|
15. Mai 1996
Datenschutz bei Mediendiensten und Multimedia
soll Verhaltensprofile über die Mediennutzung verhindern
Der Berliner Datenschutzbeauftragte, Dr. Hansjürgen Garstka,
erwartet, daß Bund und Länder bei ihren Bemühungen
zur Regulierung der Mediendienste die datenschutzrechtlichen Anforderungen
berücksichtigen werden. Die Datenschutzbeauftragten des Bundes
und der Länder haben in einer Entschließung Eckpunkte
für Datenschutzregelungen bei Mediendiensten mit Multimedia-Anwendungen
formuliert. Sie appellieren an die Gesetzgeber in Bund und Ländern,
eine angemessene, datenschutzgerechte Regulierung der neuen Dienste
nicht an Kompetenzstreitigkeiten scheitern zu lassen.
Von zentraler Bedeutung wird es sein, daß
Multimediadienste und andere elektronische Dienstleistungen ohne
persönliche Daten der Nutzer auskommen oder mit möglichst
wenigen personenbezogenen Daten erbracht werden. Es soll verhindert
werden, daß das Nutzerverhalten unbemerkt registriert und
zu Verhaltensprofilen zusammengeführt wird. Das Grundrecht
auf unbeobachtete Kommunikation ist auch bei interaktiven Mediendiensten
zu gewährleisten. Dies ist unter anderem zu erreichen, indem
die Betreiber und Anbieter dazu verpflichtet werden, auch anonyme
Nutzungs- und Zahlungsverfahren anzubieten. Ferner dürfen
die bei Verbindung, Aufbau und Nutzung anfallenden Daten grundsätzlich
nur für ihre ursprünglichen Zwecke verarbeitet und genutzt
werden.
Der Entschließung waren mehrere Anhörungen vorausgegangen,
bei denen sich die Datenschutzbeauftragten von Vertretern von
Online-Diensten deren Sichtweise erläutern ließen.
Am Freitag, dem 10. Mai 1996, haben die Datenschutzbeauftragten
mit Vertretern der Medienwirtschaft die Umsetzung der datenschutzrechtlichen
Anforderungen erörtert. Im Ergebnis wurde darin Übereinstimmung
erzielt, daß die neuen elektronischen Dienstleistungen nur
dann von den Bürgern genutzt werden, wenn der Datenschutz
gewährleistet ist.
Anlage
Entschließung der Datenschutzbeauftragten des Bundes und
der Länder
Entschließung
der Konferenz der Datenschutzbeauftragten des Bundes und der
Länder
vom 29. April 1996
zu Eckpunkten für die datenschutzrechtliche Regelung
von Mediendiensten
In letzter Zeit finden Online-Dienste und Multimedia-Anwendungen
zunehmend Verbreitung. Mit den - häufig multimedialen - Angeboten,
auf die interaktiv über Telekommunikationsnetze zugegriffen
werden kann, sind besondere Risiken für das Recht auf informationelle
Selbstbestimmung der Teilnehmer verbunden; hinzuweisen ist insbesondere
auf die Gefahr, daß das Nutzerverhalten unbemerkt registriert
und zu Verhaltensprofilen zusammengeführt wird. Das allgemeine
Datenschutzrecht reicht nicht aus, die mit den neuen technischen
Möglichkeiten und Nutzungsformen verbundenen Risiken wirkungsvoll
zu beherrschen.
Die Datenschutzbeauftragten des Bundes und der Länder halten
es für dringend erforderlich, durch bereichsspezifische Regelungen
technische und rechtliche Gestaltungsanforderungen für die
elektronischen Dienste zu formulieren, die den Datenschutz sicherstellen.
Leitlinie sollte hierbei der Grundsatz der Datenvermeidung bzw.
