Datenschutz und Recht
Homepage

Wir über Uns
Berlin
National
Europäische Union
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

(Begründung zum Gesetzentwurf des Abgeordneten Manfred Such und der Fraktion BÜNDNIS90/DIE GRÜNEN)

BEGRÜNDUNG zum
Entwurf eines Bundesdatenschutzgesetzes (BDSG)

Inhaltsübersicht:
Seitenanfang

BEGRÜNDUNG zum
Entwurf eines Bundesdatenschutzgesetzes (BDSG)

Zur Inhaltsübersicht

Allgemeines

Erste Zielsetzung:
Anpassung an die EU-Datenschutzrichtlinie

Am 24.Oktober 1995 trat die "Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" (EU-DSRL) in Kraft (ABl. EG Nr. L 281 S. 31 vom 23.November 1995). Diese Richtlinie verlangt in Artikel 32 Abs.1 Satz 1 von den Mitgliedstaaten, die zur Umsetzung erforderlichen Rechts- und Verwaltungsvorschriften binnen drei Jahren zu erlassen. Dieser Gesetzgebungsauftrag richtet sich vor allem an den Bundesgesetzgeber, das Bundesdatenschutzgesetz (BDSG) entsprechend zu ändern. Die EU-DSRL bezieht sich nur auf Tätigkeiten, die in den Anwendungsbereich des Gemeinschaftsrechts fallen. Hierzu gehören nicht nur die privatwirtschaftliche Datenverarbeitung, sondern auch große Bereiche der öffentlichen Verwaltung, z.B. im Umwelt-, Wirtschafts- und Verwaltungsverfahrensrecht. Da der Umgang mit personenbezogenen Daten in der öffentlichen Verwaltung in starkem Maße vom allgemeinen Datenschutzrecht geprägt ist, bietet es sich an, den Anforderungen der EU-DSRL durch eine umfassende Änderung des BDSG gerecht zu werden. Dadurch wird auch sichergestellt, daß bei einer Ausweitung der EG-Kompetenzen das BDSG nicht erneut angepaßt werden muß. Soweit bestimmte Bereiche nicht in den Kompetenzbereich der EG fallen, können von der EU-DSRL abweichende Regelungen getroffen werden, bzw. die bestehenden Gesetze können beibehalten werden. Die EU-DSRL macht eine Anpassung des nationalen Datenschutzrechtes auf einem hohen Niveau notwendig. Sie verlangt eine Vielzahl von Verbesserungen des BDSG. Es handelt sich insbesondere um folgende Änderungen:

  • Ausweitung des Anwendungsbereichs im nicht öffentlichen Bereich (§ 1 Abs.2 Nr.2),
  • Aufnahme einer einheitlichen Datenerhebungsregelung auch für den nicht öffentlichen Bereich (§ 6),
  • Einführung von Sonderregelungen über die Verarbeitung sog. sensibler Daten (§§ 12, 47),
  • Verbot automatisierter Einzelentscheidungen (§ 13),
  • Vorabkontrolle und Technikfolgenabschätzung (§ 18 Abs.2 Satz 2 Nr.4, § 20),
  • Einführung eines allgemeinen Widerspruchsrechts (§ 28),
  • Ausweitung der Befugnisse und Verbesserung der Rechtsstellung der Datenschutzkontrollinstanzen (§§ 38, 39, 48, 53),
  • Möglichkeit der Erarbeitung von Verhaltensregeln durch Berufsverbände u.ä. (§ 49) und
  • Ausweitung des Datenschutzes im Medienbereich (§ 52).

Zweite Zielsetzung:
Modernisierung des Datenschutzrechts

Nach 7 Jahren Praxiserfahrung mit den Regelungen des BDSG hat sich gezeigt, daß das Gesetz in vieler Hinsicht konkretisierungs- und verbesserungsbedürftig ist. Dies gilt insbesondere für moderne Verfahren automatisierter Datenverarbeitung, die bei Erarbeitung des BDSG 1990 noch nicht bekannt oder zumindest noch nicht in größerem Umfang eingeführt waren. Die Nutzung des Internets und anderer Kommunikationsnetze, die selbstverständliche Nutzung neuer Datenträgersysteme wie CD-ROM oder Chipkarten, die massenhafte Verwendung von Personalcomputern, beeindruckende Verbesserungen im Bereich der Sicherheitstechnik, insbesondere bei der Kryptografie, führen dazu, daß die derzeit gültigen Regelungen des BDSG, die sich noch an der Großrechnertechnologie der 70er und 80er Jahre orientieren, umfassend überarbeitet werden müssen. Bei dem Einsatz von einigen neuen technischen Verfahren (z.B. Videotechnik, Chipkarten, CD-ROM) greift die bisherige Regelungstechnik des BDSG teilweise völlig ins Leere. Die Folge sind schwerwiegende unsanktionierte Verstöße gegen das Persönlichkeitsrecht und ein großes datenschutzrechtliches Vollzugsdefizit. Erste Vorschläge des Bundesministeriums des Innern (BMI; Referentenentwurf zum BDSG, Stand 14. Januar 1997) beschränken sich, abgesehen von einigen unwesentlichen Korrekturen, auf die Umsetzung der EU-DSRL. Ein solcher Regelungsansatz nimmt billigend in Kauf, daß das Datenschutzrecht immer mehr zum Papiertiger und zur reinen Alibiveranstaltung verkommt. Zudem macht er eine baldige erneute Novellierung des BDSG erforderlich. Dies kann weder im Interesse der Rechtsanwender noch allgemein im Interesse der Rechtssicherheit liegen. Daher verfolgt der vorliegende Gesetzentwurf einen umfassenden Regelungsansatz, bei dem nicht nur die praktizierte Form der Datenverarbeitung, sondern auch absehbare künftige Entwicklungen berücksichtigt werden. Das allgemeine Datenschutzrecht ist in immer größerem Maße verwoben mit dem Telekommunikations- und Medienrecht. Daher lehnt sich der vorliegende BDSG-Entwurf an moderne sonstige Regelungen des Informations- und Kommunikationsrechts an und bezieht sich hierauf.

Es werden insbesondere folgende Anpassungen an den technischen Standard vorgenommen:

  • Aufnahme neuer Kriterien bei der Systemgestaltung (Revisionsfähigkeit § 14 Nr.9, anonyme Nutzung § 16 Abs.1 Satz 2 und 3, Datensparsamkeit § 7 Abs.3 Nr.1, § 16 Abs.2 Satz 1, Pflicht zur Zugriffssicherung § 15 Abs.2),
  • Recht und Pflicht zur Datenverschlüsselung (§ 15 Abs.1, § 26),
  • Einführung des Datenschutz-Audits (§ 17),
  • Einführung einer Regelung zur externen Systemwartung (§ 31 Abs.6),
  • Chipkartenregelung (§ 32),
  • Regelung der Videoüberwachung (§ 33) und
  • Regelung der automatisierten Veröffentlichung personenbezogener Daten (§ 45).

Außerdem werden folgende Verbesserungen des Datenschutzes vorgeschlagen:

  • Erweiterung des Schutzzweckes des Gesetzes auf den Grundrechtsschutz allgemein (§ 1 Abs.1),
  • Präzisierung der Zweckbindung (§ 9 Abs.1 und 2),
  • Einschränkung der Datenbeschaffung über Selbstauskünfte (§ 22 Abs.6),
  • Einschränkung der Generalklauseln im öffentlichen Bereich (§§ 35 bis 38),
  • spezielle Vorschriften zum Direktmarketing (§ 46 Abs.2 und 3),
  • Regelung des Datenschutzes in Beschäftigungsverhältnissen (§ 50) und
  • Einführung von Verbandsbeteiligungen in datenschutzrechtlichen Verfahren (§ 20 Abs.1 Satz 3, § 49).
Insofern greift der vorliegende Gesetzentwurf die Vorschläge der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSB-Konferenz) vom 14./15. März 1996 zur "Modernisierung und europäischen Harmonisierung des Datenschutzrechts" auf (abgedruckt in: 16. TB BfD 1995/96 - Drucksache 13/7500 - Anlage 15, vgl. dort auch 1.4 und 2.1.5).

Zur Inhaltsübersicht

Regelungskonzeption

Die Grundkonzeption des vorliegenden Entwurfes ist: Bewährtes bewahren und Defizite beseitigen. Dies macht es (entgegen den BMI-Vorschlägen) zunächst erforderlich, die Terminologie des BDSG bez. der Verarbeitungsschritte an die Terminologie der meisten Landesdatenschutzgesetze und der EU-DSRL anzupassen. Statt die derzeit schon hochkomplizierte BDSG-Struktur durch eingeflickte Regelungsfetzen noch weiter zu verkomplizieren, wird eine neue Ordnung gewählt. Statt die vollständige Trennung zwischen öffentlichem und nicht öffentlichem Bereich beizubehalten, werden die meisten Regelungen vor die Klammer gezogen. Strukturell geht die EU-DSRL davon aus, daß Datenschutz im öffentlichen und im nicht öffentlichen Bereich nach vergleichbaren Kriterien erfolgt. Dies entspricht auch den technischen Gegebenheiten, die durch das gemeinsame Nutzen von datenverarbeitenden Medien (z.B. Chipkarten, Internet) eine strikte Trennung zwischen öffentlichem und nicht öffentlichem Bereich nicht mehr erlaubt. Ein erwünschter Nebeneffekt dieses Ansatzes ist, daß die Normen überschaubarer, verständlicher, klarer und einheitlich anwendbar werden. Soweit Regelungen überflüssig geworden sind, etwa zum Fehlen von Landesrecht (§ 1 Abs.2 Nr.2, § 27 Abs.1 Nr.2 Buchstabe b BDSG), zu den inzwischen privatisierten Sondervermögen des Bundes (Bahn, Post, z.B. § 2 Abs.2 Satz 2 BDSG), wurden diese ersatzlos gestrichen. Soweit Generalklauseln präzisiert werden konnten, ohne daß dies zu Beeinträchtigungen eines sinnvollen ADV-Einsatzes führt, wurden diese im Interesse der Normenbestimmtheit auf das Notwendige eingegrenzt.

