- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Recht » Datenschutz und Compliance

Technologischer Datenschutz muss gestärkt werden


Der Bundesdatenschutzbeauftragte für den Datenschutz und die Informationsfreiheit stellt den 24. Tätigkeitsbericht 2011-2012 vor
Peter Schaar: "Das Beschäftigtendatenschutzgesetz ist in diesem Frühjahr nach Kritik endgültig ad acta gelegt worden - Beschäftigte bleiben damit weiterhin ohne angemessenen gesetzlichen Schutz gegen die Bespitzelung am Arbeitsplatz (Nr. 13.1)"


(27.05.13) - Anlässlich der Vorstellung seines 24. Tätigkeitsberichts zum Datenschutz für die Jahre 2011 und 2012 erklärt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Peter Schaar:

"Der Tätigkeitsbericht zeigt anhand vieler Beispiele, wie die Bedeutung datenschutz-rechtlicher Fragen in nahezu allen Bereichen unseres Lebens zunimmt. Nicht nur jüngere Menschen können sich ein Leben ohne Smartphone und Internet nicht mehr vorstellen. In vielen Alltagsgegenständen – vom Auto über den Stromzähler bis zum Fernseher – erleichtern Computerchips unser Leben, zugleich erfassen sie aber auch Daten über das Verhalten der Nutzer. Zeitgemäße Regelungen zum Umgang mit der Informationstechnik sind deshalb dringlicher denn je.

Verglichen mit diesen Herausforderungen sind die politischen und rechtlichen Fortschritte beim Datenschutz sehr bescheiden. Die von der Bundesregierung für diese Legislaturperiode angekündigten Verbesserungen sind leider nur ansatzweise realisiert worden:

• Das Beschäftigtendatenschutzgesetz ist in diesem Frühjahr nach Kritik endgültig ad acta gelegt worden. Beschäftigte bleiben damit weiterhin ohne angemessenen gesetzlichen Schutz gegen die Bespitzelung am Arbeitsplatz (Nr. 13.1).

• Die Modernisierung des deutschen Datenschutzrechts wurde unter Berufung auf die Diskussion auf europäischer Ebene nicht weiter betrieben. Dabei werden die neuen europäischen Regelungen frühestens 2015 in Kraft treten.

• Eine umfassende unabhängige Evaluation der Sicherheitsgesetze hat nicht stattgefunden. Trotzdem wurden die Sicherheitsbehörden im Berichtszeitraum mit zusätzlichen Befugnissen und Dateien ausgestattet (Nr. 7.1).

• Das 2010 angekündigte "Rote-Linien-Gesetz" zur Begrenzung der Datenerhebung und Profilbildung im Internet hat die Bundesregierung nicht weiter verfolgt. Stattdessen setzt sie nun offenbar alle Hoffnung in die Selbstregulierung der Wirtschaft (Nr. 3.4).

• Die Stiftung Datenschutz, die in diesem Jahr ihre Arbeit aufnehmen soll, ist hinsichtlich ihrer Gremienbesetzung sehr wirtschaftslastig. Der ihr zur Verfügung stehende Finanzrahmen ist so knapp bemessen, dass sie auf Zuschüsse von Unternehmen angewiesen ist. Es stellt sich die Frage, wie sie ihre Aufgaben unter diesen Bedingungen mit der gebotenen Unabhängigkeit wahrnehmen soll (Nr. 3.6).

Die wichtigsten Datenschutzdiskussionen finden derzeit auf europäischer Ebene statt. Das von der Europäischen Kommission vorgelegte Reformpaket zum Datenschutz bietet die Chance, den Datenschutz zeitgemäß zu gestalten und die Datenschutzvorgaben effektiver durchzusetzen. Von der Bundesregierung erwarte ich, dass sie sich in diesem europäischen Gesetzgebungsprozess für ein hohes und effektvolles Datenschutzniveau engagiert und konstruktiv einbringt (Nr. 2.1).

Für die geplante europäische Datenschutz-Grundverordnung halte ich die folgenden Punkte für besonders bedeutsam (Nr. 2.1.1):

• Außereuropäische Unternehmen müssen sich an das europäische Datenschutzrecht halten, wenn sie ihre Dienste im Europäischen Binnenmarkt anbieten und dabei personenbezogene Daten von Europäerinnen und Europäern verarbeiten wollen (Marktortprinzip).

