Gruppe 29: WP20 Stellungnahme 3/99 betreffend die Informationen des öffentlichen Sektors und Schutz personenbezogener Daten

Gruppe für den Schutz von Personen bei der Bearbeitung personenbezogener Daten

Stellungnahme 3/99
betreffend

die Informationen des öffentlichen Sektors und Schutz personenbezogener Daten

Beitrag zu der mit dem Grünbuch der Europäischen Kommission unter dem Titel
"Informationen des öffentlichen Sektors – eine Schlüsselressource für Europa"
begonnenen Anhörung

Angenommen am 3. Mai 1999

DIE INFORMATIONEN DES ÖFFENTLICHEN SEKTORS UND DEN SCHUTZ PERSONENBEZOGENER DATEN

1. Die Europäische Kommission hat eine öffentliche Anhörung zu einem Grünbuch mit dem Titel "Informationen des öffentlichen Sektors – eine Schlüsselressource für Europa" ¹ angesetzt, das in erster Linie dazu dient, eine Erörterung über die Frage herbeizuführen, wie die Informationen des öffentlichen Sektors den Bürgern und Unternehmen besser zugänglich gemacht werden können und ob es erforderlich ist, die einzelstaatlichen Regelungen in diesem Bereich zu harmonisieren. Dieses Dokument scheint sich weitestgehend an der Forderung der Privatwirtschaft zu orientieren, die einen kostengünstigeren Zugang zu öffentlichen Informationen wünscht und einschlägige öffentliche Monopole ablehnt.

Einer der wesentlichen Punkte des Grünbuchs betrifft somit die Informationen des öffentlichen Sektors, d. h. Daten besonderer Art, sogenannte "öffentlichen Daten": bei öffentlichen Stellen gespeicherte Daten, die anhand von Regeln bzw. aufgrund der üblichen Praxis² der Öffentlichkeit zugänglich gemacht werden sollen, ein Vorgang, der seine implizite oder explizite Begründung im Willen zur Transparenz gegenüber dem Staatsbürger findet³.

Der Schutz personenbezogener Daten wird in diesem Dokument nicht außer Acht gelassen, auch wenn diese Frage nicht im Mittelpunkt der Betrachtung steht.

In Ziff. 111 (III. 7, S. 19) wird ausdrücklich erwähnt, daß: "diese Richtlinie (95/46/EG über den Schutz personenbezogener Daten⁴) verbindliche Regeln für den öffentlichen und den privaten Sektor enthält und [...] uneingeschränkt auf personenbezogene Daten, die von öffentlichen Stellen vorgehalten werden, anwendbar ist ".

In Ziff. 114 wird unterstrichen, daß: "der Wandel zur Informationsgesellschaft neue Bedrohungen der Privatsphäre mit sich bringt, wenn nunmehr eine Vielzahl amtlicher Register elektronisch zur Verfügung steht" (vor allem online und über Internet) .

Das Grünbuch insgesamt läßt jedoch hinsichtlich der dahinter stehenden Überzeugung Zweifel aufkommen.

Erstens läßt die Verwendung des (in der englischen Fassung verwendeten) Begriffs "publicly available" (öffentlich verfügbar) vermuten, daß die Daten der Öffentlichkeit für sämtliche Verwendungszwecke zur Verfügung gestellt werden. Dabei fällt ins Auge, daß sich das Prinzip der Zweckbestimmung als Grundpfeiler unseres Datenschutzrechtes schlecht mit dem Adjektiv "zugänglich" verträgt. Das Prinzip der Lauterkeit bei der Dateneinholung – dem vor allem durch Sicherheitsvorschriften in bezug auf die Handhabung der Daten Rechnung getragen wird – könnte darunter leiden, daß Daten ohne weiteres und ohne Sicherheitsvorkehrungen öffentlich zugänglich gemacht werden. Der Begriff "publicly available" müßte also einem geeigneteren, zweifelsfrei zu deutenden Begriff weichen (z. B. "publicly accessible") (öffentlich zugänglich).

Zweitens könnte man aufgrund der Frage Nr. 7 ("Verdienen Datenschutzfragen im Zusammenhang mit der Nutzung von Informationen des öffentlichen Sektors besondere Aufmerksamkeit?", S. 20) darauf schließen, daß der Verweis auf die Bestimmungen der Richtlinie 95/46/EG nicht so zwangsläufig wie man eigentlich hätte annehmen können zu präzisen einschlägigen Schlußfolgerungen führt. Auch wenn (in Ziff. 111) zu lesen ist, daß die Richtlinie 95/46/EG " ... den Grundsatz des freien Zugangs zu Informationen des öffentlichen Sektors mit dem Datenschutz in Einklang bringt", muß hier Klarheit geschaffen werden.

