltskontext (Art. 29-Datenschutzgruppe, Stellungnahme 4/2007 v. 20.06.2007, WP 136). Der Gesetzestext setzt diese Erwägungen gesetzlich um.

Zu 3. Ergänzung des § 3 Abs. 4 (Begriff des Veröffentlichens)

Bisher wird die Bereitstellung von personenbezogenen Daten an eine unbestimmte Zahl von Empfängern unter den Begriff des "Übermittelns" subsumiert (BVerfG NJW 1988, 2031; weitere Nachweise bei Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, 3. Aufl. § 3 Fn. 46). Die Anwendung dieses Übermittlungsbegriffs hatte zur Folge, dass mit der Praxis der Veröffentlichung personenbezogener Daten in elektronischen Netzen, insbesondere im Internet, eine Vielzahl von Übermittlungsregelungen praktisch nicht mehr anwendbar sind, will man nicht diese Veröffentlichung rechtlich vollständig ausschließen. Die gilt insbesondere für die Einrichtung automatisierter Abrufverfahren (§ 10) sowie die materielle Regelung des § 29 Abs. 2 zur Datenverarbeitung zum Zweck der Übermittlung. Der BGH zog unter Berufung auf Art. 5 GG in seinem Spickmich-Urteil diese Konsequenz und begründete aus Grundrechtserwägungen die praktische Nichtanwendbarkeit des § 29 Abs. 2 in dem praktisch äußerst relevanten Bereich der Meinungsäußerung im Internet (BGH NJW 2009, 2888 – Spickmich). Diese Nichtanwendbarkeit stellt letztlich die Übermittlungsregelungen generell in Frage. Durch die Einführung des Begriffs des Veröffentlichens wird diese Form der Datenverarbeitung nun einem eigenständigen Regime unterworfen und begrifflich vom "Übermitteln" getrennt. Der Europäische Gerichtshof (EuGH) löste das Problem der praktischen Nichtdurchsetzbarkeit der Übermittlungsregeln dadurch, dass er bei Internet-Veröffentlichungen die Anwendungen des Begriffs Übermittlung leugnete, ohne aber eine eigenständige Regelung abzuleiten (EuGH RDV 2004, 16). Mit der Schaffung des neuen § 29a wird diese Lücke gefüllt.

Zu 4. Änderung des § 3 Abs. 7 (Verantwortlichkeit)

Die bisherige Regelung hat für Telemedien zur Folge, dass eine datenschutzrechtliche Verantwortlichkeit besteht, wenn die technische Verfügungsmacht über die Daten bei dem Diensteanbieter liegt, ohne dass aber eine Verantwortung für das Einstellen der Inhalte gegeben ist. Dies führt praktisch zu großen Problemen bei Suchmaschinen, Sozialen Netzwerken, Blogs und Foren, wo die Verantwortlichkeit für personenbezogene Inhalte faktisch nicht oder nur schwer durchsetzbar ist. Mit dem Verweis auf die Regelungen zur Verantwortlichkeit nach dem Telemediengesetz (TMG) wird klargestellt, dass eine Verantwortlichkeit für fremde personenbezogene Inhalte erst dann begründet wird, dann aber unbeschränkt besteht, wenn die Stelle Kenntnis von den Inhalten hat und die reale Möglichkeit besteht, hierauf bewusst Einfluss zunehmen. Bisher ist die Abgrenzung zwischen Betroffenen, verarbeitenden Stellen und Dritten bei personenbezogener Datenverarbeitung im Internet unklar. Stellt ein Betroffener eigene oder fremde Daten ins Netz ein, so ist er zunächst selbst verantwortlich. Werden diese Daten von einem Dienstleister übernommen bzw. verliert der Betroffene technisch die Hoheit über seine Daten, so muss der Dienstleister verantwortlich gemacht werden (können).