-minimierung sein. Die Datenschutzbeauftragten haben dazu in einer
Entschließung vom 14./15. März 1996 zur Modernisierung
und zur europäischen Harmonisierung des Datenschutzrechts
vorgeschlagen, daß die informationelle Selbstbestimmung
bei Multimediadiensten und anderen elektronischen Dienstleistungen
durch die Pflicht, auch anonyme Nutzungs- und Zahlungsverfahren
anzubieten, durch den Schutz vor übereilter Einwilligung,
z.B. durch ein Widerspruchsrecht, und durch strenge Zweckbindung
für die bei der Verbindung, Nutzung und Abrechnung anfallenden
Daten sichergestellt wird.
Die Datenschutzbeauftragten weisen darauf hin, daß auch
mit Inhalten, die durch Mediendienste verbreitet werden, datenschutzrechtliche
Probleme verbunden sein können. Auf diese Probleme wird im
folgenden jedoch - ebenso wie auf die Datenschutzaspekte der Telekommunikation
- nicht näher eingegangen. Bei den datenschutzrechtlichen
Eckpunkten wird ferner bewußt darauf verzichtet, den Regelungsort
- etwa einen Länder-Staatsvertrag oder ein Bundesgesetz -
anzugeben. Die Datenschutzbeauftragten appellieren an die Gesetzgeber
in Bund und Ländern, eine angemessene datenschutzgerechte
Regulierung der neuen Dienste nicht an Kompetenzstreitigkeiten
scheitern zu lassen.
1. Anonyme bzw. datensparsame Nutzung: Die Dienste und
Multimedia-Einrichtungen sollten so gestaltet werden, daß
keine oder möglichst wenige personenbezogene Daten erhoben,
verarbeitet und genutzt werden; deshalb sind auch anonyme Nutzungs-
und Zahlungsformen anzubieten. Auch zur Aufrechterhaltung und
zur bedarfsgerechten Gestaltung von Diensten und Dienstleistungen
(Systempflege) sind soweit wie möglich anonymisierte Daten
zu verwenden. Soweit eine vollständig anonyme Nutzung nicht
realisiert werden kann, muß jeweils geprüft werden,
ob durch andere Verfahren, z.B. die Verwendung von Pseudonymen,
ein unmittelbarer Personenbezug vermieden werden kann. Die Herstellung
des Personenbezugs sollte bei diesen Nutzungsformen nur dann erfolgen,
wenn hieran ein begründetes rechtliches Interesse besteht.
2. Bestandsdaten: Bestandsdaten dürfen nur in dem
Maße erhoben, verarbeitet und genutzt werden, soweit sie
für die Begründung und Abwicklung eines Vertragsverhältnisses
sowie für die Systempflege erforderlich sind. Die Bestandsdaten
dürfen zur bedarfsgerechten Gestaltung von Diensten und Dienstleistungen
sowie zur Werbung und Marktforschung genutzt werden, soweit der
Betroffene dem nicht widersprochen hat. Für die Werbung und
Marktforschung durch Dritte dürfen Bestandsdaten nur mit
der ausdrücklichen Einwilligung des Betroffenen verarbeitet
werden.
3. Verbindungs- und Abrechnungsdaten: Verbindungs- und
Abrechnungsdaten dürfen nur für Zwecke der Vermittlung
von Angeboten und für Abrechnungszwecke erhoben, gespeichert
und genutzt werden. Sie sind zu löschen, wenn sie für
die Erbringung der Dienstleistung oder für Abrechnungszwecke
nicht mehr erforderlich sind. Soweit Verbindungsdaten ausschließlich
zur Vermittlung einer Dienstleistung gespeichert werden, sind
sie spätestens nach Beendigung der Verbindung zu löschen.