2. In diesem Zusammenhang zielt die Stellungnahme darauf ab, Überlegungen über den Umfang des Schutzes personenbezogener Daten anzustellen; dies ist notwendig, um den Zugriff auf Daten des öffentlichen Sektors, die sich auf natürliche Personen beziehen, zu erleichtern. Es wird jedoch nicht der Anspruch erhoben, sämtliche Fragen zu beantworten, die durch die Versöhnung des Ziels eines einfacheren Zugriffs auf Daten des öffentlichen Sektors auf der Grundlage des erklärten Willens des Staates, eine stärkere Transparenz gegenüber dem Staatsbürger walten zu lassen, mit dem Schutz personenbezogener Daten laut Definition in der europäischen Richtlinie 95/46/EG aufgeworfen werden.

Die Stellungnahme geht nicht auf die im Grünbuch angeschnittenen, über die reine Weitergabe der Informationen des öffentlichen Sektors an Dritte hinausgehenden Fragen ein, wie z. B. die in Ziff. 56 (II. 2, Seite 11) zum Ausdruck gebrachte Perspektive: "mit Hilfe der neuen Technologien läßt sich die Effizienz der Informationssammlung beträchtlich steigern. Die öffentlichen Einrichtungen erhalten die Möglichkeit, die verfügbaren Daten - soweit mit dem Datenschutz vereinbar - gemeinsam zu nutzen ...".

Sie bezweckt, auf der Grundlage der Richtlinie 95/46/EG sowie anhand konkreter Erfahrungen, die in pädagogischer Hinsicht im Bereich der bekanntesten Register, die öffentlich zugänglich gemachte personenbezogene Daten umfassen, gesammelt wurden, eine erste Reihe von Ansatzpunkten zu liefern, die bei der Entscheidungsfindung zu berücksichtigen sind. Mit diesen Ansatzpunkten und konkreten Beispielen aus mehreren Mitgliedstaaten soll veranschaulicht werden, wie in der Informationsgesellschaft den Schutzregelungen für Daten aus öffentlichen Verzeichnissen sowie bestimmten technischen und organisatorischen Maßnahmen Rechnung getragen werden muß; gerade einige der zuletzt genannten Maßnahmen sind geeignet (ohne daß der Anspruch erhoben wird, einen lückenlosen Datenschutz zu gewährleisten), dazu beizutragen, die Veröffentlichung der Daten und die Einhaltung der Bestimmungen für den Schutz personenbezogener Daten - insbesondere der Bestimmungen, denen im Zusammenhang mit dem Prinzip der Zweckbestimmung, dessentwegen die Daten in dem uns hier interessierenden Fall öffentlich zugänglich gemacht werden, Bedeutung zukommt - miteinander in Einklang zu bringen.

I – DATENSCHUTZREGELUNGEN FÜR ÖFFENTLICH ZUGÄNGLICH GEMACHTE PERSONENGESCHÜTZTE DATEN

Der Zugriff auf Informationen im öffentlichen Sektor, insbesondere auf elektronischem Wege, wie im Grünbuch befürwortet, wirft die Frage nach der Nutzung dieser Informationen auf. Tendenziell ist es in unserer Gesellschaft nicht angelegt, die Nutzung solcher Daten zu untersagen. Dies wird auch im Datenschutzrecht nicht bezweckt, denn es soll Garantien für die Informationsgesellschaft bieten und diese nicht verhindern.

Wendet man unser Datenschutzrecht auf öffentlich zugänglich gemachte personenbezogene Daten an, so geschieht das lediglich auf der Grundlage der Datenschutzbestimmungen: personenbezogene Daten bleiben, auch wenn sie öffentlich zugänglich gemacht werden, personenbezogene Daten und fallen daher unter den Datenschutz.

Diese Aussage bedarf jedoch einer näheren Bestimmung des Schutzes der öffentlich zugänglich gemachten personenbezogenen Daten. Einige Antworten finden sich bereits in der Richtlinie 95/46/EG .

A – Die Richtlinie 95/46/EG über den Schutz personenbezogener Daten bezieht sich auf die Handhabung der personenbezogenen Daten und den freien Datenverkehr

Nach Maßgabe der Richtlinie können das Recht auf Zugriff der Öffentlichkeit zu Verwaltungsdokumenten⁵ sowie weitere im Zusammenhang mit der Erörterung sachdienliche Elemente⁶ bei der Umsetzung der einschlägigen Regeln berücksichtigt werden.

Nach dem Prinzip der Zweckbestimmung dient die Sammlung personenbezogener Daten bestimmten ausdrücklich festgelegten legitimen Zwecken; ihre Weiterverarbeitung hat zweckbestimmungskonform zu erfolgen⁷ . Diesem Prinzip ist also bei der Umsetzung des Zugriffs auf personenbezogene Daten des öffentlichen Sektors ein hoher Stellenwert beizumessen.

