Gruppe für den Schutz von Personen
bei der Bearbeitung personenbezogener Daten
Stellungnahme 3/99
betreffend
die Informationen des öffentlichen Sektors und Schutz personenbezogener Daten
Beitrag zu der mit dem Grünbuch der Europäischen Kommission unter dem Titel
"Informationen des öffentlichen Sektors eine Schlüsselressource für Europa"
begonnenen Anhörung
Angenommen am 3. Mai 1999
Stellungnahme 3/99 betreffend
DIE INFORMATIONEN DES ÖFFENTLICHEN SEKTORS
UND DEN SCHUTZ PERSONENBEZOGENER DATEN
EINFÜHRUNG UND VORBEMERKUNGEN:
1. Die Europäische Kommission hat eine öffentliche Anhörung zu einem Grünbuch mit dem
Titel "Informationen des öffentlichen Sektors eine Schlüsselressource für Europa" 1
angesetzt, das in erster Linie dazu dient, eine Erörterung über die Frage herbeizuführen, wie
die Informationen des öffentlichen Sektors den Bürgern und Unternehmen besser zugänglich
gemacht werden können und ob es erforderlich ist, die einzelstaatlichen Regelungen in
diesem Bereich zu harmonisieren. Dieses Dokument scheint sich weitestgehend an der
Forderung der Privatwirtschaft zu orientieren, die einen kostengünstigeren Zugang zu
öffentlichen Informationen wünscht und einschlägige öffentliche Monopole ablehnt.
Einer der wesentlichen Punkte des Grünbuchs betrifft somit die Informationen des
öffentlichen Sektors, d. h. Daten besonderer Art, sogenannte "öffentlichen Daten": bei
öffentlichen Stellen gespeicherte Daten, die anhand von Regeln bzw. aufgrund der üblichen
Praxis2 der Öffentlichkeit zugänglich gemacht werden sollen, ein Vorgang, der seine
implizite oder explizite Begründung im Willen zur Transparenz gegenüber dem Staatsbürger
findet3.
Der Schutz personenbezogener Daten wird in diesem Dokument nicht außer Acht gelassen,
auch wenn diese Frage nicht im Mittelpunkt der Betrachtung steht.
In Ziff. 111 (III. 7, S. 19) wird ausdrücklich erwähnt, daß: "diese Richtlinie (95/46/EG über
den Schutz personenbezogener Daten4) verbindliche Regeln für den öffentlichen und den
privaten Sektor enthält und [...] uneingeschränkt auf personenbezogene Daten, die von
öffentlichen Stellen vorgehalten werden, anwendbar ist ".
In Ziff. 114 wird unterstrichen, daß: "der Wandel zur Informationsgesellschaft neue
Bedrohungen der Privatsphäre mit sich bringt, wenn nunmehr eine Vielzahl amtlicher
Register elektronisch zur Verfügung steht" (vor allem online und über Internet) .
Das Grünbuch insgesamt läßt jedoch hinsichtlich der dahinter stehenden Überzeugung
Zweifel aufkommen.
Erstens läßt die Verwendung des (in der englischen Fassung verwendeten) Begriffs "publicly
available" (öffentlich verfügbar) vermuten, daß die Daten der Öffentlichkeit für sämtliche
Verwendungszwecke zur Verfügung gestellt werden. Dabei fällt ins Auge, daß sich das
Prinzip der Zweckbestimmung als Grundpfeiler unseres Datenschutzrechtes schlecht mit dem
Adjektiv "zugänglich" verträgt. Das Prinzip der Lauterkeit bei der Dateneinholung dem vor
allem durch Sicherheitsvorschriften in bezug auf die Handhabung der Daten Rechnung
getragen wird könnte darunter leiden, daß Daten ohne weiteres und ohne
Sicherheitsvorkehrungen öffentlich zugänglich gemacht werden. Der Begriff "publicly
available" müßte also einem geeigneteren, zweifelsfrei zu deutenden Begriff weichen (z. B.
"publicly accessible") (öffentlich zugänglich).
Zweitens könnte man aufgrund der Frage Nr. 7 ("Verdienen Datenschutzfragen im
Zusammenhang mit der Nutzung von Informationen des öffentlichen Sektors besondere
Aufmerksamkeit?", S. 20) darauf schließen, daß der Verweis auf die Bestimmungen der
Richtlinie 95/46/EG nicht so zwangsläufig wie man eigentlich hätte annehmen können zu
präzisen einschlägigen Schlußfolgerungen führt. Auch wenn (in Ziff. 111) zu lesen ist, daß
die Richtlinie 95/46/EG " ... den Grundsatz des freien Zugangs zu Informationen des
öffentlichen Sektors mit dem Datenschutz in Einklang bringt", muß hier Klarheit geschaffen
werden.
