Ute Vogt   
Mitglied des Deutschen Bundestages

Jörg Tauss   
Mitglied des Deutschen Bundestages

Entwurf für ein Eckwerte-Papier der SPD-Bundestagsfraktion:

"Modernes Datenschutzrecht für die (globale) Wissens- und Informationsgesellschaft^[*]"

Zusammenfassung:

Immer mehr Lebensbereiche in der sich entfaltenden Wissens- und Informationsgesellschaft werden von den neuen Informations- und Kommunikationstechniken durchdrungen. Damit wird eine dieser Gesellschaftsformation angemessene "neue Politik zum Schutz der Privatsphäre" notwendig, denn "ohne einen besseren Schutz der Privatsphäre wird es keine demokratisch verantwortbare Informationsgesellschaft geben."[1] Neben die neuen Herausforderungen durch Technik ist die Herausforderung der europäische Integration und die dadurch notwendige Harmonisierung des Rechts getreten: Nach langen und schwierigen Verhandlungen – ein erster Entwurf lag bereits im Jahr 1990 vor – hat das Europäische Parlament am 24. Oktober 1995 die "Richtlinie zum Schutz personenbezogener Daten und zum freien Datenverkehr" verabschiedet. Mit dieser Richtlinie sollen ein einheitliches Datenschutzniveau geschaffen und einheitliche Maßstäbe für die Erhebung und Verarbeitung von Daten in der Europäischen Union festgelegt werden. Grundsätzlich gibt die EU-Datenschutzrichtlinie folgende Rahmenbedingungen vor:

• Vereinheitlichung der Vorschriften für den öffentlichen und nicht-öffentlichen Bereich; von einigen Detailbestimmungen abgesehen wird auf die Unterscheidung zwischen öffentlicher und nicht-öffentlicher Datenverarbeitung verzichtet.
• Die Richtlinie ordnet die Zweckbindung der Datenverarbeitung an, verpflichtet datenverarbeitende Stellen generell zur Aufklärung und Information der Betroffenen und gibt letzteren ein Recht auf die Kontrolle der Verarbeitung ihrer personenbezogenen Daten.
• Der EU-Datenschutzrichtlinie zufolge ist Selbstregulierung zu fördern: Die Mitgliedsstaaten haben vorzusehen, daß Berufsverbände und anderen Vereinigungen Verhaltensregeln ausarbeiten und Verfahren entwickeln.
• Im Gegensatz zum deutschen Datenschutzrecht sieht die EU-Richtlinie bestimmte Daten als besonders sensibel an; sie verpflichtet die Mitgliedsstaaten daher dazu, die Verarbeitung personenbezogener Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit sowie von Gesundheitsdaten und Daten über das Sexualleben zu untersagen. Zugleich läßt sie jedoch eine Reihe Ausnahmen zu.
• Für den Datenverkehr von erheblicher Bedeutung sind die in Art. 25 ff. der Richtlinie aufgestellten Regelungen des Datenexports in Drittländer. Diesen zufolge ist die Datenübermittlung in ein Drittland untersagt, wenn dieses kein angemessenes Datenschutzniveau aufweist. Wann dies der Fall ist, soll in einem besonderen Verfahren geklärt werden können, um sicherzustellen, daß die Mitgliedsstaaten von einer gemeinsamen Beurteilung ausgehen. Eine wichtige Einschränkung des grundsätzlichen Verbots des Exports von Daten in Drittländer ohne angemessenes Schutzniveau enthält Art. 26 Abs. 2 der Richtlinie. Danach können die Mitgliedsstaaten der EU einen Datenexport in solche Länder dann genehmigen, wenn die für die Datenverarbeitung Verantwortlichen ausreichende Garantien für den Schutz der Privatsphäre, der Grundrechte und der Grundfreiheiten der betroffenen Personen bieten. Solche Garantien sollen sich insbesondere durch entsprechende Klauseln in einem Vertrag mit dem für die Datenverarbeitung in dem Drittstaat Verantwortlichen ergeben können. In Drittländer exportiert werden dürfen personenbezogene Daten darüber hinaus unter anderem dann, wenn die betroffene Person ihre Einwilligung gegeben hat oder die Datenübermittlung aufgrund eines Vertrages zwischen der betroffenen Person und der datenverarbeitenden Stelle erfolgt.
• Daneben stellt die EU-Datenschutzrichtlinie Anforderungen auch an den technischen Datenschutz. Die Mitgliedsstaaten haben Vorschriften zu erlassen, die dazu verpflichten, angemessene technische und organisatorische Maßnahmen zum Schutz gegen den unberechtigten Zugang zu personenbezogenen Daten sowie gegen deren unberechtigte Änderung und Weitergabe zu ergreifen.
• Verbesserung der Datenschutzkontrolle unter dem Gesichtspunkt der Unabhängigkeit und Effektivität sowie die Stärkung der Rolle behördlicher und betrieblicher Datenschutzbeauftragter, die zudem mit umfassenden Untersuchungs- und wirksamen Einwirkungsbefugnissen ausgestattet sind. Die EU-Richtlinie gibt vor, daß in den Mitgliedsstaaten eine oder mehrere öffentliche Kontrollstellen "in völliger Unabhängigkeit" errichtet werden, die neben weitreichenden Untersuchungs- und Einwirkungsbefugnissen auch mit einem Klage- oder Anzeigerecht, einen Beratungs- und Berichterstattungsauftrag ausgestattet sein sollen.