Dies führte vor allem zur Beseitigung der uferlosen Generalklauseln im öffentlichen Bereich. Vorbildliche Regelungen aus bestehenden Gesetzen, insbesondere aus neueren Landesdatenschutzgesetzen, aus dem Medien- und dem Telekommunikationsrecht, wurden übernommen.

Damit liegt ein Vorschlag vor, der - anders als der Referentenentwurf des BMI vom 14.Januar 1997 - sich auf der Höhe der Zeit bez. der technischen Entwicklung und der juristischen Diskussion befindet. Ein solches Gesetz kann zum Vorbild für Landesregelungen und von Datenschutzrecht in anderen Staaten werden.

Zur Inhaltsübersicht

Einzelbegründung

Zu § 1 Abs.1
(Zweck des Gesetzes)

Der bisherige Verweis auf das Persönlichkeitsrecht als ausschließlicher Schutzzweck (§ 1 Abs.1 BDSG) erfaßt nicht mehr die Regelungsbreite des Datenschutzrechtes und auch nicht die reale Bedrohungssituation durch moderne Datenverarbeitung. Das vom Bundesverfassungsgericht (BVerfG) aus dem Persönlichkeitsrecht (Artikel 2 Abs.1 i.V. m. Artikel 1 Abs.1 GG) abgeleitete Recht auf informationelle Selbstbestimmung (BVerfG, NJW 1984, 419 ff.), das in vielen Länderverfassungen ausdrücklich erwähnt wird (z.B. Artikel 4 Abs.2 LVerf NW, Artikel 33, 34 SächsLVerf), ist der zentrale verfassungsrechtliche Bezugspunkt des BDSG. Daneben haben jedoch fast alle anderen Grundrechte einen informationsrechtlichen Gehalt, allen voran das in Artikel 10 GG geschützte Fernmeldegeheimnis.

Von zunehmender Bedeutung ist das Recht auf Gleichbehandlung (Artikel 3 GG), da die Informationstechnik neue personenbezogene Differenzierungs- und damit Diskriminierungsmöglichkeiten eröffnet. Durch den generellen Verweis auf die Grundrechte wird zugleich zum Ausdruck gebracht, daß das BDSG bei Grundrechtskollisionen einen Ausgleich sucht. Derartige Kollisionen bestehen z.B. bei der Presse- und Informationsfreiheit (Artikel 5 GG) oder bei der Berufsfreiheit (Artikel 12 GG).

Zu § 1 Abs.2 bis 4
(Anwendungsbereich des Gesetzes)

Im öffentlichen Bereich wird der Anwendungsbereich bez. vorübergehender und interner Dateien (§ 1 Abs.3 BDSG) erweitert. Dies ist von Artikel 3 Abs.1 EU-DSRL gefordert, wonach es bei einer automatisierten Verarbeitung nicht mehr auf den Dateibegriff ankommt. Außerdem wird die gesamte Akten-Datenverarbeitung erfaßt. Nur von der Erforderlichkeitsprüfung ausgenommen werden Vorentwürfe und Notizen (§ 9 Abs.1 Satz 2, bisher § 3 Abs.3 Satz 2 BDSG). Bisher orientiert sich der Anwendungsbereich des BDSG, insbesondere im nicht öffentlichen Bereich, am Dateibegriff (§ 1 Abs.2 Nr. 3, § 27 Abs.2 BDSG), der in § 3 Abs.3 BDSG definiert ist. Hierauf kann künftig verzichtet werden, wenn die Umschreibung der Datei in Artikel 2c EU-DSRL zur Umschreibung des Anwendungsbereichs im nicht öffentlichen Bereich verwendet wird. Angesichts moderner Verarbeitungssysteme wie neuronale Netze, regelbasierte Systeme, Expertensysteme oder objektorientierte Programmierung erweist sich der überkommende Dateibegriff nicht mehr als trennscharf. Die bisherige Formulierung des § 27 BDSG "aus Dateien" wird in der Form übernommen, daß auch die Weiterverarbeitung von Daten, die aus einer strukturierten Sammlung stammen, erfaßt werden. Diese Regelung erfaßt sowohl die Weiterverarbeitung durch die verarbeitende Stelle (Nutzung) wie durch andere Stellen nach einer Übermittlung. Damit wird verhindert, daß durch Übermittlung von Daten vom BDSG geschützte Daten aus dem Schutzbereich herausfallen. Der Ausschluß persönlicher und privater Datenverarbeitung aus dem Anwendungsbereich in Absatz 2 Satz 1 Nr.2 entspricht Artikel 3 Abs.2 dritter Spiegelstrich EU-DSRL. Mit Absatz 3 (Anwendung auf Stellen in der EU) wird das primäre Ziel der EU-DSRL, den freien Verkehr personenbezogener Daten in der EU nicht zu beschränken (Artikel 1 Abs.2 EU-DSRL), verwirklicht. Er setzt Artikel 4 EU-DSRL über die Abgrenzung des nationalen Regelungsbereichs in nationales deutsches Recht um. Da der Begriff der Datenverarbeitung auch die Datenerhebung umfaßt, ist das BDSG auch anwendbar, wenn Daten im Inland nur erhoben werden. Niederlassung ist jede auf Dauer angelegte selbständige oder unselbständige Einrichtung zur effektiven und tatsächlichen Ausübung einer Tätigkeit, ungeachtet ihrer Rechtsform. Die Regelung in Absatz 4 (Verhältnis zu anderen Regelungen) entspricht inhaltlich § 1 Abs.4 Satz 1 BDSG und erweitert diese auf Regelungen der Europäischen Gemeinschaften (EG). Berufs- und besondere Amtsgeheimnisse, die bisher ungeregelt blieben (§ 1 Abs.4 Satz 2, § 39 BDSG), werden in das Regelungskonzept des neuen BDSG integriert (vgl. § 12).

Zu § 2
(Öffentliche und nicht öffentliche Stellen)

Die Regelung entspricht weitgehend dem bisherigen § 2 BDSG. Die Formulierung erlaubt gegenüber der bisherigen Rechtslage eine einfachere Abgrenzung. Auf die bisher in § 2 Abs.2 BDSG vorgenommene Definition der öffentlichen Stellen der Länder wird verzichtet. Diese Definition ist Ländersache. Bisher war die Unterscheidung zwischen öffentlichen und nicht öffentlichen Stellen von großer Bedeutung, da unterschiedliches Recht anzuwenden war. Dies gilt nicht mehr in dem Maße, da für beide Bereiche ein möglichst einheitlicher Datenschutzstandard formuliert wird. Dessenungeachtet bleiben Unterschiede bestehen, da öffentliche Stellen den betroffenen Personen hoheitlich gegenübertreten und gesetzlich präzise definierte Aufgaben wahrnehmen, während nicht öffentliche Stellen mit den betroffenen Personen privatrechtlich auf der gleichen Ebene stehen.

Zu § 3
(Weitere Begriffsbestimmungen)

Die Definition personenbezogener Daten nach Absatz 1 entspricht § 3 Abs.1 BDSG sowie inhaltlich Artikel 2a EU-DSRL. Es kommt nicht darauf an, daß die verarbeitende Stelle die Identität der natürlichen Person kennt; ein personenbezogenes Datum ist schon dann anzunehmen, wenn für sie, evtl. mit Hilfe einer anderen Stelle, die Möglichkeit besteht, eine Identifizierung durchzuführen. Daten sind grundsätzlich auch dann personenbezogen, wenn sie einem Pseudonym zugeordnet sind. Auf die Definition der Akte und der Datei kann wegen der Regelung in § 1 Abs.2 verzichtet werden. Die ausdrückliche Erwähnung von Bild- und Tonträgern als Beispiele für Aktenverarbeitung (§ 3 Abs.3 BDSG) ist angesichts der zunehmenden digitalisierten Verarbeitung von Bild und Ton, die regelmäßig den bisherigen Dateibegriff erfüllt, anachronistisch und kann daher ersatzlos entfallen. Der umfassende Verarbeitungsbegriff des Absatzes 3 entspricht der Terminologie des Artikels 2b EU-DSRL als auch der meisten Landesdatenschutzgesetze. Dieser ist im Interesse einer möglichst einheitlichen Handhabung anstelle des überkommenen Begriffs des DSG, der die Erhebung und die Nutzung nicht mit einbezieht (§ 3 Abs.3 bis 6 BDSG) auch im Bundesrecht zu verwenden. Dies hat zweifellos bei der Revision der spezifischen Datenschutzregelungen im Bundesrecht weitreichende Folgen. Diese Folgen werden durch eine Übergangsregelung in § 56 aufgefangen. Durch die weitere Fassung des Verarbeitungsbegriffs wird zudem die Lesbarkeit des Gesetzes erheblich verbessert. Der Begriff "Anonymisieren" entspricht § 3 Abs.7 BDSG. Der Begriff der "verarbeitenden Stelle" in Absatz 5 entspricht inhaltlich § 3 Abs.8 BDSG sowie der Definition des für die Verarbeitung Verantwortlichen" in Artikel 2d EU-DSRL bzw. des "Auftragsverarbeiters" in Artikel 2e EU-DSRL. Der Begriff "Dritter" in Absatz 6 Satz 1 entspricht § 3 Abs.9 BDSG sowie Artikel 2f EU-DSRL. In Artikel 2g EU-DSRL wird der neue Begriff des "Empfängers" eingeführt. Dieser ist z.B. bei der Beschreibung des Auskunftsanspruchs von Bedeutung (Artikel 12a EU-DSRL). Zur Klarstellung wird bei der Defintion des Empfängers in Absatz 6 Satz 2 im Klammersatz erläutert, daß der Begriff sowohl den Übermittlungsempfänger als auch den Auftragnehmer bei der Datenverarbeitung im Auftrag erfaßt.

Zu § 4
(Zulässigkeit der Verarbeitung)

Die Regelung entspricht § 4 Abs.1 BDSG.