2. In diesem Zusammenhang zielt die Stellungnahme darauf ab, Überlegungen über den
Umfang des Schutzes personenbezogener Daten anzustellen; dies ist notwendig, um den
Zugriff auf Daten des öffentlichen Sektors, die sich auf natürliche Personen beziehen, zu
erleichtern. Es wird jedoch nicht der Anspruch erhoben, sämtliche Fragen zu beantworten,
die durch die Versöhnung des Ziels eines einfacheren Zugriffs auf Daten des öffentlichen
Sektors auf der Grundlage des erklärten Willens des Staates, eine stärkere Transparenz
gegenüber dem Staatsbürger walten zu lassen, mit dem Schutz personenbezogener Daten laut
Definition in der europäischen Richtlinie 95/46/EG aufgeworfen werden.
Die Stellungnahme geht nicht auf die im Grünbuch angeschnittenen, über die reine
Weitergabe der Informationen des öffentlichen Sektors an Dritte hinausgehenden Fragen ein,
wie z. B. die in Ziff. 56 (II. 2, Seite 11) zum Ausdruck gebrachte Perspektive: "mit Hilfe der
neuen Technologien läßt sich die Effizienz der Informationssammlung beträchtlich steigern.
Die öffentlichen Einrichtungen erhalten die Möglichkeit, die verfügbaren Daten - soweit mit
dem Datenschutz vereinbar - gemeinsam zu nutzen ...".
Sie bezweckt, auf der Grundlage der Richtlinie 95/46/EG sowie anhand konkreter
Erfahrungen, die in pädagogischer Hinsicht im Bereich der bekanntesten Register, die
öffentlich zugänglich gemachte personenbezogene Daten umfassen, gesammelt wurden, eine
erste Reihe von Ansatzpunkten zu liefern, die bei der Entscheidungsfindung zu
berücksichtigen sind. Mit diesen Ansatzpunkten und konkreten Beispielen aus mehreren
Mitgliedstaaten soll veranschaulicht werden, wie in der Informationsgesellschaft den
Schutzregelungen für Daten aus öffentlichen Verzeichnissen sowie bestimmten technischen
und organisatorischen Maßnahmen Rechnung getragen werden muß; gerade einige der zuletzt
genannten Maßnahmen sind geeignet (ohne daß der Anspruch erhoben wird, einen
lückenlosen Datenschutz zu gewährleisten), dazu beizutragen, die Veröffentlichung der
Daten und die Einhaltung der Bestimmungen für den Schutz personenbezogener Daten -
insbesondere der Bestimmungen, denen im Zusammenhang mit dem Prinzip der
Zweckbestimmung, dessentwegen die Daten in dem uns hier interessierenden Fall öffentlich
zugänglich gemacht werden, Bedeutung zukommt - miteinander in Einklang zu bringen.
I DATENSCHUTZREGELUNGEN FÜR ÖFFENTLICH ZUGÄNGLICH GEMACHTE
PERSONENGESCHÜTZTE DATEN
Der Zugriff auf Informationen im öffentlichen Sektor, insbesondere auf elektronischem
Wege, wie im Grünbuch befürwortet, wirft die Frage nach der Nutzung dieser Informationen
auf. Tendenziell ist es in unserer Gesellschaft nicht angelegt, die Nutzung solcher Daten zu
untersagen. Dies wird auch im Datenschutzrecht nicht bezweckt, denn es soll Garantien für
die Informationsgesellschaft bieten und diese nicht verhindern.
Wendet man unser Datenschutzrecht auf öffentlich zugänglich gemachte personenbezogene
Daten an, so geschieht das lediglich auf der Grundlage der Datenschutzbestimmungen:
personenbezogene Daten bleiben, auch wenn sie öffentlich zugänglich gemacht werden,
personenbezogene Daten und fallen daher unter den Datenschutz.
Diese Aussage bedarf jedoch einer näheren Bestimmung des Schutzes der öffentlich
zugänglich gemachten personenbezogenen Daten. Einige Antworten finden sich bereits in der
Richtlinie 95/46/EG .
A Die Richtlinie 95/46/EG über den Schutz personenbezogener Daten bezieht sich auf die
Handhabung der personenbezogenen Daten und den freien Datenverkehr
Nach Maßgabe der Richtlinie können das Recht auf Zugriff der Öffentlichkeit zu
Verwaltungsdokumenten5 sowie weitere im Zusammenhang mit der Erörterung sachdienliche
Elemente6 bei der Umsetzung der einschlägigen Regeln berücksichtigt werden.
Nach dem Prinzip der Zweckbestimmung dient die Sammlung personenbezogener Daten
bestimmten ausdrücklich festgelegten legitimen Zwecken; ihre Weiterverarbeitung hat
zweckbestimmungskonform zu erfolgen7 . Diesem Prinzip ist also bei der Umsetzung des
Zugriffs auf personenbezogene Daten des öffentlichen Sektors ein hoher Stellenwert
beizumessen.