Die Richtlinie macht erhebliche Anpassungen und Änderungen des BDSG notwendig. Die anstehenden Umsetzungen der EU-Datenschutzrichtlinie und der neuen Richtlinie 97/66/EU über den Datenschutz in der Telekommunikation leisten nicht nur einen enormen Beitrag zur europäischen Integration, sie sind zugleich auch zu verstehen als Aufforderungen und Chance, den Datenschutz fortzuentwickeln. Die Frist für die Anpassung des deutschen Datenschutzrechts an die EU-Richtlinie 95/46/EU ("Datenschutzrichtlinie") ist jedoch am 24. Oktober 1998 abgelaufen. Die Entwicklung eines zeitgemäßen und der entstehenden Informationsgesellschaft angemessenen Datenschutzkonzeptes ist damit offensichtlich im allgegenwärtigen "Reformstau" steckengeblieben. Gleiches gilt für den noch immer fehlenden Arbeitnehmerdatenschutz. Zwar wurden hier gesetzliche und außergesetzliche Regelungen immer wieder angekündigt, jedoch ist es bei den Ankündigungen geblieben.

Einem modernen und wirksamen Datenschutz kommt jedoch – nicht nur im Hinblick auf den Ablauf der Umsetzungsfrist – in der sich entfaltenden Wissens- und Informationsgesellschaft eine herausragende Bedeutung zu. Will die Gesellschaft beim Übergang zur Wissens- und Informationsgesellschaft am Ziel eines freiheitlich-demokratischen Gemeinwesens festhalten, kommt sie nicht umhin, auch in einer vernetzten und digitalisierten Welt das Grundrecht auf informationelle und kommunikative Selbstbestimmung zu bewahren. Die Entwicklung eines modernen Datenschutzkonzeptes ist damit ein zentrales Reform- und Modernisierungsprojekt der nächsten Jahre und von hat daher auch Eingang in die Koalitionsvereinbarung zwischen der SPD und Bündnis 90/Die Grünen gefunden. Mit diesem Papier legen wir für die SPD-Bundestagsfraktion erste Eckwerte vor, die die (Weiter-)Entwicklung eines modernen Datenschutzkonzeptes – nun in der Regierungsverantwortung – maßgeblich leiten und beschleunigen sollen [2]:

