Die Datenschutz-Grundverordnung muss nachgebessert werden. Zu diesem Ergebnis kam die Konferenz der Datenschutzbeauftragten des Bundes und der Länder. Näheres zu den einzelnen Kritikpunkten erfahren Sie hier.
Der Inhalt im Überblick
Verbesserung des bisherigen Datenschutz-Standards
Seit 2012 sind die Bemühungen um eine einheitliche Datenschutz-Grundverordnung in vollem Gange. Die Datenschutz-Grundverordnung soll dazu dienen, für den Schutz von personenbezogenen Daten innerhalb der Europäischen Union einen einheitlichen Standard festzulegen.
Die Datenschutzbeauftragten des Bundes und der Länder betonen, dass mit der Datenschutz-Grundverordnung eine Verbesserung des Schutzes personenbezogener Daten erhofft wird, zumindest aber ein mit dem bisherigen Standard gleichwertiger Schutz aufrechterhalten werden soll.
Forderungen der Konferenz
In einer Erklärung appelliert die Konferenz an die Trilogpartner, u.a. die nachfolgend aufgeführten Aspekte zu berücksichtigen.
Datensparsamkeit
Das Prinzip des Datensparsamkeit sei nach Auffassung der Konferenz angesichts des Einsatzes von Big Data Technologien wichtiger denn je. Das in Deutschland in § 3a des Bundesdatenschutzgesetzes verankerte Prinzip bestimmt, dass personenbezogene Daten so sparsam wie möglich zu verwenden sind und wenn möglich zu anonymisieren bzw. pseudonymisieren seien. Dieses Prinzip sei auch in der Datenschutz-Grundverordnung explizit vorzugeben.
Zweckbindung
Nach dem Prinzip der Zweckbindung dürfen personenbezogene Daten nur zu dem Zweck verarbeitet und genutzt werden, zu dem sie erhoben wurden. Dadurch behalten die betroffenen Personen die Kontrolle über Ihre Daten. Die Regelungen des Rates würden Zweckänderungen in einem derart weiten Umfang zulassen, dass das Prinzip hinfällig wäre. Durch derart intransparente Zweckänderungen haben die betroffenen Personen erheblich schwächere Kontrollmöglichkeiten im Hinblick auf den Umgang mit ihren Daten.
Einwilligung
Die Einwilligung dient dem Recht auf informationelle Selbstbestimmung und trägt dem Prinzip Rechnung, dass der Einzelne grundsätzlich selbst über die Verwendung seiner personenbezogenen Daten entscheiden kann. In Deutschland ist die datenschutzrechtliche Einwilligung in § 4a des Bundesdatenschutzgesetzes geregelt. Nach Auffassung der Konkurrenz kann dieses Recht jedoch nur dann verwirklicht werden, wenn die Einwilligung durch eine ausdrückliche Willensbekundung erfolgt. Die vom Rat vorgeschlagene Regelung verlangt lediglich, dass die Einwilligung unmissverständlich sein müsse. Dadurch werde es jedoch global agierenden Diensteanbietern möglich, weitreichende Datenverarbeitungsbefugnisse für sich zu begründen, die mit dem Prinzip der Datenhoheit des Einzelnen unvereinbar seien.
Begrenzung der Profilbildung
Die Zusammenführung und Auswertung von personenbezogener Daten und der damit einhergehenden Profilbildung seien engere Grenzen zu setzen als diejenigen, die in den vorgesehenen Regelungen hierfür vorgesehen sind. In Deutschland gestattet § 15 Abs. 3 des Telemediengesetzes dem Diensteanbieter ausnahmsweise, für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien unter Verwendung von Pseudonymen Nutzungsprofile erstellen, sofern der Nutzer dem nicht widerspricht. Dabei hat der Diensteanbieter den Nutzer also auf sein Widerspruchsrecht hinzuweisen. Zudem dürfen diese Nutzungsprofile nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
Im Rausch der Daten
Den Kampf um die Datenschutz-Grundverordnung können Sie sich nun auch im Kino verfolgen. In dem Dokumentarfilm Democracy – Im Rausch der Daten gibt der Regisseurs David Bernet Einblicke in die Entstehung der Verordnung und den Machtkampf zwischen Wirtschaftsinteressen und Bürgerrechten. Ab dem 12. November dieses Jahres soll der Film im Kino zu sehen sein.
@ Dr. Datenschutz
Falls die dann beschlossene EU-Verordnung das aktuelle Datenschutzniveau unterschreiten wird, für wie aussichtsreich halten Sie entsprechende Klagen gegen das abgesenkte Schutzniveau?
Die von Ihnen oben im Artikel erwähnten Prinzipien sind ja teilweise aus Grundrechten abgeleitet. Sollte die neue EU-Verordnung diese Prinzipien missachten, für wie aussichtsreich halten Sie entsprechende Klagen auch in diesem Bereich?
Das ist immer schwer zu sagen.
Das Bundesdatenschutzgesetz ist zwar eine Ausprägung der Grundrechte; möglicherweise können diese aber auch in der Datenschutz-Grundverordnung ausreichend berücksichtigt werden.
Dies wird eine Frage der Auslegung sein und von den Regelungen abhängen, die letztendlich in Kraft treten.
Dabei wird es auch darauf ankommen, welche Datenschutzstandards als essentiell angesehen werden, um den Grundrechten zu genügen.
In Anlehnung an die Frage von Karina,
für wie wahrscheinlich halten Sie es, dass es eine tatsächliche Senkung des DS-Niveaus (bei essentiellen Themen wie der Datensparsarkeit und der Zweckbindung) unter den Standard des deutschen BDSG in die Schlussfassung der neuen VO schaffen wird?
Der Trilog befindet sich noch immer in der Endphase und es wird vermutlich noch eine Weile dauern, bis die Datenschutz-Grundverordnung in ihrer endgültigen Fassung vorliegt. Daher ist ein Einschätzung hinsichtlich des letztendlichen Datenschutzstandards in diesem Stadium schwierig. Da diese Themen nicht zum ersten Mal bemängelt werden, bleibt jedoch zu hoffen, dass die in Frage stehen Regelungen nochmals mit einem kritischen Auge betrachtet werden.