Zu § 5
(Einwilligung)

Die Regelung entspricht § 4 Abs.1 BDSG. In Artikel 2 Buchstabe h EU-DSRL wird besonders betont, daß nur eine ohne Zwang erteilte Einwilligung rechtlich wirksam ist. Sie muß nach Artikel 7a EU-DSRL "ohne jeden Zweifel" erteilt worden sein (vgl. auch Artikel 26 Abs.1 Buchstabe a EU-DSRL). Einwilligungen können auch befristet erklärt werden. Die eindeutige Bestimmbarkeit bezieht sich insbesondere auf die Verarbeitungszwecke und die verarbeitenden Stellen (Empfänger), u.U. aber auch auf das Verarbeitungssystem. Bei der Einwilligung kann insofern differenziert werden. Der Hinweis auf die Widerruflichkeit stellt nur eine Klarstellung dar. Bei Widerruf der Einwilligung wird die weitere Verarbeitung grundsätzlich unzulässig. Auf die Sonderregelung zur Einwilligung im Bereich der wissenschaftlichen Forschung (§ 4 Abs.3 BDSG) wird verzichtet. Der darin zum Ausdruck kommende Gedanke kann bei der Auslegung der "Angemessenheit" in Satz 2 berücksichtigt bleiben. Der Verzicht auf die Schriftlichkeit der Einwilligung ist gemäß § 51 Abs.2 Nr.3 weiterhin schriftlich festzuhalten. In Absatz 3 wird den modernen technischen Erfordernissen entsprechend neben der schriftlichen die elektronisch erklärte Einwilligung zugelassen. Die Regelung entspricht dem Vorschlag des § 3 Abs.7 des Entwurfs eines Telekommunikationsdienstedatenschutzgesetzes (TDDSG).

Zu § 6
(Datenerhebung)

Nach Artikel 2b EU-DSRL wird der Vorgang der Datenerhebung auch im nicht öffentlichen Bereich dem Vorbehalt des Gesetzes unterstellt. Dies ermöglicht eine einheitliche Regelung für nicht öffentliche und öffentliche Stellen. Artikel 10 EU-DSRL fordert die in Absatz 1 Satz 3 vorgesehene Verbesserung der Unterrichtung der von einer Datenerhebung betroffenen Person. Für den Fall, daß die Daten nicht bei der betroffenen Person erhoben werden, erfolgt eine Benachrichtigung nach § 24. Die generelle Erhebungsregelung schließt nicht aus, daß bereichsspezifisch zusätzlich Besonderheiten normiert werden.

Zu § 7
(Verantwortung bei der Datenübermittlung)

Die Regelung entspricht § 15 Abs.2, § 16 Abs.2, § 17 Abs.3 BDSG. Ihr Anwendungsbereich wird auf den privaten Bereich ausgedehnt. Die Verantwortung bei der Übermittlung im automatisierten Abrufverfahren ist in § 30 Abs.4 geregelt.

Zu § 8
(Datenübermittlung in Drittländer)

Die EU-DSRL macht eine umfassende Neuregelung der Datenübermittlung ins Ausland notwendig. Artikel 1 Abs.2 EU-DSRL fordert den ungehinderten Datenaustausch innerhalb der EU. In der Regelung werden die Anforderungen der Artikel 25 und 26 EU-DSRL umgesetzt. Durch Absatz 7 wird sichergestellt, daß die Übermittlung in Drittländer nicht unter erleichterten Bedingungen erfolgen kann als die Übermittlung innerhalb der EU. Außerdem bleiben dadurch verfahrensrechtliche Vorschriften (z.B. die Benachrichtigung gemäß § 37 Abs.1 Nr.3 bei Übermittlungen vom öffentlichen in den privaten Bereich) anwendbar.

Zu § 9
(Allgemeine Grundsätze: Zweckbindung, Erforderlichkeit, Datenvermeidung, Datensicherheit, Transparenz)

Es besteht ein Bedürfnis, die grundlegenden Prinzipien des Datenschutzes im Gesetz "vor der Klammer" klarzulegen. Hierauf beziehen sich die weiteren Regelungen des Gesetzes zum Umgang mit personenbezogenen Daten. Sie sind Auslegungsrichtschnur des Gesetzes. Der Grundsatz der Erforderlichkeit in Absatz 1 Satz 1 ergibt sich aus Artikel 6 Abs.1 Buchstabe c und e EU-DSRL. Der Zweckbindung nach den Absätzen 1 und 2 wird eine eigenständige Regelung gewidmet. In Umsetzung des Artikels 6 EU-DSRL wird klargestellt, daß dieser Grundsatz auch im nicht öffentlichen Bereich gilt. Zur Vermeidung einer ausufernden Interpretation des Verarbeitungszwecks wird klargestellt, daß bei der Festlegung des Zwecks neben dem Erhebungs-/Speicherungsgrund auch der Verwendungszusammenhang und das eingesetzte System maßgeblich sind. Artikel 6 Abs.1 Buchstabe b EU-DSRL konkretisiert das Zweckbindungsprinzip durch das Verbot unvereinbarer Verarbeitungszwecke und greift damit eine entsprechende Passage des Volkszählungsurteils des BVerfG auf (BVerfG, NJW 1984, 427). Verarbeitungszwecke sind miteinander unvereinbar, wenn das Verfolgen des einen Zwecks dazu führt, daß das Erreichen des anderen Zwecks nicht erreicht werden kann bzw. unvertretbar erschwert wird. Dies ist z.B. der Fall, wenn bei den betroffenen Personen erhobene statistische Planungsdaten für Verwaltungszwecke genutzt werden sollen. Das Verbot von Persönlichkeitsprofilen (vgl. § 12 Abs.6 SächsDSG) basiert auf der Rechtsprechung des BVerfG (BVerfGE 27, 6). Damit soll ausgeschlossen werden, daß mit automatisierten Mitteln Daten so zusammengefaßt verarbeitet werden, daß die betroffene Person zum reinen Objekt degradiert und damit ihrer menschlichen Würde beraubt wird. Der Grundsatz der Datenvermeidung (Absatz 3 Nr.1) wird erstmalig in das allgemeine Datenschutzrecht aufgenommen. Die Verantwortlichkeit der verarbeitenden Stelle für die insbesondere in den §§ 14 ff. aufgeführten Maßnahmen der Datensicherheit wird in Absatz 3 Nr.2 festgelegt. Transparenz nach Absatz 3 Nr.3 ist die Grundvoraussetzung für die betroffenen Personen, um zu erfahren, wer wann bei welcher Gelegenheit etwas über sie weiß. Außerdem ist es eine Voraussetzung für die Datenschutzkontrolle und damit für die Durchsetzung datenschutzrechtlicher Vorschriften. Transparenz wird durch eine Vielzahl von Regelungen in diesem Gesetz verwirklicht. Dies sind insbesondere

  • die Auskunftspflicht (§ 23),
  • die Benachrichtigungspflicht (§ 24),
  • Informationspflichten, z.B. bei Einholung einer Einwilligung (§ 5 Satz 3), bei der Datenerhebung (§ 6 Abs.1), bei beabsichtigten Übermittlungen vom öffentlichen in den privaten Bereich (§ 37 Abs.1 Nr.3) beim Einsatz von Chipkarten u.ä. (§ 32 Abs.4 Satz 1) und
  • die neu eingeführte Quittierungspflicht beim Einsatz von Chipkarten u.ä. (§ 32 Abs.2).
Neben Maßnahmen, die eine Transparenz für die jeweiligen Betroffenen schafft, fordert Artikel 21 Abs.1 EU-DSRL allgemeine "Maßnahmen, mit denen die Öffentlichkeit der Verarbeitungen sichergestellt wird". Diesem Ziel dienen
  • die Meldepflicht, verbunden mit dem Einsichtsrecht in die Meldungen (§ 19),
  • die Pflicht der Datenschutzbeauftragten, die bei diesen geführte Übersicht verfügbar zu machen (§ 18 Abs.4 Satz 2),
  • die Veröffentlichung der Ergebnisse und der Begründung von Technikfolgenabschätzungen (§ 20 Abs.1 Satz 4),
  • die Hinweispflicht beim Einsatz von Videoüberwachung (§ 33 Abs.1 Satz 2),
  • die Veröffentlichung eines zweijährlichen Tätigkeitsberichts durch den Bundesbeauftragten (§ 41 Abs.1) und
  • das Einsichtsrecht in das Register automatisierter Veröffentlichungen (§ 45 Abs.3 Satz 2).

Zu § 10
(Besondere Regelungen zur Zweckbindung)

Absatz 1 entspricht dem bisherigen § 14 Abs.4, § 31 BDSG, die zusammengefaßt werden. Zu Daten, die der Sicherstellung eines ordnungsgemäßen Betriebes dienen, gehören die Protokolldaten aus lokalen Netzen, Firewalls, Sicherheitsprodukten und z.B., soweit diesen keine weitere Funktion zukommt, Daten, die bei Internet-Providern anfallen.

Zu § 11
(Datengeheimnis)

Die Regelung entspricht § 5 BDSG sowie den Anforderungen des Artikels 16 EU-DSRL. Die bisherige Ausnahme öffentlicher Stellen von der ausdrücklichen Verpflichtung auf das Datengeheimnis wird gestrichen. Auch im öffentlichen Bereich soll die mit der Verpflichtung verbundene Aufklärung der Bediensteten sichergestellt werden.