1. Die SPD-Bundestagsfraktion hält – auch der Koalitionsvereinbarung entsprechend – die anstehende Umsetzung der EU-Richtlinien für eine wichtige Chance, die zu einer umfassenden Novellierung des Bundesdatenschutzgesetzes und anderer datenschutzrechtlicher Regelungswerke genutzt werden sollte. Aufgrund der unterschiedlichen Zuständigkeiten ist hierbei eine effektive Bund-Länder-Koordination unabdingbar. Die Umsetzung sollte - in einem zweiten Schritt - auch auf die bereichsspezifischen Regelungen erstreckt werden, für die es keine Umsetzungspflicht gibt. Nur so können Wertungswidersprüche und sachlich nicht gerechtfertigte unterschiedlich hohe Datenschutzstandards im bereichsspezifischen Datenschutzrecht vermieden werden.
2. Der Austausch personenbezogener Daten zwischen den Mitgliedsstaaten der Europäischen Union in den Bereichen Polizei, Zoll und Justiz wird - was zu begrüßen ist - zunehmend intensiviert und ausgeweitet. Das macht auf der anderen Seite aber auch flankierende datenschutzrechtliche Regelungen erforderlich, da die Datenschutzrichtlinie insoweit nicht gilt. Deshalb sind dieser Richtlinie entsprechende Rahmenregelungen für den 3. Pfeiler anzustreben.
3. Mit der notwendigen Novellierung des Datenschutzrechts, die sich aufgrund der Umsetzung der EU-Richtlinien ergibt und mit der eine Harmonisierung einzelstaatlicher Datenschutzrechtordnungen innerhalb der europäischen Gemeinschaft gelingen soll, muß eine selbstkritische Evaluation des eigenen nationalen Datenschutzsystems einher gehen. Entscheidend hierfür ist die Frage nach dem tatsächlich von staatlichen Stellen und anderen Institutionen praktizierten Datenschutz. Notwendig ist hierfür eine interdisziplinäre Zusammenarbeit zwischen Politik, Rechts-, Technik- und Sozialwissenschaft, Datennutzern, Datenkontrolleuren und Betroffenen.
4. Wirksame Kontrolle ist die Voraussetzung eines erfolgreichen Datenschutzes. Wenn man Datenschutz zunehmend als Querschnittsaufgabe begreifen will, muß dies auch institutionelle Folgen haben. Um die – auch von der Richtlinie geforderte – vollständige Unabhängigkeit der Datenschutzinstanzen zu stärken und um Interessenkonflikte zu vermeiden, sollte der Bundesbeauftragte für Datenschutz nicht dem Innenministerium, sondern (ähnlich der Wehrbeauftragten des Bundestages) direkt dem Parlament zugeordnet werden.
5. Die gleiche Problematik stellt sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Angesichts der Bedeutung, die diesem Bundesamt beim Aufbau einer nationalen Sicherungsinfrastruktur zukommt, sollte dies – vor allem im Hinblick auf die notwendige Neutralität im Spannungsverhältnis zwischen Datenschutz und öffentlicher Sicherheit – nicht dem Bundesinnenministerium, sondern beispielsweise dem Forschungs- und Technologieressort oder dem Wirtschaftsressort angegliedert werden. Dabei müssen zunächst die widersprüchlichen Aufgaben, die dem BSI mit dem BSIG zugewiesen wurden, beseitigt werden. Um das notwendige Vertrauen in dieses wichtige Amt zu erreichen, wäre eine Trennung des BSI in ein unabhängiges "ziviles" Amt und ein davon getrenntes Amt für die sogenannten "Bedarfsträger" ein möglicher Ansatz.
6. Die Möglichkeiten der informationstechnischen Sicherheit – etwa im Sinne eines technischen Datenschutzes mittels Firewalls, digitale Signaturen, Kryptographie – müssen als ein zentrales Instrument zur Umsetzung eines "neuen Datenschutzes" verstanden werden. Um zu einem wirklich effektiven Datenschutz zu kommen, muß das Zusammenwirken zwischen Datenschutz (Datenschutzbeauftragte des Bundes und der Länder) und Datensicherheit (Bundesamt für Sicherheit in der Informationstechnik) intensiviert werden. Neue Formen eines "institutionalisierten Dialogs" zwischen Datenschutz und Datensicherheit – unter Einbeziehung von Datenkontrolleuren und –nutzern, Verbraucherverbänden, etc. – könnten hier ein öffentliches Form zur Sicherung der Privatsphäre im Informationszeitalter herstellen.
7. Angesichts der Unübersichtlichkeit und Kompliziertheit des Datenschutzrechts sollte im Interesse von datenverarbeitenden Stellen und Nutzern eine erhebliche Vereinfachung und Verschlankung des Datenschutzrechts im Vordergrund stehen. Dies darf jedoch nicht zu einer Aufweichung der verfassungsrechtlich garantierten Rechte oder zur Einschränkung oder Abschwächung bewährter Verfahren des Datenschutzes führen. Eine Vereinfachung und Verschlankung erweist sich aber vor allem deshalb als notwendig, um zu widerspruchsfreien, einheitlichen, praktikablen und vor allem auch verständlichen Regelungen zu gelangen.