Zu 5. Einfügung eines § 3b (Nutzergenerierte Datenverarbeitung)

Ein zentrales Problem nutzergenerierter Datenverarbeitung bei Telemediendiensten besteht darin, dass die Nutzenden keine Transparenz über die tatsächlich erfolgende Datenverarbeitung zu ihrer eigenen Person oder evtl. zu Dritten, deren Daten von ihnen erfasst werden, haben. Um zu gewährleisten, dass die Nutzenden insofern ihr Selbstbestimmungsrecht wahrnehmen können, werden die Diensteanbieter verpflichtet, ihren Dienst so zu gestalten, dass nicht mehr Daten erhoben und verarbeitet werden, als für die Nutzung des Dienstes unbedingt erforderlich ist. Erfolgt eine darüber hinausgehende Erhebung oder Verarbeitung, so sind die Anforderungen an die Wirksamkeit einer Einwilligung zu stellen (Freiwilligkeit, Bestimmtheit bzgl. Art der Daten, verarbeitende Stellen und Zweck, Warnfunktion, Hervorhebung). Der damit normierte Grundsatz des Datenschutzes durch Grundeinstellung (Privacy by default) ist inzwischen in der Wissenschaft allgemein anerkannt.

Zu 6. Einfügung eines § 4a Abs. 1a (Elektronische Einwilligung)

Datenschutzrechtliche Einwilligungen bedürfen nach § 4a Abs. 1 S. 3 grds. der Schriftform. Hieran soll nichts grundsätzlich geändert werden. Neben die Schriftform tritt aber in der Praxis der digitalen Kommunikation die elektronische Einwilligung, nicht nur im Bereich der Nutzung von Telemedien, sondern auch bei der Verarbeitung von Inhaltsdaten in derartigen Medien. Daher ist es angebracht, die bisherige Regelung zur elektronischen Einwilligung in § 3 Abs. 2 TMG in das BDSG zu übertragen, so dass sie für sämtliche Formen der personenbezogenen Datenverarbeitung Gültigkeit hat. Einer Wiederholung dieser Norm im spezielleren TMG bedarf es dann nicht mehr (vgl. 11.).

Zu 7. Streichung des § 29 Abs. 3 (Datenübernahme aus öffentlichen Verzeichnissen)

Die Regelung wird durch die neue Regelung des § 29a Abs. 5 ersetzt und erweitert.

Zu 8. Einfügung eines neuen § 29a (Veröffentlichung)

Mit dem neuen § 29a wird erstmals eine allgemeine Regelung zur Veröffentlichung personenbezogener Daten geschaffen. Diese ist spätestens seit der massenhaftenVeröffentlichung von Daten im Internet, womit die Grenzen zwischen Öffentlichkeit und Geheimhaltung praktisch verschoben werden. Es ist heute auch für Datenschützer nicht zu leugnen, dass allgemein zugängliche Personendaten auch eine wichtige gesellschaftliche Funktion erfüllen.

Inzwischen ist gerichtlich klargestellt, dass die Veröffentlichung von personenbezogenen Daten im Internet durch Art. 5 GG verfassungsrechtlich legitimiert sein kann. Die Regelung strebt daher einen Ausgleich mit dem allgemeinen Persönlichkeitsrecht der Betroffenen an. Sie füllt die Lücke zwischen dem bisherigen § 29, bei dem Art. 5 GG keine Berücksichtigung findet, und § 57 Rundfunkstaatsvertrag, der bei journalistisch-redaktioneller Veröffentlichung anzuwenden ist. Das aus Art. 5 GG begründete Medienprivileg, das in § 41 BDSG bzw. in Art. 9 Europäische Datenschutzrichtlinie (EU-DSRL) seine Umsetzung gefunden hat, gilt nur für individuelle Pressebeiträge zur öffentlichen Meinungsbildung, nicht aber für die dateimäßigen Auflistung bzw. die rein technische Präsentation von personenbezogenen Daten und deren elektronische Erschließung (insoweit kritisch EuGH, U.v. 16.12.2008, C-73/07, MMR 2009, 175). Dienste wie Suchmaschinen, auch Personensuchmaschinen, oder Internet-Straßenansichten unterfallen der neuen Regelung des § 29a. § 29a ist auch anwendbar, wenn Meinungsäußerungen nicht im Rahmen redaktionell-journalistischer Arbeit, sondern als individuelle Meinungsäußerung erfolgen, z. B. in Blogs, Foren oder sozialen Netzwerken. Eine detaillierte Abgrenzung zwischen Presse und individueller Meinungsäußerung kann wegen der Vielzahl der Gestaltungsmöglichkeiten nicht allein durch das Gesetz erfolgen, sondern bedarf der behördlichen bzw. richterlichen Gesetzesauslegung im Lichte des verfassungsrechtlichen Schutzes des Art. 5 GG.   