Dabei muß von Fall zu Fall entschieden werden, inwieweit ein Gesetz die Veröffentlichung bzw. den Zugriff der Öffentlichkeit auf personenbezogene Daten erforderlich macht bzw. gestattet: hier stellt sich die Frage, ob der Zugriff völlig frei und unbegrenzt erfolgen kann, ob die Daten unabhängig von der ursprünglichen Zweckbestimmung für alle möglichen Zwecke genutzt werden können oder ob die gesetzliche Regelung lediglich einen teilweisen Zugriff und/oder eine Nutzung im Einklang mit dem ursprünglich verfolgten Ziel, dessentwegen die Daten öffentlich zugänglich gemacht wurden, vorsieht. Es gibt daher nicht nur eine einzige Kategorie von personenbezogenen Daten, die der Öffentlichkeit zugänglich gemacht werden und aus der Sicht des Datenschutzes einheitlich verarbeitet werden sollten, sondern es gilt vielmehr, anhand einer Stufenanalyse zwischen dem Recht des Einzelnen, auf den sich diese Daten beziehen, und dem Recht der Öffentlichkeit auf Zugriff zu Informationen abzuwägen. Auch der Zugriff der Öffentlichkeit auf Daten kann bestimmten Bedingungen unterworfen sein (wie Rechtfertigung durch ein legitimes Interesse); selbst die Nutzung der Daten z. B. zu kommerziellen Zwecken oder durch die Medien kann beschränkt werden. Die folgenden Beispiele sollen diese Fragen erhellen helfen.

In diesem Zusammenhang ist noch einmal zu betonen, daß ein Betroffener unabhängig von der Veröffentlichung personenbezogener Daten selbstverständlich immer ein Zugriffsrecht auf die eigenen Daten hat; ferner steht ihm das Recht zu, nicht richtliniengemäß verarbeitete Daten z. B. wegen Unvollständigkeit oder Unzulänglichkeit⁸ berichtigen oder streichen zu lassen.

Gewisse Bestimmungen in der Richtlinie beschäftigen sich ausdrücklich mit dem Öffentlichkeitscharakter von Daten. Davon verdienen es zwei, in all ihren Schattierungen untersucht zu werden.

Gemäß Artikel 18.3 ist die Verarbeitung der Daten bei der Kontrollinstanz anzumelden. Von der einschlägigen Verpflichtung kann abgesehen werden, wenn " ... die Mitgliedstaaten vorsehen, daß ... keine Anwendung auf Verarbeitungen findet, deren einziger Zweck das Führen eines Registers ist, das gemäß den Rechts- oder Verwaltungsvorschriften zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht". In diesem Zusammenhang wird man feststellen, daß die Entscheidungsgründe 50 und 51 der Richtlinie besagen, daß Befreiungen bzw. Vereinfachungen nur bei Verarbeitungen in Frage kommen, deren einziger Zweck (wichtigste Bedingung) es ist, ein Register zu führen, das im Einklang mit dem einzelstaatlichen Recht steht, das die Information der Öffentlichkeit regelt (Bedingung Nr. 2). Dieses Verzeichnis muß durch die Öffentlichkeit bzw. jedwede Person, die ein berechtigtes Interesse nachweisen kann (3. Bedingung), eingesehen werden können; dabei haben die für die Verarbeitung Verantwortlichen aber sämtliche übrigen Verpflichtungen aufgrund der Richtlinie zu beachten, falls eine solche Ausnahme in Anspruch genommen wird.

Schließlich wäre noch Artikel 26.1.f zu erwähnen, in dem eine Abweichung von der Vorschrift vorgesehen ist, Daten, die in Drittländer strömen, adäquat zu schützen, falls der Datentransfers in ein Land, in dem dieser Schutz nicht gewährleistet ist, "aus einem gemäß den Rechts- oder Verwaltungsvorschriften zur Information der Öffentlichkeit bestimmten Register gespeist wird". Durch den Entscheidungsgrund 58 de Richtlinie wird der Umfang des Datentransfer jedoch eingeschränkt und es wird präzisiert, daß weder die Gesamtheit der Daten noch bestimmte Kategorien von Daten im Register transferiert werden dürfen und daß ggf. nur Personen, die ein berechtigtes Interesse geltend machen können, einen Datentransfer beantragen können.

Aus diesen Bestimmungen und Präzisierungen geht jedoch klar hervor, daß der Schutz von personenbezogenen Daten die Bürger nicht am Zugriff auf Verwaltungsdokumente hindern darf, wenn die einzelstaatlichen Rechtsvorschriften dabei eingehalten werden, daß die Richtlinie die der Öffentlichkeit zugänglichen Daten jedoch keineswegs jeden Schutzes beraubt.

Wenn die Frage erörtert wird, ob bei den einzelstaatlichen Regelungen bezüglich des Zugriffs auf Informationen aus dem öffentlichen Sektor Harmonisierungsbedarf besteht, muß auf jeden Fall den harmonisierten Regeln für den Schutz personenbezogener Daten sowie den einzelstaatlichen Umsetzungsmaßnahmen Rechnung getragen werden.