• Vereinfachung:
  Im Datenschutzrecht verstellen außerordentlich komplizierte Regelungen den Blick auf das eigentliche Grundanliegen des Datenschutzes, den Menschen und sein informationelles Selbstbestimmungsrecht auch in einer "vernetzten Gesellschaft" zu schützen. Werden diese Regelungen in Zukunft auch auf private Datenverarbeitung, also auch auf kleine und mittelständische Unternehmen Anwendung finden, müssen sie schon aus diesem Grund erheblich vereinfacht und klarer formuliert werden, um den Regulierungsaufwand in Grenzen zu halten. Entwickelt werden müssen präzise und verständliche Regelungen. Hierbei ist vor allem eine Differenzierung zwischen Bereichen, in denen solche bewährte Verfahren bereits existieren und Bereichen, in denen neue Verfahren entwickelt und eingesetzt werden müssen, notwendig.
• Verschlankung:
  Selbst die Datenschutzexperten klagen über eine kaum noch zu überblickende Normenflut auf dem Gebiet des Datenschutzrechts. Das allgemeine und das bereichsspezifische Datenschutzrecht bedarf daher einer Durchforstung und Überprüfung. So hat in den vergangenen Jahren die Bedeutung des Bundesdatenschutzgesetzes durch immer neue bereichsspezifische Regelungen tendentiell abgenommen. Mit der Umsetzung der EU-Richtlinie ergibt sich die Möglichkeit, durch Aufwertung des BDSG die Menge der bereichsspezifischen Regelungen deutlich zu reduzieren.