Dabei muß von Fall zu Fall entschieden werden, inwieweit ein Gesetz die Veröffentlichung
bzw. den Zugriff der Öffentlichkeit auf personenbezogene Daten erforderlich macht bzw.
gestattet: hier stellt sich die Frage, ob der Zugriff völlig frei und unbegrenzt erfolgen kann, ob
die Daten unabhängig von der ursprünglichen Zweckbestimmung für alle möglichen Zwecke
genutzt werden können oder ob die gesetzliche Regelung lediglich einen teilweisen Zugriff
und/oder eine Nutzung im Einklang mit dem ursprünglich verfolgten Ziel, dessentwegen die
Daten öffentlich zugänglich gemacht wurden, vorsieht. Es gibt daher nicht nur eine einzige
Kategorie von personenbezogenen Daten, die der Öffentlichkeit zugänglich gemacht werden
und aus der Sicht des Datenschutzes einheitlich verarbeitet werden sollten, sondern es gilt
vielmehr, anhand einer Stufenanalyse zwischen dem Recht des Einzelnen, auf den sich diese
Daten beziehen, und dem Recht der Öffentlichkeit auf Zugriff zu Informationen abzuwägen.
Auch der Zugriff der Öffentlichkeit auf Daten kann bestimmten Bedingungen unterworfen
sein (wie Rechtfertigung durch ein legitimes Interesse); selbst die Nutzung der Daten z. B. zu
kommerziellen Zwecken oder durch die Medien kann beschränkt werden. Die folgenden
Beispiele sollen diese Fragen erhellen helfen.
In diesem Zusammenhang ist noch einmal zu betonen, daß ein Betroffener unabhängig von
der Veröffentlichung personenbezogener Daten selbstverständlich immer ein Zugriffsrecht
auf die eigenen Daten hat; ferner steht ihm das Recht zu, nicht richtliniengemäß verarbeitete
Daten z. B. wegen Unvollständigkeit oder Unzulänglichkeit8 berichtigen oder streichen zu
lassen.
Gewisse Bestimmungen in der Richtlinie beschäftigen sich ausdrücklich mit dem
Öffentlichkeitscharakter von Daten. Davon verdienen es zwei, in all ihren Schattierungen
untersucht zu werden.
Gemäß Artikel 18.3 ist die Verarbeitung der Daten bei der Kontrollinstanz anzumelden. Von
der einschlägigen Verpflichtung kann abgesehen werden, wenn " ... die Mitgliedstaaten
vorsehen, daß ... keine Anwendung auf Verarbeitungen findet, deren einziger Zweck das
Führen eines Registers ist, das gemäß den Rechts- oder Verwaltungsvorschriften zur
Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder
allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme
offensteht". In diesem Zusammenhang wird man feststellen, daß die Entscheidungsgründe 50
und 51 der Richtlinie besagen, daß Befreiungen bzw. Vereinfachungen nur bei
Verarbeitungen in Frage kommen, deren einziger Zweck (wichtigste Bedingung) es ist, ein
Register zu führen, das im Einklang mit dem einzelstaatlichen Recht steht, das die
Information der Öffentlichkeit regelt (Bedingung Nr. 2). Dieses Verzeichnis muß durch die
Öffentlichkeit bzw. jedwede Person, die ein berechtigtes Interesse nachweisen kann (3.
Bedingung), eingesehen werden können; dabei haben die für die Verarbeitung
Verantwortlichen aber sämtliche übrigen Verpflichtungen aufgrund der Richtlinie zu
beachten, falls eine solche Ausnahme in Anspruch genommen wird.
Schließlich wäre noch Artikel 26.1.f zu erwähnen, in dem eine Abweichung von der
Vorschrift vorgesehen ist, Daten, die in Drittländer strömen, adäquat zu schützen, falls der
Datentransfers in ein Land, in dem dieser Schutz nicht gewährleistet ist, "aus einem gemäß
den Rechts- oder Verwaltungsvorschriften zur Information der Öffentlichkeit bestimmten
Register gespeist wird". Durch den Entscheidungsgrund 58 de Richtlinie wird der Umfang
des Datentransfer jedoch eingeschränkt und es wird präzisiert, daß weder die Gesamtheit der
Daten noch bestimmte Kategorien von Daten im Register transferiert werden dürfen und daß
ggf. nur Personen, die ein berechtigtes Interesse geltend machen können, einen Datentransfer
beantragen können.
Aus diesen Bestimmungen und Präzisierungen geht jedoch klar hervor, daß der Schutz von
personenbezogenen Daten die Bürger nicht am Zugriff auf Verwaltungsdokumente hindern
darf, wenn die einzelstaatlichen Rechtsvorschriften dabei eingehalten werden, daß die
Richtlinie die der Öffentlichkeit zugänglichen Daten jedoch keineswegs jeden Schutzes
beraubt.
Wenn die Frage erörtert wird, ob bei den einzelstaatlichen Regelungen bezüglich des Zugriffs
auf Informationen aus dem öffentlichen Sektor Harmonisierungsbedarf besteht, muß auf
jeden Fall den harmonisierten Regeln für den Schutz personenbezogener Daten sowie den
einzelstaatlichen Umsetzungsmaßnahmen Rechnung getragen werden.
Abgesehen vom Auftrag der Kommission, über die Anwendung der Richtlinie zu wachen,
obliegt es der aufgrund von Artikel 29 der Richtlinie gebildeten Gruppe, in den Fällen, in
denen es auf einzelstaatlicher Ebene zu Abweichungen9 kommen kann , die aufgrund der
Richtlinie 95/46/EG ergriffenen einzelstaatlichen Rechtsvorschriften auf ihre Konsistenz hin
zu bewerten.
