|
Eckpunkte für die datenschutzrechtliche Regelung von Mediendiensten
(Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 29. April 1996)
(Text in english)
In letzter Zeit finden Online-Dienste und Multimedia-Anwendungen
zunehmend Verbreitung. Mit den - häufig multimedialen - Angeboten,
auf die interaktiv über Telekommunikationsnetze zugegriffen
werden kann, sind besondere Risiken für das Recht auf informationelle
Selbstbestimmung der Teilnehmer verbunden; hinzuweisen ist insbesondere
auf die Gefahr, daß das Nutzerverhalten unbemerkt registriert
und zu Verhaltensprofilen zusammengeführt wird. Das allgemeine
Datenschutzrecht reicht nicht aus, die mit den neuen technischen
Möglichkeiten und Nutzungsformen verbundenen Risiken wirkungsvoll
zu beherrschen.
Die Datenschutzbeauftragten des Bundes und der Länder halten
es für dringend erforderlich, durch bereichsspezifische Regelungen
technische und rechtliche Gestaltungsanforderungen für die
elektronischen Dienste zu formulieren, die den Datenschutz sicherstellen.
Leitlinie sollte hierbei der Grundsatz der Datenvermeidung bzw.
-minimierung sein. Die Datenschutzbeauftragten haben dazu in einer
Entschließung vom 14./15. März 1996 zur Modernisierung
und zur europäischen Harmonisierung des Datenschutzrechts
vorgeschlagen, daß die informationelle Selbstbestimmung
bei Multimediadiensten und anderen elektronischen Dienstleistungen
durch die Pflicht, auch anonyme Nutzungs- und Zahlungsverfahren
anzubieten, durch den Schutz vor übereilter Einwilligung,
z.B. durch ein Widerspruchsrecht, und durch strenge Zweckbindung
für die bei der Verbindung, Nutzung und Abrechnung anfallenden
Daten sichergestellt wird.
Die Datenschutzbeauftragten weisen darauf hin, daß auch
mit Inhalten, die durch Mediendienste verbreitet werden, datenschutzrechtliche
Probleme verbunden sein können. Auf diese Probleme wird im
folgenden jedoch - ebenso wie auf die Datenschutzaspekte der Telekommunikation
- nicht näher eingegangen. Bei den datenschutzrechtlichen
Eckpunkten wird ferner bewußt darauf verzichtet, den Regelungsort
- etwa einen Länder-Staatsvertrag oder ein Bundesgesetz -
anzugeben. Die Datenschutzbeauftragten appellieren an die Gesetzgeber
in Bund und Ländern, eine angemessene datenschutzgerechte
Regulierung der neuen Dienste nicht an Kompetenzstreitigkeiten
scheitern zu lassen.
- Anonyme bzw. datensparsame Nutzung:
Die Dienste und Multimedia-Einrichtungen
sollten so gestaltet werden, daß keine oder möglichst
wenige personenbezogene Daten erhoben, verarbeitet und genutzt
werden; deshalb sind auch anonyme Nutzungs- und Zahlungsformen
anzubieten. Auch zur Aufrechterhaltung und zur bedarfsgerechten
Gestaltung von Diensten und Dienstleistungen (Systempflege) sind
soweit wie möglich anonymisierte Daten zu verwenden. Soweit
eine vollständig anonyme Nutzung nicht realisiert werden
kann, muß jeweils geprüft werden, ob durch andere Verfahren,
z.B. die Verwendung von Pseudonymen, ein unmittelbarer Personenbezug
vermieden werden kann. Die Herstellung des Personenbezugs sollte
bei diesen Nutzungsformen nur dann erfolgen, wenn hieran ein begründetes
rechtliches Interesse besteht.
- Bestandsdaten:
Bestandsdaten dürfen nur in dem Maße
erhoben, verarbeitet und genutzt werden, soweit sie für die
Begründung und Abwicklung eines Vertragsverhältnisses
sowie für die Systempflege erforderlich sind. Die Bestandsdaten
dürfen zur bedarfsgerechten Gestaltung von Diensten und Dienstleistungen
sowie zur Werbung und Marktforschung genutzt werden, soweit der
Betroffene dem nicht widersprochen hat. Für die Werbung und
Marktforschung durch Dritte dürfen Bestandsdaten nur mit
der ausdrücklichen Einwilligung des Betroffenen verarbeitet werden.