Zu § 12
(Verarbeitung besonderer Kategorien von Daten)

Artikel 8 EU-DSRL erlaubt die Verarbeitung von besonders sensiblen Daten nur unter engen materiellen Voraussetzungen. Gegenüber den allgemeinen rechtlichen Regelungen ist ein verstärkter materieller und verfahrensrechtlicher Schutz erforderlich. Der Schutz nach Artikel 8 EU-DSRL muß mit dem teilweise sich überschneidenden Schutz von Berufs- und besonderen Amtsgeheimnissen in Einklang gebracht werden. Dies wird dadurch erreicht, daß beiden Datenkategorien ein weitgehend gleichwertiger Schutz zugeschrieben wird. Zugleich werden in Absatz 3 typische allgemeine Offenbarungstatbestände eingeführt, mit denen vermieden werden kann, daß auf die Rechtsfigur des rechtfertigenden Notstands (§ 34 StGB) als Verarbeitungsbefugnisnorm zurückgegriffen werden muß. Absatz 2 stellt aber klar, daß bei Berufs- und besonderen Amtsgeheimnissen ansonsten eine Offenbarung einer gesetzlichen Grundlage bedarf. In jedem Fall gehen spezifische Regelungen vor. Bei deren Erlaß sind die Grenzen des Artikels 8 Abs.2 bis 4 EU-DSRL zu beachten. Geraten besonders geschützte Angaben an Dritte, so waren sie bisher nicht besonders geschützt. Diese Regelungslücke wird durch Absatz 1 behoben.

Während bei sensiblen Daten, der Vorlage des Artikels 8 Abs.5 EU-DSRL folgend, eine Zweckänderung durch Rechtsvorschrift möglich ist, ist dies bei Berufs- und besonderen Amtsgeheimnissen - wie bisher (vgl. § 39 Abs.2 BDSG) - nur durch Gesetz möglich. Bei öffentlichen Stellen schränkt § 12 die Möglichkeiten der zweckänderung nach § 35 ein. Bei den nicht öffentlichen Stellen wird die Zweckänderung, wie sie vor allem § 43 Abs.1 Nr.2 bis 4 erlaubt, eingeschränkt. Auch bei einer zweckentsprechenden Datenverarbeitung ist aber bei nicht öffentlichen Stellen gemäß § 47 zusätzlich eine Güterabwägung vorzunehmen.

Zu § 13
(Automatisierte Einzelentscheidungen)

Artikel 15 EU-DSRL fordert ein generelles Verbot automatisierter Einzelentscheidungen, verbunden mit der Möglichkeit, Ausnahmen vorzusehen. Soweit Ausnahmen vorgesehen werden sollen, bedürfen sie einer speziellen gesetzlichen Grundlage.

Zum Zweiten Unterabschnitt
(Technische und organisatorische Maßnahmen)

Ergänzend zu den 10 Geboten der Datensicherheit (sog. technische und organisatorische Maßnahmen, vgl. § 9 BDSG mit Anlage) sind weitere technische Regeln nötig, die Datenvermeidung, Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität der Daten sicherstellen.

Auf die 10 Gebote der Datensicherheit, die ursprünglich auf die Großrechnertechnologie vor 20 Jahren ausgerichtet waren, die aber auch bei Kleinrechnern und bei vernetzten Systemen anwendbar sind, kann als Auffangnorm nicht verzichtet werden. Sie müssen aber weiterentwickelt werden.

Zu § 14
(Standardmaßnahmen)

Es macht keinen Sinn, die technischen und organisatorischen Standardmaßnahmen in einer Anlage des Gesetzes aufzuführen (so bisher Anlage zu § 9 Satz 1 BDSG). Dem Vorbild vieler Landesdatenschutzgesetze folgend (z.B. § 7 Abs.2 NDSG), werden diese Maßnahmen in das Gesetz inkorporiert. Die derzeit gültigen Standardmaßnahmen (sog. 10 Gebote) orientieren sich noch in starkem Maße an der Großrechnertechnologie, z.B. indem zwischen Datenträger- und Speicherkontrolle (Eingabe bzw. weitere Verarbeitung) differenziert wird. Daher werden Maßnahmetypen zusammengefaßt.

Regelmäßig erfüllen bestimmte Datensicherungsmaßnahmen mehrere Kontrollzwecke. Überschneidungen bei den Maßnahmen sind zwangsläufig, ja erwünscht. Die allgemeinen Sicherungserfordernisse werden durch Artikel 17 Abs.1 EU-DSRL vorgegeben. Mit Nummer 5 wird dem Umstand Rechnung getragen, daß in verarbeitenden Stellen verstärkt mit vernetzten Rechnersystemen gearbeitet wird. Artikel 17 Abs.2 und 3 EU-DSRL fordert die Auftragskontrolle nach Nummer 6. Die unter Nummer 8 neu aufgenommene Verfügbarkeitskontrolle wird von Artikel 17 EU-DSRL verlangt. Schutz vor zufälliger Zerstörung oder Verlust bedeutet z.B. Schutz vor Blitzschlag oder Stromausfall. Geeignete Sicherungsmaßnahmen sind z. B. das Erstellen zusätzlicher Sicherungskopien und deren geschützte Lagerung. Artikel 17 Abs.4 EU-DSRL verlangt zum Zweck der Beweissicherung die Dokumentation der datenschutzrelevanten Verfahrenselemente. Dies ist durch die bisherigen 10 Gebote nicht ausreichend sichergestellt. Daher fordert Nummer 9 die Sicherstellung der Revisionsfähigkeit der Datenverarbeitungsverfahren. Revisionsfähigkeit ist die Möglichkeit, technische und organisatorische Abläufe der Datenverarbeitung und Rahmenbedingungen davon den jeweils Verantwortlichen zuzurechnen. Auch dies ist ein Hilfsmittel zur Sicherstellung der Transparenz. Bei der Gestaltung der Hard- und der Software müssen Mittel zur Verfügung stehen, die einen Abgleich des Ist- mit dem Sollzustand ermöglichen.

Dies erfolgt durch die vollständige Dokumentation des Systems, die verbindliche Festlegung des Umgangs mit dem System und eine geeignete (automatische) Protokollierung relevanter Systemveränderungen. Die Möglichkeit des Auffindens von Daten, die z.B. bei Expertensystemen oder sonstigen komplexen Datenbanken keine Selbstverständlichkeit ist, wird durch die Revisionskontrolle eingefordert. Die Organisationskontrolle nach Nummer 10 dient einerseits als Auffangnorm, andererseits erfaßt sie alle nicht technischen Maßnahmen (z.B. Dienstvorschriften, Anweisungen, Bedienungsanleitungen, Zuständigkeitspläne). Auf sie kann im Rahmen der Datensicherung nicht verzichtet werden.

Zu § 15
(Besondere Maßnahmen)

Die Verschlüsselung von Daten bei der Speicherung, aber vor allem bei der Datenübermittlung, wird als besondere Datensicherheitsmaßnahme empfohlen bzw. vorgeschrieben (Absatz 1). Absatz 2 regelt zwingend die Zugangs- und Zugriffskontrolle (vgl. § 16 Nr.1). Schutzsoftware ist heute allgemein und mit vertretbarem Kostenaufwand erhältlich. Die Regelung findet beim Einsatz von Personalcomputer in ungesicherten Räumen ebenso Anwendung wie beim Zugang zu öffentlichen Netzen.

Zu § 16
(Grundsätze der Systemgestaltung)

Die Regelung orientiert sich weitgehend am Mediendienste-Staatsvertrag (MD-SV), der sich derzeit im Gesetzgebungsverfahren der Länderparlamente befindet. § 12 Abs.3 MD-SV verbietet die faktische Erzwingung datenschutzrechtlicher Einwilligungen (Absatz 1 Satz 1). Das Recht zur Inanspruchnahme von anonymen bzw. pseudonymen Nutzungen von Angeboten (Absatz 1 Satz 2) orientiert sich an § 13 Abs.1 MD-SV. Der Grundsatz der Datensparsamkeit (Absatz 2 Satz 1) ist in § 12 Abs.5 MD-SV enthalten. Es ist leider immer wieder festzustellen, daß Datenverarbeitungssysteme so ausgestaltet sind, daß sie den Anforderungen des Datenschutzrechts nicht entsprechen (z.B. Unmöglichkeit, bestimmte Daten zu löschen oder zu sperren, ungenügende Protokollierung, vgl. z.B. XIII. TB LfD Nds. 1995/96, 44, 70). Daher wird eine ausdrückliche Überprüfungspflicht der technischen Verfahren auf deren Vereinbarkeit mit dem Recht festgelegt (Absatz 2 Satz 2). Hierbei kann auf externen Sachverstand zurückgegriffen werden (Absatz 2 Satz 3, vgl. Datenschutz-Audit: § 17).

Zu § 17
(Datenschutz-Audit)

Das Datenschutz-Audit verfolgt das Ziel, datenschutzfreundliche Produkte auf dem Markt zu fördern, indem deren Datenschutzkonzept geprüft und bewertet wird. Eine entsprechende Regelung zum Datenschutz-Audit enthält § 17 MD-SV. Das Instrument des Datenschutz-Audits läßt sich dadurch fördern, daß bewertete Produkte bei der Anschaffung vorgezogen werden (§ 16 Abs.2 Satz 2).

Zu § 18
(Behördlicher bzw. betrieblicher Datenschutzbeauftragter)

Soweit von Melderegelungen Abstriche gemacht werden, verpflichtet Artikel 18 Abs.2 zweite Alternative EU-DSRL zur Bestellung von betrieblichen oder behördlichen Datenschutzbeauftragten. Diesen obliegt die "unabhängige Überwachung" des Datenschutzes. Da Datenschutzbeauftragte öffentlicher Stellen oft zugleich betriebliche Datenschutzbeauftragte nach den §§ 36, 37 BDSG sind, sollte das BDSG eine einheitliche Vorgabe enthalten. Die Konzeption zum betrieblichen Datenschutzbeauftragten hat sich bewährt und wird übernommen. Bei einer Betriebsgröße von mehr als 500 EDV-Beschäftigten ist im Interesse einer ausreichenden Präsenz die Bestellung eines eigenen Mitarbeiters als Datenschutzbeauftragter notwendig, der für diese Tätigkeit freigestellt wird. So soll ausgeschlossen werden, daß die Bestellung zum reinen Alibi wird. Ist die Aufgabe des Datenschutzbeauftragten nicht von einer einzelnen Person zu bewältigen, so ist nicht ausgeschlossen, daß dem Datenschutzbeauftragten weitere unterstützende Personen zugeordnet werden (Absatz 4 Satz 3). Absatz 1 Satz 1 stellt sicher, daß nicht nur bei der Berufung eines sog. internen, sondern auch eines externen (d.h. nicht betriebsangehörigen) Datenschutzbeauftragten die Mitbestimmungsregelung greift. Der Begriff "Vertretung der Beschäftigten" erfaßt sowohl den Personalrat von öffentlichen Stellen wie den Betriebsrat in der Privatwirtschaft. Besteht keine Vertretung der Beschäftigten, so entfällt die Mitbestimmung.