Die Regelung erfasst auch georeferenzierte personenbezogene Daten wie z.B. Gebäude, Grundstücke und Wohnungen von Mietern und Eigentümern. Sie macht damit die vom Bundesrat vorgeschlagene Gesetzesregelung hierzu (BT-Drs. 17/2765) unnötig und geht über diese hinaus.

In Absatz 2 wird als Regelvermutung festgelegt, dass besonders schutzwürdige Datennach § 3 Abs. 9 nicht veröffentlicht werden dürfen.

Absatz 3 etabliert ein Widerspruchsrecht im Einzelfall. Die verantwortliche Stelle muss in diesem Fall gegenüber dem Betroffenen reagieren und ihm gegenüber ein überwiegendes Interesse geltend machen, wenn eine weitere Bereitstellung zum Abruf erfolgen soll. Anderenfalls sind die Daten zu löschen oder zumindest zu sperren, so dass sie nicht mehr zum Abruf bereit stehen.

Absatz 4 dient einer den technischen Gegebenheiten der elektronischen Kommunikation angepassten Konfliktklärung. Eine unverzügliche Bearbeitung des Betroffenenwunsches muss gewährleistet werden. Dies kann durch eine durch die Betroffenen automatisch ausgelöste Löschung oder Sperrung erfolgen. Möglich ist auch eine personale Prüfung des Begehrens mit einer unverzüglichen Reaktion. Unverzüglich ist eine Reaktion, wenn sie ohne schuldhaftes Verzögern erfolgt. Eine starre Zeitangabe ist angesichts der unterschiedlichen Gegebenheiten bei Informationsanbietern nicht angebracht. Regelmäßig sollte aber eine Reaktion nach spätestens 7 Tagen erfolgt sein. Elektronische Informationsanbieter müssen personell, technisch und organisatorisch gewährleisten, dass sie grds. in der Lage sind, die Betroffenenbegehren derart zeitnah zu bearbeiten.  

In Absatz 5 wird die bisherige Regelung des § 29 Abs. 3, die sich schon bisher ausschließlich auf das Veröffentlichen von personenbezogenen Daten bezog, in die spezifische Regelung übernommen und technikneutral bzw. technikoffen weiterentwickelt. Die zunächst v.a. für Telefonbuch-CD entwickelte Norm findet heute ihren Hauptanwendungsfall in Internetverzeichnissen, wobei diese sich aber nicht auf Adress-, Rufnummern- und Branchenverzeichnisse beschränken. Die Regelung ist z. B. auch auf Straßenansichten anwendbar: Ist der einer Veröffentlichung entgegen stehende Wille aus der Informationsquelle oder anderweitig eindeutig erkennbar, so muss dieser berücksichtigt werden. Hiermit wird den Möglichkeiten, den entgegen stehenden Willen zum Ausdruck zu bringen, eine große Bandbreite überlassen. Dies kann z. B. durch erkennbare Zeichen im öffentlichen Raum (sog. Widerspruchsschilder, vgl. ULD, https://www.datenschutzzentrum.de/geodaten/streetview.htm) oder auch durch Widerspruchsregister (www.heise.de 22.09.2010, Datenschützer beharren auf Widerspruchsrecht bei Geodaten; BfDI u. LDI NRW , PE vom 22.09.2010) erfolgen.