- Verbindungs- und Abrechnungsdaten:
Verbindungs- und Abrechnungsdaten
dürfen nur für Zwecke der Vermittlung von Angeboten
und für Abrechnungszwecke erhoben, gespeichert und genutzt
werden. Sie sind zu löschen, wenn sie für die Erbringung
der Dienstleistung oder für Abrechnungszwecke nicht mehr
erforderlich sind. Soweit Verbindungsdaten ausschließlich
zur Vermittlung einer Dienstleistung gespeichert werden, sind
sie spätestens nach Beendigung der Verbindung zu löschen.
Die Speicherung der Abrechnungsdaten darf den Zeitpunkt, die Dauer,
die Art, den Inhalt und die Häufigkeit bestimmter von den
einzelnen Teilnehmern in Anspruch genommener Angebote nicht erkennen
lassen, es sei denn, der Teilnehmer beantragt eine dahingehende
Speicherung. Verbindungs- und Abrechnungsdaten sind einer strikten
Zweckbindung zu unterwerfen. Sie dürfen über den hier
genannten Umfang hinaus nur mit der ausdrücklichen Einwilligung
des Betroffenen erhoben, verarbeitet und genutzt werden. Unberührt
hiervon bleibt die Speicherung von Daten von Verantwortlichen
für Angebote im Zusammenhang mit Impressumspflichten.
- Interaktionsdaten:
Werden im Rahmen von interaktiven Dienstleistungen
darüber hinaus personenbezogene Daten erhoben, die nachweisen,
welche Eingaben der Teilnehmer während der Nutzung des Angebots
zur Beeinflussung des Ablaufs vorgenommen hat (Interaktionsdaten;
hierzu gehören z.B. Daten, die bei lexikalischen Abfragen,
in interaktive Suchsysteme - etwa elektronische Fahrpläne
und Telefonverzeichnisse - und bei Online-Spielen eingegeben werden),
darf dies nur in Kenntnis und mit ausdrücklicher Einwilligung
des Betroffenen geschehen. Interaktionsdaten dürfen nur unter
Beachtung einer strikten Zweckbindung verarbeitet und genutzt
werden. Sie sind grundsätzlich zu löschen, wenn der
Zweck, zu dem sie erhoben wurden, erreicht wurde (so müssen
Daten über die interaktive Suche von Angeboten unmittelbar
nach Beendigung des Suchprozesses gelöscht werden). Eine
weitergehende Verarbeitung dieser Daten ist nur auf Grundlage
einer ausdrücklichen Einwilligung des Betroffenen zulässig.
- Einwilligung:
Der Abschluß oder die Erfüllung eines
Vertragsverhältnisses dürfen nicht davon abhängig
gemacht werden, daß der Betroffene in die Verarbeitung oder
Nutzung seiner Daten außerhalb der zulässigen Zweckbestimmung
eingewilligt hat. Soweit Daten aufgrund einer Einwilligung erhoben
werden, muß diese jederzeit widerrufen werden können.
Für die Form und Dokumentation elektronisch abgegebener Einwilligungen
und sonstiger Willenserklärungen ist ein Mindeststandard
zu definieren, der einen fälschungssicheren Nachweis über
die Tatsache, den Zeitpunkt und den Gegenstand gewährleistet.
Dabei ist sicherzustellen, daß der Teilnehmer bereits vor
der Einwilligung soweit wie möglich über den Inhalt
und die Folgen seiner Einwilligung und über sein Widerrufsrecht
informiert ist. Deshalb müssen die Betroffenen sowohl vor
als auch nach Eingabe der Erklärung die Möglichkeit
haben, auf Einwilligungen, Verträge und sonstige Informationen
über die Bedingungen der Nutzung von Diensten, Multimedia-Einrichtungen
und Dienstleistungen zuzugreifen und diese auch in schriftlicher
Form zu erhalten. Da Verträge oder andere rechtswirksame
Erklärungen, die in einer Fremdsprache verfaßt sind,
unter Umständen juristische Fachbegriffe enthalten, die nur
vor dem Hintergrund der jeweiligen Rechtsordnung zu verstehen
sind, sollten zumindest diejenigen Dienste, die eine deutschsprachige
Benutzeroberfläche anbieten, derartige Unterlagen auch in
deutscher Sprache bereitstellen.