Der Datenschutzbeauftragte erhält ein Beratungsrecht und eine entsprechende Pflicht bez. der Auswahl von Verarbeitungsverfahren sowie - Artikel 20 Abs.2 EU-DSRL folgend - Aufgaben bei der Vorabkontrolle. Das Einsichtsrecht in die beim Datenschutzbeauftragten zu führende Systemübersicht wird in Artikel 21 Abs.3 EU-DSRL zwingend vorgeschrieben. Neben Absatz 1 Satz 1 stellt auch Absatz 3 Satz 3 klar, daß personelle Entscheidungen zum Datenschutzbeauftragten mitbestimmungspflichtig sind. Die Entbindungsregelung des § 36 Abs.3 Satz 3 BDSG, die in der Praxis viele Unklarheiten zur Folge hat, wird durch eine klarere Regelung ersetzt, die auch sog. "externe" Datenschutzbeauftragte erfaßt.

Zu § 19
(Meldepflicht)

Die Regelung ersetzt die Norm zum Dateienregister beim Bundesbeauftragten in § 26 Abs.5 BDSG sowie die Meldepflicht nach § 32 BDSG für nicht öffentliche Stellen gegenüber der Aufsichtsbehörde. Die Meldepflicht wird auf das von Artikel 18, 19 EU-DSRL geforderte Maß beschränkt. Artikel 19 Abs.1 Buchstabe d und e EU-DSRL fordert eine Erweiterung der im Rahmen der Meldepflicht zu machenden Angaben. Zur Führung des in Absatz 3 erwähnten Registers bei den Datenschutzkontrollinstanzen und zur Gewährung der Einsichtnahme durch jedermann verpflichtet Artikel 21 Abs.2 EU-DSRL.

In einer Rechtsverordnung, die gemäß Artikel 80 Abs.2 GG der Zustimmung des Bundesrates bedarf, werden die näheren Voraussetzungen der Meldepflicht festgelegt. Hierbei sind insbesondere gemäß Artikel 18 Abs.2 erster Spiegelstrich EU-DSRL die Verarbeitungskategorien festzulegen, bei denen unter Berücksichtigung der zu verarbeitenden Daten und der sonstigen Umstände eine Beeinträchtigung der Grundrechte unwahrscheinlich ist.

Zu § 20
(Vorabkontrolle durch Technikfolgenabschätzung)

Artikel 20 EU-DSRL fordert eine Vorabkontrolle, wie sie schon heute in § 7 Abs.3 NDSG als einzigem deutschen Datenschutzgesetz vorgesehen ist. Wegen der bisher aufgetretenen Probleme bei der Anwendung des § 7 Abs.3 NDSG und im Hinblick auf die Vorgabe der EU wird die Formulierung zur Technikfolgenabschätzung modifiziert. Außerdem wird erstmals im deutschen Datenschutzrecht, dem Umwelt- und dem Verbraucherschutzrecht folgend, die Einführung einer Verbandsbeteiligung vorgesehen. Bei Verfahren, von denen keine spezifischen Risiken ausgehen, wird die Vorabkontrolle durch den Datenschutzbeauftragten gemäß § 18 Abs.2 Nr.4 durchgeführt.

Zu § 21
(Unabdingbarkeit)

Die Regelung entspricht § 6 Abs.1 BDSG.

Zu § 22
(Sicherung der Betroffenenrechte)

Es entstehen immer mehr Dateien, an denen mehrere Stellen beteiligt sind. Typisch ist diese Konstellation bei Chipkartenanwendungen. Die Betroffenen laufen hier Gefahr, bei der Wahrnehmung ihrer Rechte nicht den richtigen Ansprechpartner zu finden, da für sie nicht überschaubar ist, wer verarbeitende Stelle ist. Daher wird § 6 Abs.2 BDSG (vgl. auch neuerdings z.B. § 4 Abs.2 BrDSG) in Absatz 1 inhaltlich übernommen.

Immer wieder ist festzustellen, daß verarbeitende Stellen, gegenüber denen Betroffene ihre Rechte direkt oder über den Landesbeauftragten für den Datenschutz geltend machen, die streitbefangenen Daten löschen, um sich einer Auskunft, einer Beanstandung oder auch einem Schadensersatz zu entziehen. Obwohl Gerichte festgestellt haben, daß eine solche Löschung unzulässig ist, weil Grund zur Annahme besteht, daß Betroffenenbelange beeinträchtigt werden, findet diese Praxis weiterhin statt. Es bedarf daher der eindeutigen ausdrücklichen Regelung des Absatzes 2.

Zu § 23
(Auskunft an die betroffene Person)

Artikel 12a dritter Spiegelstrich EU-DSRL verlangt die in Absatz 1 enthaltene Erweiterung des Auskunftsanspruchs. Die Regelungen des § 19 und des § 34 BDSG werden zusammengefaßt. Die Auskunftsverweigerung soll die Ausnahme bleiben. Daher werden die Gründe, weshalb eine Auskunft unterbleiben kann, in Absatz 3 eng begrenzt.

Entgegen dem bisherigen § 34 Abs.5 BDSG soll die Auskunftserteilung immer unentgeltlich sein. Ein geringes Entgelt bei wirtschaftlicher Nutzungsmöglichkeit wird derzeit nur von der Bundes-Schufa verlangt. Damit soll vermieden werden, daß sich im Auskunftsgeschäft interessierte Stellen bei Bonitätsprüfungen von den betroffenen Personen Selbstauskünfte vorlegen lassen, statt eine direkte Auskunft einzuholen. Die bisherige komplizierte Entgeltregelung ist aber wegen ihrer geringen tatsächlichen Bedeutung überflüssig. Durch Absatz 6 wird der Mißbrauch durch Selbstauskünfte eingeschränkt. Außerdem besteht für die verarbeitenden Stellen die Möglichkeit, durch die Gestaltung der Auskunft (z.B. Weglassen der Namensangaben) die wirtschaftliche Nutzbarkeit einzuschränken bzw. auszuschließen.

Mit Absatz 6 soll verhindert werden, daß sich Stellen gespeicherte Daten über die betroffene Person beschaffen, die sich in einer Zwangslage (z.B. anläßlich des Abschlusses eines Wohnungs-, Versicherungs- oder Arbeitsvertrags) befinden.

Zu § 24
(Benachrichtigung)

Die Benachrichtigung nach den Absätzen 1 und 2 ergibt sich zwingend aus Artikel 11 EU-DSRL. Sie ersetzt die bisherige Regelung in § 33 BDSG. Absatz 2 Nr.6 ist eine zwingende Folgeregelung zu § 45. Immer wieder ereignen sich Fälle, in denen die verarbeitende Stelle die Unzulässigkeit ihrer Datenverarbeitung feststellt, ohne daß die betroffenen Personen hierüber informiert werden, auch wenn für diese ein Schaden droht oder entstanden ist, z.B. im Bereich der Personaldatenverarbeitung. Hier müssen die Betroffenen in den Stand gesetzt werden, ihre Rechte wahrzunehmen, so wie dies § 19 DSG MV vorsieht (Absatz 3). Die Unterrichtungspflicht sollte nicht Dritten (z.B. den Datenschutzkontrollinstanzen), sondern der verarbeitenden Stelle auferlegt werden.

Zu § 25
(Datenkorrektur (Berichtigung, Sperrung, Löschung))

Der Begriff der Datenkorrektur wird im Interesse der vereinfachten Lesbarkeit des Gesetzes eingeführt. Die Regelung faßt entsprechend dem Auftrag von Artikel 12b EU-DSRL die bisherigen §§ 20 und 35 BDSG zusammen und entschlackt sie von überflüssigen Ausnahmeregelungen. Der Anspruch auf Berichtigung nach Absatz 1 faßt die Regelungen des § 20 Abs.1, § 35 Abs.1 BDSG zusammen. Er realisiert die Pflicht der verarbeitenden Stellen nach Artikel 6 Abs.1 Buchstabe d EU-DSRL. Der Anspruch auf Löschung nach Absatz 2 faßt die Regelungen des § 20 Abs.2, § 35 Abs.2 BDSG zusammen und realisiert die entsprechende Pflicht nach Artikel 6 Abs.1 Buchstabe e EU-DSRL. Die Aktenregelung in § 20 Abs.1 und 5 BDSG wird in Absatz 4 zusammengefaßt und präzisiert. Die Regelung zur Benachrichtigung von Empfängern zum Zweck der Datenkorrektur (Nachbericht) in Absatz 5 basiert auf Artikel 12c EU-DSRL.

Zu § 26
(Recht auf Datensicherung)

Seit langem wird eine kontroverse Debatte darüber geführt, inwieweit die Bürgerinnen und Bürger die Befugnis haben, die ihnen verfügbaren technischen Datensicherungsmaßnahmen einzusetzen. Teilweise wird die Ansicht vertreten, daß die Sicherungsmaßnahmen nur so stark sein dürfen, daß sie von Sicherheitsbehörden durchbrochen werden können. Eine solche Regelung, deren tatsächliche Umsetzung faktisch nicht überwach- und durchsetzbar ist, hätte zwangsläufig zur Folge, daß faktisch auch kein Schutz vor Angriffen durch Dritte möglich wäre. Datensicherungsmaßnahmen können nicht künstlich auf einen bestimmten Stand festgeschrieben werden, da die rasante technische Entwicklung hierüber hinweggehen würde. Es wird ein subjektives Recht auf Datensicherung festgeschrieben. Davon unberührt bleibt die gesetzliche Befugnis von Sicherheitsbehörden, Datenträger zu beschlagnahmen oder die Datenkommunikation abzuhören.