Abgesehen vom Auftrag der Kommission, über die Anwendung der Richtlinie zu wachen, obliegt es der aufgrund von Artikel 29 der Richtlinie gebildeten Gruppe, in den Fällen, in denen es auf einzelstaatlicher Ebene zu Abweichungen⁹ kommen kann , die aufgrund der Richtlinie 95/46/EG ergriffenen einzelstaatlichen Rechtsvorschriften auf ihre Konsistenz hin zu bewerten.

B – Beispiele dafür, wie die Regeln über den Schutz personenbezogener Daten mit dem Zugang zu Informationen aus dem öffentlichen Sektor in Einklang zu bringen sind.

In gewissen Rechtsordnungen unterliegt die Verbreitung von Informationen aus dem öffentlichen Sektor Zweckbestimmungen, aufgrund deren der Zugriff zu bestimmten Daten bzw. bestimmte Nutzanwendungen der Daten untersagt werden können bzw. der Zugriff nur unter bestimmten Bedingungen gestattet wird.

Die Digitalisierung der Information und der Volltextabruf gestatten eine unendliche Vervielfältigung der Möglichkeiten, Daten abzufragen und zu sichten, wobei die Verbreitung über Internet die Gefahren der Datenpiraterie und -zweckentfremdung vergrößert. Darüber hinaus wird die Verknüpfung von Daten, die aus unterschiedlichen Quellen öffentlich zugänglich gemacht werden, mit Hilfe der Digitalisierung sehr erleichtert, wenn die Daten der Öffentlichkeit zur Verfügung gestellt werden; Auf diese Weise lassen sich vor allem Profile über die Situation und das Verhalten von Einzelpersonen¹⁰ erstellen. Ferner muß der Tatsache besondere Aufmerksamkeit geschenkt werden, daß die neuen Technologien des "data warehousing" und des "data mining", wenn der Öffentlichkeit personenbezogene Daten zur Verfügung gestellt werden, starke Impulse erfahren. Sie ermöglich es, Daten ohne jede vorherige Spezifikation der Zweckbestimmung zu sammeln und die Zweckbestimmung erst bei der Auswertung zu definieren. Muß also alles berücksichtigen, was im Datenbereich technisch möglich ist¹¹ .

Daher muß von Fall zu Fall untersucht werden, welche abträglichen Auswirkungen sich für den Einzelnen ergeben, bevor über die digitale Verbreitung entschieden wird. Je nach Sachlage sollte dann darauf verzichtet werden, bestimmte personenbezogene Daten zu verbreiten, oder die Verbreitung sollte von der Zustimmung der Betreffenden oder sonstigen Umständen abhängig gemacht werden.

Ziff. 74 des Grünbuchs (Seite 13), in dem Bezug auf Gerichtsentscheidungen genommen wird "...... die unerläßlich sind für ein funktionierendes demokratisches Gemeinwesen", wirft eine grundsätzliche Frage auf: Ist es möglich, alle Urteile sämtlicher Rechtsprechungsorgane über Internet bereitzustellen, ohne persönliche Rechte zu verletzen.

Gerichtsdatenbanken als Instrumente der Rechtsdokumentation können, falls keine Vorsichtsmaßnahmen ergriffen werden, zu Auskunftsdateien über Personen werden, falls man sich bei der Einsichtnahme nicht auf Informationen im Bereich der Rechtsprechung beschränkt, sondern z. B. sämtliche Gerichtsentscheidungen mit Bezug auf eine bestimmte Person zusammensucht.

Der Ausschuß für den Schutz des Privatlebens (Belgien) hat in seiner Stellungnahmen vom 23. Dezember 1997 klar unterstrichen, daß die technologische Entwicklung, was die zeitliche Abfolge der Rechtsprechung angeht, durch eine stärkere Zurückhaltung beim Ausweis der Parteien abgefedert werden muß. Er schlägt vor, daß die der gesamten Öffentlichkeit zugänglichen Gerichtsentscheidungen wegen unvollständiger Anonymisierung nicht mehr anhand der Namensangabe aufgeführt werden sollen, um die Suche anhand dieses Merkmals zu unterbinden.

Der italienische Ausschuß für den Schutz personenbezogener Daten¹² faßt ins Auge, auf nationaler Ebene in Vorschlag zu bringen, den streitenden Parteien ein Einspruchsrecht bei der Veröffentlichung ihres Namens in den Gerichtsdatenbanken einzuräumen. Dieses Recht müßte jederzeit ausgeübt werden können und bei der Aktualisierung der auf Magnetträger verbreiteten Datenbanken zum Tragen kommen. Bezüglich Veröffentlichung auf Papierträger könnte dieses Recht rückwirkend ausgeübt werden.

In Frankreich setzte der Justizminister, der die Gerichtsdatenbanken ins Internet einspeisen möchte, die Anonymisierung der Gerichtsentscheidungen im einschlägigen Lastenheft durch.

Die Veröffentlichung von Informationen auf Internet bedeutet weltweit Verbreitung und Vervielfältigung der Quellen. Diese Änderung der geographischen Dimension könnte bestimmte Risiken beinhalten. Die Tatsache, daß bestimmte Informationen, deren öffentlicher Zugang rechtens ist, weltweit verbreitet werden, könnte die Privatsphäre oder die körperliche Unversehrtheit schwer beschädigen. Das trifft dann zu, wenn die Einbürgerungsbescheide amtlicherseits veröffentlicht werden müssen. Dies ist in Frankreich der Fall, wo die Regierung die betreffenden Texte bei der Umstellung des Amtsblattes auf Internet aufgrund einer Stellungnahme des nationalen Ausschusses für Informatik und Freiheiten (CNIL) von der Verbreitung ausnahm, um zu vermeiden, daß sich bestimmte Personen, die ihre ursprüngliche Staatsangehörigkeit aufgegeben haben, Repressalien ausgesetzt sehen.

Es gibt aber auch Fälle, wo der Wille zur Transparenz des Staates, insbesondere seiner Bürger, schlecht zu einer weltweiten Verbreitung einschlägiger Informationen paßt.

3 - Weitere Beispiele für die Verbreitung öffentlich zugänglich gemachter personenbezogener Daten unter Wahrung des Schutzes der betroffenen Personen:

Die Bedingungen für den Zugriff auf personenbezogene Daten in öffentlichen Registern können je nach den geltenden Bestimmungen sehr unterschiedlich beschaffen sein: z. B. Teilzugriff auf Registerdaten, Nachweis des berechtigten Interesses, Verbot kommerzieller Nutzung.

In Deutschland muß z. B. ein Wahlvorschlag Name, Vorname, Beruf oder Berufsstand, Geburtstag und -ort sowie Anschrift der Kandidaten enthalten. Auf den vor dem Wahlgang veröffentlichten Listen ersetzt der örtliche oder Landeswahlleiter den Geburtstag jedoch durch das Geburtsjahr.

In Italien schreibt die gesetzliche Regelung für das Einwohnermelderegister der Gemeinden ein Verbot der Weitergabe der Daten an private Stellen und die Verpflichtung für alle Behörden vor, die ein Antrag auf Übermittlung der Daten stellen, daß bezüglich des öffentlichen Interesses ein schlüssiger Nachweis geführt wird.

In Frankreich muß der Wahlvorschlag zwecks Kontrolle der Einhaltung der Bestimmungen öffentlich sein. Das Gesetz sieht eine Nutzung zu politischen Zwecken seitens sämtlicher Kandidaten und Parteien vor, die kommerzielle Nutzung ist jedoch untersagt. Derzeit wäre es nicht denkbar, die Wahlvorschläge auf Internet zu verbreiten.

In Frankreich sind auch die personenbezogenen Grundbucheintragungen öffentlich, jedoch ist auch hier eine kommerzielle Nutzung untersagt.

In Griechenland wird das jetzige System der Grundbucheintragungen, das sich auf ein alphabetisches Register der Besitzer von Immobilien stützt, durch ein Register ersetzt, das die Identifikation der Immobilie zur Grundlage hat, um zu verhindern, daß Nachforschungen über die Gesamtheit des Immobilienbesitzes einer bestimmten Person angestellt werden können. Der Zugriff auf Grundbucheintragungen unterliegt dem Nachweis eines berechtigten Interesses.

II – DIE NEUEN TECHNOLOGIEN KÖNNEN EINEN BEITRAG DAZU LEISTEN; DASS DER SCHUTZ PERSONENBEZOGENER DATEN MIT IHRER VERÖFFENTLICHUNG IN EINKLANG GEBRACHT WIRD

Selbst wenn sie den Zugriff auf öffentliche Daten insbesondere durch "Verknüpfungen" erleichtern, sind die neuen Technologien und bestimmte administrative Begleitmaßnahmen geeignet, die Grundprinzipien des Datenschutzes wie Zweckbestimmung der Daten, Information Einspruchsrecht der Betroffenen sowie Datensicherheit wahren zu helfen. Die Nutzung dieser Technologien bietet jedoch keine absolute Garantie vor Mißbrauch und Umgehung von Grundsätzen des Schutzes personenbezogener Daten.

A – Die technischen Voraussetzungen für den Zugriff auf Informationen des öffentlichen Sektors müssen der Einhaltung des Prinzips der Zweckbestimmung dienen

Angesichts der Gegebenheiten im Bereich des digitalen Zugriffs der Öffentlichkeit kann die Spezifikation der Zweckbestimmung in der Praxis nur schwer sichergestellt werden; ein vernünftiger Einsatz der Technik sollte jedoch dazu beitragen, dieses Ziel zu erreichen. Daher müssen in jedem Fall die Abfragebedingungen festgelegt und überprüft werden. Dabei müßte nach dem Grundsatz verfahren werden, daß jeder die Möglichkeit haben muß, die Individualdaten so einzusehen, wie die Bestimmungen es erlauben, aber nicht alle Daten in ihrer Gesamtheit. Die Suchkriterien müssen so gestaltet werden, daß im Normalfall kein Mißbrauch mit den Daten betrieben werden kann. Darüber hinaus muß geprüft werden, ob es nicht möglich ist, "Hindernisse" durch Kombination mit zusätzlichen Informationen aus anderen Quellen zu umgehen.

Die Online-Abfrage von Datenbanken kann somit Beschränkungen unterworfen werden, um eine Umwidmung der Zweckbestimmung, derentwegen die Daten öffentlich zugänglich gemacht wurden, zu verhindern. Die einschlägigen Maßnahmen müssen aber jeweils der Sachlage angepaßt werden und können beispielsweise darin bestehen, daß der Abfragebereich bzw. die Suchkriterien eingeschränkt werden.

In Frankreich sind die Auszüge aus dem Geburtenregister jedermann zugänglich, der Identität, Geburtsdatum und -ort einer Person kennt. Der CNIL hat die Online-Abfrage dieser Auszüge an die Voraussetzung gekoppelt, daß sich die Online-Suchanfrage auf die Gesamtinformationen erstreckt. Durch Eingrenzung der Kriterien für die Abfrage der Datenbank kann die massive Datensammlung aus diesen Registern zu kommerziellen Zwecken unterbunden und die Zweckbindung des Zugriffs gewahrt werden.

In Frankreich ließ sich das telematische Fernsprechverzeichnis mit Hilfe der ersten Buchstaben eines Namens abfragen; dies erleichterte das vollständige Herunterladen und die kommerzielle Nutzung gegen den Willen bestimmter Fernsprechteilnehmer, die sich dieser Nutzung widersetzten. Indem diese Art der Abfrage auf Minitel und Internet unmöglich gemacht wurde, konnte die Zweckentfremdung der ursprünglichen Bestimmung über diesen Weg verhindert werden.

In den Niederlanden wurden die für die Verbreitung des Fernsprechverzeichnisses bestimmten CD-ROM so gestaltet, daß Name und Anschrift einer Person aufgrund der Kenntnis der Fernsprechnummer nicht erhältlich ist (die Datenbank läßt sich allein mit Hilfe der Fernsprechnummer nicht abfragen).

Auch die Datenbanken über die Unternehmensregister dürfen nicht allein anhand des Namens einer Person abgefragt werden können, da dies dazu führen könnte, daß sämtliche Unternehmen, die in einem Zusammenhang mit einer bestimmten Person stehen, auf diese Weise ermittelt werden könnten.

B – Förderung des Einsatzes technischer Instrumente, um das automatische Abfangen von Daten mit Hilfe des Online-Zugriffs zu verhindern

In diesem Zusammenhang muß das Protokoll über den Ausschluß der Suchmaschinen (The Robots Exclusion Protocol) zitiert werden; dabei geht es darum, die Seiten einer Zugriffsstelle der automatischen Indexierung durch eine Suchmaschine ganz oder teilweise zu entziehen. Auf jeden Fall können die Suchverfahren nur dann wirksam werden, wenn die Webseitengestalter und Netzsurfer von ihrer Existenz wissen und wenn die Suchmaschinen sich daran halten. Einige Suchmaschinenproduzenten haben erklärt, dieses Protokoll anwenden zu wollen.

Personenbezogene Daten des öffentlichen Sektors wurden ursprünglich für bestimmte Zwecke eingeholt und verarbeitet. Im Prinzip erfolgte dies im Einklang mit einer Regelung. Manchmal war die Datensammlung obligatorisch, andere Male eine Vorbedingung, um eine öffentliche Dienstleistung in Anspruch nehmen zu können. Der Bürger war daher nicht unbedingt darauf gefaßt, daß diese über ihn gesammelten Daten öffentlich zugänglich gemacht und kommerziell genutzt werden. Bestimmte einzelstaatliche Rechtsvorschriften gestatten daher unter anderem den Zugriff, untersagen jedoch die kommerzielle Nutzung der Informationen des öffentlichen Sektors einschließlich der personenbezogenen Daten¹³.

Aus der Sicht der Richtlinie 95/46/EG¹⁴ stellt sich nun die Frage, ob die kommerzielle Nutzung unvereinbar ist mit der Zweckbestimmung, derentwegen die Daten ursprünglich eingeholt wurde, und wenn dies nicht der Fall ist, unter welchen Bedingungen die kommerzielle Nutzung in Frage kommt.