Die Speicherung der Abrechnungsdaten darf den Zeitpunkt, die Dauer,
die Art, den Inhalt und die Häufigkeit bestimmter von den
einzelnen Teilnehmern in Anspruch genommener Angebote nicht erkennen
lassen, es sei denn, der Teilnehmer beantragt eine dahingehende
Speicherung. Verbindungs- und Abrechnungsdaten sind einer strikten
Zweckbindung zu unterwerfen. Sie dürfen über den hier
genannten Umfang hinaus nur mit der ausdrücklichen Einwilligung
des Betroffenen erhoben, verarbeitet und genutzt werden. Unberührt
hiervon bleibt die Speicherung von Daten von Verantwortlichen
für Angebote im Zusammenhang mit Impressumspflichten.
4. Interaktionsdaten: Werden im Rahmen von interaktiven
Dienstleistungen darüber hinaus personenbezogene Daten erhoben,
die nachweisen, welche Eingaben der Teilnehmer während der
Nutzung des Angebots zur Beeinflussung des Ablaufs vorgenommen
hat (Interaktionsdaten; hierzu gehören z.B. Daten, die bei
lexikalischen Abfragen, in interaktive Suchsysteme - etwa elektronische
Fahrpläne und Telefonverzeichnisse - und bei Online-Spielen
eingegeben werden), darf dies nur in Kenntnis und mit ausdrücklicher
Einwilligung des Betroffenen geschehen. Interaktionsdaten dürfen
nur unter Beachtung einer strikten Zweckbindung verarbeitet und
genutzt werden. Sie sind grundsätzlich zu löschen, wenn
der Zweck, zu dem sie erhoben wurden, erreicht wurde (so müssen
Daten über die interaktive Suche von Angeboten unmittelbar
nach Beendigung des Suchprozesses gelöscht werden). Eine
weitergehende Verarbeitung dieser Daten ist nur auf Grundlage
einer ausdrücklichen Einwilligung des Betroffenen zulässig.
5. Einwilligung: Der Abschluß oder die Erfüllung
eines Vertragsverhältnisses dürfen nicht davon abhängig
gemacht werden, daß der Betroffene in die Verarbeitung oder
Nutzung seiner Daten außerhalb der zulässigen Zweckbestimmung
eingewilligt hat. Soweit Daten aufgrund einer Einwilligung erhoben
werden, muß diese jederzeit widerrufen werden können.
Für die Form und Dokumentation elektronisch abgegebener Einwilligungen
und sonstiger Willenserklärungen ist ein Mindeststandard
zu definieren, der einen fälschungssicheren Nachweis über
die Tatsache, den Zeitpunkt und den Gegenstand gewährleistet.
Dabei ist sicherzustellen, daß der Teilnehmer bereits vor
der Einwilligung soweit wie möglich über den Inhalt
und die Folgen seiner Einwilligung und über sein Widerrufsrecht
informiert ist. Deshalb müssen die Betroffenen sowohl vor
als auch nach Eingabe der Erklärung die Möglichkeit
haben, auf Einwilligungen, Verträge und sonstige Informationen
über die Bedingungen der Nutzung von Diensten, Multimedia-Einrichtungen
und Dienstleistungen zuzugreifen und diese auch in schriftlicher
Form zu erhalten. Da Verträge oder andere rechtswirksame
Erklärungen, die in einer Fremdsprache verfaßt sind,
unter Umständen juristische Fachbegriffe enthalten, die nur
vor dem Hintergrund der jeweiligen Rechtsordnung zu verstehen
sind, sollten zumindest diejenigen Dienste, die eine deutschsprachige
Benutzeroberfläche anbieten, derartige Unterlagen auch in
deutscher Sprache bereitstellen.