Zu § 27
(Anrufung der Datenschutzkontrollinstanz)

Die Regelung entspricht § 21 Satz 1 BDSG und wird erweitert auf den Bereich der Aufsichtsbehörden. Sie entspricht den Anforderungen des Artikels 28 Abs.4 Satz 1 und 2 EU-DSRL.

Zu § 28
(Widerspruchsrecht)

Artikel 14a EU-DSRL sieht dieses Recht auf Widerspruch gegen Maßnahmen der Datenverarbeitung vor.

Zu § 29
(Schadensersatz)

Artikel 23 EU-DSRL macht die Haftung bei rechtswidriger Datenverarbeitung weder von der Anwendung eines automatisierten Verfahrens noch von der nach § 823 BGB erforderlichen Schuldhaftigkeit abhängig. Die bestehenden Schadensersatzregelungen (§§ 7, 8 BDSG) werden entsprechend angepaßt, wobei auch nicht mehr zwischen öffentlichen und nicht öffentlichen Stellen unterschieden wird. Aus Sicht der Geschädigten ist es unerheblich, ob eine durch Datenverarbeitung bedingte Schädigung durch eine Behörde oder durch Private erfolgt. Außerdem wird die Pflicht zum Ersatz eines immateriellen Schadens im Gesetz festgelegt, ohne daß eine schwere Verletzung des Persönlichkeitsrechtes nachgewiesen werden müßte (Absatz 1 Satz 2). Die Regelung ist geeignet, die verarbeitenden Stellen zur Rechtmäßigkeit anzuhalten. Bisher war es den Betroffenen oft äußerst schwer, einen materiellen Schaden bzw. einen schwerwiegenden immateriellen Schaden nachzuweisen. Dies ist nach § 29 nicht mehr nötig.

Zu § 30
(Einsatz automatisierter Abruf- und Verbundverfahren)

Die Regelung entspricht § 10 BDSG. Neben den herkömmlichen Abrufverfahren gibt es immer mehr Verbundverfahren, bei denen mehrere Stellen in einem gemeinsamen Datenbestand die Verarbeitung personenbezogener Daten durchführen. Die Regelung wird auf diese ebenso riskante Verfahrensart ausgeweitet. Die Benennung einer Stelle, gegenüber der Betroffenenrechte insgesamt geltend gemacht werden können (Absatz 2 Satz 2 Nr.2), erleichtert den betroffenen Personen die Übersicht und die Durchsetzung ihrer Rechte (vgl. § 22 Abs.1). Die gerichtliche Geltendmachung der Rechte hat gegenüber der verarbeitenden Stelle bzw. den verarbeitenden Stellen zu erfolgen.

Zu § 31 Abs.1 bis 4
(Auftragsverarbeitung)

Die Regelung entspricht dem § 11 BDSG. Sie setzt die Vorgaben der Artikel 16 und 17 Abs. 2 und 3 EU-DSRL um. Die gegenüber § 11 Abs.3 Satz 2 BDSG erschärfte Hinweispflicht in Absatz 3 Satz 2 basiert auf der Erfahrung, daß der Auftragnehmer regelmäßig überlegene Kenntnisse bez. der technischen Voraussetzungen der Datenverarbeitung als auch bez. des Datenschutzrechts hat. Es soll gewährleistet werden, daß der Auftraggeber über mögliche Rechtsverstöße auch tatsächlich hingewiesen wird.

Zu § 31 Abs.5
(Externe Wartung)

Die rechtliche Einordnung der externen Wartung bzw. Systembetreuung durch eine andre als die verarbeitende Stelle ist bis heute rechtlich umstritten. Daher bedarf es einer Klarstellung. Diesem Bedürfnis wurde z.B. in Brandenburg nachgekommen (§ 11a BbgDSG). Es wird sichergestellt, daß geeignetes Personal eingesetzt und eine Kontrollmöglichkeit eröffnet werden. Der Formulierungsvorschlag orientiert sich am Tendenzpapier des von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 26./27.Oktober 1993 beauftragten Gesprächskreises (XII. TB LfD Nds., S. 277; vgl. 15.TB LfD Bremen, S. 11 f.). Die Regelung erlaubt im Rahmen der Erforderlichkeit auch die Kenntnisnahme von besonders sensiblen Daten. Die Daten unterliegen einer strengen Zweckbindung (§ 10 Abs.1). Die hierbei tätigen Personen unterliegen dann als Hilfspersonen der Geheimhaltungspflicht (Berufsgeheimnis, Datengeheimnis). Ein Verstoß hiergegen führt für sie als Hilfspersonen (§ 203 Abs.3 StGB) sowie als datenverarbeitende Personen (§ 54) zur strafrechtlichen Verantwortlichkeit.

Zu § 32
(Einsatz mobiler personenbezogener Speicher- und Verarbeitungsmedien)

Die neue Chipkartentechnologie wirft datenschutzrechtliche Probleme auf, auf die das aktuelle Datenschutzrecht keine Antwort gibt. Es ist daher eine neue Regelung erforderlich, die die datenschutzrechtliche Verantwortlichkeit aller Beteiligten festlegt und den einzelnen vor unfreiwilliger Preisgabe seiner Daten schützt. Die Regelung gewährt im Interesse informationeller Selbstbestimmung für die Betroffenen ein Mindestmaß an Transparenz, Freiwilligkeit und die Wahlmöglichkeit einer anonymen Alternative. Chipkarten sind nur die am stärksten verbreitete Technologie von mobilen Speicher- und Verarbeitungsmedien, die automatisiert mit Lese- und Schreibgeräten kommunizieren. Andere Beispiele sind sog. Smart Cards oder "Persönliche Digitale Assistenten". Die Regelung versucht, absehbare technische Entwicklungen mit zu berücksichtigen (vgl. 16.TB BfD 1995/96, 1.4).

Es war bisher unklar, wer beim Chipkarteneinsatz als verarbeitende Stelle anzusehen ist. Dies wird in Absatz 1 klargestellt. In Absatz 2 wird eine Quittierungspflicht in das Gesetz aufgenommen. Elektronische Systeme sind niemals fehlerfrei. Den betroffenen Personen muß die Möglichkeit gegeben werden, Verarbeitungsfehler nachzuweisen. Diese Notwendigkeit besteht vor allem, wenn die Betroffenen durch die elektronische Form der Datenerhebung keinen sonstigen Nachweis, z.B. in Form eines Formulars oder eines Antrags, vorliegen haben oder wenn die Datenerhebung gar keine bewußte Mitwirkungshandlung der Betroffenen erfordert. Beim Chipkarteneinsatz gibt es regelmäßig eine größere Anzahl von verarbeitenden Stellen. Es ist den betroffenen Personen nicht zuzumuten, ihr Auskunftsrecht einzeln gegenüber jeder dieser Stellen geltend zu machen. Daher sieht Absatz 3 ein konzentriertes Verfahren vor. Zugleich muß sichergestellt werden, daß über die Wahrnehmung des Auskunftsrechtes nicht andere als die betroffene Person und die verarbeitende Stelle von der Datenspeicherung Kenntnis erlangen. Wegen der Flüchtigkeit des Speicherungsvorgangs bei mobilen Kleinrechnern besteht die Gefahr, daß das Einholen der Einwilligung nur noch zu einer technisch vollzogenen Formsache wird. Um dies zu verhindern, muß von der Speicherung eine umfassende Information der Betroffenen erfolgen. Die Freiwilligkeit wird durch ein Diskriminierungsverbot bei Nichtnutzung von mobilen Kleinrechnern sichergestellt (Absatz 4).

Zu § 33
(Videoüberwachung)

In ihrer Entschließung hat die DSB-Konferenz am 14./15.März 1996 generelle Regelungen zur Videoüberwachung angemahnt. Die Regelung entspricht inhaltlich weitgehend § 32 LDSG SH und § 33c BbgDSG. Es soll gewährleistet werden, daß die durch Videotechnik erfolgende optische Überwachung öffentlicher Räume eingegrenzt wird. Die Norm differenziert zwischen der reinen Erhebung (Beobachtung) und der anschließenden Speicherung. Eine akustische Überwachung als andersartiger und zumeist schwerwiegenderer Eingriff bleibt ohne ausdrückliche gesetzliche Regelung unzulässig (vgl. 16.TB BfD 1995/96, 1.4).

Zu § 34
(Anwendungsbereich)

Absatz 1 ist identisch mit § 12 Abs.1 BDSG; Absatz 2 ist identisch mit § 12 Abs.3. Die Regelung des § 12 Abs.2 wurde durch Erlaß von Landesdatenschutzgesetzen obsolet. § 12 Abs.4 wird durch die spezielle Regelung der Datenverarbeitung bei Beschäftigungsverhältnissen (§ 50) überflüssig.

Zu § 35
(Zulässigkeit der Verarbeitung)

Die Regelung ersetzt den bisherigen § 14 BDSG. Der Gehalt des § 14 Abs.1 BDSG ist nunmehr in § 9 Abs.1 geregelt. § 14 Abs.2 BDSG war wegen seiner Unbestimmtheit verfassungsrechtlicher Kritik ausgesetzt. Entsprechend den Vorgaben von Artikel 7a bis f EU-DSRL erfolgt eine präzise bestimmte, eingegrenzte Regelung, wie sie auch in einigen Ländern besteht (vgl. § 10 Abs.2 NDSG). Bei der Datenerhebung ist zusätzlich § 6 zu beachten.

Zu § 36
(Übermittlung innerhalb des öffentlichen Bereichs)

Die Regelung ersetzt § 15 BDSG. Dessen Absatz 2 (Verantwortlichkeit) findet sich in § 7 sowie in § 30 Abs.4 (automatisiertes Abrufverfahren) wieder. Dessen Absatz 3 (Zweckbindung) wird ersetzt durch § 9 Abs.1. Auf eine Übermittlungssonderregelung an öffentlich-rechtliche Religionsgesellschaften (§ 15 Abs.4 BDSG) kann verzichtet werden. Derartige Religionsgesellschaften gelten als nicht öffentliche Stellen (§ 2 Abs.4 S.2). Einen praktischen Bedarf für eine § 15 Abs.4 BDSG entsprechende Regelung besteht neben speziellen Regelungen (z.B. im Melde- und im Steuerrecht) nicht.

