Michael Kloepfer: Geben moderne Technologien und die europäische Integration Anlaß, Notwendigkeit und Grenzen des Schutzes
personenbezogener Informationen neu zu bestimmen? Gutachten D zum 62. Deutschen Juristentag. München 1998
Thesen
- Grundlagen
1.In einer - viele Chancen bietenden - Informationsgesellschaft, die Daten scheinbar grenzenlos erhebt, transferiert oder nutzt, ist der Schutz des Individuums vor den hieraus zugleich erwachsenden Risiken neu zu bestimmen. Die Schaffung einer gerechten und zukunftsoffenen Informationsordnung bedarf eines prospektiven und kreativen Einsatzes von Recht.
2. Die rasante Entwicklung der modernen Informationstechnik wird geprägt durch globale Vernetzung, dezentralisierte Datenverarbeitung und durch einen enormen Zuwachs an Rechnerkapazitäten. Das heutige Informationsgeschehen wird beispielhaft durch folgende neue Technologien und Dienste geprägt:
- Das ohne übergeordnete ordnende Instanz funktionierende Internet mit seiner weltweiten Vernetzung und seinen zahllosen Diensten (u.a. E-mail, WWW, FTP, UseNet, Telnet) wird zunehmend auch kommerziell genutzt. Dabei entwickeln sich vielfältige neue Dienstleistungen etwa des electronic commerce; im Rahmen des sog. outsourcing kommt es zur Bildung großer Dienstleistungsunternehmen mit riesigen Rechnerkapazitäten und hieraus erwachsender Datenmacht.
- Multimedia ist gekennzeichnet durch die Integration verschiedener Kommunikationsmittel - Text, Bild, Video und Ton - und der Möglichkeit ihrer interaktiven Nutzung. Diese vor allem auch auf der Grundlage von "Daten-Autobahnen" bzw. Breitbandkabelnetzen realisierbare Technik ermöglicht eine Fülle neuartiger Dienste wie z.B. Televideo, Telespiele, Teleshopping, Telelernen und Telearbeit.
- Chipkarten werden zunehmend nicht nur als Datenspeicher, sondern auch als Mikroprozessoren (z.B. SmartCard) benutzt. Ihre Einsatzmöglichkeiten sind außerordentlich vielfältig (z.B. Telefon- und Krankenversicherungskarten, Karten für den Gebrauch von Funktelefonen, von Geldausgabeautomaten, von online-check-in Terminals).
3. Probleme des Datenschutzes und der Datensicherheit ergeben sich bei den modernen Informationstechnologien und -diensten auf mannigfaltige Weise:
- Im Internet stellt sich u.a. die Frage nach dem Schutz der in ihm enthaltenen Informationen gegen unerlaubten Zugriff, Mitlesen, Protokollierung oder Fälschung bzw. gegen die Gewinnung von Persönlichkeitsprofilen u.a. durch Hinterlassen von "cookies" und den Einsatz von Suchmaschinen. Verschlüsselungstechniken (Kryptographie) sollen diesen Gefahren begegnen. Rechtlich vorgeschriebene Kryptographiebeschränkungen zur Mißbrauchsabwehr stünden in keinem Verhältnis zur Einschränkung des Rechts des einzelnen, seine Rechte zu schützen. "Verwerfliche" Inhalte sind im Internet wegen dort fehlender Regulierungsinstanzen und wegen seiner Transnationalität, aber auch aus technischen Gründen nur sehr schwer zu bekämpfen.
- Im Bereich von Multimedia ergeben sich Datenschutzprobleme u.a. aus dem hohen erforderlichen Datenaufwand, der Möglichkeit zur Erstellung von Nutzungs- und Persönlichkeitsprofilen und der breitflächigen, schnellen Verbreitbarkeit sensibler Daten. Durch Datenvermeidung, Speicherungsbegrenzungen, Anonymisierungen und inhalts- bzw. identitätsunabhängige Zahlungsweisen können datenschützende Effekte erreicht werden.