• Die Unabhängigkeit der Datenschutzbehörden ist sowohl gegenüber nationalen Regierungen als auch gegenüber der Europäischen Kommission zu gewährleisten. Die Datenschutzbehörden müssen die Möglichkeit haben, Verstöße wirksam zu ahnden, insbesondere durch Geldbußen, die sich an der Leistungsfähigkeit der jeweiligen Unternehmen orientieren.

• Der technologische Datenschutz muss gestärkt werden. Der Entwurf enthält hierzu gute Ansätze (Privacy by Design, datenschutzfreundliche Voreinstellungen, Datenschutzfolgeabschätzungen), die allerdings noch ausgebaut werden müssen. Ich trete dafür ein, dass der Zusammenführung von personenbezogenen Daten zu Profilen und deren Nutzung enge Grenzen gesetzt werden.

Angesichts des zunehmenden Datenaustauschs zwischen den europäischen Sicherheitsbehörden muss es auch hier europaweite Mindeststandards für den Datenschutz geben, ohne das deutsche Datenschutzniveau zu gefährden. Der von der Europäischen Kommission vorgeschlagenen Datenschutzrichtlinie für Polizei und Justiz kommt hier besonderes Gewicht zu. Der Richtlinienentwurf bedarf aber erheblicher Nachbesserungen (Nr. 2.1.2)."

Beanstandungen und Bürgerbeschwerden
Die 85 Mitarbeiterinnen und Mitarbeiter haben 106 Kontrollen bei öffentlichen Stellen des Bundes durchgeführt. Dabei wurden insgesamt 15 Beanstandungen ausgesprochen. 9.729 Bürgerinnen und Bürger haben sich 2011 und 2012 an den Bundesdatenschutzbeauftragten gewandt.

Weitere Themen des 24. Tätigkeitsberichts

Google, Facebook und Co. (Nr. 5.8.1 und 5.9)
Internetunternehmen mit Hauptsitz in den USA sammeln weiterhin umfangreiche Daten in Deutschland und Europa, teilweise unter Verstoß gegen das hiesige Datenschutzrecht. Die Datenschutzbehörden mehrerer europäischer Mitgliedstaaten arbeiten in einer gemeinsamen Initiative zusammen, die Verstöße der Firma Google gegen europäische Datenschutzbestimmungen zu ahnden. Zwar hat eine Prüfung des Angebots der Firma Facebook durch die irische Datenschutzbehörde zu einigen Verbesserungen geführt (etwa Abschalten der Gesichtserkennung für alle Nutzerinnen und Nutzer aus den europäischen Mitgliedstaaten) – trotzdem bleiben viele datenschutz-rechtliche Fragen unbeantwortet.

Befugnisse der Sicherheitsbehörden (Nr. 7.7.6)
Der Beauftragte sieht es kritisch, dass die Sicherheitsbehörden auch in dieser Berichtsperiode mit zusätzlichen Befugnissen und Instrumenten ausgestattet wurden, ehe die Aufarbeitung der Ursachen und Fehlentwicklungen abgeschlossen war.

Antiterrordatei (Nr. 7.2)
Bereits im Gesetzgebungsverfahren zum Antiterrordateigesetz hat sich der Beauftragte für strengere Datenschutzregelungen eingesetzt, insbesondere zum Schutz unbescholtener ("Kontakt"-)Personen. Auf Grund verteilter behördlicher Zuständigkeiten für die Antiterrordatei stoßen datenschutzrechtliche Prüfungen auf erhebliche Schwierigkeiten.

Staatstrojaner (Nr. 7.4.1)
Bei der Quellen-Telekommunikationsüberwachung wurden Mängel bezüglich der technischen Absicherung der Maßnahmen und der Löschungsmechanismen für Erkenntnisse aus dem sogenannten Kernbereich privater Lebensgestaltung festgestellt. Für den Einsatz der Quellen-Telekommunikationsüberwachung zu Zwecken der Strafverfolgung bestehen keine gesetzlichen Befugnisse.

