Modernisierung des Datenschutzrechts: die Auffassung der Datenschutzbeauftragten des Bundes und der Länder

Am 17. und 18. März 2010 hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder in Stuttgart getagt. Ein Leitthema des Treffens war eines meiner derzeitigen Lieblingsthemen: Die (dringend erforderliche) Modernisierung des Datenschutzrechts. Die Konferenz hat einige Eckpunkte für die erforderliche Modernisierung in den Boden gestampft, die grundsätzlich zu begrüßen sind, aber derzeit noch als etwas vage zu bezeichnen sind.

Auf der Agenda standen außerdem Themen der Unabhängigkeit der Datenschutzaufsicht nach dem Urteil des Europäischen Gerichtshofs (EuGH), das Urteil des Bundesverfassungsgerichts (BVerfG) zur Vorratsdatenspeicherung, der Einsatz von sog. Ganzkörperscannern, die Evaluierung von Sicherheitsgesetzen und die geplante Einführung von privaten Abrechnungsstellen in der gesetzlichen Krankenversicherung. Die entsprechende Pressemitteilung finden Sie u.a. auf der Website des Berliner Datenschutzbeauftragten (PDF). Gleiches gilt für die gefassten Entschließungen (PDF).

Ergänzung: Eine gute Zusammenstellung der Dokumente in HTML bekommt man beim Baden-Württembergischen Landesdatenschutzbeauftragten.

Das derzeit langfristig spannende, aber politisch leider nicht auf der “Akut-Agenda” stehende Thema der Modernisierung des Datenschutzrechts ist nun also auch in der Konferenz der Datenschutzbeauftragten des Bundes und der Länder aufgegriffen worden. Meiner Meinung nach ist die grundlegende Reform des Datenschutzrechts dringend erforderlich.

Wenn ich Datenschutzschulungen für Unternehmen bzw. Datenschutzbeauftragte von Unternehmen mache, wird die Diskrepanz zwischen den gesetzlichen Regelungen des BDSG und der Realität jedesmal sehr klar. Ich kann den Teilnehmern bei den für die Privatwirtschaft entscheidenden Normen der §§ 28, 29 BDSG mittlerweile immer mitteilen, dass die Fragezeichen im Gesicht bei Lektüre der Normen keine Besonderheit darstellen. Selbst für “gestandene” Datenschutzrechtler sind die Regelungen kaum noch verstehbar (ein Musterbeispiel an Nicht-Verstehbarkeit ist der neue § 28 Abs. 3 BDSG).

Hier eine zur Veranschaulichung in einer Schulung benutzte Folie, die natürlich ironisch überzogen ist:

Bei § 28 BDSG bestehen im Hinblick auf einzelne Regelungen erhebliche Bedenken, dass diese den Anforderungen des BVerfG an die Normenklarheit und -bestimmtheit genügen. Wesentliche Regelungsinhalte des § 29 BDSG sind zudem meiner Meinung nach (wie ich hier exemplarisch dargelegt habe) zumindest im Bereich der Telemediendienste verfassungswidrig, da der Wortlaut der Norm nicht mit dem Grundrecht auf Meinungs- und Informationsfreiheit in Einklang zu bringen ist.

Es ist insoweit dann beruhigend, wenn man folgende Erklärung aus dem “Mund” der Konferenz der Datenschutzbeauftragten des Bundes und der Länder hört:

Das Datenschutzrecht ist durch wiederholte Änderungen und Ergänzungen selbst für Fachleute nur noch schwer verständlich und bedarf auch insoweit der Überarbeitung. Erforderlich sind etwa Änderungen in der Struktur und bei den Definitionen, die zusätzliche Spezialvorschriften entbehrlich machen.

Das kann ich nur unterschreiben. Weitere Forderungen – neben der Forderung, das Gesetz einfacher und besser lesbar zu machen – sind:

  • Konkrete Schutzziele und Grundsätze verankern
  • Technikneutralen Ansatz schaffen
  • Betroffenenrechte stärken
  • Datenschutzrecht internetfähig machen
  • Mehr Eigenkontrolle statt Zwang
  • Stärkung der unabhängigen Datenschutzaufsicht
  • Wirksamere Sanktionen