- Der Einsatz von Chipkarten führt zu Datenschutzproblemen durch die Gefahren des unberechtigten Zugriffs, durch die Möglichkeit der Erstellung von Nutzungs-, Bewegungs- und Persönlichkeitsprofilen und durch das komplizierte Geflecht aller Beteiligten hierbei (Kartenhersteller, Softwareanbieter, Kartenherausgeber, speichernde und verarbeitende Stellen, Betroffene). Insbesondere durch Stärkung des Gedankens der Zweckbindung von Informationen könnte hier Abhilfe geschaffen werden.
4. Das - im internationalen Vergleich relativ frühzeitig entwickelte - Datenschutzrecht in der Bundesrepublik Deutschland ist als Reaktion auf die Risiken moderner Informationstechnologien entstanden, hatte im Effekt aber stets auch eine technikermöglichende Funktion. Neben dem BDSG und Landesdatenschutzgesetzen sind vielfältige, stark verästelte Spezialregelungen auf Bundesebene (z.B. SGB) und Landesebene (z.B. Polizeigesetze) geschaffen worden. Insbesondere die neuen Regelungen zur Telekommunikation und zu den Multimediadiensten (z.B. TDSV, TDDSG) enthalten beachtliche Modernisierungsimpulse auch für das Datenschutzrecht. Das deutsche Datenschutzrecht wird durch internationale Aktivitäten (etwa des Europarats) und zunehmend vor allem durch das Europäische Gemeinschaftsrecht (insbesondere EG-Datenschutzrichtlinie) mitgeprägt.
- Bausteine des hergebrachten Datenschutzrechts
5. Das deutsche Datenschutzrecht hat die europäischen Grundrechte, die gemeinschaftsrechtliche Zuständigkeitsordnung und das europäische Sekundärrecht zu beachten.
6. Das Grundgesetz gibt sowohl dem Bund wie den Ländern Gesetzgebungszuständigkeiten für den Datenschutz, wobei insbesondere die Kompetenzaufteilung Im Multimedia-Bereich bisher ungesichert ist. Die trennende Zuweisung der Zuständigkeiten für Mediendienste an die Länder und für Teledienste an den Bund wird sich bei künftiger völliger Medienverschmelzung kaum noch halten lassen.
7. Der verfassungsrechtliche Schutz der Privatsphäre ergibt sich aus einem "Grundrechtskranz" (insbes. Art. 2 Abs. 1, 10, 13 GG), wobei es zu vielfältigen Grundrechtskonkurrenzen kommen kann. Im Vordergrund steht dabei die grundrechtliche Gewährleistung des allgemeinen Persönlichkeitsrechts in Art. 2 Abs. 1 i.V.m. Art. 1 GG, dem ein informationelles Abwehrrecht und ein Recht auf Selbstdarstellung entnommen wird. Das maßgeblich im Volkszählungsurteil des BVerfG entwickelte einheitliche Recht auf informationelle Selbstbestimmung liegt quer zu den bisherigen Ausprägungen des Persönlichkeitsrechts und geht auch über das Anliegen des Datenschutzes hinaus. Die Bedeutung dieses nur natürlichen Personen zukommenden Rechts liegt vor allem in der Begründung eines umfassenden Gesetzesvorbehalts für Informationseingriffe sowie in der Notwendigkeit von flankierenden Schutzvorkehrungen (z.B. Auskunftsrechte, Datenschutzbeauftragte).
8. Wesentliche Schutzgehalte für die Privat- bzw. Geheimsphäre lassen sich u. a. auch aus dem Brief-, Post- und Fernmeldegeheimnis, der Unverletzlichkeit der Wohnung sowie aus den negativen Kommunikationsfreiheiten entnehmen, wobei Datenschutz auch als Grundrechtsvoraussetzungsschutz und als Folge von Eingriffsverboten verstanden werden kann. Der Schutz von Berufs-, Betriebs-, Geschäfts-, Bank- und Steuergeheimnissen läßt sich u.a. aus Art. 12, 14 GG ableiten.