Absatz 2 (verbundene personenbezogene Unterlagen) entspricht § 15 Abs.5 BDSG. Absatz 3 (Weitergabe innerhalb einer öffentlichen Stelle) entspricht § 15 Abs.6 BDSG. Eine Datenweitergabe innerhalb einer öffentlichen Stelle ist wie eine Übermittlung zu bewerten. Eine derartige Regelung hat sich bei Landesdatenschutzgesetzen als notwendig und praktikabel erwiesen (vgl. z.B. § 11 Abs.4 NDSG).

Zu § 37
(Übermittlung an Empfänger außerhalb des öffentlichen Bereichs)

Die Regelung ersetzt § 16 BDSG. Die dort enthaltenen weiten Voraussetzungen werden in Absatz 1 nach dem Vorbild von Landesdatenschutzgesetzen (vgl. z.B. § 13 NDSG) eingeschränkt. § 16 Abs.2 BDSG wird in § 7 Satz 1 geregelt. Absatz 2 entspricht § 16 Abs.4 BDSG.

Zu § 38
(Rechtsstellung)

Die Regelung ersetzt die überdetaillierten §§ 22 f. BDSG. Zur Sicherstellung der nach Artikel 28 Abs.1 EU-DSRL geforderten Unabhängigkeit der Kontrollstelle wird der Bundesbeauftragte und seine Dienststelle aus dem Bundesministerium des Innern (bisher § 22 Abs.5 BDSG) ausgelagert und verselbständigt. Eine Abs.1 entsprechende Regelung enthält § 22 Abs.2 BlnDSG.

Zu § 39
(Kontrolle durch den Bundesbeauftragten)

Artikel 28 Abs.3 erster Spiegelstrich EU-DSRL fordert für die Kontrollstelle umfassende Untersuchungsbefugnisse. Angesichts der zunehmenden Automatisierung sind angemessene Zugangsmöglichkeiten für den Bundesbeauftragten sicherzustellen. Dazu gehört auch, daß online bzw. automatisiert verfügbare personenbezogene Datenbestände außerhalb der verarbeitenden Stelle überprüft werden können (Absatz 2).

Zu § 40
(Beanstandung durch den Bundesbeauftragten)

Die Regelung entspricht § 25 BDSG. Das Instrument der Beanstandung, verbunden mit der Möglichkeit, die Öffentlichkeit über Datenschutzverstöße zu informieren (vgl. § 26 Abs.1 BDSG), hat sich bei der Datenschutzkontrolle in der Bundesrepublik Deutschland bewährt. Es handelt sich hierbei um eine "wirksame Einwirkungsmöglichkeit" im Sinne von Artikel 28 Abs.3 zweiter Spiegelstrich EU-DSRL.

Zu § 41
(Weitere Aufgaben und Befugnisse des Bundesbeauftragten)

Die Regelung ersetzt § 26 BDSG. Artikel 28 Abs.2 EU-DSRL verlangt eine Absatz 3 entsprechende Anhörung der Kontrollstelle auch vor dem Erlaß von Rechts- und Verwaltungsvorschriften. Absatz 4 ermöglicht die Kooperation der zuständigen Datenschutzbehörden.

Zu § 42
(Anwendungsbereich)

Die Regelung entspricht § 27 BDSG unter Berücksichtigung des in § 1 Abs.2 und 3 definierten und ausgeweiteten Anwendungsbereichs.

Zu § 43
(Verarbeitung für eigene Zwecke)

Die Regelung ersetzt die Regelung des § 28 BDSG. Wesentliche materielle Veränderungen erfolgen nicht. Durch einen überschaubaren Aufbau wird die Anwendung erheblich erleichtert. Absatz 1 Nr.1 setzt Artikel 7b EU-DSRL um. Absatz 1 Nr.2 findet seine Entsprechung in Artikel 7e und f EU-DSRL. Da die listenmäßige Datenverarbeitung nach § 28 Abs.2 Satz 1 Nr.1 Buchstabe b BDSG, die auf eine begrenzte Privilegierung des einfachen Adressenhandels bzw. des Direktmarketing abzielt, in diesen Bereichen praktisch völlig ihre Bedeutung verloren hat, wird diese Regelung gestrichen. Bezüglich der äußerst problematischen Nutzung für Zwecke der Werbung und der Markt- und Meinungsforschung (bisher § 28 Abs.3 BDSG) erfolgt eine Sonderregelung in § 46. Auf die Forschungsregelung in § 28 Abs.1 Satz 1 Nr.4 und Abs.2 Nr.2 BDSG konnte wegen der neuen Regelung des § 51 Abs.2 Satz 1 Nr.3 verzichtet werden. Absatz 2 entspricht § 28 Abs.4 BDSG.

Zu § 44
(Geschäftsmäßige Datenverarbeitung zum Zweck der Übermittlung)

Die Regelung ersetzt inhaltlich unverändert § 29 BDSG. Auf die Regelung zur listenmäßigen Verarbeitung (§ 29 Abs.2 Satz 1 Nr.1 Buchstabe b BDSG) wird verzichtet, da diese Regelung ihre frühere praktische Relevanz verloren hat und diese Alternative lediglich als eine Konkretisierung der bisherigen Nummer 1 Buchstabe a angesehen werden kann.

Zu § 45
(Automatisierte Veröffentlichung)

Die Datenübermittlung an eine unbestimmte Zahl von Dritten stellt aus der Sicht des Datenschutzes eine völlig neue Qualität dar gegenüber Einzelübermittlungen. Derartige Übermittlungen erfolgen zunehmend in automatisierter Form, z.B. auf CD-ROM, Disketten oder in automatisiert abrufbaren Verzeichnissen im Internet oder von Online-Diensten. Obwohl hierbei regelmäßig gegen die Vorschriften der §§ 29, 33 BDSG verstoßen wird, expandiert der Markt solcher Veröffentlichungen (vgl. § 3 Abs.3 Nr.5) bisher ungehindert. Statt den dauernden Gesetzesverstoß hinzunehmen oder durch ein Verbot ein Ausweichen von Anbietern ins Ausland zu ermuntern, zielt die Regelung darauf ab, die Veröffentlichung einerseits zuzulassen, zugleich aber geeignete Datenschutzmechanismen zu installieren. Die Regelung korrespondiert mit den neuen Vorschriften im Telekommunikationsrecht (§ 89 Abs.8 TKG, § 10 TDSV). Grundlage ist ein Einwilligungsmodell (sog. "opt in"). Da damit jedoch wegen der Unüberschaubarkeit der Weiterverarbeitung und wegen der faktischen Wirkungslosigkeit eines Widerrufs der Einwilligung aufgrund erfolgter Weiterübermittlungen für die Betroffenen die informationelle Selbstbestimmung verlorengehen kann, wird dieses Modell durch eine individuelle wie auch eine generelle Widerspruchsmöglichkeit ergänzt (sog. "opt out"). Der individuelle Widerspruch erfolgt gegenüber der verarbeitenden Stelle (Absatz 4), während der generelle Widerspruch über eine beim Bundesbeauftragten geführte Widerspruchsliste erfolgt, die vor der Veröffentlichung abgeglichen werden muß (Absatz 2). Damit wird die vom Deutschen Direktmarketing Verband (DDV) initiierte Idee der "Robinsonliste" auf eine verbindliche Basis gestellt. Über das vom Bundesbeauftragten zu führende Verzeichnisregister können sich die Bürgerinnen und Bürger darüber informieren, wo u.U. Daten über sie verarbeitet werden. Dies schafft die für die Betroffenen notwendige Transparenz, die aus tatsächlichen Gründen mit einer Benachrichtigung allein nach § 24 Abs.1 nicht mehr erreicht werden kann.

Zu § 46
(Datenverarbeitung zum Zweck der Werbung und der Markt- und Meinungsforschung)

Die Regelung ersetzt den bisherigen § 28 Abs.3 BDSG und erweitert ihn, soweit sich in der Praxis Vollzugsdefizite erwiesen haben (vgl. XIII.TB LfD Nds. 1995/96, 154 f.). Dabei wird ein der elektronischen Veröffentlichung vergleichbares Instrumentarium zum Einsatz gebracht. Insofern kann auf die Begründung zu § 45 verwiesen werden. An die Stelle der Widerspruchsliste tritt die Werbestoppliste. Es bedarf der Differenzierung zwischen diesen beiden Listen, da den Betroffenen die Wahlmöglichkeit gegeben werden muß, einerseits über elektronische Verzeichnisse ihre Erreichbarkeit sicherzustellen bzw. zu unterbinden, andererseits Werbung zu erhalten bzw. davon verschont zu bleiben. Die Regelung der Absätze 1 und 2 setzt Artikel 14b EU-DSRL um (vgl. 16.TB BfD 1995/96, 1.4). Die Information der beworbenen Personen schafft für diese die erforderliche Transparenz. Der Hinweis auf das Widerspruchsrecht wird von Artikel 14 Satz 2 EU-DSRL gefordert. Absatz 4 enthält den wesentlichen Regelungsgehalt des bisherigen § 30 BDSG.

Zu § 47
(Verarbeitung besonderer Kategorien von Daten)

Die Regelung stellt, vergleichbar mit § 28 Abs.2 Satz 2 BDSG klar, daß bei bestimmten Datenkategorien (sog. sensible Daten) der Verarbeitung grundsätzlich schutzwürdige Interessen der Betroffenen entgegenstehen. Damit wird dem Schutzgedanken des Artikels 8 EU-DSRL entsprochen. Davon unberührt bleibt die begrenzte Zulässigkeit der Datenübermittlung bzw. Zweckänderung nach § 12.