8. Das Datenschutzrecht insgesamt sollte – soweit dies möglich ist – auf getrennte Regelungen für öffentliche und private Stellen verzichten. Es sollte ferner, wie von der EU-Richtlinie vorgesehen, den allgemeinen Grundsatz der Datenvermeidung festschreiben, die Verantwortlichkeit für die Einhaltung der Datenschutzregeln, insbesondere für Datenverarbeitung und -übermittlung im Internet klarstellen und die Rechte der Betroffenen und die Pflichten der Verantwortlichen für die Verarbeitung in technikunabhängiger Weise regeln, damit sie auch auf neue technologische Entwicklungen flexibel angewendet werden können. Zudem soll ein neues Datenschutzrecht die Transparenz der Datenverarbeitung durch Stärkung der Pflicht zur Information des Betroffenen über die wesentlichen Merkmale der Verarbeitung von Daten über ihn (insbesondere: Identität des Verantwortlichen, Zwecke der Verarbeitung, Übermittlung der Daten, Rechte des Betroffenen) und der Pflicht zur Vorhaltung allgemeiner Informationen über die vorgenommen Verarbeitungen verbessern. Im Hinblick auf die neuen technologischen Entwicklungen sollte das Datenschutzrecht die Rechte der Betroffenen stärken sowie neue Rechte (allgemeines Widerspruchsrecht aus berechtigten Gründen, Auskunft über den logischen Aufbau der Verarbeitung, Verbot automatischer Entscheidungen) mit rechtlichen Auswirkungen einführen. Schließlich soll gemäß der EU-Richtlinie die Datenschutzkontrolle unter dem Gesichtspunkt der institutionellen und organisatorischen Unabhängigkeit gewährleistet und die Rolle der behördlichen und betrieblichen Datenschutzbeauftragten gestärkt werden.
9. Eine große Bedeutung kommt den Möglichkeiten des Selbstschutzes für den einzelnen Nutzer zu. Dazu bedarf es insbesondere der weiteren Entwicklung von Selbstschutzinstrumenten (z.B. Digitale Signatur, Verschlüsselungssoftware), was zugleich eine Herausforderung an eine zukunftsgerichtete Forschungsförderpolitik ist. Außerdem ist der Aufbau einer Sicherungsinfrastruktur für die Nutzung dieser Selbstschutzmechanismen unabdingbar, wofür die Politik Rahmenbedingungen formulieren muß. Notwendig ist darüber hinaus die Förderung des Bewußtseins um die Möglichkeiten des Selbstdatenschutzes und des Systemdatenschutzes. Dies kann zum einen durch Maßnahmen zur Aufklärung über die Chancen und Risiken der neuen Informations- und Kommunikationstechniken geschehen, zum anderen aber auch dadurch, daß die öffentliche Verwaltung entsprechende Techniken einsetzt und Ansätze zu "electronic government" gezielt gefördert werden. Ziel sollte es sein, den Datenschutz zu einem Thema der gesellschaftlichen Debatte zu machen.
10. Die Möglichkeiten der Nutzer zum Selbstschutz durch kryptografische Verfahren darf rechtlich nicht eingeschränkt werden. Eine Einschränkung der freien Verwendung solcher Verfahren kann bei einer Abwägung von Nutzen und Schaden nicht gerechtfertigt werden und wäre verfassungsrechtlich bedenklich. Denn während sie rechtstreue Unternehmen und Bürger bei ihrem Bemühungen, vertraulich zu kommunizieren, erheblich einschränkten, dürfte der Nutzen aufgrund der Umgehungsmöglichkeiten für die staatliche Sicherheit gering sein. Verschlüsselungsprogramme, die eine Entschlüsselung verschlüsselter Inhalte durch Dritte ermöglichen, sollten als solche gekennzeichnet werden müssen.
11. Um die Gebote der Datensparsamkeit und der Datenvermeidung zu erfüllen, sollten die Systeme der Diensteanbieter nach dem Prinzip des Systemdatenschutzes organisiert werden. Die informationsverarbeitenden Systeme sollten so konstruiert werden, daß sie möglichst wenig personenbezogene Daten verarbeiten müssen (und können), um ihre jeweilige Aufgabe zu erfüllen. So könnten beispielsweise Netzbetreiber, Inhalteanbieter und Inkassostellen so getrennt werden, daß jede Stelle nur den jeweils notwendigen Teil der personenbezogenen Informationen zur Verfügung hat.
12. Grundlegende Bedeutung kommt der pseudonymen Nutzungsmöglichkeit der neuen Dienste als Mittel des Selbstdatenschutzes zu, die gefördert werden sollte. Mit einer pseudonymen Nutzungsmöglichkeit werden die personenbezogenen Daten zwar nicht reduziert, jedoch wird damit die Zurückverfolgung der gespeicherten und verarbeiteten Daten zu einer tatsächlichen Person wirksam verhindert – außer im Streitfall. Dies ist der wirksamste Weg, um Mißbräuchen mit personenbezogenen Daten vorzubeugen, die in den Datennetzen anfallen. Allerdings setzt dieses Instrument eine Infrastruktur zur Ausgabe, Verwaltung und Aufdeckung von Pseudonymen voraus, die nach Prinzipien des Systemschutzes organisiert sein sollte.
13. Nach jahrelangen Ankündigungen müssen endlich – unter Einbeziehung aller Beteiligten – Regelungen zum Arbeitnehmerdatenschutz ausgehandelt und formuliert werden. Bei der Entwicklung zu computergestützter Arbeit im Betrieb und im Rahmen von Telearbeit wachsen die Leistungs- und Verhaltensdaten über Arbeitnehmer und Arbeitnehmerinnen in Umfang und Qualität stark an, ohne daß sie in angemessener Weise geschützt sind und einer angemessenen Kontrolle unterliegen. Lediglich die Ausweitung des Fernmeldegeheimnisses auch auf innerbetriebliche Kommunikation hat in den letzten Jahren zu einem Zuwachs an Schutz geführt. Die SPD-Bundestagsfraktion muß dafür eintreten, den Schutz bei der Erhebung und Verarbeitung von Arbeitnehmer-Daten weiterzuentwickeln, wobei dem informationellen Selbstbestimmungsrecht auch im Betrieb Geltung zu verschaffen ist. Gerade in diesem Bereich sind neue Erhebungs- und Verarbeitungsformen wie etwa digitale Videoüberwachung oder intelligente Haussysteme einzubeziehen. Dies muß nicht ausschließlich gesetzlich geregelt sein, sondern könnte auch hier teils gesetzlich, teils durch neue, andere Regelungen konzipiert werden.