9. Sowohl die Staatsstrukturbestimmungen (z.B. informationelle Gewaltenteilung als Ableitung aus dem Gewaltenteilungsprinzip) als auch das Staatsorganisationsrecht (etwa Art. 47 GG) enthalten wichtige datenschutzrelevante Gehalte. Der Schutz der informationshemmenden Amtsgeheimnisse ist grundsätzlich nicht grundrechtlich, sondern staatsorganisationsrechtlich fundiert.
10. Unter den Bedingungen der Informationsgesellschaft erhält die Verfassung insgesamt eine informationelle Tönung und entfaltet eine Vielzahl von informationshemmenden wie informationsermöglichenden Gehalten. Von daher würde die verfassungsrechtliche Abstützung des Datenschutzes allein auf das Recht auf informationelle Selbstbestimmung eine inakzeptable Blickverkürzung bedeuten. Die Verfassung steht Informationsvorgängen nicht nur negativabwehrend, sondern auch positiv-grundrechtsermöglichend gegenüber.
11. Von dem - vornehmlich in vielfältigen bundes- und landesrechtlichen Spezialgesetzen enthaltenen - besonderen Datenschutzrecht kann das mehrschichtige allgemeine Datenschutzrecht von Bund und Ländern unterschieden werden, das vor allem, aber nicht allein im BDSG (bzw. in den Landesdatenschutzgesetzen sowie in der EG-Datenschutzrichtlinie) niedergelegt ist.
12. Das BDSG ist gekennzeichnet durch einen umfassenden Datenbegriff und einen weiten sachlichen Anwendungsbereich mit Erfassung des Datenumgangs durch öffentliche wie - erheblich privilegiert - durch nicht-öffentliche Stellen und durch weitgehenden Inlandsbezug. Das Gesetz wird durch das Konzept eines grundsätzlichen, freilich durch weite gesetzliche Erlaubnistatbestände durchbrochenen Verbots des Datenumgangs und der Datennutzung bestimmt. Die ausschließlich nicht-kommerzielle Datenverarbeitung im Personalcomputer ist datenschutzrechtlich bisher nicht geregelt.
13. Im BDSG sind unterschiedliche Kontrollen der Einhaltung des Datenschutzes vorgegeben: Im öffentlichen Bereich steht die externe Kontrolle durch die Regelaufsicht des Bundesbeauftragten für den Datenschutz (ohne Eingriffsbefugnisse) im Vordergrund, bei den nicht-öffentlichen Stellen erfolgt die Kontrolle durch die internen betrieblichen Datenschutzbeauftragten und die Anlaßaufsicht der externen staatlichen Aufsichtsbehörde (mit Eingriffsbefugnissen). Zu diesen im BDSG geregelten Kontrollen kommen die Möglichkeiten der richterlichen und politischen Kontrolle des Datenumgangs hinzu.
14. Bereichsspezifische Privilegierungen sieht das BDSG für die Medien und den Forschungsbereich vor. Ein gesteigerter besonderer Schutz für sensible Daten ist im BDSG bisher nur in wenigen Ausnahmen erkennbar, ist aber in einigen Spezialgesetzen vorhanden (z.B. Sozialgeheimnis).
- Unzulänglichkeiten des überkommenen Datenschutzrechts
15. Das BDSG hat den informationstechnologischen Wandel mit ständig wachsender und globalisierter, aber zunehmend dezentralisierter Informationsverarbeitung bisher nur unvollkommen verarbeitet. Bei einer - wegen der Umsetzung des EG-Rechts ohnehin notwendigen - Novellierung kann das Gesetz von modernen datenschutzrechtlichen Sonderregelungen (z.B. im Telekommunikations- und Telediensterecht) und von der EG-Datenschutzrichtlinie "lernen".
16. Der Anstieg der Informationsverarbeitung durch nicht- öffentliche Stellen und die hieraus folgende Zunahme privater Datenmacht macht das bisherige, primär auf den Staat zielende Konzept des BDSG überarbeitungsbedürftig. Der Ansatz einer prinzipiellen Datenschutzerleichterung für nicht-öffentliche Datenverarbeitung ist überholt.