Vorratsdatenspeicherung (Nr. 6.1)
Forderungen nach einer Wiedereinführung der durch das Bundesverfassungsgericht gestoppten flächendeckenden und verdachtsunabhängigen Vorratsdatenspeicherung von Telekommunikationsdaten steht der Beauftragte weiterhin kritisch gegenüber. Die Bundesregierung sollte sich für eine Rücknahme der europäischen Richtlinie zur Vorratsdatenspeicherung einsetzen.

Speicherung von Fluggastdaten in der Europäischen Union (Nr. 2.5.2.2)
Die vorgesehene anlasslose, mehrjährige Vorratsspeicherung von Daten aller Flugpassagiere ist ein weiterer großer Schritt zur lückenlosen Überwachung alltäglichen Verhaltens. Die Befürworter bleiben den Nachweis schuldig, dass sich mit dem System terroristische Anschläge wirksam bekämpfen lassen. Der Bundesbeauftragte hält das Vorhaben deshalb für unverhältnismäßig und hofft, dass das Europäische Parlament den Richtlinien-Vorschlag der Europäischen Kommission stoppt.

Videoüberwachung in der Bundesverwaltung (Nr. 3.3.1)
Eine schriftliche Abfrage hat zahlreiche Mängel beim Einsatz der über 17.500 Videokameras durch 615 öffentliche Stellen des Bundes zur Sicherung der Liegenschaften und zur Zugangskontrolle ergeben. Vielfach fehlte jeder Hinweis auf die Videoüberwachung. In vielen Fällen wurden die Bilddaten viel zu lange gespeichert. Eine Orientierungshilfe soll die öffentlichen Stellen des Bundes nun über den datenschutzkonformen Einsatz der Videotechnik informieren.

Intelligente Stromzähler (Nr. 10.1)
Intelligente Energienetze und -zähler sind aufgrund ihrer technischen Möglichkeiten eine Herausforderung für den Datenschutz. Es dürfen keine Rückschlüsse auf das Verhalten der Energienutzer gezogen werden; den gläsernen Verbraucher darf es nicht geben. Die gesetzlichen Vorgaben zum Datenschutz bei intelligenten Stromzählern bedürfen noch der Konkretisierung durch eine Verordnung.

Melderecht (Nr. 8.2)
Meldedaten dürfen nach Inkrafttreten des neuen Melderechts von den Meldebehörden zu Zwecken der Werbung oder des Adresshandels nur noch mit Einwilligung des Meldepflichtigen weitergegeben werden. Die Datenschutzbeauftragten von Bund und Ländern haben durch ihre Initiative dazu beigetragen. Im Vorfeld war es dem Bundesbeauftragten zudem gelungen, ein zentrales Bundesmelderegister zu verhindern. Weitere Forderungen zur Stärkung der Betroffenenrechte wurden im Gesetzgebungsverfahren nicht berücksichtigt.

Aufsicht über die Jobcenter als gemeinsame Einrichtungen (12.1.1.1)
Seit dem 1. Januar 2011 ist der Bundesbeauftragte zuständig für die Datenschutzkontrolle bei den Jobcentern. Mit dem Ziel das Datenschutzniveau bei diesen Stellen zu verbessern, begleiten die Beschäftigten des Beauftragten Arbeitskreise, Netzwerke und Dienstbesprechungen der Geschäftsführer oder behördlichen Datenschutzbeauftragten der Jobcenter. Ebenso wichtig sind Eingaben von Bürgerinnen und Bürgern, die dem Beauftragten die Möglichkeit geben, auf individuelle oder strukturelle Probleme hinzuweisen.

Unabhängigkeit der Datenschutzbehörden (Nr. 3.1)
Leider hat die Bundesregierung es bisher versäumt, Änderungen im Bundesdatenschutzgesetz zur Unabhängigkeit des Bundesbeauftragten auf den Weg zu bringen. Diese waren nach einer Verurteilung Deutschlands wegen mangelnder Unabhängigkeit der Datenschutzaufsichtsbehörden der Länder durch den Gerichtshof der Europäischen Union im Jahr 2010 erforderlich geworden. Im letzten Jahr hat der Gerichtshof der Europäischen Union in einem weiteren Urteil die mit dem Bundesbeauftragten vergleichbare Rechtsstellung der österreichischen Datenschutzkommission beanstandet. Es ist zu hoffen, dass der deutsche Gesetzgeber nun endlich tätig wird. (BfDI: ra)