B Beispiele dafür, wie die Regeln über den Schutz personenbezogener Daten mit dem
Zugang zu Informationen aus dem öffentlichen Sektor in Einklang zu bringen sind.
In gewissen Rechtsordnungen unterliegt die Verbreitung von Informationen aus dem
öffentlichen Sektor Zweckbestimmungen, aufgrund deren der Zugriff zu bestimmten Daten
bzw. bestimmte Nutzanwendungen der Daten untersagt werden können bzw. der Zugriff nur
unter bestimmten Bedingungen gestattet wird.
Die Digitalisierung der Information und der Volltextabruf gestatten eine unendliche
Vervielfältigung der Möglichkeiten, Daten abzufragen und zu sichten, wobei die Verbreitung
über Internet die Gefahren der Datenpiraterie und -zweckentfremdung vergrößert. Darüber
hinaus wird die Verknüpfung von Daten, die aus unterschiedlichen Quellen öffentlich
zugänglich gemacht werden, mit Hilfe der Digitalisierung sehr erleichtert, wenn die Daten
der Öffentlichkeit zur Verfügung gestellt werden; Auf diese Weise lassen sich vor allem
Profile über die Situation und das Verhalten von Einzelpersonen10 erstellen. Ferner muß der
Tatsache besondere Aufmerksamkeit geschenkt werden, daß die neuen Technologien des
"data warehousing" und des "data mining", wenn der Öffentlichkeit personenbezogene Daten
zur Verfügung gestellt werden, starke Impulse erfahren. Sie ermöglich es, Daten ohne jede
vorherige Spezifikation der Zweckbestimmung zu sammeln und die Zweckbestimmung erst
bei der Auswertung zu definieren. Muß also alles berücksichtigen, was im Datenbereich
technisch möglich ist11 .
Daher muß von Fall zu Fall untersucht werden, welche abträglichen Auswirkungen sich für
den Einzelnen ergeben, bevor über die digitale Verbreitung entschieden wird. Je nach
Sachlage sollte dann darauf verzichtet werden, bestimmte personenbezogene Daten zu
verbreiten, oder die Verbreitung sollte von der Zustimmung der Betreffenden oder sonstigen
Umständen abhängig gemacht werden.
1 - Aus Gerichtsentscheidungen hervorgegangene Datenbanken:
Ziff. 74 des Grünbuchs (Seite 13), in dem Bezug auf Gerichtsentscheidungen genommen
wird "...... die unerläßlich sind für ein funktionierendes demokratisches Gemeinwesen", wirft
eine grundsätzliche Frage auf: Ist es möglich, alle Urteile sämtlicher Rechtsprechungsorgane
über Internet bereitzustellen, ohne persönliche Rechte zu verletzen.
Gerichtsdatenbanken als Instrumente der Rechtsdokumentation können, falls keine
Vorsichtsmaßnahmen ergriffen werden, zu Auskunftsdateien über Personen werden, falls
man sich bei der Einsichtnahme nicht auf Informationen im Bereich der Rechtsprechung
beschränkt, sondern z. B. sämtliche Gerichtsentscheidungen mit Bezug auf eine bestimmte
Person zusammensucht.
Der Ausschuß für den Schutz des Privatlebens (Belgien) hat in seiner Stellungnahmen vom
23. Dezember 1997 klar unterstrichen, daß die technologische Entwicklung, was die zeitliche
Abfolge der Rechtsprechung angeht, durch eine stärkere Zurückhaltung beim Ausweis der
Parteien abgefedert werden muß. Er schlägt vor, daß die der gesamten Öffentlichkeit
zugänglichen Gerichtsentscheidungen wegen unvollständiger Anonymisierung nicht mehr
anhand der Namensangabe aufgeführt werden sollen, um die Suche anhand dieses Merkmals
zu unterbinden.
Der italienische Ausschuß für den Schutz personenbezogener Daten12 faßt ins Auge, auf
nationaler Ebene in Vorschlag zu bringen, den streitenden Parteien ein Einspruchsrecht bei
der Veröffentlichung ihres Namens in den Gerichtsdatenbanken einzuräumen. Dieses Recht
müßte jederzeit ausgeübt werden können und bei der Aktualisierung der auf Magnetträger
verbreiteten Datenbanken zum Tragen kommen. Bezüglich Veröffentlichung auf Papierträger
könnte dieses Recht rückwirkend ausgeübt werden.
In Frankreich setzte der Justizminister, der die Gerichtsdatenbanken ins Internet einspeisen
möchte, die Anonymisierung der Gerichtsentscheidungen im einschlägigen Lastenheft durch.