14. Erforderlich ist eine Überarbeitung der Technischen Maßnahmen nach der Anlage zu Paragraph 9 BDSG, die zehn Regeln zum technischen und organisatorischen Schutz personenbezogener Daten aufstellt. In einem ersten Schritt ist dieser Katalog dahingehend zu überprüfen, ob er den Anforderungen moderner vernetzter Systeme noch genügt. In einem zweiten Schritt ist seine Kompatibilität mit international anerkannten Sicherheitsmaßnahmen zu überprüfen. Gegebenenfalls muß der Maßnahmenkatalog nach der Anlage zu § 9 BDSG grundlegend überarbeitet und auch erweitert werden, um seine praktische Anwendung durchzusetzen und internationale Akzeptanz zu erreichen. Schließlich sind Modelle exemplarischer Sicherheitsanforderungen zu entwickeln, um ihre praktische Durchsetzung zu erleichtern.
15. Ein moderner Datenschutz muß der gestiegenen Bedeutung des Outsourcing im öffentlichen wie im nicht-öffentlichen Bereich für eine wirtschaftliche und effiziente Aufgabenerfüllung Rechnung tragen. Der Datenschutz soll der Optimierung von Arbeitsabläufen nicht entgegenstehen; er darf aber auch nicht seinerseits durch Outsourcing vermindert oder ausgehebelt werden. Um dies zu erreichen, ist vor allem sicherzustellen, daß der durch Berufs- oder besondere Amtsgeheimnisse garantierte gesteigerte Schutz auch im Falle des Outsourcing erhalten bleibt.
16. Die in der EU-Datenschutzrichtlinie enthaltene Verpflichtung, im nationalen Datenschutzrecht ergänzende Möglichkeiten der Selbstregulierung vorzusehen, sollte nicht als unvereinbare "Systemwidrigkeit", sondern als Chance begriffen werden, dieses Instrument für den Schutz des Rechts auf informationelle Selbstbestimmung fruchtbar zu machen. Entsprechende Regelungen sollten sich an den Erfahrungen von Staaten orientieren, die bereits Erfahrungen mit Selbstregulierung im Bereich des Datenschutzes gesammelt haben. So können auch mögliche Schwächen im Hinblick auf Repräsentativität und Umsetzung in den jeweiligen Branchen, die diese "codes of conduct" haben, erkannt und vermieden werden. Selbstregulierungsmechanismen setzen jedoch gesetzliche Rahmenbedingungen voraus, für den Fall, daß diese versagen – die Betroffenen dürfen in einem solchen Fall nicht schutzlos sein.
17. Ein wesentliches Element eines modernen Datenschutzrechtes stellt die Möglichkeit einer freiwilligen Auditierung dar und sollte auch im Datenschutzrecht vorgesehen werden. Eine solche Auditierung trägt dazu bei, die Ergebnisse der Selbstregulierung transparent zu machen. Zugleich könnte sie die Wahrnehmung des Datenschutzes als Qualitäts- und Wettbewerbsfaktor stärken und damit deutlich machen, daß Datenschutz nicht nur als Kostenfaktor für Unternehmen anzusehen ist, sondern vor allem einen – wenn auch nicht kurz- so aber doch längerfristig – entscheidenden Wettbewerbs- und Standortvorteil darstellen kann. Eine solche Zertifizierung, mit der die Unternehmen werben könnten, hätte nicht nur die unmittelbare Folge, daß aus Perspektive des Datenschutzes unbedenkliche Produkte auf den Markt kommen, sondern könnte ebenfalls das Bewußtsein um die Bedeutung des Datenschutzes in der Informationsgesellschaft erhöhen. Aufgabe der Politik ist es, gesetzliche Regelung zur Durchführung und Kontrolle eines solchen Auditierungsverfahrens zu entwickeln, mit denen bestimmte Verhaltensregeln und Mindeststandards vorgegeben werden.
18. Die SPD-Bundestagsfraktion ist – wie dies bereits bei der parlamentarischen Beratung des Informations- und Kommunikationsdienste-Gesetzes (IuKDG) deutlich wurde – der Auffassung, daß mit dem Teledienstedatenschutzgesetz (TDDSG) des Bundes und den datenschutzrechtlichen Bestimmungen im Mediendienstestaatsvertrag der Bundesländer ein wichtiger erster Schritt in Richtung eines modernen Datenschutzrechts getan worden ist, das den Anforderungen einer globalen Informationsgesellschaft gerecht werden kann. Als notwendig erweist es sich jedoch, aufmerksam zu beobachten, ob sich die Regelungen im internationalen Vergleich als sachgerecht, den Bürgerrechten dienlich, wettbewerbsfördernd oder als zu restriktiv erweisen. Gleichzeitig sollte überprüft werden, wie sich Abgrenzungsprobleme und die inhaltliche Feinabstimmung zwischen den beiden Regelungswerken und zum Telekommunikationsgesetz auswirken und ob hier gegebenenfalls Anpassungsbedarf besteht. Darüber hinaus muß umgehend Teil 11 des Telekommunikationsgesetzes (TKG) an die neuen datenschutzrechtlichen Instrumente des Teledienstedatenschutzgesetzes (TDDSG) angeglichen werden.