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • EDSA 2019 - Datenschutz für Europa

    Der Europäische Datenschutzausschuss (EDSA) veröffentlicht in seiner letzten Sitzung im Jahr 2019 erste Leitlinien zum Recht auf Vergessenwerden. Diese schließen sich an eine Reihe von grundlegenden Entscheidungen des Ausschusses in diesem Jahr an, beispielsweise zu Themen wie Videoüberwachung, Akkreditierung und Zertifizierung, oder Privacy by Design und Default. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, blickt zufrieden auf sein erstes Jahr im EDSA zurück.

  • Verarbeitung personenbezogener Daten

    Darf eine Datenschutzbehörde anordnen, dass eine Facebook-Fanpage deaktiviert wird? Eine solche Anordnung hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) erlassen. Dies ist der Kern des Rechtsstreits zu Facebook-Fanpages, der seit 2011 läuft und bereits das Verwaltungsgericht Schleswig, das Oberverwaltungsgericht Schleswig, das Bundesverwaltungsgericht in Leipzig, den Europäischen Gerichtshof und wieder das Bundesverwaltungsgericht beschäftigt hat. Am 11. September 2019 hat das Bundesverwaltungsgericht nach der mündlichen Verhandlung entschieden, dass eine Datenschutzbehörde den Betrieb einer Facebook-Fanpage untersagen kann. Jetzt liegen die Urteilsgründe für diese Entscheidung (BVerwG 6 C 15.18) vor, in denen das Gericht deutliche Worte gewählt hat und den Leitgedanken der Effektivität zur Abwehr von Gefahren auf den Datenschutzbereich überträgt.

  • Nachholbedarf beim Thema Datenschutz

    Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. begrüßt im Grundsatz die von der CDU auf ihrem Parteitag in Leipzig verabschiedete "Digitalcharta Innovationsplattform: D". Eine Digitalstrategie für Deutschland sei längst überfällig, erklärte BvD-Vorstandsvorsitzender Thomas Spaeing in Berlin. Dabei dürfen die Rechte der Bürger aber nicht auf der Strecke bleiben. Es sei wichtig, dass die Menschen in Europa mehr Datensouveränität erlangten, wie dies die "Digitalcharta" fordert. Dies dürfe allerdings nicht dazu führen, dass sich der Gesetzgeber beim Datenschutz zurückzieht, betonte Spaeing. "Der Glaube, dass der Markt dies regelt, ist zynisch. Denn das bedeutet, dass Datenschutz nur noch für diejenigen zu haben ist, die sich einen Schutz ihrer personenbezogenen Daten leisten und somit für entsprechende digitale Services oder teurere Versicherungen bezahlen können." Die Verantwortung dürfe nicht allein auf die Betroffenen abgewälzt werden. "Diese Verantwortung müssen wir alle tragen: Staat, Wirtschaft, Behörden und die Verbraucher. Dabei nehmen die betrieblichen und behördlichen Datenschutzbeauftragten eine zentrale Rolle ein."

  • Dritt-Inhalte und Tracking-Mechanismen

    Wenn Anbieter von in Websites eingebundenen Dritt-Diensten die dort erhobenen Daten auch für eigene Zwecke nutzen, muss hierfür vom Websitebetreiber eine explizite Einwilligung der Nutzerinnen und Nutzer eingeholt werden. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, fordert daher Website-Betreiber auf, ihre Websites umgehend auf entsprechende Dritt-Inhalte und Tracking-Mechanismen zu überprüfen: "Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann."

  • Licht und Schatten beim Privacy Shield

    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, bewertet die Entwicklungen differenziert: "Das wichtige Aufsichtsgremium das Privacy and Civil Liberties Oversight Board ist wieder voll besetzt. Eine neue Ombudsperson ist benannt. Das sind erste wichtige Schritte zu einer besseren Aufsicht über die Sicherheitsbehörden in den USA und damit auch zum Schutz von europäischen Bürgerinnen und Bürgern, weitere müssen folgen. Zudem fehlt es weiterhin an Nachprüfungen, ob die nach dem Privacy Shield zertifizierten US-Unternehmen dessen Vorgaben tatsächlich befolgen."