2 - Eine Reihe amtlicher Texte:
Die Veröffentlichung von Informationen auf Internet bedeutet weltweit Verbreitung und
Vervielfältigung der Quellen. Diese Änderung der geographischen Dimension könnte
bestimmte Risiken beinhalten. Die Tatsache, daß bestimmte Informationen, deren öffentlicher
Zugang rechtens ist, weltweit verbreitet werden, könnte die Privatsphäre oder die körperliche
Unversehrtheit schwer beschädigen. Das trifft dann zu, wenn die Einbürgerungsbescheide
amtlicherseits veröffentlicht werden müssen. Dies ist in Frankreich der Fall, wo die
Regierung die betreffenden Texte bei der Umstellung des Amtsblattes auf Internet aufgrund
einer Stellungnahme des nationalen Ausschusses für Informatik und Freiheiten (CNIL) von
der Verbreitung ausnahm, um zu vermeiden, daß sich bestimmte Personen, die ihre
ursprüngliche Staatsangehörigkeit aufgegeben haben, Repressalien ausgesetzt sehen.
Es gibt aber auch Fälle, wo der Wille zur Transparenz des Staates, insbesondere seiner
Bürger, schlecht zu einer weltweiten Verbreitung einschlägiger Informationen paßt.
3 - Weitere Beispiele für die Verbreitung öffentlich zugänglich gemachter
personenbezogener Daten unter Wahrung des Schutzes der betroffenen
Personen:
Die Bedingungen für den Zugriff auf personenbezogene Daten in öffentlichen Registern
können je nach den geltenden Bestimmungen sehr unterschiedlich beschaffen sein: z. B.
Teilzugriff auf Registerdaten, Nachweis des berechtigten Interesses, Verbot kommerzieller
Nutzung.
In Deutschland muß z. B. ein Wahlvorschlag Name, Vorname, Beruf oder Berufsstand,
Geburtstag und -ort sowie Anschrift der Kandidaten enthalten. Auf den vor dem Wahlgang
veröffentlichten Listen ersetzt der örtliche oder Landeswahlleiter den Geburtstag jedoch
durch das Geburtsjahr.
In Italien schreibt die gesetzliche Regelung für das Einwohnermelderegister der Gemeinden
ein Verbot der Weitergabe der Daten an private Stellen und die Verpflichtung für alle
Behörden vor, die ein Antrag auf Übermittlung der Daten stellen, daß bezüglich des
öffentlichen Interesses ein schlüssiger Nachweis geführt wird.
In Frankreich muß der Wahlvorschlag zwecks Kontrolle der Einhaltung der Bestimmungen
öffentlich sein. Das Gesetz sieht eine Nutzung zu politischen Zwecken seitens sämtlicher
Kandidaten und Parteien vor, die kommerzielle Nutzung ist jedoch untersagt. Derzeit wäre es
nicht denkbar, die Wahlvorschläge auf Internet zu verbreiten.
In Frankreich sind auch die personenbezogenen Grundbucheintragungen öffentlich, jedoch ist
auch hier eine kommerzielle Nutzung untersagt.
In Griechenland wird das jetzige System der Grundbucheintragungen, das sich auf ein
alphabetisches Register der Besitzer von Immobilien stützt, durch ein Register ersetzt, das die
Identifikation der Immobilie zur Grundlage hat, um zu verhindern, daß Nachforschungen
über die Gesamtheit des Immobilienbesitzes einer bestimmten Person angestellt werden
können. Der Zugriff auf Grundbucheintragungen unterliegt dem Nachweis eines berechtigten
Interesses.
II DIE NEUEN TECHNOLOGIEN KÖNNEN EINEN BEITRAG DAZU LEISTEN;
DASS DER SCHUTZ PERSONENBEZOGENER DATEN MIT IHRER
VERÖFFENTLICHUNG IN EINKLANG GEBRACHT WIRD
Selbst wenn sie den Zugriff auf öffentliche Daten insbesondere durch "Verknüpfungen"
erleichtern, sind die neuen Technologien und bestimmte administrative Begleitmaßnahmen
geeignet, die Grundprinzipien des Datenschutzes wie Zweckbestimmung der Daten,
Information Einspruchsrecht der Betroffenen sowie Datensicherheit wahren zu helfen. Die
Nutzung dieser Technologien bietet jedoch keine absolute Garantie vor Mißbrauch und
Umgehung von Grundsätzen des Schutzes personenbezogener Daten.
A Die technischen Voraussetzungen für den Zugriff auf Informationen des öffentlichen
Sektors müssen der Einhaltung des Prinzips der Zweckbestimmung dienen
Angesichts der Gegebenheiten im Bereich des digitalen Zugriffs der Öffentlichkeit kann die
Spezifikation der Zweckbestimmung in der Praxis nur schwer sichergestellt werden; ein
vernünftiger Einsatz der Technik sollte jedoch dazu beitragen, dieses Ziel zu erreichen.
Daher müssen in jedem Fall die Abfragebedingungen festgelegt und überprüft werden.
Dabei müßte nach dem Grundsatz verfahren werden, daß jeder die Möglichkeit haben muß,
die Individualdaten so einzusehen, wie die Bestimmungen es erlauben, aber nicht alle Daten
in ihrer Gesamtheit. Die Suchkriterien müssen so gestaltet werden, daß im Normalfall kein
Mißbrauch mit den Daten betrieben werden kann. Darüber hinaus muß geprüft werden, ob
es nicht möglich ist, "Hindernisse" durch Kombination mit zusätzlichen Informationen aus
anderen Quellen zu umgehen.