In Absatz 6 ist die Benachrichtigung der Öffentlichkeit geregelt, wenn eine zahlenmäßig nicht bzw. nur schwer überschaubare Menge von Personen von einer Veröffentlichung betroffen ist. Die Benachrichtigungspflicht sieht keine Vorabüberprüfung der Veröffentlichung vor. Sie soll vielmehr bei einem quantitativ relevanten Umfang die Möglichkeit eröffnen, dass die Betroffenen von der geplanten bzw. durchgeführten Veröffentlichung Kenntnis erlangen, so dass es ihnen möglich ist, im Bedarfsfall ihre Rechte wahrzunehmen. Bei der Gestaltung der Internetseite kann der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) darauf achten, dass die Betroffenen über ihre Rechte informiert werden. Die Regelung verdrängt § 33.

Die Diskussion über den sog. "digitalen Radiergummi" führte oft zu dem falschen Eindruck, als könne ein im Internet verfügbares Datum sicher gelöscht werden. Dies ist insbesondere nicht bzgl. kopierter Daten zu gewährleisten. Möglich ist aber, dass eine Daten einstellende Stelle einen Datensatz technisch mit einem Verfallsdatum versieht, zu dem eine entsprechend programmierte Software dessen Löschung vorsieht. Die Regelung des Absatzes 7 sieht vor, dass bei Übernahme eines Datums im Internet auch die Markierung mit dem Löschdatum übernommen werden muss und dieses Datum bei der weiteren Veröffentlichung bzw. Verarbeitung beachtet werden muss. Der BGH hat in seiner Sedlmayr-Mörder-Entscheidung vom 20.04.2010 klargestellt, dass mit zunehmender zeitlicher Distanz zu einem persönlichkeitsrechtlich relevanten Sachverhalt wie z. B. einer Straftat ein Schutz gegen uneingeschränkte Weiterverarbeitung vorgesehen werden muss (BGH NJW 2010, 2729 m.w.N.). Bei der nunmehr vorgesehenen Regelung wird die Speicherdauer bzw. die Mitspeicherung eines Verfallsdatums ein Zulässigkeitskriterium für die Veröffentlichung nach Absatz 1. 

Zu 9. Einfügung eines § 38 Abs. 2 (Elektronische Aufsichtskommunikation)

Die Regelung enthält eine internetspezifische Konkretisierung der Auskunftspflicht nach Absatz 3 S. 1. Ähnlich § 29a Abs. 4 dient sie einer vereinfachten und beschleunigten Bearbeitung von Beschwerden und der Durchführung von Kontrollen gegenüber Telemediendiensten. Wegen der Schnelllebigkeit des Mediums müssen die Anbieter sicherstellen, dass auch der Persönlichkeitsschutz durch sie schnell wahrgenommen wird. Ergänzend zu den generell bestehenden Warnmöglichkeiten von Datenschutzbehörden wird ausdrücklich klargestellt, dass im Fall von wesentlichen Datenschutzverstößen im Internet ein Recht zur Veröffentlichung hierüber besteht sowie die Möglichkeit zu Hinweisen, wie sich die Betroffenen vor einer Bedrohung ihres Persönlichkeitsrechtes schützen können. Damit wird die Funktion der Aufsichtsbehörde bei der konkreten Gefahrenabwehr herausgehoben.

Zu 10. Änderung des § 43 Abs. 1 (Bußgeldvorschrift)

Bußgeldrechtliche Folgeregelung zu den Pflichten nach § 29a.

Zu 11. Streichung des § 13 Abs. 2 TMG (Elektronische Einwilligung)

Folgeregelung zu 5.