Antrag des Freistaates Bayern
Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes - Antrag der Länder Hamburg und Saarland -

Punkt 28 der 873. Sitzung des Bundesrates am 9. Juli 2010

Der Bundesrat möge folgende Entschließung fassen:

Begründung

Den Anforderungen, die in der modernen Informationsgesellschaft an den Persönlichkeitsschutz zu stellen sind, wird das Bundesdatenschutzgesetz trotz seiner zuletzt zum 11. Juni 2010 in Kraft getretenen Anpassungen nur unzureichend gerecht. Seine Aufgabe, verbindliche Regelungen zur Datenerhebung und -verarbeitung durch öffentliche Stellen des Bundes sowie durch nichtöffentliche Stellen durch Eingriffsschranken des informationellen Selbstbestimmungsrechts sowie staatliche Schutzpflichten gegenüber seiner Gefährdung durch Private festzulegen, muss vielfach durch die Aufsichtsbehörden und Gerichte ersetzt werden. Deren Auslegung vermag das Spannungsverhältnis zwischen den aus der Anfangszeit der automatisierten Datenverarbeitung stammenden Grundsätzen und Einzelregelungen des Bundesdatenschutzrechts und den technologischen Möglichkeiten und Risiken der weltweiten Internetnutzung nicht immer befriedigend zu lösen.

Zur Gewährleistung eines hohen Datenschutzniveaus müssen deshalb zunächst aktuelle Problemstellungen wie die Rahmenbedingungen großräumiger georeferenzierter Panoramaaufnahmen deutscher Städte und Gemeinden durch den Gesetzgeber aufgegriffen werden. In einem zweiten Schritt muss die laufende bundespolitische Debatte über Aufgaben und Ziele der Internetpolitik des Bundes um konkrete Anliegen aus der Vollzugserfahrung der Datenschutzaufsichtsbehörden der Länder ergänzt werden.

Angesichts der aktuellen Debatte um neue Anwendungen bzw. Informationsangebote für die stationäre und mobile Internetnutzung und grundlegender Veränderungen des Kommunikationsverhaltens sind auf Grundlage der bewährten Datenschutzprinzipien der Erforderlichkeit, der Zweckbindung, der Transparenz und der Vorabkontrolle mindestens die unter Nr. 3 des Antrags genannten Leitthemen durch besonderen gesetzlichen Modernisierungsbedarf gekennzeichnet:

Vorrangig ist zunächst die Verantwortlichkeit globaler Diensteanbieter gegenüber den deutschen Datenschutzaufsichtsbehörden im Rahmen des Völkerrechts rechtssicher zu regeln.

Für verschiedene, in der Datenschutzpraxis bedeutsame Fallgestaltungen privater und gewerblicher Datenverarbeitung, wie z.B. Fahrzeugdatenspeicher, Bewertungsportale im Internet, soziale Netzwerke, Identifizierungsverfahren oder die Erfassung von WLAN-Daten, sind wirksame Schutzrechte zur Abwehr von Gefährdungen der informationellen Selbstbestimmung zu entwickeln. Dazu zählt auch eine Regelung über die obligatorische Löschung von im Internet bereitgestellten personenbezogenen Daten. Angesichts der zunehmenden Möglichkeiten der Verknüpfung personenbezogener Daten sollte die Modernisierung des Datenschutzrechts zudem die Risiken der geschäftsmäßigen Bildung von Nutzerprofilen und der Akkumulierung und Aggregierung von Nutzerdaten gerade unter den Bedingungen zunehmender Kommunikation über das Internet in allen Lebensbereichen aufgreifen. Besonderes Augenmerk erfordert außerdem der Schutz des Einzelnen vor einer zielgerichteten visuellen oder örtlichen Identifizierung durch neue Technologien. Die von mehreren Unternehmen angekündigten Gesichtserkennungsdienste widersprechen, unabhängig von der konkreten Ausgestaltung, dem Recht der informationellen Selbstbestimmung, da dies die jederzeitige Identifizierbarkeit im öffentlichen Raum sowie die Bestimmung des Aufenthaltsorts durch Dritte grundsätzlich ausschließt. Bei der planmäßigen Erfassung und Kartografierung von WLAN-Netzen besteht die Gefahr, dass diese Daten mit personenbezogenen oder personenbeziehbaren Daten der WLAN-Nutzer verknüpft werden. Es ist daher erforderlich, klare Regelungen für die geschäftsmäßige planmäßige Erfassung und Kartografierung von Funknetzdaten zu schaffen, die einerseits einen wirksamen Schutz der Bürgerinnen und Bürger vor der ungewollten Nutzung ihrer persönlichen Daten bieten, andererseits aber auch nicht die Verwendung moderner Technologien unbeabsichtigt erschweren oder verhindern. Da sich bereits weitere technische Möglichkeiten zur Erfassung von WLAN-Daten durch die Auswertung der Signale von sog. Smartphones abzeichnen, sollte die Regelung auch eine entsprechende Erfassung von Daten aus Mobiltelefonen und vergleichbaren Sendeanlagen mit einbeziehen.

Im materiellen Datenschutzrecht sollten die Anforderungen an die freie und informierte Einwilligung als zentrale Grundlage vieler Datenverarbeitungsverfahren im Internet, z.B. in sozialen Netzwerken, insbesondere durch genauere Regelungen ihrer Ausübung präzisiert werden. Zentrale Bedeutung hat dabei auch die Verbesserung der Informationsrechte des Betroffenen, die auf Grundlage der bewährten Systematik des Auskunftsanspruchs als Holschuld der Betroffenen z.B. durch Anforderungen an die Erkennbarkeit von Datenschutzhinweisen und den Abruf von Nutzerdaten fortentwickelt werden könnten. Die Einwilligung sollte als Rechtsgrundlage nur zugelassen werden, wenn Handlungsalternativen bestehen, sie durch aktives Tun erklärt wird, ihre Geltungsdauer begrenzt ist und ein strengeres Kopplungsverbot im Bereich der Werbung geschaffen wird.

Neben der Stärkung der innerbetrieblichen und behördlichen Instrumente der Vorabkontrolle (z.B. durch Erweiterung der meldepflichtigen Verfahrensarten) sollte die präventive Kontrolle von Datenverarbeitungsverfahren durch die Verpflichtung zur frühzeitigen Auseinandersetzung mit datenschutzrelevanten Fragestellungen neuer Anwendungen ergänzt werden.

Ziel der Modernisierung des Bundesdatenschutzgesetzes sollte es sein, das hohe Datenschutzniveau Deutschlands auch unter den Bedingungen der modernen Informationsgesellschaft zu bewahren und zukunftsfähig fortzuentwickeln.