Ist die Veröffentlichung und Vermarktung der Informationen des öffentlichen Sektors zulässig¹⁵ , müssen bestimmte Regeln eingehalten werden, wobei sich von vornherein in jedem einzelnen Fall die Frage stellt, ob es möglich ist, die Wahrung der Privatsphäre und die kommerziellen Interessen der Marktteilnehmer unter einen Hut zu bringen.

In der Richtlinie 95/46/EG wird den Betroffenen das Recht eingeräumt, über die Verarbeitung der sie betreffenden Daten informiert zu werden; sie erhalten zumindest das Recht, Einspruch gegen legitime Verarbeitungen zu erheben. Die Betroffenen müssen daher über die Zwecke der kommerziellen Nutzung ins Bild gesetzt werden und können sich mit Hilfe einfacher und wirksamer Rechtsmittel gegen eine solche Nutzung zur Wehr setzen¹⁶.

Diesbezüglich müssen aber noch gewisse Fortschritte erzielt werden. Die Vielfalt der Quellen, aus denen Daten verbreitet werden, die große Anzahl der Marktteilnehmer und die Möglichkeit des Herunterladens führen dazu, daß man sich mit dem Vorschlag einer Zentralstelle für den Datenschutz befaßt, um den Menschen Mehrfachschritte bei der Gesamtheit der Marktteilnehmer zu ersparen. In mehreren Ländern besteht eine solche Möglichkeit bereits beim Fernsprechverzeichnis.

Daher hat der CNIL¹⁷ empfohlen, daß sämtliche Herausgeber von Fernspechverzeichnissen auf sämtlichen Veröffentlichungsträgern (Papierträger, CD-ROM, Minitel oder Internet) Teilnehmer, die von ihrem Recht auf Einspruch gegen kommerzielle Nutzung ihrer Daten Gebrauch gemacht haben, kenntlich zu machen.

Die Idee der Zentralstelle ist sowohl im Hinblick auf die Wahrung der Rechte dieser Personen als auch für die Marktteilnehmer bedeutsam, die personenbezogene Daten nutzen wollen.

Wenn man das Recht auf Privatsphäre mit den kommerziellen Interessen der Marktteilnehmer in Einklang bringen möchte, wäre es ggf. notwendig, die Einwilligung der betreffenden Person¹⁸ oder sogar gesetzliche Maßnahmen bzw. Regelungen vorzuschreiben, wie folgendes Beispiel veranschaulicht:

In einer Stellungnahme zur kommerziellen Nutzung der Daten aus den Baugenehmigungen kam der belgische Ausschuß für den Schutz des Privatlebens zu der Auffassung, daß eine neue Zweckbestimmung (d. h. die Vermarktung der Bearbeitung durch öffentlichen Stellen) unter ausreichender Definition und Präzision einer gesetzlichen oder Regelungsgrundlage bedarf, um statthaft zu werden. Anderenfalls sei das Interesse, dem durch die Weitergabe der Daten an Dritte gedient wird, geringer als das Recht auf Wahrung der Privatsphäre der Person einzuschätzen, deren Daten weitergegeben werden. Eine weitere Möglichkeit bestünde darin, das Einverständnis des Betreffenden zur kommerziellen Nutzung einzuholen. Diese Einwilligung müsse jedoch eindeutig vorliegen und die Kenntnis des betreffenden Vorgangs einschließen, wobei zu berücksichtigen sei, daß derjenige, der um eine Baugenehmigung einkommt, seine Unterlagen aufgrund bestimmter Vorschriften einzureichen hat.

In dieser Stellungnahme geht der belgische Ausschuß auch auf personenbezogene Informationen ein und betont dabei insbesondere, daß ein Recht darauf besteht, auf Antrag unentgeltlich Einspruch dagegen zu erheben, daß bestimmte Daten direkt zu Marketingzwecken genutzt werden.

Wenn der Gesetzgeber Daten öffentlich zugänglich macht, will er jedoch verhindern, daß diese res nullius werden. Dies ist die Grundlage unserer Rechtsauffassung. Unabhängig davon, ob eine gesetzliche Regelung mit im Spiel ist oder ob der Betroffene selbst seine Einwilligung dazu gegeben hat, beraubt der öffentliche Charakter personenbezogener Daten, was die Grundprinzipien des Schutzes der menschlichen Identität angeht, den Menschen niemals seines Rechtsschutzes.

In der Debatte, die sich im Rahmen der Anhörung im Zusammenhang mit dem Grünbuch und den daraus gezogenen Schlußfolgerungen entzündet hat, sind bezüglich der Wahrung des Rechts auf Privatsphäre und der Versöhnung des Schutzes personenbezogener Daten der Bürger mit dem Recht der Öffentlichkeit, Zugriff auf Informationen des öffentlichen Sektors zu erhalten, vor allem nachstehende Aspekte und Fragen zu berücksichtigen:

Diese Leitlinien gelten nicht nur für Situationen, in denen eine Regelung betreffend die Öffentlichkeit oder den Zugriff vorhanden ist, sondern auch dann, wenn bezüglich des Bedarfs der Öffentlichkeit an Zugriff auf Informationen des öffentlichen Sektors einschließlich personenbezogener Daten keine Regelungen erforderlich zu sein scheinen¹⁹.