Die Online-Abfrage von Datenbanken kann somit Beschränkungen unterworfen werden, um
eine Umwidmung der Zweckbestimmung, derentwegen die Daten öffentlich zugänglich
gemacht wurden, zu verhindern. Die einschlägigen Maßnahmen müssen aber jeweils der
Sachlage angepaßt werden und können beispielsweise darin bestehen, daß der
Abfragebereich bzw. die Suchkriterien eingeschränkt werden.
In Frankreich sind die Auszüge aus dem Geburtenregister jedermann zugänglich, der
Identität, Geburtsdatum und -ort einer Person kennt. Der CNIL hat die Online-Abfrage
dieser Auszüge an die Voraussetzung gekoppelt, daß sich die Online-Suchanfrage auf die
Gesamtinformationen erstreckt. Durch Eingrenzung der Kriterien für die Abfrage der
Datenbank kann die massive Datensammlung aus diesen Registern zu kommerziellen
Zwecken unterbunden und die Zweckbindung des Zugriffs gewahrt werden.
In Frankreich ließ sich das telematische Fernsprechverzeichnis mit Hilfe der ersten
Buchstaben eines Namens abfragen; dies erleichterte das vollständige Herunterladen und
die kommerzielle Nutzung gegen den Willen bestimmter Fernsprechteilnehmer, die sich
dieser Nutzung widersetzten. Indem diese Art der Abfrage auf Minitel und Internet
unmöglich gemacht wurde, konnte die Zweckentfremdung der ursprünglichen Bestimmung
über diesen Weg verhindert werden.
In den Niederlanden wurden die für die Verbreitung des Fernsprechverzeichnisses
bestimmten CD-ROM so gestaltet, daß Name und Anschrift einer Person aufgrund der
Kenntnis der Fernsprechnummer nicht erhältlich ist (die Datenbank läßt sich allein mit Hilfe
der Fernsprechnummer nicht abfragen).
Auch die Datenbanken über die Unternehmensregister dürfen nicht allein anhand des
Namens einer Person abgefragt werden können, da dies dazu führen könnte, daß sämtliche
Unternehmen, die in einem Zusammenhang mit einer bestimmten Person stehen, auf diese
Weise ermittelt werden könnten.
B Förderung des Einsatzes technischer Instrumente, um das automatische Abfangen von
Daten mit Hilfe des Online-Zugriffs zu verhindern
In diesem Zusammenhang muß das Protokoll über den Ausschluß der Suchmaschinen (The
Robots Exclusion Protocol) zitiert werden; dabei geht es darum, die Seiten einer
Zugriffsstelle der automatischen Indexierung durch eine Suchmaschine ganz oder teilweise
zu entziehen. Auf jeden Fall können die Suchverfahren nur dann wirksam werden, wenn die
Webseitengestalter und Netzsurfer von ihrer Existenz wissen und wenn die Suchmaschinen
sich daran halten. Einige Suchmaschinenproduzenten haben erklärt, dieses Protokoll
anwenden zu wollen.
III. Kommerzielle Nutzung
Personenbezogene Daten des öffentlichen Sektors wurden ursprünglich für bestimmte
Zwecke eingeholt und verarbeitet. Im Prinzip erfolgte dies im Einklang mit einer Regelung.
Manchmal war die Datensammlung obligatorisch, andere Male eine Vorbedingung, um eine
öffentliche Dienstleistung in Anspruch nehmen zu können. Der Bürger war daher nicht
unbedingt darauf gefaßt, daß diese über ihn gesammelten Daten öffentlich zugänglich
gemacht und kommerziell genutzt werden. Bestimmte einzelstaatliche Rechtsvorschriften
gestatten daher unter anderem den Zugriff, untersagen jedoch die kommerzielle Nutzung
der Informationen des öffentlichen Sektors einschließlich der personenbezogenen Daten13.
Aus der Sicht der Richtlinie 95/46/EG14 stellt sich nun die Frage, ob die kommerzielle
Nutzung unvereinbar ist mit der Zweckbestimmung, derentwegen die Daten ursprünglich
eingeholt wurde, und wenn dies nicht der Fall ist, unter welchen Bedingungen die
kommerzielle Nutzung in Frage kommt.
Ist die Veröffentlichung und Vermarktung der Informationen des öffentlichen Sektors
zulässig15 , müssen bestimmte Regeln eingehalten werden, wobei sich von vornherein in
jedem einzelnen Fall die Frage stellt, ob es möglich ist, die Wahrung der Privatsphäre und
die kommerziellen Interessen der Marktteilnehmer unter einen Hut zu bringen.
In der Richtlinie 95/46/EG wird den Betroffenen das Recht eingeräumt, über die
Verarbeitung der sie betreffenden Daten informiert zu werden; sie erhalten zumindest das
Recht, Einspruch gegen legitime Verarbeitungen zu erheben. Die Betroffenen müssen daher
über die Zwecke der kommerziellen Nutzung ins Bild gesetzt werden und können sich mit
Hilfe einfacher und wirksamer Rechtsmittel gegen eine solche Nutzung zur Wehr setzen16.