17. Die Verbreitung "verwerflicher" Informationen in globalen Netzen läßt sich durch das (bisherige) nationale Datenschutzrecht bzw. Strafrecht nur ganz unvollkommen bekämpfen. Die gesetzliche Regelung der Verantwortlichkeit der Diensteanbieter für fremde Inhalte kann hier eine gewisse Abhilfe schaffen.
18. Aufgrund des - vom Recht auf informationelle Selbstbestimmung erforderten - Gesetzesvorbehalts für Informationseingriffe ist (vor allem durch viele datenschutzrechtliche Spezialregelungen) eine häufig überdetaillierte, unübersichtliche und schwer zu vollziehende Normenmasse geschaffen worden, die erkennbar zu Forderungen nach Deregulierung und schlankem Staat im Widerspruch steht. Daneben gibt es allerdings auch Bereiche mit datenschutzrechtlicher Unterdifferenzierung wie z.B. das Strafprozeßrecht.
19. Die Spannung zwischen extrovertierter Mediengesellschaft (mit Hang zur Informationsvermehrung) und dem Schutz von Personaldaten (mit Tendenz zur Reduktion von Datenmengen) sollte nicht einseitig durch eine weitgehende Verschonung der Medien vom Datenschutzrecht (wie in § 41 BDSG), sondern durch stärker differenzierende, ausgleichende Regelungen gelöst werden. Zu den unerläßlichen Bedingungen einer freiheitlichen Informationsgesellschaft in einem demokratischen Rechtsstaat gehören nicht nur die Pressefreiheit, sondern auch der Datenschutz.
20. Das geltende Datenschutzrecht erfaßt Betriebs- und Geschäftsgeheimnisse gar nicht, personenbezogene Daten nicht immer vollständig und die Datensicherheit nur unvollkommen. Vor allem aber ist das bisherige Datenschutzrecht konzeptionell zu eng, weil es nur einen Teil aus dem gesamten - die Informationsordnung mitkonstituierenden - Informationsrecht darstellt. Das Informationsrecht enthält darüber hinausgehend vielfältige andere Regelungen zur Informationsbeschränkung, Informationsgewinnung und -weitergabe. Mit diesen anderen informationsrechtlichen Regelungen ist das Datenschutzrecht bisher kaum verknüpft. Dies gilt entsprechend für die Einordnung des Datenschutzes in das Informationsverfassungsrecht, wie sich z.B. am Verhältnis des Rechts auf informationelle Selbstbestimmung zu den übrigen kommunikationsrelevanten Grundrechten und an der grundrechtlichen Qualifizierbarkeit des Datenschutzes sowohl als Grundrechtsgewährleistung wie als Grundrechtsschranke zeigt.
21. Das vor allem als Bändigung des staatlichen Informationshungers konzipierte Recht auf informationelle Selbstbestimmung erweist sich zur Entfaltung des Datenschutzes in einem umfassenden Informationsrecht bei weitem als zu eng: Es entfaltet zu wenig kommunikative Gehalte, wird der Multipolariät heutiger Informationsbeziehungen nicht gerecht und vernachlässigt tendenziell den Schutz vor privater Datenmacht. Die prinzipiell uneinheitliche Sicherung von Personendaten einerseits und von Betriebs- und Geschäftsgeheimnissen andererseits ist überprüfungsbedürftig.
- Ansätze für eine Neuorientierung des Datenschutzrechts
22. Die Unzulänglichkeiten des überkommenen Datenschutzrechts machen seine grundsätzliche Neuorientierung notwendig. Diese Neuorientierung sollte nicht pauschalen Richtungsforderungen entweder nach einer grundsätzlichen Erweiterung oder - umgekehrt - nach einer prinzipiellen Verengung des Datenschutzes verpflichtet sein, sondern problem- und bereichsorientiert das jeweilige Schutzniveau des Datenschutzes bestimmen. Dabei kommen in einigen Bereichen (z.B. bei sensiblen Daten oder im nicht-öffentlichen Bereich) datenschutzrechtliche Verschärfungen ebenso in Betracht wie in anderen Bereichen (z.B. öffentliche Daten, Trivialdaten) datenschutzrechtliche Erleichterungen.