- Transparenz der Dienste und Steuerung der Datenübertragung
durch die Teilnehmer:
Die automatische Übermittlung von Daten
durch die beim Betroffenen eingesetzte Datenverarbeitungsanlage
ist auf das technisch für die Vertragsabwicklung notwendige
Maß zu beschränken. Eine darüber hinausgehende
Übermittlung ist nur aufgrund einer besonderen Einwilligung
zulässig. Im Hinblick darauf, daß die Teilnehmer bei
der eingesetzten Technik nicht erkennen können, in welchem
Dienst sie sich befinden und welche Daten bei der Nutzung von
elektronischen Diensten bzw. bei der Erbringung von Dienstleistungen
automatisiert übertragen und gespeichert werden, ist sicherzustellen,
daß die Teilnehmer vor Beginn der Datenübertragung
hierüber informiert werden und die Möglichkeit haben,
den Prozeß jederzeit abzubrechen. Die zur Nutzung vom Anbieter
oder Netzbetreiber bereitgestellte Software muß eine vom
Nutzer aktivierbare Möglichkeit enthalten, den gesamten
Strom der ein- und ausgehenden Daten vollständig
zu protokollieren. Bei einer Durchschaltung zu einem anderen Dienst
bzw. zu einer anderen Multimedia-Einrichtung müssen die Teilnehmer
über die Durchschaltung und damit mögliche Datenübertragungen
informiert werden. Diensteanbieter haben zu gewährleisten,
daß sie keine erkennbar unsicheren Netze für die Übertragung
personenbezogener Daten nutzen bzw. den Schutz dieser Daten durch
angemessene Maßnahmen sicherstellen. Entsprechend dem Stand
der Technik sind geeignete (z.B. kryptographische) Verfahren anzuwenden,
um die Vertraulichkeit und Integrität der übertragenen
Daten sowie eine sichere Identifizierung und Authentifikation
zwischen Teilnehmern und Anbietern zu gewährleisten.
- Rechte von Betroffenen:
Die Rechte von Betroffenen auf Auskunft,
Sperrung, Berichtigung und Löschung sind auch bei multimedialen
und sonstigen elektronischen Diensten zu gewährleisten. Soweit
personenbezogene Daten im Rahmen eines elektronischen Dienstes
veröffentlicht wurden, der dem Medienprivileg unterliegt,
ist das Gegendarstellungsrecht der von der Veröffentlichung
Betroffenen sicherzustellen.
- Datenschutzkontrolle:
Eine effektive, unabhängige und
nicht anlaßgebundene Datenschutzaufsicht ist zu gewährleisten.
Den für die Kontrolle des Datenschutzes zuständigen
Behörden ist ein jederzeitiger kostenfreier elektronischer
Zugriff auf die Dienste und Dienstleistungen und der Zugang zu
den eingesetzten technischen Einrichtungen zu ermöglichen.
Bei elektronischen Diensten, für die das Medienprivileg gilt,
ist die externe Datenschutzkontrolle entsprechend zu beschränken.
- Geltungsbereich:
Der Geltungsbereich der jeweiligen Regelungen
ist eindeutig festzulegen. Es ist sicherzustellen, daß die
Datenschutzbestimmungen auch gelten, sofern personenbezogene Daten
nicht in Dateien verarbeitet werden.
- Internationale Datenschutzregelung:
Im Hinblick auf die zunehmende
Bedeutung grenzüberschreitender elektronischer Dienste und
Dienstleistungen ist eine Fortentwicklung der europäischen
und internationalen Rechtsordnung dringend erforderlich, die auch
bei ausländischen Diensten, Dienstleistungen und Multimedia-Angeboten
ein angemessenes Datenschutzniveau gewährleistet. Die Verabschiedung
der sog. ISDN-Datenschutzrichtlinie mit einem europaweiten hohen
Schutzstandard ist überfällig. Kurzfristig ist es notwendig,
den Betroffenen angemessene Mittel zur Durchsetzung ihrer Datenschutzrechte
gegenüber ausländischen Betreibern und Dienstleistern
in die Hand zu geben. Die in Deutschland aktiven Dienste aus Nicht-EG-Staaten
haben im Sinne der EG-Datenschutzrichtlinie (95/46/EG) vom 24.10.1995
einen verantwortlichen inländischen Vertreter zu benennen.
|