19. Die Gesetzgeber in Bund und Ländern haben in § 3 Abs. 4 Teledienstedatenschutzgesetz und § 12 Abs. 5 Mediendienstestaatsvertrag einen ersten und richtungsweisenden Ansatz formuliert, das Datenschutzrecht um technikrechtliche Elemente der datenminimierenden Gestaltung und Auswahl von Einrichtungen der Informations- und Kommunikationstechnik zu ergänzen. Diese Steuerungselemente sind zu verallgemeinern und um die Anforderungen zu ergänzen, die im Zusammenhang mit organisatorischen, technischen und rechtlichen Vorkehrungen zur Erhöhung der Datensicherheit (IT-Sicherheit) in der Informations- und Kommunikationstechnik entwickelt worden sind.
20. Prinzipien des Datenschutzes sollten nach Möglichkeit integraler Bestandteil von Dienstleistungen und Produkten auf dem Gebiet der Informations- und Kommunikationstechnik werden. Entsprechende Forschungs- und Entwicklungsarbeiten, beispielsweise die Entwicklung datenschutzfreundlicher Software, sollten verstärkt gefördert und unterstützt werden. Dies gilt auch für die Bemühungen um eine internationale Standardisierung von technischen Datenschutzfunktionen.
21. Bei der Schaffung neuer datenschutzrechtlicher Regelungen ist die Dynamik des Veränderungsprozesses der Informations- und Kommunikationstechnik zu berücksichtigen. Regelungen des Datenschutzes sollten daher ebenso wie andere IuK-bezogene Normen in regelmäßig Abständen evaluiert werden. Mit den Entschließungsanträgen zum Informations- und Kommunikationsdienstegesetz (IuKDG) wurde in der 13. Legislaturperiode in Bezug auf dieses Gesetz ein entsprechender Auftrag an die Bundesregierung erteilt. Ebenso sollte auch bei der anstehenden Novellierung des Bundesdatenschutzgesetzes vorgegangen werden.
22. Die in den letzten Jahren eingeführten Regelungen, die eine Erweiterung der Eingriffsbefugnisse der Sicherheitsbehörden zum Ziel hatten, bedürfen einer baldigen Evaluierung hinsichtlich ihrer Notwendigkeit und Wirksamkeit.
23. Da nationales Recht zunehmend an seine Grenzen stößt, bedarf es europäischer und globaler Datenschutzstandards, die es fortlaufend zu entwickeln und zu verbessern gilt. Wenn keine global geltende Datenschutzstandards entwickelt werden, besteht die Gefahr, daß die Sammlung und Verarbeitung von Daten in Staaten ausgelagert wird, in denen kein oder nur ein schwaches Datenschutzniveau existiert.
24. Die Herausbildung einer globalen Informationsgesellschaft tangiert verschiedene Grundrechte, beispielsweise das Telekommunikationsgeheimnis. Der Schutz des Fernmeldegeheimnisses als Grundvoraussetzung des Schutzes in Netzen ist auszubauen. Dabei ist besonders dem Umstand Rechnung zu tragen, daß Eingriffsmöglichkeiten in das Telekommunikationsgeheimnis durch "berechtigte" Stellen auch mißbräuchliche Eingriffe durch unberechtigte Dritte zur Folge haben können.
25. Der Schutz gegenüber Medienunternehmen ist zu verbessern. Der besondere Rang der Presse- und Meinungsfreiheit ist dabei zu beachten. Dazu müssen die Rechte des Betroffenen entsprechend angepaßt werden. Einer nahezu vollständigen Freistellung von den materiellen Schutzvorschriften, wie im geltenden Recht enthalten, bedarf es nicht.
26. Die berechtigten Interessen der unabhängigen Forschung und das Recht auf informationelle Selbstbestimmung sind durch angemessene Regelungen zu einem Ausgleich zu bringen. Besonderes Gewicht gewinnen hierbei verfahrensrechtliche Vorkehrungen, die die Zweckbindung und die Vertraulichkeit dieser Daten sicherstellen und auf diese Weise auch die Akzeptanz der Forschung mit personenbezogenen Daten erhöhen können. Zentrale Bedeutung in diesem Zusammenhang hat die Einführung eines Forschungsdatengeheimnisses einschließlich einem Zeugnisverweigerungsrechts für Forscher, das die von Forschern erhobenen und verknüpften personenbezogenen Daten vor dem Zugriff der Sicherheitsbehörden sicherstellt.
27. Notwendig ist auch im Bereich des Datenschutzes eine Intensivierung und Förderung einer interdisziplinären Technikfolgenabschätzung, um mögliche Datenschutzrisiken frühzeitig erkennen und Schutzstrategien entwickeln zu können. Notwendig ist eine interdisziplinäre Technikfolgenabschätzung auch deshalb, weil über die Risikoeinschätzung der Bevölkerung im Hinblick auf den Datenschutz noch immer ein erhebliches Wissensdefizit herrscht.
28. Von der gegenwärtigen politischen Diskussion um die Novellierung des Datenschutzrechts noch gänzlich abgekoppelt ist die Frage nach dem Informationszugang. Wie das Recht auf informationelle Selbstbestimmung ist der Zugang zu Informationen eine zentrale Voraussetzung einer entwickelten Informationsgesellschaft. Der Schutz des Grundrechts auf informationelle Selbstbestimmung dient nicht nur der Eingriffsabwehr im Sinne einer grundsätzlich eigenen Verfügungsbefugnis über die individualisierten Daten oder wenigstens dem Wissen über deren Verwendung durch staatliche Stellen, sondern ebenso dem Ziel, die Kommunikations- und Handlungsfähigkeit der einzelnen Menschen innerhalb der Gesellschaft wie auch gegenüber staatlichen Stellen sicherzustellen. Mit einem Informationsfreiheitsgesetz unter Berücksichtigung des Datenschutzes - wie dies auch im Koalitionsvertrag vereinbart wurde - sollen die Informationszugangsrechte der Bürgerinnen und Bürger gewährleistet werden. Zu prüfen ist, ob eine gesetzliche Regelung den Datenschutzbeauftragten auch die Funktion von Beauftragten für den Informationszugang zuweisen sollte, wie dies im Land Brandenburg bereits der Fall ist.

Anmerkungen:

[*]   Dieses Papier entstand in Zusammenarbeit mit Johannes Kollbeck, Jan Mönikes und Dr. Matthias Schrumpf und basiert auf den Ergebnissen der Beratungen des "Expertenkreises Datenschutz", an dem teilgenommen haben: Dr. Helmut Bäumler, Dr. Johann Bizer, Dr. Ulf Brühann, Prof. Dr. Alfred Büllesbach, Dr. Ulrich Damann, Dr. Alexander Dix, Prof. Dr. Hansjürgen Garstka, Prof. Dr. Alexander Roßnagel, Prof. Dr. Spiros Simitis, Bettina Sokol, Ministerialrat Klaus Stoltenberg und Dr. Stefan Walz. Wir danken den Teilnehmern des Expertenkreises Datenschutz für die gute Zusammenarbeit und die vielen wertvollen Anregungen.

[1]  Bäumler, Helmut (1998): Wir brauchen eine neue Politik zum Schutz der Privatsphäre. In: DuD 6/1998: 312-313.

[2]   Die folgenden Eckwerte haben zu einem großen Teil auch Eingang gefunden in die Empfehlungen der Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft – Deutschlands Weg in die Informationsgesellschaft". Vgl. dazu ausführlich den vierten Zwischenbericht "Sicherheit und Schutz im Netz" (BT-Drs. 13/11002) und den Schlußbericht "Deutschlands Weg in die Informationsgesellschaft" (BT-Drs. 13/11004) der Enquete-Kommission "Zukunft der Medien in Wirtschaft und Gesellschaft – Deutschlands Weg in die Informationsgesellschaft". Auch die 11 Beschlüsse, die die Abteilung Öffentliches Recht auf dem 62. Deutsche Juristentag am 24. September 1998 verabschiedet hat, greifen einige dieser Eckpunkte auf. Die Beschlüsse sind abgedruckt in der DuD 22/1998.