23. Bei einer grundsätzlichen Neuorientierung muß der Datenschutz als konstitutiver Teil einer umfassenden Informationsordnung begriffen werden, für die das - auf den Gedanken der Informationsgerechtigkeit ausgerichtete - Informationsrecht den rechtlichen Rahmen bietet. Einen Teil dieses Informationsrechts stellt das - auch dem Gedanken der Verteilung und Kontrolle von Datenmacht verpflichtete - Datenrecht dar, zu dem wiederum das Datenschutzrecht als ein Untergebiet gehört. Nicht-datenschutzrechtliche Teile des Datenrechts können u.a. Vorschriften zur Datensicherheit sowie zu den Betriebs- und Geschäftsgeheimnissen darstellen.
24. Entsprechend seiner systematischen Zuordnung muß das Datenschutzrecht als Baustein eines umfassenden Informationsrechts ausgestaltet werden und sich in andere informationsrechtliche Regelungen einfügen. Dabei bietet sich das inhaltliche Konzept des Datenschutzrechts vor allem als Datenverkehrsordnung im Sinne eines rechtlich verbindlichen Rahmens für den Datenumgang an. Eine solche Datenverkehrsordnung soll den Datenverkehr durch Regulierung ermöglichen. In einer gesetzlichen Regelung des Datenrechts sollten neben einer Datenverkehrsordnung ausgebaute Vorschriften für die Datensicherheit, vorsichtige Regulierungen von Datenmengen und von Dateninhalten sowie Regeln über den Zugang zu Datennetzen aufgenommen werden.
25. Das Datenrecht könnte in einem Bundesdatengesetz (BDG) als Teilkodifikation zusammengefaßt werden. In einem längerfristigen Prozeß könnte ein so zusammengefaßtes Datenrecht als Teil in ein umfassendes Informationsgesetzbuch (IGB) aufgenommen werden, das dann als übergreifende, rechtsbereinigende und -harmonisierende Kodifikation des Informationsrechts des Bundes zu konzipieren wäre. Dabei sollten u.a. auch die Berufsgeheimnisse, der Zugang zu staatlichen Informationen (insbes. Informationsansprüche der Bürger) und die staatliche Informationstätigkeit geregelt werden. In einem Besonderen Teil könnten auch Spezialregelungen (wie etwa die datenschutzrechtlichen Sonderregelungen und die Vorschriften des luKDG) aufgenommen werden. Die notwendige Novellierung des BDSG aus Anlaß der Umsetzung der EG-Richtlinie könnte eine mögliche teilweise Vorabregelung für diese Kodifikation (und zuvor für das BDG) darstellen.
26. Durch eine das Datenschutzanliegen aufnehmende Datenverkehrsordnung kann eine rechtliche Ordnung für die freiheitliche Nutzung der modernen Informationstechniken unter Wahrung schutzwürdiger Personengeheimnisse geschaffen werden. Dabei müßte sich das Datenschutzrecht aus seiner allein abwehrrechtlichen und persönlichkeitsbezogenen Perspektive befreien und auch objektive kommunikationsrechtliche Gehalte entfalten. Ein prinzipieller Vorrang des Rechts auf informationelle Selbstbestimmung gegenüber den kommunikativen Freiheiten läßt sich in der Informationsgesellschaft nicht rechtfertigen.
27. Der Schutz vor privater Datenmacht ist erheblich zu verbessern, darf aber - schon aus verfassungsrechtlichen Gründen - mit dem Schutz vor der Datenmacht öffentlicher Stellen nicht gleichartig sein. Gleichwertiger Schutz ist aber insbesondere gegenüber überlegener privater Datenmacht (etwa gegenüber großen privaten Datenverarbeitern oder im Arbeitsrecht) erforderlich. Dabei darf auch der unterschiedliche Gemeinwohlbezug der öffentlichen und nichtöffentlichen Stellen nicht übersehen werden.