Diesbezüglich müssen aber noch gewisse Fortschritte erzielt werden. Die Vielfalt der
Quellen, aus denen Daten verbreitet werden, die große Anzahl der Marktteilnehmer und die
Möglichkeit des Herunterladens führen dazu, daß man sich mit dem Vorschlag einer
Zentralstelle für den Datenschutz befaßt, um den Menschen Mehrfachschritte bei der
Gesamtheit der Marktteilnehmer zu ersparen. In mehreren Ländern besteht eine solche
Möglichkeit bereits beim Fernsprechverzeichnis.
Daher hat der CNIL17 empfohlen, daß sämtliche Herausgeber von Fernspechverzeichnissen
auf sämtlichen Veröffentlichungsträgern (Papierträger, CD-ROM, Minitel oder Internet)
Teilnehmer, die von ihrem Recht auf Einspruch gegen kommerzielle Nutzung ihrer Daten
Gebrauch gemacht haben, kenntlich zu machen.
Die Idee der Zentralstelle ist sowohl im Hinblick auf die Wahrung der Rechte dieser
Personen als auch für die Marktteilnehmer bedeutsam, die personenbezogene Daten nutzen
wollen.
Wenn man das Recht auf Privatsphäre mit den kommerziellen Interessen der
Marktteilnehmer in Einklang bringen möchte, wäre es ggf. notwendig, die Einwilligung der
betreffenden Person18 oder sogar gesetzliche Maßnahmen bzw. Regelungen vorzuschreiben,
wie folgendes Beispiel veranschaulicht:
In einer Stellungnahme zur kommerziellen Nutzung der Daten aus den Baugenehmigungen
kam der belgische Ausschuß für den Schutz des Privatlebens zu der Auffassung, daß eine
neue Zweckbestimmung (d. h. die Vermarktung der Bearbeitung durch öffentlichen Stellen)
unter ausreichender Definition und Präzision einer gesetzlichen oder Regelungsgrundlage
bedarf, um statthaft zu werden. Anderenfalls sei das Interesse, dem durch die Weitergabe
der Daten an Dritte gedient wird, geringer als das Recht auf Wahrung der Privatsphäre der
Person einzuschätzen, deren Daten weitergegeben werden. Eine weitere Möglichkeit
bestünde darin, das Einverständnis des Betreffenden zur kommerziellen Nutzung
einzuholen. Diese Einwilligung müsse jedoch eindeutig vorliegen und die Kenntnis des
betreffenden Vorgangs einschließen, wobei zu berücksichtigen sei, daß derjenige, der um
eine Baugenehmigung einkommt, seine Unterlagen aufgrund bestimmter Vorschriften
einzureichen hat.
In dieser Stellungnahme geht der belgische Ausschuß auch auf personenbezogene
Informationen ein und betont dabei insbesondere, daß ein Recht darauf besteht, auf Antrag
unentgeltlich Einspruch dagegen zu erheben, daß bestimmte Daten direkt zu
Marketingzwecken genutzt werden.
SCHLUSSFOLGERUNGEN:
Wenn der Gesetzgeber Daten öffentlich zugänglich macht, will er jedoch verhindern, daß
diese res nullius werden. Dies ist die Grundlage unserer Rechtsauffassung. Unabhängig
davon, ob eine gesetzliche Regelung mit im Spiel ist oder ob der Betroffene selbst seine
Einwilligung dazu gegeben hat, beraubt der öffentliche Charakter personenbezogener
Daten, was die Grundprinzipien des Schutzes der menschlichen Identität angeht, den
Menschen niemals seines Rechtsschutzes.
In der Debatte, die sich im Rahmen der Anhörung im Zusammenhang mit dem Grünbuch
und den daraus gezogenen Schlußfolgerungen entzündet hat, sind bezüglich der Wahrung
des Rechts auf Privatsphäre und der Versöhnung des Schutzes personenbezogener Daten
der Bürger mit dem Recht der Öffentlichkeit, Zugriff auf Informationen des öffentlichen
Sektors zu erhalten, vor allem nachstehende Aspekte und Fragen zu berücksichtigen:
- Erwägung von Fall zu Fall, ob personenbezogene Daten veröffentlicht bzw. öffentlich
zugänglich gemacht werden sollen, und falls ja, unter welchen Bedingungen und auf
welchen Trägern (Digitalisierung, Verbreitung über Internet? Dies geschieht)
- Zweckbestimmung und Rechtmäßigkeit als Grundsätze für die Datenweitergabe
- Information der betreffenden Person
- Einspruchsrecht der betreffenden Person
- Einsatz der neuen Technologien zur Untermauerung des Rechts auf Privatsphäre.
Diese Leitlinien gelten nicht nur für Situationen, in denen eine Regelung betreffend die
Öffentlichkeit oder den Zugriff vorhanden ist, sondern auch dann, wenn bezüglich des
Bedarfs der Öffentlichkeit an Zugriff auf Informationen des öffentlichen Sektors
einschließlich personenbezogener Daten keine Regelungen erforderlich zu sein scheinen19.
