20. Tätigkeitsbericht (1998)


8.

Europa

Rechtzeitige Umsetzung der europäischen Datenschutzrichtlinie in Gefahr

Der Termin zur Umsetzung der EG-Datenschutzrichtlinie rückt näher. Bislang liegt lediglich ein Referentenentwurf für eine Novellierung des BDSG vor. Damit droht die fristgerechte Umsetzung der Richtlinie durch den Bund bis zum Herbst 1998 zu scheitern. Nun sind die Länder gefordert.

Die "Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" (vgl. 18. TB, Tz. 8.1) gibt für das Datenschutzrecht einen Mindeststandard vor, der von allen Mitgliedstaaten der Europäischen Union gewährleistet werden muß. Naturgemäß kommen in europäischen Rechtsnormen die grundlegenden Regelungsgedanken der verschiedenen Rechtsordnungen zum Tragen. Neben deutschen Regelungsmustern finden sich in der Richtlinie vor allem Elemente aus dem französischen Datenschutzrecht. Eine wichtige Grundlage für die EG-Datenschutzrichtlinie stellt auch das "Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108)" des Europarates vom 18.01.1981 dar. Diese Konvention haben bereits die meisten heutigen Mitgliedstaaten der Europäischen Union unterzeichnet, darunter auch die Bundesrepublik. Griechenland und Italien, die der Konvention des Europarates nicht beigetreten sind, wurden durch die EG-Richtlinie gezwungen, erstmals Datenschutzgesetze zu erlassen.

Die durch die Richtlinie notwendig gewordene Überarbeitung des deutschen Datenschutzrechts birgt die Chance, einige generelle Defizite des in seinen Grundzügen vor 25 Jahren konzipierten Bundesdatenschutzgesetzes, aber auch der Landesdatenschutzgesetze, zu beheben. So lassen sich die modernen technischen Entwicklungen, wie z. B. die Datenverarbeitung auf Chipkarten oder die weitgehende Vernetzung der öffentlichen Stellen, mit den bisherigen Ansätzen des Datenschutzrechts nur schwer erfassen. Hinzu kommt, daß viele Bürger einen verbesserten Schutz ihrer Daten gegenüber der privaten Verwertung durch Adreßhandel und Direktmarketing wünschen. Aus unserer Sicht muß das Datenschutzrecht unter folgenden Gesichtspunkten fortentwickelt werden:

  • Vergleichbar den Regelungen des IuKDG und des MDStV (vgl. Tz. 7.1) sollte der Grundsatz der Datensparsamkeit ebenso festgeschrieben werden wie die möglichst anonyme oder wenigstens pseudonyme Ermöglichung der Inanspruchnahme bestimmter Dienste.

  • Überfällig ist die rechtliche Regelung des Einsatzes von Chipkarten sowie der Videotechnik. Ebenso fehlt es an Vorschriften, die das Problem der externen Wartung von Soft- und Hardware regeln, bei der oft personenbezogene Daten den Dienstleistern zur Kenntnis kommen.

  • Regelungsbedürftig sind auch Verbundverfahren, bei denen verschiedene Stellen mit demselben Datenbestand arbeiten. In diesem Bereich kommt es erfahrungsgemäß häufig zu einer Verantwortungsdiffusion hinsichtlich der datenschutzrechtlichen Pflichten.

  • Besondere Rechtsgefährdungen erwachsen regelmäßig aus Konstellationen, in denen Bürger von anderen Privaten verpflichtet werden, Selbstauskünfte einzuholen, die vor Abschluß von z. B. Miet- oder Arbeitsverträgen abzugeben sind. Hier ist ein verstärkter Schutz vor derartigen Verpflichtungen erforderlich.