28. Informationsgerechtigkeit durch Datenschutz ist nur bei hinreichender Differenzierung (z.B. nach Datenart und -verwendung) in Form von unterschiedlichen datenschutzrechtlichen Schutzstufen erreichbar. Dabei müssen freilich unübersichtliche Überdifferenzierungen und der substantielle Verlust allgemeiner datenrechtlicher Strukturen vermieden werden. Das aufeinanderbezogene Nebeneinander von allgemeinen Prinzipien und notwendigen Sonderregelungen läßt sich gesetzgebungstechnisch optimal in einem IGB mit einem Allgemeinen und einem Besonderen Teil regeln.
29. Der Systemdatenschutz muß ausgebaut werden, um die datenschutzrechtlichen Probleme der weitverzweigten Vernetzung von Computern abzubauen. Dabei könnten Regelungen an Netzschnittstellen ansetzen und datenschutzgerechte Systemgestaltungen fordern. Hierbei sollen die Systeme technisch und organisatorisch datensparend und insbesondere so ausgestaltet sein, daß die Betroffenen ihre Ansprüche effektiv geltend machen können.
30. Künftiges Datenschutzrecht muß zunehmend auch auf technischen Selbstschutz gegenüber unerlaubtem Datenumgang (z.B. Verschlüsselungstechniken, Programme wie "pretty good privacy") bauen. Auf diese Weise lassen sich die Risiken der neuen Informationstechniken von den Bürgern (allerdings auf deren Kosten) jedenfalls teilweise selbst steuern.
31. Das Datenschutzrecht muß künftig verstärkt Selbstregulierungspotentiale der Gesellschaft nutzen und in seine Regelungen einbauen (z.B. Verhaltensregeln von Verbänden, Datenschutz-Audit), ohne dabei den generellen staatlichen Steuerungsanspruch preiszugeben.
32. Um datenschutzgefährdendes oder inhaltlich verwerfliches Informationshandeln zu bekämpfen, kann die Rechtsordnung - unter strikter Wahrung des Übermaßverbots - die hierfür notwendigen Beschränkungen vorsehen. Der grenzüberschreitenden Übermittlung derartiger Informationen ist durch einen entsprechenden Ausbau des nationalen Datenrechts sowie vor allem durch supra- und internationale Regelungen entgegenzutreten.
- EG-Datenschutzrichtlinie und deutsches Recht
33. Die EG-Datenschutzrichtlinie will einen in etwa einheitlichen gemeinschaftlichen Schutzstandard schaffen, überläßt den Mitgliedstaaten aber in mehreren Bereichen einen gewissen Spielraum für eigene Regelungen. Die bis zum 24. Oktober 1998 umzusetzende Richtlinie macht eine umfassende Überarbeitung des BDSG notwendig und birgt so die Chance einer begrenzten Modernisierung des deutschen Datenschutzrechts.
34. Die Legaldefinitionen der Richtlinie erfordern vielfältige Änderungen im BDSG im Hinblick u.a. auf die Begriffe: Verarbeitung (Erfassung auch der Erhebung und Organisation), Datei (Einbeziehung von Akten, sortierte Audio- und Videosammlungen), Auftragsverarbeiter (Einbeziehung auch des Erhebens im Auftrag und der Auftragsverarbeiter aus EG-Staaten) und Empfänger (auch Auftragsverarbeiter und Betroffene).
35. Im Hinblick auf den sachlichen Geltungsbereich des BDSG muß die bisherige Privilegierung vorübergehend erstellter bzw. nicht automatisierter, interner Dateien entfallen und auch die nichtdateibezogene automatisierte Datenverarbeitung erfaßt werden. Da die Richtlinie nicht zwischen Datenschutz im öffentlichen und im nicht-öffentlichen Bereich differenziert, empfiehlt sich eine grundsätzliche Überarbeitung der Regelung des BDSG vor allem zum Datenumgang durch nicht-öffentliche Stellen. Dabei ist grundsätzlich ein - gegenüber dem Datenschutzrecht im öffentlichen Bereich -gleichwertiger, aber nicht gleichartiger Schutz zu gewährleisten.
36. Hinsichtlich der in der Richtlinie enthaltenen Grundsätze für die Datenqualität und Datenverarbeitung ist die Zweckbindung bei Datenverarbeitungen auch im Bereich der nicht-öffentlichen Datenverarbeitung grundsätzlich umfassend durchzusetzen.
37. Ein besonderer Schutz sensibler Daten ist im BDSG - z.B. durch ein entsprechendes Verbot mit gesetzlichen Ausnahmetatbeständen - vorzusehen.
38. Art. 9 der Richtlinie zwingt zu einer differenzierenden Absenkung des Verschonungsniveaus im bisherigen Medienprivileg von § 41 BDSG, aber umgekehrt auch zu einer Erweiterung der datenschutzrechtlichen Verschonung bei Datenverarbeitungen für künstlerische und literarische Zwecke.
39. Die Regelungen des BDSG über die Informations-, Auskunfts- und Widerspruchsrechte der Betroffenen sind ebenfalls an mehreren Stellen anpassungsbedürftig. Auch über die Erhebung im nichtöffentlichen Bereich bzw. über Speicherungen im öffentlichen Bereich ist künftig zu informieren. Neu aufzunehmen sind einschränkende Bestimmungen über automatisierte Einzelentscheidungen. Zu ergänzen ist die Anlage zu § 9 BDSG u.a. im Hinblick auf die Sicherung gegenüber Zerstörung oder Verlust von personenbezogenen Daten durch Zufall.
40. Da die Richtlinie eine allgemeine Meldepflicht vorsieht, ist im BDSG das Recht der Meldepflichten umfassend neu zu regeln. Dabei sollte von der in der Richtlinie vorgesehenen Befreiung von der Meldepflicht bei der Bestellung eines betrieblichen Datenschutzbeauftragten Gebrauch gemacht werden. Die in der Richtlinie vorgesehene Vorabkontrolle muß (und sollte) nicht zu einem allgemeinen Verbot mit administrativem Erlaubnisvorbehalt führen.
41. Bezüglich der Richtlinienregelungen über Rechtsbehelfe, Haftung und Sanktionen ergibt sich kein relevanter Anpassungsbedarf.
42. Das BDSG muß im Hinblick auf die Richtlinie die Übermittlung von Daten In Drittländer differenziert regeln. Grundsätzlich ist nach der Richtlinie eine Übermittlung in Drittländer nur möglich, wenn diese ein "angemessenes Schutzniveau" gewährleisten, wovon allerdings Ausnahmen gemacht werden können.
43. In das BDSG sind Verfahrensvorschriften über selbstregulierende, rechtlich unverbindliche Verhaltensregeln von Berufsverbänden etc. und die Überprüfung dieser Regeln durch staatliche Stellen aufzunehmen.
44. Die Richtlinie fordert, die Kontrolle über die Datenschutzrechtskonformität Kontrollstellen zu übertragen, die ihre Aufgaben in "völliger Unabhängigkeit" wahrnehmen. Den aufsichtsführenden Stellen nach § 38 BDSG ist deshalb eine aufgabenbezogene Weisungsfreiheit einzuräumen. Eine generelle Überantwortung der Aufsicht über die nicht-öffentliche Datenverarbeitung an die öffentlichen Datenschutzbeauftragten wird nicht empfohlen. Die öffentlichen Datenschutzbeauftragten sollten grundsätzlich keine Eingriffsbefugnisse erhalten.
45. Der vorliegende Referentenentwurf des Bundesministeriums des Innern zur Novellierung des BDSG (Stand: Dezember 1997) will die Richtlinie (nur) in dem zwingend erforderlichen Umfang umsetzen und beabsichtigt keine grundsätzliche Neukonzeption.
46. Die EG-Datenschutzrichtlinie löst erheblichen Anpassungsbedarf auch bei den Landesdatenschutzgesetzen sowie bei den datenschutzrechtlichen Sonderregelungen von Bund und Ländern aus. Hierdurch kann von der Richtlinie ein erheblicher modernisierender und harmonisierender Effekt für das gesamte Datenschutzrecht ausgehen.
|