6. Transparenz der Dienste und Steuerung der Datenübertragung
durch die Teilnehmer: Die automatische Übermittlung von
Daten durch die beim Betroffenen eingesetzte Datenverarbeitungsanlage
ist auf das technisch für die Vertragsabwicklung notwendige
Maß zu beschränken. Eine darüber hinausgehende
Übermittlung ist nur aufgrund einer besonderen Einwilligung
zulässig. Im Hinblick darauf, daß die Teilnehmer bei
der eingesetzten Technik nicht erkennen können, in welchem
Dienst sie sich befinden und welche Daten bei der Nutzung von
elektronischen Diensten bzw. bei der Erbringung von Dienstleistungen
automatisiert übertragen und gespeichertwerden, ist sicherzustellen,
daß die Teilnehmer vor Beginn der Datenübertragung
hierüber informiert werden und die Möglichkeit haben,
den Prozeß jederzeit abzubrechen. Die zur Nutzung vom Anbieter
oder Netzbetreiber bereitgestellte Software muß eine vom
Nutzer aktivierbare Möglichkeit enthalten, den gesamten
Strom der ein- und ausgehenden Daten vollständig
zu protokollieren. Bei einer Durchschaltung zu einem anderen Dienst
bzw. zu einer anderen Multimedia-Einrichtung müssen die Teilnehmer
über die Durchschaltung und damit mögliche Datenübertragungen
informiert werden. Diensteanbieter haben zu gewährleisten,
daß sie keine erkennbar unsicheren Netze für die Übertragung
personenbezogener Daten nutzen bzw. den Schutz dieser Daten durch
angemessene Maßnahmen sicherstellen. Entsprechend dem Stand
der Technik sind geeignete (z.B. kryptographische) Verfahren anzuwenden,
um die Vertraulichkeit und Integrität der übertragenen
Daten sowie eine sichere Identifizierung und Authentifikation
zwischen Teilnehmern und Anbietern zu gewährleisten.
7. Rechte von Betroffenen: Die Rechte von Betroffenen auf
Auskunft, Sperrung, Berichtigung und Löschung sind auch bei
multimedialen und sonstigen elektronischen Diensten zu gewährleisten.
Soweit personenbezogene Daten im Rahmen eines elektronischen Dienstes
veröffentlicht wurden, der dem Medienprivileg unterliegt,
ist das Gegendarstellungsrecht der von der Veröffentlichung
Betroffenen sicherzustellen.
8. Datenschutzkontrolle: Eine effektive, unabhängige
und nicht anlaßgebundene Datenschutzaufsicht ist zu gewährleisten.
Den für die Kontrolle des Datenschutzes zuständigen
Behörden ist ein jederzeitiger kostenfreier elektronischer
Zugriff auf die Dienste und Dienstleistungen und der Zugang zu
den eingesetzten technischen Einrichtungen zu ermöglichen.
Bei elektronischen Diensten, für die das Medienprivileg gilt,
ist die externe Datenschutzkontrolle entsprechend zu beschränken.
9. Geltungsbereich: Der Geltungsbereich der jeweiligen
Regelungen ist eindeutig festzulegen. Es ist sicherzustellen,
daß die Datenschutzbestimmungen auch gelten, sofern personenbezogene
Daten nicht in Dateien verarbeitet werden.
10. Internationale Datenschutzregelung: Im Hinblick auf
die zunehmende Bedeutung grenzüberschreitender elektronischer
Dienste und Dienstleistungen ist eine Fortentwicklung der europäischen
und internationalen Rechtsordnung dringend erforderlich, die auch
bei ausländischen Diensten, Dienstleistungen und Multimedia-Angeboten
ein angemessenes Datenschutzniveau gewährleistet. Die Verabschiedung
der sog. ISDN-Datenschutzrichtlinie mit einem europaweiten hohen
Schutzstandard ist überfällig. Kurzfristig ist es notwendig,
den Betroffenen angemessene Mittel zur Durchsetzung ihrer Datenschutzrechte
gegenüber ausländischen Betreibern und Dienstleistern
in die Hand zu geben. Die in Deutschland aktiven Dienste aus Nicht-EG-Staaten
haben im Sinne der EG-Datenschutzrichtlinie (95/46/EG) vom 24.10.1995
einen verantwortlichen inländischen Vertreter zu benennen.
|
|