In Erwartung der Schlußfolgerungen, die die Europäische Kommission aus der zur Zeit laufenden Anhörung ziehen wird, bekundet die Gruppe bereits jetzt ein starkes Interesse daran, auch weiterhin einen Beitrag zu den einschlägigen Arbeiten sowie zur Beantwortung der Fragen zu leisten, die den engeren Rahmen des Grünbuchs in bezug auf die Weitergabe von Informationen des öffentlichen Sektors an Dritte sprengen²⁰.

¹ Kom 1998 – 585, bei folgender Adresse erhältlich: http://www.echo.lu/legal/en/access.htlm.

² Man kann wohl eine Unterscheidung zwischen Öffentlichkeit machen, die aufgrund von Rechtsvorschriften hergestellt wird, dem gesetzlich eröffneten Zugang zu Informationen und Situationen, in denen die Frage der Öffentlichkeit bzw. des Zugriffs auf Daten sich stellt, weil ein Antrags von privater Seite oder einem Unternehmen an den öffentlichen Sektor gestellt wurde, ohne daß eine einschlägige gesetzliche Regelung vorliegt.

³ Diese Stellungnahme geht somit nicht auf ein anderes – breiteres – Verständnis des Begriffs "öffentlicher Daten" ein, demzufolge sämtliche von öffentlichen Stellen verarbeitete Daten hierunter zu verstehen sind.

⁴ Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281 vom 23. November 1995, S. 31 (bei folgender Adresse erhältlich): http://www.europa.eu.int/comm/dg15/fr/media/dataprot/index.htm.

⁵ S. Entscheidungsgrund 72. Für die Zwecke der Erörterung ist hier anzumerken, daß die Richtlinie keine Definition des Begriffs "Verwaltungsdokumente" enthält, sondern daß dieser Begriff in einem weiteren Sinne zu verstehen ist und somit die im Vorschlag des Grünbuchs für eine Klassifikation der Informationen angeschnittenen "Verwaltungsinformationen" abgedeckt sind (Punkt 73 ff., S. 12).

⁶ S. Artikel 10 und Entscheidungsgrund 37 der Richtlinie 95/46/EG über die Versöhnung des Rechts auf Privatsphäre mit den für die Meinungsfreiheit geltenden Regeln. Vgl. ebenfalls Empfehlung 1/97 der Gruppe über "Datenschutzrecht und Medien" (angenommen am 25.2.1997, Dokument 50/12/97, verfügbar in elf Sprachen bei der unten auf S. 1 angegebenen Adresse).

¹⁰ Dabei muß darauf hingewiesen werden, daß die Nutzung dieser Technologien dem Staat auch die Möglichkeit gibt, solche Profile zu erstellen.

¹¹ Weiteres Beispiel: Mit Hilfe der elektronischen Verknüpfung zweier Datenbanken lassen sich negative Informationen über bestimmte Personen leichter erhalten, z. B. lassen sich durch Gegenprüfung der Daten aus dem Einwohnermelderegister (falls vorhanden) und der Wählerlisten Personen herauslösen, die kein Wahlrecht besitzen.

¹³ S. Anhang 1 zum Grünbuch: Rechtsvorschriften und Politik für den Zugang zu Informationen des öffentlichen Sektors – die Lage in den Mitgliedstaaten, Seite 21 ff.

¹⁵ Hier ist anzufügen, daß in bestimmten Kreisen die Auffassung herrscht, daß die kommerzielle Nutzung der personenbezogenen Daten zu untersagen bzw. zumindest zu begrenzen ist und einschlägige Verstöße geahndet werden müssen, da es mit Hilfe des Zusammenfügens verschiedener Daten möglich wird, Persönlichkeitsprofile nachzuzeichnen. Was die amtlichen Quellen entstammenden personenbezogenen Daten angeht, dürfte es keine Ausnahme von der Pflicht geben, die betreffenden Personen vorab zu informieren (Artikel 11 der Richtlinie).

¹⁷ Commission Nationale des Libertés et de l’Informatique (Nationaler Ausschuß für Freiheiten und Informatik), Frankreich.

¹⁸ S. Artikel 2h), 7a und 8 der Richtlinie 95/46/EG zur Definition der "Einwilligung" sowie die Erfordernis, je nach Sachlage spezifische Formen der Einwilligung vorzusehen.

²⁰ Vgl. vorstehend Punkt 56 (Seite 11 des Grünbuchs) über die Möglichkeiten der Informationssammlung und der gemeinsamen Datennutzung sowie Punkt 123 (Seite 21) bezüglich der Maßnahmenvorschläge für einen Informationsaustausch zwischen Einrichtungen des öffentlichen Sektors.