In Erwartung der Schlußfolgerungen, die die Europäische Kommission aus der zur Zeit
laufenden Anhörung ziehen wird, bekundet die Gruppe bereits jetzt ein starkes Interesse
daran, auch weiterhin einen Beitrag zu den einschlägigen Arbeiten sowie zur Beantwortung
der Fragen zu leisten, die den engeren Rahmen des Grünbuchs in bezug auf die Weitergabe
von Informationen des öffentlichen Sektors an Dritte sprengen20.
Brüssel, den 3. Mai 1999
Für die Gruppe
Peter HUSTINX
Vorsitzender
1 Kom 1998 585, bei folgender Adresse erhältlich: http://www.echo.lu/legal/en/access.htlm.
2 Man kann wohl eine Unterscheidung zwischen Öffentlichkeit machen, die aufgrund von Rechtsvorschriften
hergestellt wird, dem gesetzlich eröffneten Zugang zu Informationen und Situationen, in denen die Frage der
Öffentlichkeit bzw. des Zugriffs auf Daten sich stellt, weil ein Antrags von privater Seite oder einem
Unternehmen an den öffentlichen Sektor gestellt wurde, ohne daß eine einschlägige gesetzliche Regelung
vorliegt.
3 Diese Stellungnahme geht somit nicht auf ein anderes breiteres Verständnis des Begriffs "öffentlicher
Daten" ein, demzufolge sämtliche von öffentlichen Stellen verarbeitete Daten hierunter zu verstehen sind.
4 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 über den Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr,
ABl. L 281 vom 23. November 1995, S. 31 (bei folgender Adresse erhältlich):
http://www.europa.eu.int/comm/dg15/fr/media/dataprot/index.htm.
5 S. Entscheidungsgrund 72. Für die Zwecke der Erörterung ist hier anzumerken, daß die Richtlinie keine
Definition des Begriffs "Verwaltungsdokumente" enthält, sondern daß dieser Begriff in einem weiteren
Sinne zu verstehen ist und somit die im Vorschlag des Grünbuchs für eine Klassifikation der Informationen
angeschnittenen "Verwaltungsinformationen" abgedeckt sind (Punkt 73 ff., S. 12).
6 S. Artikel 10 und Entscheidungsgrund 37 der Richtlinie 95/46/EG über die Versöhnung des Rechts auf
Privatsphäre mit den für die Meinungsfreiheit geltenden Regeln. Vgl. ebenfalls Empfehlung 1/97 der Gruppe
über "Datenschutzrecht und Medien" (angenommen am 25.2.1997, Dokument 50/12/97, verfügbar in elf
Sprachen bei der unten auf S. 1 angegebenen Adresse).
7 S. insbesondere Art. 6 Abs. 1 Buchst. B) der Richtlinie 95/46/EG.
8 S. Artikel 12 der Richtlinie 95/46/EG.
9 Vgl. Artikel 29 und 30 der Richtlinie 95/46/EG.
10 Dabei muß darauf hingewiesen werden, daß die Nutzung dieser Technologien dem Staat auch die
Möglichkeit gibt, solche Profile zu erstellen.
11 Weiteres Beispiel: Mit Hilfe der elektronischen Verknüpfung zweier Datenbanken lassen sich negative
Informationen über bestimmte Personen leichter erhalten, z. B. lassen sich durch Gegenprüfung der Daten
aus dem Einwohnermelderegister (falls vorhanden) und der Wählerlisten Personen herauslösen, die kein
Wahlrecht besitzen.
12 Garante per la protezione dei dati personali
13 S. Anhang 1 zum Grünbuch: Rechtsvorschriften und Politik für den Zugang zu Informationen des
öffentlichen Sektors die Lage in den Mitgliedstaaten, Seite 21 ff.
14 S. Artikel 6 Absatz 1b der Richtlinie 95/46/EG.
15 Hier ist anzufügen, daß in bestimmten Kreisen die Auffassung herrscht, daß die kommerzielle Nutzung der
personenbezogenen Daten zu untersagen bzw. zumindest zu begrenzen ist und einschlägige Verstöße
geahndet werden müssen, da es mit Hilfe des Zusammenfügens verschiedener Daten möglich wird,
Persönlichkeitsprofile nachzuzeichnen. Was die amtlichen Quellen entstammenden personenbezogenen
Daten angeht, dürfte es keine Ausnahme von der Pflicht geben, die betreffenden Personen vorab zu
informieren (Artikel 11 der Richtlinie).
16 S. Artikel 10, 11 und 14 der Richtlinie 95/46/EG.
17 Commission Nationale des Libertés et de lInformatique (Nationaler Ausschuß für Freiheiten und
Informatik), Frankreich.
18 S. Artikel 2h), 7a und 8 der Richtlinie 95/46/EG zur Definition der "Einwilligung" sowie die Erfordernis, je
nach Sachlage spezifische Formen der Einwilligung vorzusehen.
19 S. Anmerkung auf Seite 2 (unten).
20 Vgl. vorstehend Punkt 56 (Seite 11 des Grünbuchs) über die Möglichkeiten der Informationssammlung und
der gemeinsamen Datennutzung sowie Punkt 123 (Seite 21) bezüglich der Maßnahmenvorschläge für einen
Informationsaustausch zwischen Einrichtungen des öffentlichen Sektors.
|