Die Konferenz hat zu den einzelnen Punkten dann weitere Ausführungen gemacht, die jedoch noch recht vage sind. Tendenz bei der Konferenz scheint zu sein, das Datenschutzrecht an Schutzzielen auszurichten bzw. durch Festlegung von Schutzzielen handhabbarer zu machen. Das hat den Vorteil der Technikneutralität und würde gewährleisten, dass das Gesetz auch bei neueren technischen Entwicklungen weiter “mithalten” könnte. Wie man sich das konkret vorstellt, wird jedoch noch nicht aufgezeigt. Das ist im Übrigen auch genau die Schwierigkeit an dem Thema. Ich bin ja ein Freund von reiner Nörgelei. Ich finde, man sollte – wenn man schon nörgelt – auch einen Vorschlag machen, wie man es besser machen kann. Dass die Modernisierung des Datenschutzrechts dringend erforderlich ist – hierzu besteht unter den Datenschutzrechtlern Einigkeit. Wie man es besser machen kann, da besteht große Ungewissheit. Einzelgedanken wie der Vorstoß des “Datenbriefs” sind wichtige Denk- und Diskussionsansätze, aber das “Große” und “Neue”, wie man das Datenschutzrecht modern gestalten kann, das fehlt bis dato. Und da muss auch ich mir an die eigene Nasse fassen. Ich habe derzeit noch keinen Modellvorschlag, wie man das Datenschutzrecht modernisieren sollte. Ich denke aber verstärkt darüber nach. Und beim Nachdenken merkt man immer wieder, wie verzwickt dieses Thema ist. Manchmal kann man dann sogar die ungeschickten Regelungen im BDSG und deren Urheber nachvollziehen…

Wie dem auch sei…im Hinblick auf die o.g. Punkte kann ich der Konferenz der Datenschutzbeauftragten des Bundes und der Länder in folgenden Aspekten beipflichten:

  1. Ja, ich bin auch dafür, dass wir die Regelungen erheblich verschlanken, Schutzziele (und ggf. -niveaus) definieren und ausgehend von allgemeinen Grundsätzen (Zweckbindung, Erforderlichkeit) allgemein geltende Regelungen finden, die einen Großteil der Sondernormen aufheben können sollten.
    Das von der Konferenz postulierte Verbot einer Profilbildung halte ich für übedenkenswert. Man möge in diesem Zusammenhang darauf achten, dass gerade im Web-Bereich viele Dienste auf Profilbildungen angewiesen sind und auch datenschutzfreundliche Profilbildung möglich ist.
  2. Ja, ich bin sehr dafür und halte dies für einen kurzfristig umzusetzenden Punkt, das Datenschutzrecht “internefähig” zu machen. Die derzeitigen Regelungen sind nicht ausreichend, teilweise unpassend und zu nicht unbedeutenden Teil mit erheblichen verfassungsrechtlichen Bedenken behaftet.
  3. Ja, ich bin extrem dafür, die gesetzlichen Regelungen lesbar zu machen. Die Anforderungen des BVerfG durch das Gebot der Normenklarheit und Normenbestimmtheit werden in wesentlichen Teilen des BDSG (insbesondere §§ 28, 29 BDSG) meiner Überzeugung nach nicht eingehalten.
  4. Ja, ich bin dafür, weitere Möglichkeiten der Eigenkontrolle einzuführen. Ich würde es sehr begrüßen (natürlich auch aus eigener wirtschaftlicher Perspektive), wenn der Gesetzgeber endlich ein Datenschutz-Audit-Gesetz verabschiedet, das diesen Namen verdient. Sehr viele Unternehmen haben den Wunsch nach einem Datenschutz-Audit. Es ist nicht nachvollziehbar, dass der Gesetzgeber die mit dem § 9a BDSG eröffnete Möglichkeit von Datenschutz-Audits in die Realität umzusetzen. Es ist hohe Zeit. Die Unternehmen “lechzen” förmlich danach, die Nachfrage ist erheblich. Umso größer ist dann die Frustration, wenn man den Unternehmen mitteilen muss, dass es zwar einen § 9a BDSG zum Datenschutz-Audit im BDSG gibt, dieser aber leider derzeit keinerlei Bedeutung in der Praxis hat.

Bei den übrigen Forderungen aus der Entschließung der Konferenz bin ich z.T. skeptisch (“pauschalierter Schadensersatz” etc.) bzw. sehe keinen dringenden oder gar grundsätzlichen Handlungsbedarf.

Den gesamten Text der Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zum Thema der Modernisierung des Datenschutzrechts können Sie hier herunterladen:
Ein modernes Datenschutzrecht für das 21. Jahrhundert - Zusammenfassung (Anlage 2) [PDF]