Zu § 48
(Aufsichtsbehörde)

Aufsichtsbehörden sind Datenschutzkontrollinstanzen gemäß § 3 Abs.7 und Kontrollstellen im Sinne von Artikel 28 EU-DSRL. Die nach Artikel 28 Abs.3 EU-DSRL geforderten Untersuchungsbefugnisse sind in den Absätzen 2 und 3 geregelt, die "wirksamen Einwirkungsbefugnisse" in Absatz 4. Die bisherige völlige Sanktionslosigkeit bei materiell-rechtlichen Datenschutzverstößen konnte nicht beibehalten werden. Insofern wird sowohl ein Feststellungsrecht (Absatz 4 Satz 1 Nr.2) als auch bei Nichtbeseitigung des Mangels ein Untersagungsrecht (Absatz 4 Satz 2) eingeführt. Als weitere Einwirkungsbefugnisse - zugleich "Klagerecht" bzw. Anzeigebefugnis im Sinne der EU-DSRL - besteht die Möglichkeit der Verfolgung als Ordnungswidrigkeit (§ 55) als auch die der Einschaltung der Strafverfolgungsbehörden (§ 53). Um eine möglichst effektive Datenschutzkontrolle zu gewährleisten, nehmen Landesbeauftragte für den Datenschutz seit mehreren Jahren in Hamburg, Bremen und Niedersachsen auch die Aufgaben der Aufsichtsbehörde im nicht öffentlichen Bereich nach § 38 BDSG wahr. Diese Zusammenfassung des Datenschutzes in einer Hand hat sich bewährt (XII.TB LfD Nds. 1993/94, S. 233 ff.). Diesen Vorbildern schließen sich andere Länder an (z.B. seit August 1995 Berlin). Hinzu kommt, daß die Landesbeauftragten im höheren Maße die von Artikel 28 Abs.1 Satz 2 EU-DSRL geforderte "völlige Unabhängigkeit" aufweisen als Teile eines Ministeriums oder einer Bezirksregierung/eines Regierungspräsidiums. Dessenungeachtet bleibt im Rahmen der EU-Vorgaben die Kompetenz der Länder bestehen, die die zuständigen Aufsichtsbehörden selbst bestimmen (Absatz 5 Satz 3; bisher § 38 Abs.6 BDSG). Für die Länder bietet es sich aber an, die Aufgaben der Aufsichtsbehörden den unabhängigen Landesbeauftragten für den Datenschutz zu übertragen.

Zu § 49
(Verhaltensregeln)

Artikel 27 EU-DSRL sieht vor, daß die Mitgliedstaaten und die Kommission die Ausarbeitung von Verhaltensregeln unterstützen und daß Entwürfe den zuständigen Stellen vorgelegt und von diesen geprüft werden können.

Zu § 50
(Datenverarbeitung bei Beschäftigungsverhältnissen)

Seit Jahren ist unstreitig, daß es eines spezifischen Gesetzes zur Regelung des Arbeitnehmer-Datenschutzes bedarf (vgl. Bundesregierung, Drucksache 12/2948). Inzwischen gibt es im Beamtenrecht Regelungen zum Datenschutz. Ein Arbeitnehmer-Datenschutzgesetz steht aber weiterhin aus. Die Regelung enthält einige wesentliche Aussagen zu diesem Bereich. Sie orientieren sich an entsprechenden Regelungen der Landesdatenschutzgesetze (z.B. § 25 NDSG). Die Norm soll als Übergangsregelung bis zur Verabschiedung eines umfassenden Gesetzes verstanden werden.

Zu § 51
(Datenverarbeitung zum Zweck wissenschaftlicher Forschung)

Die EU-DSRL regelt an verschiedenen Stellen eine Sonderbehandlung der Datenverarbeitung für wissenschaftliche Forschungszwecke (z.B. Artikel 6 Abs.1 Buchstabe e Satz 2, Artikel 11 Abs.2, Artikel 13 Abs.2). Die bisher in § 4 Abs.3, § 14 Abs.2 Nr.9, § 28 Abs.1 Satz 1 Nr.3 und Abs.2 Nr.2, § 40 BDSG verstreuten Regelungen werden zusammengeführt und dadurch einfacher handhabbar. Wesentliche materielle Änderungen ergeben sich hieraus nicht. § 51 entspricht der Regelung der meisten Landesdatenschutzgesetze (z.B. § 25 Abs.2 Nr.3 NDSG), so daß bei länderübergreifenden Forschungsprojekten weitgehend einheitliche Standards beachtet werden müssen. Bei der Regelung wissenschaftlicher Forschung ist neben den Grundrechten der Betroffenen die Forschungsfreiheit gemäß Artikel 5 Abs.3 GG zu beachten. Dem wird die Abwägungsklausel in Absatz 2 Nr.3 gerecht.

Zu § 52
(Datenverarbeitung durch die Medien)

Artikel 9 EU-DSRL sieht eine Privilegierung der Verarbeitung personenbezogener Daten vor, die allein zu journalistischen, künstlerischen oder literarischen Zwecken erfolgt. Diese Abweichungen und Ausnahmen dürfen sich aber nur auf Fragen der Zulässigkeit, der Information der betroffenen Person und der Einschränkung der Auskunft beziehen. Derartige Einschränkungen kommen auch nur insofern in Betracht, "als sich dies als notwendig erweist, um das Recht auf Privatsphäre mit den für die Freiheit der Meinungsäußerung geltenden Vorschriften in Einklang zu bringen". Diesen Anforderungen genügt der bisherige § 41 BDSG nicht. Abgesehen von der grundlosen Privilegierung von Adressen- und vergleichbaren Verzeichnissen mit journalistischen Anteilen werden die Medien bisher vom Datenschutz, abgesehen von der Gewährleistung der Datensicherheit, fast völlig freigestellt.

Die Privilegierung des § 52 bezieht sich nur auf die journalistisch-redaktionelle Datenverarbeitung. Die Verarbeitung der Medienunternehmen in Verwaltungsangelegenheiten richtet sich nach den allgemeinen Grundsätzen. An die Stelle der Datenschutzkontrollinstanz tritt ein Medien-Datenschutzbeauftragter, dessen Ausgestaltung sich am betrieblichen bzw. behördlichen Datenschutzbeauftragten orientiert. Dieser Mechanismus einer internen Kontrolle hat sich bisher bewährt. Entsprechend der zwingenden Regelung des Artikels 12 i.V.m. Artikel 9 EU-DSRL wird in Absatz 3 eine Auskunftsregelung übernommen, die den Regelungen bestehender Mediengesetze entspricht. Die derzeitige Praxis der zeitlich unbegrenzten elektronischen Veröffentlichung von Medienarchiven verstößt gegen den auch im journalistischen Bereich zu beachtenden Grundsatz, daß es eine "Gnade des Vergessens" geben müsse. Diesen Grundsatz hat das BVerfG ausdrücklich in seiner Lebach-Entscheidung betont (BVerfG, NJW 1973, 1226). Daher wird der Zugang zu Pressearchiven und die sonstige Veröffentlichung bei Berichten, die älter als fünf Jahre sind, in Absatz 4 eingegrenzt. Dies schließt jedoch die Nutzung im privaten Bereich ebenso wenig aus als die Nutzung dieser Archive, wenn ein berechtigtes Interesse besteht.

Zu § 53
(Unterrichtung der Staatsanwaltschaft)

Datenschutzstrafrecht spielte bisher keine wesentliche Rolle bei der Durchsetzung des Rechts auf informationelle Selbstbestimmung. Schon bisher war es unbestritten, daß die Kontrollstellen die Befugnis haben, die Strafverfolgungsbehörden über möglicherweise strafbare Sachverhalte zu unterrichten. In Ermangelung einer ausdrücklichen Regelung und angesichts der zwingenden Vorschrift des Artikels 28 Abs.3 dritter Spiegelstrich EU-DSRL wird dies nun ausdrücklich festgestellt. Mit dieser Regelung steht auch dem Bundesbeauftragten eine "Anzeigebefugnis" zu.

Zu § 54
(Strafvorschriften)

Artikel 28 Abs.3 dritter Spiegelstrich EU-DSRL fordert Sanktionsmöglichkeiten bei Datenschutzverstößen. Diese müssen jedoch nicht strafrechtlicher Art sein. Daher verfolgt § 54 - dem Vorbild von Landesregelungen folgend (z.B. § 28 NDSG) - eine Entkriminalisierung weniger schwerwiegender Datenschutzverstöße. Diese bleiben als Ordnungswidrigkeit (§ 55) verfolgbar. Als völlig unangemessene Verfolgungsvoraussetzung wird das in § 43 Abs.4 BDSG normierte Antragserfordernis gestrichen. Datenschutzverstöße verletzen nicht nur Individualrechtsgüter bzw. die individuellen Grundrechte, sondern stellen regelmäßig auch eine Beeinträchtigung öffentlicher Belange dar. Zudem hat die kurze Antragsfrist und die Unkenntnis der Betroffenen von dieser Frist immer wieder dazu geführt, daß wegen Fristablaufs auch schwerwiegende Verstöße nicht verfolgt werden konnten. Der Strafrahmen von § 43 Abs.3 wird beibehalten.

Zu § 55
(Ordnungswidrigkeiten)

Soweit Datenschutzverstöße nicht mehr strafbar sind, werden sie nach Absatz 1 Nr.1 und 2 zur Ordnungswidrigkeit. Der Bußgeldrahmen wird angesichts der möglichen Bedeutung der Verstöße gegenüber § 44 Abs.2 BDSG von 50 000 DM auf 100 000 DM hochgesetzt.

Zu § 56
(Übergangsvorschrift)

Die Übergangsregelung ist notwendig, da mit der Novellierung des BDSG nicht zugleich die gesamten bereichsspezifischen Bundesregelungen überarbeitet werden können, die sich noch an der alten Terminologie des BDSG 1990 orientieren.

Zu BDSG-Novellierung

Zur BDSG-Novellierung
  Berlin,
  am 26.02.98
mail to webmaster