  • Immer wieder klagen die Bürger gegenüber den Datenschutzbeauftragten darüber, daß sie nicht ausreichend gegen Adreßhandel und Direktmarketing geschützt seien. Insgesamt herrscht ein erhebliches Unbehagen darüber, daß nicht nachvollziehbar ist, wer welche persönlichen Daten über die Betroffenen speichert, verwendet und weitergibt. In diesem Bereich wäre eine Verstärkung der Betroffenenrechte und eine Einschränkung der Zulässigkeit der Datenverarbeitung erforderlich. Wenigstens sollten die Betroffenen auf die Möglichkeit des Widerspruchs gegen die Nutzung ihrer Daten hingewiesen werden müssen. Sinnvoller erscheint jedoch eine Regelung, wonach Werbung und Adreßhandel nur mit ihrer Einwilligung zulässig sind.

  • Im Mediendienste-Staatsvertrag findet sich bereits eine Regelung zum Datenschutz-Audit, die allgemein in das Bundesdatenschutzgesetz übernommen werden sollte.

Von derartigen neuen Ansätzen findet sich in dem Referentenentwurf des Bundesministeriums des Innern zur Novellierung des BDSG allerdings wenig. Der Entwurf betreibt die Umsetzung der Richtlinie vielmehr nach dem Motto "Das Unvermeidliche widerstrebend tun". Dies führt dazu, daß die ohnehin nicht eben leicht verständlichen Regelungen des Datenschutzrechts weiter verkompliziert werden. Die Chance, durch bessere und klarere Regelungen zu einer stärkeren Akzeptanz des Datenschutzes zu kommen, wird damit vertan.

Bei der Formulierung des Entwurfs ist statt dessen mit viel Mühe im Detail versucht worden, die Regelungen der Datenschutzrichtlinie an den verschiedensten Stellen einzeln der aktuellen Fassung des BDSG aufzuoperieren. Das Ergebnis erinnert an einen Flickenteppich; das BDSG wird noch schwerer lesbar, als es jetzt schon ist. So hätte, um ein konkretes Beispiel zu nennen, der Begriff der Datenverarbeitung aus der Richtlinie selbst übernommen werden können. Er erfaßt dort sämtliche Phasen der Datenverarbeitung. Eine gleichartige Regelungstechnik findet sich auch im LDSG Schleswig-Holstein. Da allerdings darauf verzichtet wurde, bleibt es bei den mühsamen Aufzählungen, die sich im BDSG bei den einzelnen Zulässigkeitsvoraussetzungen finden, wo jeweils Datenerhebung, -verarbeitung und -nutzung genannt werden müssen.

Weiter hätte es sich angeboten, den Grundsatz der Zweckbindung "vor die Klammer zu ziehen" und im ersten Abschnitt bei den allgemeinen Regelungen einzustellen. Eine derartige Regelung findet sich nicht nur im LDSG Schleswig-Holstein, sondern auch im Gesetzentwurf der Bundestagsfraktion von BÜNDNIS 90/Die GRÜNEN zum Entwurf eines BDSG (BT-Drucksache 13/9082).

Insgesamt ist ein klarer Aufbau des Gesetzes anzustreben; möglichst einfache Formulierungen sollten gewählt werden. Daß dies möglich ist, zeigen die neuen Regelungswerke des Informations- und Kommunikationsdienstegesetzes (IuKDG) und des Mediendienste-Staatsvertrages (MDStV). Die dort enthaltenen Datenschutzvorschriften könnten in dieser Hinsicht als Vorbild dienen.

Wegen der 1998 anstehenden Bundestagswahl muß mittlerweile damit gerechnet werden, daß die Umsetzung der Richtlinie nicht mehr zeitgerecht erfolgen wird. Dies brächte nicht nur Probleme für den Bund mit sich, der mit Ordnungsgeldern der Europäische Union rechnen müßte. Die Länder werden unabhängig vom Bund daran gehen müssen, ihre Landesdatenschutzgesetze an die Richtlinie anzupassen.

Was ist zu tun?
Der Bundesgesetzgeber sollte das BDSG zügig an die EG-Richtlinie und an die technische Entwicklung anpassen. Das Land sollte das LDSG ggf. zeitlich unabhängig davon novellieren.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel