2.1.2 Grundprinzipien des Datenschutzrechts

1-5 von 5

2.1.2 Grundprinzipien des Datenschutzrechts (Originalversion)

von EnqueteBuero, 15. März 2011 15:13 angelegt

1	Erlaubnisvorbehalt
2
3	Ein zentraler Grundsatz des Datenschutzrechts lässt sich in
4	einem Satz wie folgt formulieren: Der Umgang mit
5	personenbezogenen Daten ist verboten, es sei denn, der
6	Betroffene willigt ein oder eine Rechtsnorm legitimiert
7	ihn. Dieser Grundsatz ist sowohl im Gemeinschaftsrecht
8	(Art. 7 DSRL), als auch im nationalen allgemeinen (§ 4 Abs.
9	1 BDSG) und bereichsspezifischen Datenschutzrecht (z.B. §
10	12 TMG) normiert. Demnach bestimmt sich die Zulässigkeit
11	eines jeden einzelnen Datenverarbeitungsvorgangs danach, ob
12	der Betroffene den Vorgang erlaubt hat oder ob er sich auf
13	einen gesetzlichen Erlaubnistatbestand stützen lässt.
14	[Fußnote: Kühling/Seidel/Sivridis, Datenschutzrecht, S. 130
15	f.]
16	Die Einwilligung ist vor allem im nicht-öffentlichen
17	Bereich, neben den vertraglichen Legitimationen, von
18	erheblicher Bedeutung. [Fußnote: Kühling/Seidel/Sivridis,
19	Datenschutzrecht, S. 131.] Sie legitimiert einen
20	Datenverarbeitungsvorgang nur dann, wenn sie wirksam
21	erteilt wurde, wofür das Gesetz bestimmte
22	Mindestanforderungen vorsieht (vgl. § 4a BDSG oder auch
23	Art. 7 lit. a) DSRL wonach die betroffene Person „ohne
24	jeden Zweifel ihre Einwilligung gegeben“ haben muss). Nach
25	nationalem Recht (§ 4a BDSG) ist eine Einwilligung nur
26	wirksam, wenn sie auf der freien Entscheidung des
27	Betroffenen beruht, also ohne Zwang erfolgt. Dies setzt
28	voraus, dass der Einzelne Bedeutung und Tragweite seiner
29	Entscheidung erkennen kann.
30
31	Deshalb ist die Einwilligung in die Datenerhebung oder
32	–verarbeitung nur dann zulässig, wenn die betreffende
33	Person „ohne jeden Zweifel ihre Einwilligung gegeben“ hat.
34	Dies impliziert, dass die Einwilligung informiert, aktiv
35	und freiwillig zu geschehen hat. Eine informierte
36	Einwilligung setzt Transparenz und Kenntnis voraus. Allein
37	durch die Nutzung einer Website kann keine aktive
38	Einwilligung erteilt werden. Auch das Beibehalten von
39	Einstellungen von Internetdiensten oder Browsern, die in
40	der Voreinstellung nicht privacy by default vorsehen,
41	genügt nicht der Fiktion einer aktiven Einwilligung. Hier
42	wird die Kenntnis der möglichen Einstellungen und ihrer
43	Veränderungsmöglichkeiten vorausgesetzt, die jedoch weder
44	bei jedem Nutzer gleichermaßen gegeben noch von allen
45	Diensteanbietern gefördert wird.
46
47	An der Möglichkeit zu einer freien Entscheidung kann es
48	jedoch fehlen, wenn die Einwilligung in einer Situation
49	wirtschaftlicher oder sozialer Schwäche oder Unterordnung
50	erteilt wird oder wenn der Betroffene durch übermäßige
51	Anreize finanzieller oder sonstiger Natur zur Preisgabe
52	seiner Daten verleitet wird.
53
54	-----------------------------------------------
55	streitig Anfang
56	-----------------------------------------------
57
58	Überall dort, wo eine gestörte Vertragsparität vorliegt,
59	sollte die Einwilligung des Betroffenen unwirksam sein, so
60	insbesondere im Abhängigkeitsverhältnis Arbeitnehmer bzw.
61	Bewerber zum Arbeitgeber sowie Bürger - bspw. als
62	Leistungsempfänger - zum Staat , sofern es für die Abfrage
63	dieser persönlichen Daten keine gesetzliche Grundlage gibt.
64	Auch bei Verträgen zwischen Verbrauchern und Unternehmen
65	existiert keine Parität. So kann z.B. bei
66	internetbasierten Dienste, die ohne die Einwilligung zur
67	Preisgabe persönlicher Daten, die für die Erbringung des
68	Dienstes selbst nicht benötigt werden, nicht abgeschlossen
69	werden, von einer freiwilligen Einwilligung nicht
70	ausgegangen werden, wenn diese Dienstleistung nicht auch
71	ohne Datenerhebung erhältlich ist.
72
73	-----------------------------------------------
74	streitig Ende
75	-----------------------------------------------
76
77	-----------------------------------------------
78	Alternativvorschlag Anfang
79	-----------------------------------------------
80
81	Es gibt Situationen, in denen sich die Vertragspartner
82	unterschiedlich stark gegenüberstehen. Für diese Fälle wird
83	diskutiert, inwieweit eine freiwillige Einwilligung in die
84	Datenerhebung vorliegt, insbesondere wenn Daten erhoben
85	werden, die für die Erbringung der Dienstleistung selbst
86	nicht benötigt werden. Für die Freiwilligkeit kann aber
87	auch von Bedeutung sein, ob ein anderes Angebot in
88	zumutbarer Weise zur Verfügung steht.
89
90	-----------------------------------------------
91	Alternativvorschlag Ende
92	-----------------------------------------------

2.1.2 Grundprinzipien des Datenschutzrechts (Originalversion)

von EnqueteBuero, 15. März 2011 15:12 angelegt

1	Erlaubnisvorbehalt
2
3	Ein zentraler Grundsatz des Datenschutzrechts lässt sich in
4	einem Satz wie folgt formulieren: Der Umgang mit
5	personenbezogenen Daten ist verboten, es sei denn, der
6	Betroffene willigt ein oder eine Rechtsnorm legitimiert ihn.
7	Dieser Grundsatz ist sowohl im Gemeinschaftsrecht (Art. 7
8	DSRL), als auch im nationalen allgemeinen (§ 4 Abs. 1 BDSG)
9	und bereichsspezifischen Datenschutzrecht (z.B. § 12 TMG)
10	normiert. Demnach bestimmt sich die Zulässigkeit eines jeden
11	einzelnen Datenverarbeitungsvorgangs danach, ob der
12	Betroffene den Vorgang erlaubt hat oder ob er sich auf einen
13	gesetzlichen Erlaubnistatbestand stützen lässt. [Fußnote:
14	Kühling/Seidel/Sivridis, Datenschutzrecht, S. 130 f.]
15	Die Einwilligung ist vor allem im nicht-öffentlichen
16	Bereich, neben den vertraglichen Legitimationen, von
17	erheblicher Bedeutung. [Fußnote: Kühling/Seidel/Sivridis,
18	Datenschutzrecht, S. 131.] Sie legitimiert einen
19	Datenverarbeitungsvorgang nur dann, wenn sie wirksam erteilt
20	wurde, wofür das Gesetz bestimmte Mindestanforderungen
21	vorsieht (vgl. § 4a BDSG oder auch Art. 7 lit. a) DSRL
22	wonach die betroffene Person „ohne jeden Zweifel ihre
23	Einwilligung gegeben“ haben muss). Nach nationalem Recht (§
24	4a BDSG) ist eine Einwilligung nur wirksam, wenn sie auf der
25	freien Entscheidung des Betroffenen beruht, also ohne Zwang
26	erfolgt. Dies setzt voraus, dass der Einzelne Bedeutung und
27	Tragweite seiner Entscheidung erkennen kann.
28
29	Deshalb ist die Einwilligung in die Datenerhebung oder
30	–verarbeitung nur dann zulässig, wenn die betreffende Person
31	„ohne jeden Zweifel ihre Einwilligung gegeben“ hat. Dies
32	impliziert, dass die Einwilligung informiert, aktiv und
33	freiwillig zu geschehen hat. Eine informierte Einwilligung
34	setzt Transparenz und Kenntnis voraus. Allein durch die
35	Nutzung einer Website kann keine aktive Einwilligung erteilt
36	werden. Auch das Beibehalten von Einstellungen von
37	Internetdiensten oder Browsern, die in der Voreinstellung
38	nicht privacy by default vorsehen, genügt nicht der Fiktion
39	einer aktiven Einwilligung. Hier wird die Kenntnis der
40	möglichen Einstellungen und ihrer Veränderungsmöglichkeiten
41	vorausgesetzt, die jedoch weder bei jedem Nutzer
42	gleichermaßen gegeben noch von allen Diensteanbietern
43	gefördert wird.
44
45	An der Möglichkeit zu einer freien Entscheidung kann es
46	jedoch fehlen, wenn die Einwilligung in einer Situation
47	wirtschaftlicher oder sozialer Schwäche oder Unterordnung
48	erteilt wird oder wenn der Betroffene durch übermäßige
49	Anreize finanzieller oder sonstiger Natur zur Preisgabe
50	seiner Daten verleitet wird.
51
52	-----------------------------------------------
53	Streitig Anfang
54	-----------------------------------------------
55
56	Überall dort, wo eine gestörte Vertragsparität vorliegt,
57	sollte die Einwilligung des Betroffenen unwirksam sein, so
58	insbesondere im Abhängigkeitsverhältnis Arbeitnehmer bzw.
59	Bewerber zum Arbeitgeber sowie Bürger - bspw. als
60	Leistungsempfänger - zum Staat , sofern es für die Abfrage
61	dieser persönlichen Daten keine gesetzliche Grundlage gibt.
62	Auch bei Verträgen zwischen Verbrauchern und Unternehmen
63	existiert keine Parität. So kann z.B. bei internetbasierten
64	Dienste, die ohne die Einwilligung zur Preisgabe
65	persönlicher Daten, die für die Erbringung des Dienstes
66	selbst nicht benötigt werden, nicht abgeschlossen werden,
67	von einer freiwilligen Einwilligung nicht ausgegangen
68	werden, wenn diese Dienstleistung nicht auch ohne
69	Datenerhebung erhältlich ist.
70
71	-----------------------------------------------
72	Streitig Ende
73	-----------------------------------------------
74
75	-----------------------------------------------
76	Alternative Anfang
77	-----------------------------------------------
78
79	Es gibt Situationen, in denen sich die Vertragspartner
80	unterschiedlich stark gegenüberstehen. Für diese Fälle wird
81	diskutiert, inwieweit eine freiwillige Einwilligung in die
82	Datenerhebung vorliegt, insbesondere wenn Daten erhoben
83	werden, die für die Erbringung der Dienstleistung selbst
84	nicht benötigt werden. Für die Freiwilligkeit kann aber auch
85	von Bedeutung sein, ob ein anderes Angebot in zumutbarer
86	Weise zur Verfügung steht.
87
88	-----------------------------------------------
89	Alternative Ende
90	-----------------------------------------------

2.1.2 Grundprinzipien des Datenschutzrechts (Originalversion)

von EnqueteBuero, 2. Mai 2011 09:19 angelegt

1	Erlaubnisvorbehalt
2
3
4	Ein zentraler Grundsatz des Datenschutzrechts lässt sich in
5	einem Satz wie folgt formulieren: Der Umgang mit
6	personenbezogenen Daten ist verboten, es sei denn, der
7	Betroffene willigt ein oder eine Rechtsnorm legitimiert
8	ihn. Dieser Grundsatz ist sowohl im Gemeinschaftsrecht
9	(Art. 7 DSRL), als auch im nationalen allgemeinen (§ 4 Abs.
10	1 BDSG) und bereichsspezifischen Datenschutzrecht (z. B. §
11	12 TMG) normiert. Demnach bestimmt sich die Zulässigkeit
12	eines jeden einzelnen Datenverarbeitungsvorgangs danach, ob
13	der Betroffene den Vorgang erlaubt hat oder ob er sich auf
14	einen gesetzlichen Erlaubnistatbestand stützen lässt.
15
16	Die Einwilligung ist vor allem im nicht-öffentlichen
17	Bereich, neben den vertraglichen Legitimationen, von
18	erheblicher Bedeutung. Sie legitimiert einen
19	Datenverarbeitungsvorgang nur dann, wenn sie wirksam
20	erteilt wurde, wofür das Gesetz bestimmte
21	Mindestanforderungen vorsieht (vgl. § 4a BDSG oder auch
22	Art. 7 lit. a) DSRL). Nach nationalem Recht (§ 4a BDSG) ist
23	eine Einwilligung nur wirksam, wenn sie auf der freien
24	Entscheidung des Betroffenen beruht, also ohne Zwang
25	erfolgt. Dies setzt voraus, dass der Einzelne Bedeutung und
26	Tragweite seiner Entscheidung erkennen kann.
27
28	Die Einwilligung in die Datenerhebung oder –verarbeitung
29	ist daher nur dann zulässig, wenn die betreffende Person
30	„ohne jeden Zweifel ihre Einwilligung gegeben“ hat. Dies
31	impliziert, dass die Einwilligung informiert, aktiv und
32	freiwillig zu geschehen hat. Eine informierte Einwilligung
33	setzt Transparenz und Kenntnis voraus. Allein durch die
34	Nutzung einer Website kann keine aktive Einwilligung
35	erteilt werden. Auch das Beibehalten von Einstellungen von
36	Internetdiensten oder Browsern, die in der Voreinstellung
37	nicht „privacy by default“ vorsehen, genügt nicht der
38	Fiktion einer aktiven Einwilligung. Hier wird die Kenntnis
39	der möglichen Einstellungen und ihrer
40	Veränderungsmöglichkeiten vorausgesetzt, die jedoch weder
41	bei jedem Nutzer gleichermaßen gegeben noch von allen
42	Diensteanbietern gefördert wird.
43	An der Möglichkeit zu einer freien Entscheidung kann es
44	jedoch fehlen, wenn die Einwilligung in einer Situation
45	wirtschaftlicher oder sozialer Schwäche oder Unterordnung
46	erteilt wird oder wenn der Betroffene durch übermäßige
47	Anreize finanzieller oder sonstiger Natur zur Preisgabe
48	seiner Daten verleitet wird.
49	Es gibt Situationen, in denen sich die Vertragspartner
50	unterschiedlich stark gegenüberstehen. Für diese Fälle wird
51	diskutiert, inwieweit eine freiwillige Einwilligung in die
52	Datenerhebung vorliegt, insbesondere wenn Daten erhoben
53	werden, die für die Erbringung der Dienstleistung selbst
54	nicht benötigt werden. Für die Freiwilligkeit kann aber
55	auch von Bedeutung sein, ob ein anderes Angebot in
56	zumutbarer Weise zur Verfügung steht.
57
58	Außerdem muss der Betroffene nach § 4a BDSG auf den
59	vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung
60	hingewiesen werden. Wenn die Situation es erfordert oder
61	der Betroffene es verlangt, muss er auch darüber informiert
62	werden, welche Folgen eine Verweigerung der Einwilligung
63	nach sich zieht. Das geltende Recht lässt für das Internet
64	die Möglichkeit einer elektronischen Einwilligung zu (§ 13
65	Abs. 2 TMG), die z. B. durch Ankreuzen einer Checkbox
66	erteilt werden kann.
67
68	Nach datenschutzrechtlichen Grundsätzen ist eine
69	Einwilligung also nur dann wirksam, wenn sie in Kenntnis
70	der entscheidungsrelevanten Umstände erteilt wird. Der
71	Betroffene muss auf der Grundlage der ihm vorliegenden
72	Informationen Bedeutung und Tragweite seiner Entscheidung
73	zur Datenfreigabe erkennen können. Im Hinblick auf die
74	spezifischen Bedingungen im digitalen Bereich ergeben sich
75	hier neue Herausforderungen.
76
77	Die Frage von Transparenz- und Informationspflichten stellt
78	sich in besonderem Maße. Auch Art und Weise der
79	Informationspraxis sind bestimmend dafür, in welchem Umfang
80	Bürgerinnen und Bürger bei Erteilung ihrer Einwilligung
81	einschätzen können, welche Daten zu welchem Zweck
82	gespeichert werden sollen.
83
84	Die Einwilligung kann bislang in unterschiedlicher Form
85	eingeholt werden („opt-in“ und „opt-out“ sowie
86	unterschiedliche Formulierungen). Dies erfordert eine
87	besondere Aufmerksamkeit und ein erhöhtes Textverständnis
88	der in der Regel in juristischer Sprache formulierten
89	Textpassagen. Eine informierte Einwilligung auf Grund
90	dieser, der Absicherung eines Unternehmens dienenden Texte,
91	ist auf Grund der Art des Textes und der gegebenen
92	Informationen daher für viele Menschen nur schwer möglich.
93	Gerade in der digitalen Welt gäbe es aber auch alternative
94	Formen, Informationen verständlich bereitzustellen.
95
96	Einwilligungen werden unbefristet erteilt. Eine echte
97	Transparenz und ein Überblick über die erteilten
98	Einwilligungen ist für die Nutzer angesichts der Vielzahl
99	der eingeforderten Einwilligungen nur schwer zu behalten.
100	Der Betreiber des Dienstes unterscheidet sich oftmals von
101	der datenverarbeitenden Stelle, eine Transparenz darüber,
102	welche Dienste bzw. Unternehmen welche Daten erhalten, ist
103	oftmals nicht vorhanden. In einer solchen Situation können
104	die Arbeitnehmer/Bürger/Nutzer ihre Informations-,
105	Widerrufs-, Korrektur- und Löschrechte nur unzureichend
106	geltend machen. Eine autonome Entscheidung über die
107	Preisgabe eigener Daten im Internet können Menschen dann
108	fällen, wenn sie Vor- und Nachteile ihrer Einwilligung
109	einschätzen und Handlungsalternativen erkennen können. Die
110	Medienkompetenz des Einzelnen trägt wesentlich dazu bei,
111	informierte Einwilligungen zu ermöglichen und zu befördern.
112	Diese kann aber nicht in gleicher Ausprägung von allen
113	Personen erwartet werden und kann nicht als Ersatz für
114	bedürfnisgerechtere Anforderungen an Transparenz,
115	Information und Einwilligung stehen.
116	Im öffentlichen Bereich erfolgt die Datenverarbeitung
117	personenbezogener Daten dagegen fast ausschließlich auf der
118	Grundlage gesetzlicher Erlaubnistatbestände, die den
119	verfassungsrechtlichen Anforderungen genügen müssen.
120
121	Die erfolgreichen Verfassungsbeschwerden der letzten Jahre
122	zeigen allerdings, dass die verfassungsrechtlichen Vorgaben
123	bei der Gesetzgebung teilweise nicht eingehalten wurden.
124
125
126	Erforderlichkeitsgrundsatz
127
128	Der Erforderlichkeitsgrundsatz folgt aus dem
129	verfassungsrechtlichen Verhältnismäßigkeitsgrundsatz und
130	ist zudem in Art. 7 lit. b) bis f) DSRL festgeschrieben. Er
131	steht in engem Zusammenhang mit dem Grundsatz der
132	Zweckfestlegung und der Zweckbindung. Demnach ist der
133	Umgang mit personenbezogenen Daten auf das zum Erreichen
134	des angestrebten Zieles erforderliche Minimum zu
135	beschränken. Es sollen nur so viele Daten erhoben,
136	verarbeitet oder genutzt werden, wie zur Zweckerreichung
137	unbedingt notwendig. Für den öffentlichen Bereich ist der
138	Grundsatz in §§ 13 bis 16 BDSG (insbesondere in den Abs. 1)
139	normiert, wobei der zulässige Zweck auf die öffentliche
140	Aufgabenerfüllung begrenzt ist. Der
141	Erforderlichkeitsgrundsatz gilt aber auch im
142	nicht-öffentlichen Bereich, wo seine effektive
143	Verwirklichung durch eine möglichst genaue Zweckbestimmung
144	bedingt ist.
145
146
147	Zweckbindungsgrundsatz
148
149	Der Zweckbindungsgrundsatz besagt, dass die Daten, die für
150	einen bestimmten Zweck erhoben worden sind, auch nur zu
151	diesem Zweck verarbeitet oder genutzt werden dürfen. Der
152	Zweck der Datenerhebung begrenzt folglich den weiteren
153	Umgang mit den erhobenen Daten. Sie dürfen nur zu dem Zweck
154	weiter verwendet werden, der von der Einwilligung oder der
155	konkret legitimierenden Rechtsnorm erfasst ist. Das setzt
156	voraus, dass das Ziel der Datenverarbeitung und/oder
157	-nutzung bereits vor der Datenerhebung so genau wie möglich
158	bestimmt ist. Eine Speicherung auf Vorrat für künftige,
159	noch nicht bekannte Zwecke ist dagegen grundsätzlich
160	unzulässig.
161	Vor allem im nicht-öffentlichen Bereich stößt die
162	Beibehaltung dieses Grundsatzes auf praktische Probleme. In
163	einer vernetzten Welt ist der Datenaustausch oftmals durch
164	Spontanität und gerade nicht durch eine vorherige
165	Festlegung des Verarbeitungszweckes bestimmt.
166
167
168	Transparenzgrundsatz
169
170	Die informationelle Selbstbestimmung setzt nach Auffassung
171	des Bundesverfassungsgerichts voraus, dass Bürger wissen
172	und grundsätzlich auch entscheiden können sollen, „wer was
173	wann und bei welcher Gelegenheit“ über sie weiß. Das setzt
174	wiederum voraus, dass Datenerhebungs-, -verarbeitungs- und
175	-nutzungsvorgänge transparent gestaltet werden. Zudem ist
176	der Transparenzgrundsatz die grundlegende Voraussetzung
177	dafür, dass Betroffene aktive Datenschutzrechte wahrnehmen
178	können. Transparenz wird in erster Linie durch den
179	Grundsatz der Direkterhebung verwirklicht, wonach die Daten
180	grundsätzlich beim Betroffenen zu erheben sind (§ 4 Abs. 2
181	S. 1, Abs. 3 BDSG), sodass er unmittelbar Kenntnis von dem
182	Vorgang erlangt. Nur unter engen Voraussetzungen darf die
183	Datenerhebung ohne Mitwirkung des Betroffenen erfolgen (§ 4
184	Abs. 2 S. 2 BDSG). Flankiert wird das Transparenzgebot
185	durch Auskunftsrechte und Informations-,
186	Benachrichtigungs-, Unterrichtungs-, Hinweis- und
187	Aufklärungspflichten der verantwortlichen Stelle.
188
189	Gerade im nicht-öffentlichen Bereich wissen oftmals viele
190	Bürgerinnen und Bürger nicht, wer eigentliche welche ihrer
191	Daten zu welchen Zwecken speichert und verwendet.
192
193	Prinzip der Datenvermeidung und Datensparsamkeit
194	Der Grundsatz der Datenvermeidung und Datensparsamkeit ist
195	– obwohl nicht durch die DSRL vorgegeben – in § 3a BDSG
196	normiert und besagt, dass so wenig personenbezogene Daten
197	wie möglich erhoben, verarbeitet oder genutzt werden sollen
198	und auch die Datenverarbeitungssysteme an diesem Ziel
199	auszurichten sind. Dabei handelt es sich um eine
200	Konkretisierung des Erforderlichkeitsgrundsatzes auf
201	technischer Ebene: Schon durch die entsprechende
202	Technikgestaltung soll das ~~Gesetz bestimmte~~
203	~~Mindestanforderungen vorsieht (vgl. § 4a BDSG oder auch~~
204	~~Art. 7 lit. a) DSRL wonach die betroffene Person „ohne~~
205	~~jeden Zweifel ihre Einwilligung gegeben“ haben muss). Nach~~
206	~~nationalem~~ Recht auf informationelle Selbstbestimmung
207	präventiv geschützt werden. Da der Grundsatz nicht
208	sanktionsbewehrt ist, ist er – obwohl als Rechtspflicht
209	formuliert – eher als Programmsatz zu ~~geschehen hat. Eine~~
210	~~informierte Einwilligung setzt Transparenz und Kenntnis~~
211	~~voraus. Allein durch die Nutzung einer Website kann keine~~
212	~~aktive Einwilligung erteilt werden. Auch das Beibehalten~~
213	~~von Einstellungen von Internetdiensten oder Browsern, die~~
214	~~in der Voreinstellung nicht privacy by default vorsehen,~~
215	~~genügt nicht der Fiktion einer aktiven Einwilligung. Hier~~
216	~~wird die Kenntnis der möglichen Einstellungen und ihrer~~
217	~~Veränderungsmöglichkeiten vorausgesetzt, die jedoch weder~~
218	~~bei jedem Nutzer gleichermaßen gegeben noch von allen~~
219	~~Diensteanbietern gefördert wird.~~
220
221	~~An der Möglichkeit zu einer freien Entscheidung kann es~~
222	~~jedoch fehlen, wenn die Einwilligung in einer Situation~~
223	~~wirtschaftlicher oder sozialer Schwäche oder Unterordnung~~
224	~~erteilt wird oder wenn der Betroffene durch übermäßige~~
225	~~Anreize finanzieller oder sonstiger Natur zur Preisgabe~~
226	~~seiner Daten verleitet wird.~~
227
228	~~Es gibt Situationen, in denen sich die Vertragspartner~~
229	~~unterschiedlich stark gegenüberstehen. Für diese Fälle wird~~
230	~~diskutiert, inwieweit eine freiwillige Einwilligung in die~~
231	~~Datenerhebung vorliegt, insbesondere wenn Daten erhoben~~
232	~~werden, die für die Erbringung der Dienstleistung selbst~~
233	~~nicht benötigt werden. Für die Freiwilligkeit kann aber~~
234	~~auch von Bedeutung sein, ob ein anderes Angebot in~~
235	~~zumutbarer Weise zur Verfügung steht.~~
236
237	~~Außerdem muss der Betroffene nach § 4a BDSG auf den~~
238	~~vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung~~
239	~~hingewiesen werden. Wenn die Situation es erfordert oder~~
240	~~der Betroffene es verlangt, muss er auch darüber informiert~~
241	~~werden, welche Folgen eine Verweigerung der Einwilligung~~
242	~~nach sich zieht. Das geltende Recht lässt für das Internet~~
243	~~die Möglichkeit einer elektronischen Einwilligung zu (§ 13~~
244	~~Abs. 2 TMG), die z. B. durch Ankreuzen einer Checkbox~~
245	~~erteilt werden kann.~~
246
247	~~Nach datenschutzrechtlichen Grundsätzen ist eine~~
248	~~Einwilligung also nur dann wirksam, wenn sie in Kenntnis~~
249	~~der entscheidungsrelevanten Umstände erteilt wird. Der~~
250	~~Betroffene muss auf der Grundlage der ihm vorliegenden~~
251	~~Informationen Bedeutung und Tragweite seiner Entscheidung~~
252	~~zur Datenfreigabe erkennen können. Im Hinblick auf die~~
253	~~spezifischen Bedingungen im digitalen Bereich ergeben sich~~
254	~~hier neue Herausforderungen.~~
255
256	~~Die Frage von Transparenz- und Informationspflichten stellt~~
257	~~sich in besonderem Maße. Auch Art und Weise der~~
258	~~Informationspraxis sind bestimmend dafür, in welchem Umfang~~
259	~~Bürgerinnen und Bürger bei Erteilung ihrer Einwilligung~~
260	~~einschätzen können, welche Daten zu welchem Zweck~~
261	~~gespeichert werden sollen.~~
262
263	~~Die Einwilligung kann bislang in unterschiedlicher Form~~
264	~~eingeholt werden (opt-in und opt-out, sowie~~
265	~~unterschiedliche Formulierungen). Dies erfordert eine~~
266	~~besondere Aufmerksamkeit und ein erhöhtes Textverständnis,~~
267	~~der in der Regel in juristischer Sprache formulierten~~
268	~~Textpassagen. Eine informierte Einwilligung aufgrund~~
269	~~dieser, der Absicherung eines Unternehmens dienenden Texte,~~
270	~~ist aufgrund der Art des Textes und der gegebenen~~
271	~~Informationen daher für viele Menschen nur schwer möglich.~~
272	~~Gerade in der digitalen Welt gäbe es aber auch alternative~~
273	~~Formen, Informationen verständlich bereitzustellen.~~
274
275	~~Einwilligungen werden unbefristet erteilt. Eine echte~~
276	~~Transparenz und ein Überblick über die erteilten~~
277	~~Einwilligungen ist für die Nutzer angesichts der Vielzahl~~
278	~~der eingeforderten Einwilligungen nur schwer zu behalten.~~
279	~~Der Betreiber des Dienstes unterscheidet sich oftmals von~~
280	~~der datenverarbeitenden Stelle, eine Transparenz darüber,~~
281	~~welche Dienste bzw. Unternehmen welche Daten erhalten, ist~~
282	~~oftmals nicht vorhanden. In einer solchen Situation können~~
283	~~die Arbeitnehmer/Bürger/Nutzer ihre Informations-,~~
284	~~Widerrufs-, Korrektur- und Löschrechte nur unzureichend~~
285	~~geltend machen.~~
286
287	~~Eine autonome Entscheidung über die Preisgabe eigener Daten~~
288	~~im Internet können Menschen dann fällen, wenn sie Vor- und~~
289	~~Nachteile ihrer Einwilligung einschätzen und~~
290	~~Handlungsalternativen erkennen können. Die Medienkompetenz~~
291	~~des Einzelnen trägt wesentlich dazu bei, informierte~~
292	~~Einwilligungen zu ermöglichen und zu befördern. Diese kann~~
293	~~aber nicht in gleicher Ausprägung von allen Personen~~
294	~~erwartet werden und kann nicht als Ersatz für~~
295	~~bedürfnisgerechtere Anforderungen an Transparenz,~~
296	~~Information und Einwilligung stehen.~~
297
298	~~Im öffentlichen Bereich erfolgt die Datenverarbeitung~~
299	~~personenbezogener Daten dagegen fast ausschließlich auf~~
300	~~Grundlage gesetzlicher Erlaubnistatbestände, die den~~
301	~~verfassungsrechtlichen Anforderungen genügen müssen.~~
302
303	~~Die erfolgreichen Verfassungsbeschwerden der letzten Jahre~~
304	~~zeigen allerdings, dass die verfassungsrechtlichen Vorgaben~~
305	~~bei der Gesetzgebung teilweise nicht eingehalten wurden.~~
306
307	~~Erforderlichkeitsgrundsatz~~
308
309	~~Der Erforderlichkeitsgrundsatz folgt aus dem~~
310	~~verfassungsrechtlichen Verhältnismäßigkeitsgrundsatz und~~
311	~~ist zudem in Art. 7 lit. b) bis f) DSRL festgeschrieben. Er~~
312	~~steht in engem Zusammenhang mit dem Grundsatz der~~
313	~~Zweckfestlegung und der Zweckbindung. Demnach ist der~~
314	~~Umgang mit personenbezogenen Daten auf das zum Erreichen~~
315	~~des angestrebten Zieles erforderliche Minimum zu~~
316	~~beschränken. [Fußnote: BVerfGE 65, 1, 46.] Es sollen nur so~~
317	~~viele Daten erhoben, verarbeitet oder genutzt werden, wie~~
318	~~zur Zweckerreichung unbedingt notwendig. Für den~~
319	~~öffentlichen Bereich ist der Grundsatz in §§ 13 bis 16~~
320	~~(insbesondere in den Abs. 1) normiert, wobei der zulässige~~
321	~~Zweck auf die öffentliche Aufgabenerfüllung begrenzt ist.~~
322	~~Der Erforderlichkeitsgrundsatz gilt aber auch im~~
323	~~nicht-öffentlichen Bereich, wo seine effektive~~
324	~~Verwirklichung durch eine möglichst genaue Zweckbestimmung~~
325	~~bedingt ist. [Fußnote: Kühling/Seidel/Sivridis,~~
326	~~Datenschutzrecht, S. 136.]~~
327
328	~~Zweckbindungsgrundsatz~~
329
330	~~Der Zweckbindungsgrundsatz besagt, dass die Daten, die für~~
331	~~einen bestimmten Zweck erhoben worden sind, auch nur zu~~
332	~~diesem Zweck verarbeitet oder genutzt werden dürfen.~~
333	~~[Fußnote: Gola/Klug, Grundzüge des Datenschutzrechts, S.~~
334	~~48.] Der Zweck der Datenerhebung begrenzt folglich den~~
335	~~weiteren Umgang mit den erhobenen Daten. Sie dürfen nur zu~~
336	~~dem Zweck weiter verwendet werden, der von der Einwilligung~~
337	~~oder der konkret legitimierenden Rechtsnorm erfasst ist.~~
338	~~Das setzt voraus, dass das Ziel der Datenverarbeitung~~
339	~~und/oder -nutzung bereits vor der Datenerhebung so genau~~
340	~~wie möglich bestimmt ist. Eine Speicherung auf Vorrat für~~
341	~~künftige, noch nicht bekannte Zwecke ist dagegen~~
342	~~grundsätzlich unzulässig. [Fußnote: Gola/Klug, Grundzüge~~
343	~~des Datenschutzrechts, S. 48.]~~
344
345	~~-----------------------------------------------~~
346	~~streitig Anfang~~
347	~~-----------------------------------------------~~
348
349	~~Vor allem im nicht-öffentlichen Bereich stößt die~~
350	~~Beibehaltung dieses Grundsatzes auf praktische Probleme. In~~
351	~~einer vernetzten Welt ist der Datenaustausch oftmals durch~~
352	~~Spontanität und gerade nicht durch eine vorherige~~
353	~~Festlegung des Verarbeitungszweckes bestimmt. [Fußnote:~~
354	~~Kühling, Verw 40 (2007), 153, 159.]~~
355
356	~~Die Frage der Freiwilligkeit einer Einwilligung hat in der~~
357	~~digitalen Welt an Brisanz gewonnen. Wenn beispielsweise die~~
358	~~Nutzung eines Online-Dienstes voraussetzt, dass der Nutzer~~
359	~~durch Ankreuzen einer Checkbox der Erhebung seiner Daten~~
360	~~zustimmt, so sind sich die Betroffenen über die Tragweite~~
361	~~ihrer Entscheidung häufig nicht im Klaren. Da sie die~~
362	~~entsprechenden Datenschutzbestimmungen des Anbieters bzw.~~
363	~~dessen Allgemeine Geschäftsbedingungen, in die erstere~~
364	~~bisweilen integriert sind, häufig nicht oder nur~~
365	~~oberflächlich zur Kenntnis nehmen, erteilen sie im Zweifel~~
366	~~alle Einwilligung, die sie bei genauerer Überlegung nicht~~
367	~~erteilt hätten. Um zu klären, ob die für eine informierte~~
368	~~und freiwillige Entscheidung wichtigen Informationen~~
369	~~tatsächlich in ausreichend transparenter Weise vorgelegen~~
370	~~haben, ist es dann jedoch bereits zu spät: Die Daten werden~~
371	~~erhoben, und der Betroffene ist sich darüber häufig nicht~~
372	~~im Klaren. Folglich kommt es im Nachhinein auch nicht mehr~~
373	~~zur Überprüfung der Rechtsgültigkeit der erteilten~~
374	~~Einwilligung. Die Erfahrung zeigt, dass die Mehrzahl der~~
375	~~Internetnutzer Datenschutzerklärungen ebenso wenig liest~~
376	~~wie Allgemeine Geschäftsbedingungen und dennoch am~~
377	~~elektronischen Geschäftsverkehr teilnimmt. Dies deutet~~
378	~~darauf hin, dass die Mehrzahl der auf diesem Wege erteilten~~
379	~~Einwilligungen nicht freiwillig erteilt worden sind, woraus~~
380	~~zu schließen werde, dass in zahlreichen Fällen Daten ohne~~
381	~~rechtliche Grundlage erhoben und gespeichert werden. Man~~
382	~~erkennt hier, dass die an sich begrüßenswerte Intention des~~
383	~~Gesetzgebers, einen maximalen Schutz der personenbezogenen~~
384	~~Daten des Einzelnen zu ermöglichen, im Internetzeitalter~~
385	~~nicht mehr verwirklicht wird. Die Praxis der elektronischen~~
386	~~Einwilligung nach §13 Abs. 2 TMG wird von Diensteanbietern~~
387	~~systematisch dazu genutzt, den Datenschutz zu unterlaufen,~~
388	~~indem sie sich auf diese Weise die Zustimmung zu~~
389	~~Datenerhebungen von den Nutzern erteilen lassen, die in~~
390	~~aller Regel deren Interesse, die eigene Privatsphäre zu~~
391	~~schützen, zuwiderlaufen. Anders gesagt: Das bloße~~
392	~~„Abklicken“ einer Einwilligung in die Erhebung und~~
393	~~Verwendung personenbezogener Daten zu allerlei Zwecken ist~~
394	~~nur formal eine freiwillige Einwilligung. Faktisch werden~~
395	~~Bürgerinnen und Bürger auf diese Weise entmündigt. Dahinter~~
396	~~steht das Interesse der Anbieter, diese Daten zu~~
397	~~monetarisieren. Derartige Geschäftsmodelle laufen den~~
398	~~Interessen der Bürgerinnen und Bürger auch dann zuwider,~~
399	~~wenn sie eine kostenfreie Nutzung des betreffenden Dienstes~~
400	~~allererst ermöglichen, weil sie darauf basieren, die~~
401	~~Privatsphäre des Einzelne dem Primat der wirtschaftlichen~~
402	~~Wertschöpfung zu unterwerfen. Schon heute ist bei vielen~~
403	~~Onlinediensten für die Nutzer nicht mehr durchschaubar,~~
404	~~wozu ihre Daten genutzt werden und in welcher Weise sie im~~
405	~~Rahmen von Datenhandel weiterverbreitet werden.~~
406
407	~~Um das Datenschutzrecht in einer bürgerfreundlichen Weise~~
408	~~weiterzuentwickeln, sind Regelungen zu schaffen, die dem~~
409	~~Nutzer seine verlorene Souveränität wiedergeben. Ihm müssen~~
410	~~Mittel an die Hand gegeben werden, die es ihm ermöglichen,~~
411	~~die Kontrolle über die Erhebung personenbezogener Daten~~
412	~~tatsächlich, nicht nur formal selbst auszuüben.~~
413	~~Privacy-by-default-Modelle sind hierfür geeignete~~
414	~~Ansatzpunkte. Denkbar sind auch verbindliche Vorgaben für~~
415	~~die Diensteanbieter, die es diesen auferlegen, stets auch~~
416	~~eine Alternative zu der Option einer „freiwilligen“~~
417	~~Zustimmung zur umfassenden Erhebung personenbezogener Daten~~
418	~~anzubieten. Dies könnte beispielsweise dadurch realisiert~~
419	~~werden, dass ein aktives Anklicken verschiedener~~
420	~~Berechtigungen zwingend vorgeschrieben wird. Der Betroffene~~
421	~~müsste dann jeweils gesondert in die Erhebung und~~
422	~~Verarbeitung personenbezogener Daten zu unterschiedlichen~~
423	~~Verwendungszwecken, in den Einsatz unterschiedlicher~~
424	~~Webtracking-Techniken und unterschiedlicher Cookies~~
425	~~einwilligen. Zu bedenken wäre auch, die Einwilligung unter~~
426	~~dem Vorbehalt einer Erneuerung zeitlich zu befristen,~~
427	~~sodass nach Ablauf einer gewissen Zeit der Nutzer seine~~
428	~~Zustimmung erneut abgeben müsste.~~
429
430	~~Wo von vornherein eine gestörte Vertragsparität vorliegt,~~
431	~~sollte die Einwilligung des Betroffenen auch dann unwirksam~~
432	~~sein, wenn sie nach derzeit geltendem Recht freiwillig~~
433	~~erteilt wurde, da in Abhängigkeitsverhältnissen~~
434	~~grundsätzlich nicht davon auszugehen ist, dass~~
435	~~Freiwilligkeit im Sinne der gesetzgeberischen Intention~~
436	~~tatsächlich gegeben ist. Wenn etwa Sozialhilfeempfänger~~
437	~~gegenüber der Bundesagentur für Arbeit in die Speicherung~~
438	~~einwilligen, weil sie fürchten, dass diese Einwilligung~~
439	~~eine Voraussetzung für den Leistungsbezug darstellen~~
440	~~könnte, ist dies ebenso problematisch, wie wenn~~
441	~~Arbeitnehmer ihrem Arbeitgeber umfassende personenbezogene~~
442	~~Daten zur Verfügung stellen. Der im Bundesdatenschutzgesetz~~
443	~~vorgesehene Vorbehalt der freiwilligen Einwilligung in die~~
444	~~Erhebung personenenbezogener Daten ist deshalb nicht~~
445	~~unreflektiert auf das Beschäftigungsverhältnis zu~~
446	~~übertragen. Vielmehr ist im Falle gestörter Vertragsparität~~
447	~~eine Regelung vorzusehen, die die Rechte der jeweils~~
448	~~schwächeren Partei wirksam schützt.~~
449
450	~~-----------------------------------------------~~
451	~~streitig Ende~~
452	~~-----------------------------------------------~~
453
454	~~Transparenzgrundsatz~~
455
456	~~Die informationelle Selbstbestimmung setzt nach Auffassung~~
457	~~des BVerfG voraus, dass Bürger wissen und grundsätzlich~~
458	~~auch entscheiden können sollen, „wer was wann und bei~~
459	~~welcher Gelegenheit“ über ihn weiß. [Fußnote: BVerfGE 65,~~
460	~~1, 43.]Das setzt wiederum voraus, dass Datenerhebungs-,~~
461	~~-verarbeitungs- und -nutzungsvorgänge transparent gestaltet~~
462	~~werden. Zudem ist der Transparenzgrundsatz die grundlegende~~
463	~~Voraussetzung dafür, dass Betroffene aktive~~
464	~~Datenschutzrechte wahrnehmen können. Transparenz wird in~~
465	~~erster Linie durch den Grundsatz der Direkterhebung~~
466	~~verwirklicht, wonach die Daten grundsätzlich beim~~
467	~~Betroffenen zu erheben sind (§ 4 Abs. 2 S. 1, Abs. 3 BDSG),~~
468	~~so dass er unmittelbar Kenntnis von dem Vorgang erlangt.~~
469	~~Nur unter engen Voraussetzungen darf die Datenerhebung ohne~~
470	~~Mitwirkung des Betroffenen erfolgen (§ 4 Abs. 2 S. 2 BDSG).~~
471	~~Flankiert wird das Transparenzgebot durch Auskunftsrechte~~
472	~~und Informations-, Benachrichtigungs-, Unterrichtungs-,~~
473	~~Hinweis- und Aufklärungspflichten der verantwortlichen~~
474	~~Stelle. [Fußnote: Kühling/Seidel/Sivridis,~~
475	~~Datenschutzrecht, S. 136.]~~
476
477	~~Gerade im nicht-öffentlichen Bereich wissen oftmals viele~~
478	~~Bürgerinnen und Bürger nicht, wer eigentliche welche ihrer~~
479	~~Daten zu welchen Zwecken speichert und verwendet.~~
480
481	~~Prinzip der Datenvermeidung und Datensparsamkeit~~
482
483	~~Der Grundsatz der Datenvermeidung und Datensparsamkeit ist~~
484	~~– obwohl nicht durch die DSRL vorgegeben – in § 3a BDSG~~
485	~~normiert und besagt, dass so wenig personenbezogene Daten~~
486	~~wie möglich erhoben, verarbeitet oder genutzt werden sollen~~
487	~~und auch die Datenverarbeitungssysteme an diesem Ziel~~
488	~~auszurichten sind. Dabei handelt es sich um eine~~
489	~~Konkretisierung des Erforderlichkeitsgrundsatzes auf~~
490	~~technischer Ebene: Schon durch die entsprechende~~
491	~~Technikgestaltung soll das Recht auf informationelle~~
492	~~Selbstbestimmung präventiv geschützt werden. [Fußnote:~~
493	~~Gola/Schomerus, BDSG, § 3a Rn. 1.] Da der Grundsatz nicht~~
494	~~sanktionsbewehrt ist, ist er – obwohl als Rechtspflicht~~
495	~~formuliert – eher als Programmsatz zu~~ verstehen.
496

2.1.2 Grundprinzipien des Datenschutzrechts (Originalversion)

von EnqueteBuero, 15. März 2011 15:18 angelegt

1	Erlaubnisvorbehalt
2
3	Ein zentraler Grundsatz des Datenschutzrechts lässt sich in
4	einem Satz wie folgt formulieren: Der Umgang mit
5	personenbezogenen Daten ist verboten, es sei denn, der
6	Betroffene willigt ein oder eine Rechtsnorm legitimiert
7	ihn. Dieser Grundsatz ist sowohl im Gemeinschaftsrecht
8	(Art. 7 DSRL), als auch im nationalen allgemeinen (§ 4 Abs.
9	1 BDSG) und bereichsspezifischen Datenschutzrecht (z.B. §
10	12 TMG) normiert. Demnach bestimmt sich die Zulässigkeit
11	eines jeden einzelnen Datenverarbeitungsvorgangs danach, ob
12	der Betroffene den Vorgang erlaubt hat oder ob er sich auf
13	einen gesetzlichen Erlaubnistatbestand stützen lässt.
14	[Fußnote: Kühling/Seidel/Sivridis, Datenschutzrecht, S. 130
15	f.]
16	Die Einwilligung ist vor allem im nicht-öffentlichen
17	Bereich, neben den vertraglichen Legitimationen, von
18	erheblicher Bedeutung. [Fußnote: Kühling/Seidel/Sivridis,
19	Datenschutzrecht, S. 131.] Sie legitimiert einen
20	Datenverarbeitungsvorgang nur dann, wenn sie wirksam
21	erteilt wurde, wofür das Gesetz bestimmte
22	Mindestanforderungen vorsieht (vgl. § 4a BDSG oder auch
23	Art. 7 lit. a) DSRL wonach die betroffene Person „ohne
24	jeden Zweifel ihre Einwilligung gegeben“ haben muss). Nach
25	nationalem Recht (§ 4a BDSG) ist eine Einwilligung nur
26	wirksam, wenn sie auf der freien Entscheidung des
27	Betroffenen beruht, also ohne Zwang erfolgt. Dies setzt
28	voraus, dass der Einzelne Bedeutung und Tragweite seiner
29	Entscheidung erkennen kann.
30
31	Deshalb ist die Einwilligung in die Datenerhebung oder
32	–verarbeitung nur dann zulässig, wenn die betreffende
33	Person „ohne jeden Zweifel ihre Einwilligung gegeben“ hat.
34	Dies impliziert, dass die Einwilligung informiert, aktiv
35	und freiwillig zu geschehen hat. Eine informierte
36	Einwilligung setzt Transparenz und Kenntnis voraus. Allein
37	durch die Nutzung einer Website kann keine aktive
38	Einwilligung erteilt werden. Auch das Beibehalten von
39	Einstellungen von Internetdiensten oder Browsern, die in
40	der Voreinstellung nicht privacy by default vorsehen,
41	genügt nicht der Fiktion einer aktiven Einwilligung. Hier
42	wird die Kenntnis der möglichen Einstellungen und ihrer
43	Veränderungsmöglichkeiten vorausgesetzt, die jedoch weder
44	bei jedem Nutzer gleichermaßen gegeben noch von allen
45	Diensteanbietern gefördert wird.
46
47	An der Möglichkeit zu einer freien Entscheidung kann es
48	jedoch fehlen, wenn die Einwilligung in einer Situation
49	wirtschaftlicher oder sozialer Schwäche oder Unterordnung
50	erteilt wird oder wenn der Betroffene durch übermäßige
51	Anreize finanzieller oder sonstiger Natur zur Preisgabe
52	seiner Daten verleitet wird.
53
54	-----------------------------------------------
55	streitig Anfang
56	-----------------------------------------------
57
58	Überall dort, wo eine gestörte Vertragsparität vorliegt,
59	sollte die Einwilligung des Betroffenen unwirksam sein, so
60	insbesondere im Abhängigkeitsverhältnis Arbeitnehmer bzw.
61	Bewerber zum Arbeitgeber sowie Bürger - bspw. als
62	Leistungsempfänger - zum Staat , sofern es für die Abfrage
63	dieser persönlichen Daten keine gesetzliche Grundlage gibt.
64	Auch bei Verträgen zwischen Verbrauchern und Unternehmen
65	existiert keine Parität. So kann z.B. bei
66	internetbasierten Dienste, die ohne die Einwilligung zur
67	Preisgabe persönlicher Daten, die für die Erbringung des
68	Dienstes selbst nicht benötigt werden, nicht abgeschlossen
69	werden, von einer freiwilligen Einwilligung nicht
70	ausgegangen werden, wenn diese Dienstleistung nicht auch
71	ohne Datenerhebung erhältlich ist.
72
73	-----------------------------------------------
74	streitig Ende
75	-----------------------------------------------
76
77	-----------------------------------------------
78	Alternativvorschlag Anfang
79	-----------------------------------------------
80
81	Es gibt Situationen, in denen sich die Vertragspartner
82	unterschiedlich stark gegenüberstehen. Für diese Fälle wird
83	diskutiert, inwieweit eine freiwillige Einwilligung in die
84	Datenerhebung vorliegt, insbesondere wenn Daten erhoben
85	werden, die für die Erbringung der Dienstleistung selbst
86	nicht benötigt werden. Für die Freiwilligkeit kann aber
87	auch von Bedeutung sein, ob ein anderes Angebot in
88	zumutbarer Weise zur Verfügung steht.
89
90	-----------------------------------------------
91	Alternativvorschlag Ende
92	-----------------------------------------------
93
94	Außerdem muss der Betroffene nach § 4a BDSG auf den
95	vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung
96	hingewiesen werden. Wenn die Situation es erfordert oder
97	der Betroffene es verlangt, muss er auch darüber informiert
98	werden, welche Folgen eine Verweigerung der Einwilligung
99	nach sich zieht. Das geltende Recht lässt für das Internet
100	die Möglichkeit einer elektronischen Einwilligung zu (§ 13
101	Abs. 2 TMG), die z. B. durch Ankreuzen einer Checkbox
102	erteilt werden kann.
103
104	Nach datenschutzrechtlichen Grundsätzen ist eine
105	Einwilligung also nur dann wirksam, wenn sie in Kenntnis
106	der entscheidungsrelevanten Umstände erteilt wird. Der
107	Betroffene muss auf der Grundlage der ihm vorliegenden
108	Informationen Bedeutung und Tragweite seiner Entscheidung
109	zur Datenfreigabe erkennen können. Im Hinblick auf die
110	spezifischen Bedingungen im digitalen Bereich ergeben sich
111	hier neue Herausforderungen.
112
113	Die Frage von Transparenz- und Informationspflichten stellt
114	sich in besonderem Maße. Auch Art und Weise der
115	Informationspraxis sind bestimmend dafür, in welchem Umfang
116	Bürgerinnen und Bürger bei Erteilung ihrer Einwilligung
117	einschätzen können, welche Daten zu welchem Zweck
118	gespeichert werden sollen.
119
120	Die Einwilligung kann bislang in unterschiedlicher Form
121	eingeholt werden (opt-in und opt-out, sowie
122	unterschiedliche Formulierungen). Dies erfordert eine
123	besondere Aufmerksamkeit und ein erhöhtes Textverständnis,
124	der in der Regel in juristischer Sprache formulierten
125	Textpassagen. Eine informierte Einwilligung aufgrund
126	dieser, der Absicherung eines Unternehmens dienenden Texte,
127	ist aufgrund der Art des Textes und der gegebenen
128	Informationen daher für viele Menschen nur schwer möglich.
129	Gerade in der digitalen Welt gäbe es aber auch alternative
130	Formen, Informationen verständlich bereitzustellen.
131
132	Einwilligungen werden unbefristet erteilt. Eine echte
133	Transparenz und ein Überblick über die erteilten
134	Einwilligungen ist für die Nutzer angesichts der Vielzahl
135	der eingeforderten Einwilligungen nur schwer zu behalten.
136	Der Betreiber des Dienstes unterscheidet sich oftmals von
137	der datenverarbeitenden Stelle, eine Transparenz darüber,
138	welche Dienste bzw. Unternehmen welche Daten erhalten, ist
139	oftmals nicht vorhanden. In einer solchen Situation können
140	die Arbeitnehmer/Bürger/Nutzer ihre Informations-,
141	Widerrufs-, Korrektur- und Löschrechte nur unzureichend
142	geltend machen.
143
144	Eine autonome Entscheidung über die Preisgabe eigener Daten
145	im Internet können Menschen dann fällen, wenn sie Vor- und
146	Nachteile ihrer Einwilligung einschätzen und
147	Handlungsalternativen erkennen können. Die Medienkompetenz
148	des Einzelnen trägt wesentlich dazu bei, informierte
149	Einwilligungen zu ermöglichen und zu befördern. Diese kann
150	aber nicht in gleicher Ausprägung von allen Personen
151	erwartet werden und kann nicht als Ersatz für
152	bedürfnisgerechtere Anforderungen an Transparenz,
153	Information und Einwilligung stehen.
154
155	Im öffentlichen Bereich erfolgt die Datenverarbeitung
156	personenbezogener Daten dagegen fast ausschließlich auf
157	Grundlage gesetzlicher Erlaubnistatbestände, die den
158	verfassungsrechtlichen Anforderungen genügen müssen.
159
160	Die erfolgreichen Verfassungsbeschwerden der letzten Jahre
161	zeigen allerdings, dass die verfassungsrechtlichen Vorgaben
162	bei der Gesetzgebung teilweise nicht eingehalten wurden.
163
164	Erforderlichkeitsgrundsatz
165
166	Der Erforderlichkeitsgrundsatz folgt aus dem
167	verfassungsrechtlichen Verhältnismäßigkeitsgrundsatz und
168	ist zudem in Art. 7 lit. b) bis f) DSRL festgeschrieben. Er
169	steht in engem Zusammenhang mit dem Grundsatz der
170	Zweckfestlegung und der Zweckbindung. Demnach ist der
171	Umgang mit personenbezogenen Daten auf das zum Erreichen
172	des angestrebten Zieles erforderliche Minimum zu
173	beschränken. [Fußnote: BVerfGE 65, 1, 46.] Es sollen nur so
174	viele Daten erhoben, verarbeitet oder genutzt werden, wie
175	zur Zweckerreichung unbedingt notwendig. Für den
176	öffentlichen Bereich ist der Grundsatz in §§ 13 bis 16
177	(insbesondere in den Abs. 1) normiert, wobei der zulässige
178	Zweck auf die öffentliche Aufgabenerfüllung begrenzt ist.
179	Der Erforderlichkeitsgrundsatz gilt aber auch im
180	nicht-öffentlichen Bereich, wo seine effektive
181	Verwirklichung durch eine möglichst genaue Zweckbestimmung
182	bedingt ist. [Fußnote: Kühling/Seidel/Sivridis,
183	Datenschutzrecht, S. 136.]
184
185	Zweckbindungsgrundsatz
186
187	Der Zweckbindungsgrundsatz besagt, dass die Daten, die für
188	einen bestimmten Zweck erhoben worden sind, auch nur zu
189	diesem Zweck verarbeitet oder genutzt werden dürfen.
190	[Fußnote: Gola/Klug, Grundzüge des Datenschutzrechts, S.
191	48.] Der Zweck der Datenerhebung begrenzt folglich den
192	weiteren Umgang mit den erhobenen Daten. Sie dürfen nur zu
193	dem Zweck weiter verwendet werden, der von der Einwilligung
194	oder der konkret legitimierenden Rechtsnorm erfasst ist.
195	Das setzt voraus, dass das Ziel der Datenverarbeitung
196	und/oder -nutzung bereits vor der Datenerhebung so genau
197	wie möglich bestimmt ist. Eine Speicherung auf Vorrat für
198	künftige, noch nicht bekannte Zwecke ist dagegen
199	grundsätzlich unzulässig. [Fußnote: Gola/Klug, Grundzüge
200	des Datenschutzrechts, S. 48.]
201
202	-----------------------------------------------
203	streitig Anfang
204	-----------------------------------------------
205
206	Vor allem im nicht-öffentlichen Bereich stößt die
207	Beibehaltung dieses Grundsatzes auf praktische Probleme. In
208	einer vernetzten Welt ist der Datenaustausch oftmals durch
209	Spontanität und gerade nicht durch eine vorherige
210	Festlegung des Verarbeitungszweckes bestimmt. [Fußnote:
211	Kühling, Verw 40 (2007), 153, 159.]
212
213	Die Frage der Freiwilligkeit einer Einwilligung hat in der
214	digitalen Welt an Brisanz gewonnen. Wenn beispielsweise die
215	Nutzung eines Online-Dienstes voraussetzt, dass der Nutzer
216	durch Ankreuzen einer Checkbox der Erhebung seiner Daten
217	zustimmt, so sind sich die Betroffenen über die Tragweite
218	ihrer Entscheidung häufig nicht im Klaren. Da sie die
219	entsprechenden Datenschutzbestimmungen des Anbieters bzw.
220	dessen Allgemeine Geschäftsbedingungen, in die erstere
221	bisweilen integriert sind, häufig nicht oder nur
222	oberflächlich zur Kenntnis nehmen, erteilen sie im Zweifel
223	alle Einwilligung, die sie bei genauerer Überlegung nicht
224	erteilt hätten. Um zu klären, ob die für eine informierte
225	und freiwillige Entscheidung wichtigen Informationen
226	tatsächlich in ausreichend transparenter Weise vorgelegen
227	haben, ist es dann jedoch bereits zu spät: Die Daten werden
228	erhoben, und der Betroffene ist sich darüber häufig nicht
229	im Klaren. Folglich kommt es im Nachhinein auch nicht mehr
230	zur Überprüfung der Rechtsgültigkeit der erteilten
231	Einwilligung. Die Erfahrung zeigt, dass die Mehrzahl der
232	Internetnutzer Datenschutzerklärungen ebenso wenig liest
233	wie Allgemeine Geschäftsbedingungen und dennoch am
234	elektronischen Geschäftsverkehr teilnimmt. Dies deutet
235	darauf hin, dass die Mehrzahl der auf diesem Wege erteilten
236	Einwilligungen nicht freiwillig erteilt worden sind, woraus
237	zu schließen werde, dass in zahlreichen Fällen Daten ohne
238	rechtliche Grundlage erhoben und gespeichert werden. Man
239	erkennt hier, dass die an sich begrüßenswerte Intention des
240	Gesetzgebers, einen maximalen Schutz der personenbezogenen
241	Daten des Einzelnen zu ermöglichen, im Internetzeitalter
242	nicht mehr verwirklicht wird. Die Praxis der elektronischen
243	Einwilligung nach §13 Abs. 2 TMG wird von Diensteanbietern
244	systematisch dazu genutzt, den Datenschutz zu unterlaufen,
245	indem sie sich auf diese Weise die Zustimmung zu
246	Datenerhebungen von den Nutzern erteilen lassen, die in
247	aller Regel deren Interesse, die eigene Privatsphäre zu
248	schützen, zuwiderlaufen. Anders gesagt: Das bloße
249	„Abklicken“ einer Einwilligung in die Erhebung und
250	Verwendung personenbezogener Daten zu allerlei Zwecken ist
251	nur formal eine freiwillige Einwilligung. Faktisch werden
252	Bürgerinnen und Bürger auf diese Weise entmündigt. Dahinter
253	steht das Interesse der Anbieter, diese Daten zu
254	monetarisieren. Derartige Geschäftsmodelle laufen den
255	Interessen der Bürgerinnen und Bürger auch dann zuwider,
256	wenn sie eine kostenfreie Nutzung des betreffenden Dienstes
257	allererst ermöglichen, weil sie darauf basieren, die
258	Privatsphäre des Einzelne dem Primat der wirtschaftlichen
259	Wertschöpfung zu unterwerfen. Schon heute ist bei vielen
260	Onlinediensten für die Nutzer nicht mehr durchschaubar,
261	wozu ihre Daten genutzt werden und in welcher Weise sie im
262	Rahmen von Datenhandel weiterverbreitet werden.
263
264	Um das Datenschutzrecht in einer bürgerfreundlichen Weise
265	weiterzuentwickeln, sind Regelungen zu schaffen, die dem
266	Nutzer seine verlorene Souveränität wiedergeben. Ihm müssen
267	Mittel an die Hand gegeben werden, die es ihm ermöglichen,
268	die Kontrolle über die Erhebung personenbezogener Daten
269	tatsächlich, nicht nur formal selbst auszuüben.
270	Privacy-by-default-Modelle sind hierfür geeignete
271	Ansatzpunkte. Denkbar sind auch verbindliche Vorgaben für
272	die Diensteanbieter, die es diesen auferlegen, stets auch
273	eine Alternative zu der Option einer „freiwilligen“
274	Zustimmung zur umfassenden Erhebung personenbezogener Daten
275	anzubieten. Dies könnte beispielsweise dadurch realisiert
276	werden, dass ein aktives Anklicken verschiedener
277	Berechtigungen zwingend vorgeschrieben wird. Der Betroffene
278	müsste dann jeweils gesondert in die Erhebung und
279	Verarbeitung personenbezogener Daten zu unterschiedlichen
280	Verwendungszwecken, in den Einsatz unterschiedlicher
281	Webtracking-Techniken und unterschiedlicher Cookies
282	einwilligen. Zu bedenken wäre auch, die Einwilligung unter
283	dem Vorbehalt einer Erneuerung zeitlich zu befristen,
284	sodass nach Ablauf einer gewissen Zeit der Nutzer seine
285	Zustimmung erneut abgeben müsste.
286
287	Wo von vornherein eine gestörte Vertragsparität vorliegt,
288	sollte die Einwilligung des Betroffenen auch dann unwirksam
289	sein, wenn sie nach derzeit geltendem Recht freiwillig
290	erteilt wurde, da in Abhängigkeitsverhältnissen
291	grundsätzlich nicht davon auszugehen ist, dass
292	Freiwilligkeit im Sinne der gesetzgeberischen Intention
293	tatsächlich gegeben ist. Wenn etwa Sozialhilfeempfänger
294	gegenüber der Bundesagentur für Arbeit in die Speicherung
295	einwilligen, weil sie fürchten, dass diese Einwilligung
296	eine Voraussetzung für den Leistungsbezug darstellen
297	könnte, ist dies ebenso problematisch, wie wenn
298	Arbeitnehmer ihrem Arbeitgeber umfassende personenbezogene
299	Daten zur Verfügung stellen. Der im Bundesdatenschutzgesetz
300	vorgesehene Vorbehalt der freiwilligen Einwilligung in die
301	Erhebung personenenbezogener Daten ist deshalb nicht
302	unreflektiert auf das Beschäftigungsverhältnis zu
303	übertragen. Vielmehr ist im Falle gestörter Vertragsparität
304	eine Regelung vorzusehen, die die Rechte der jeweils
305	schwächeren Partei wirksam schützt.
306
307	-----------------------------------------------
308	streitig Ende
309	-----------------------------------------------
310
311	Transparenzgrundsatz
312
313	Die informationelle Selbstbestimmung setzt nach Auffassung
314	des BVerfG voraus, dass Bürger wissen und grundsätzlich
315	auch entscheiden können sollen, „wer was wann und bei
316	welcher Gelegenheit“ über ihn weiß. [Fußnote: BVerfGE 65,
317	1, 43.]Das setzt wiederum voraus, dass Datenerhebungs-,
318	-verarbeitungs- und -nutzungsvorgänge transparent gestaltet
319	werden. Zudem ist der Transparenzgrundsatz die grundlegende
320	Voraussetzung dafür, dass Betroffene aktive
321	Datenschutzrechte wahrnehmen können. Transparenz wird in
322	erster Linie durch den Grundsatz der Direkterhebung
323	verwirklicht, wonach die Daten grundsätzlich beim
324	Betroffenen zu erheben sind (§ 4 Abs. 2 S. 1, Abs. 3 BDSG),
325	so dass er unmittelbar Kenntnis von dem Vorgang erlangt.
326	Nur unter engen Voraussetzungen darf die Datenerhebung ohne
327	Mitwirkung des Betroffenen erfolgen (§ 4 Abs. 2 S. 2 BDSG).
328	Flankiert wird das Transparenzgebot durch Auskunftsrechte
329	und Informations-, Benachrichtigungs-, Unterrichtungs-,
330	Hinweis- und Aufklärungspflichten der verantwortlichen
331	Stelle. [Fußnote: Kühling/Seidel/Sivridis,
332	Datenschutzrecht, S. 136.]
333
334	Gerade im nicht-öffentlichen Bereich wissen oftmals viele
335	Bürgerinnen und Bürger nicht, wer eigentliche welche ihrer
336	Daten zu welchen Zwecken speichert und verwendet.
337
338	Prinzip der Datenvermeidung und Datensparsamkeit
339
340	Der Grundsatz der Datenvermeidung und Datensparsamkeit ist
341	– obwohl nicht durch die DSRL vorgegeben – in § 3a BDSG
342	normiert und besagt, dass so wenig personenbezogene Daten
343	wie möglich erhoben, verarbeitet oder genutzt werden sollen
344	und auch die Datenverarbeitungssysteme an diesem Ziel
345	auszurichten sind. Dabei handelt es sich um eine
346	Konkretisierung des Erforderlichkeitsgrundsatzes auf
347	technischer Ebene: Schon durch die entsprechende
348	Technikgestaltung soll das Recht auf informationelle
349	Selbstbestimmung präventiv geschützt werden. [Fußnote:
350	Gola/Schomerus, BDSG, § 3a Rn. 1.] Da der Grundsatz nicht
351	sanktionsbewehrt ist, ist er – obwohl als Rechtspflicht
352	formuliert – eher als Programmsatz zu verstehen. [Fußnote:
353	Gola/Schomerus, BDSG, § 3a Rn. 1.]
354
355	-----------------------------------------------
356	streitig Anfang
357	-----------------------------------------------
358
359	Das Prinzip der Datenvermeidung und Datensparsamkeit sollte
360	durch klare Normierung gestärkt werden. Die zahlenreichen
361	Datenskandale der letzten Zeit haben deutlich gemacht, dass
362	die Umsetzung des datenschutzrechtlichen
363	Erforderlichkeitsgrundsatzes in technische Features nur
364	funktionieren kann, wenn die Aufsichtsbehörden bei
365	Nichtbeachtung der Vorschrift wirksame Sanktionen verhängen
366	können. Ziel muss es sein, nur die für einen bestimmten
367	Zweck tatsächlich notwendigen Daten sammeln zu dürfen. Dazu
368	ist eine Normierung des Grundsatzes „privacy-by-design“
369	erforderlich. Es ist Aufgabe des Gesetzesgebers,
370	entsprechende Anreize zu schaffen. Vorstellbar ist
371	beispielsweise ein System der abgestuften Erwiderung, bei
372	dem Anbietern, die sich rechtswidrig verhalten, zunächst
373	ein Warnhinweis zugestellt wird, bevor weitere Sanktionen
374	greifen.
375
376	-----------------------------------------------
377	streitig Ende
378	-----------------------------------------------
379

2.1.2 Grundprinzipien des Datenschutzrechts (Originalversion)

von EnqueteBuero, 2. Mai 2011 09:17 angelegt

1	Erlaubnisvorbehalt
2
3	Ein zentraler Grundsatz des Datenschutzrechts lässt sich in
4	einem Satz wie folgt formulieren: Der Umgang mit
5	personenbezogenen Daten ist verboten, es sei denn, der
6	Betroffene willigt ein oder eine Rechtsnorm legitimiert
7	ihn. Dieser Grundsatz ist sowohl im Gemeinschaftsrecht
8	(Art. 7 DSRL), als auch im nationalen allgemeinen (§ 4 Abs.
9	1 BDSG) und bereichsspezifischen Datenschutzrecht (z.B. §
10	12 TMG) normiert. Demnach bestimmt sich die Zulässigkeit
11	eines jeden einzelnen Datenverarbeitungsvorgangs danach, ob
12	der Betroffene den Vorgang erlaubt hat oder ob er sich auf
13	einen gesetzlichen Erlaubnistatbestand stützen lässt.
14	[Fußnote: Kühling/Seidel/Sivridis, Datenschutzrecht, S. 130
15	f.]
16	Die Einwilligung ist vor allem im nicht-öffentlichen
17	Bereich, neben den vertraglichen Legitimationen, von
18	erheblicher Bedeutung. [Fußnote: Kühling/Seidel/Sivridis,
19	Datenschutzrecht, S. 131.] Sie legitimiert einen
20	Datenverarbeitungsvorgang nur dann, wenn sie wirksam
21	erteilt wurde, wofür das Gesetz bestimmte
22	Mindestanforderungen vorsieht (vgl. § 4a BDSG oder auch
23	Art. 7 lit. a) DSRL wonach die betroffene Person „ohne
24	jeden Zweifel ihre Einwilligung gegeben“ haben muss). Nach
25	nationalem Recht (§ 4a BDSG) ist eine Einwilligung nur
26	wirksam, wenn sie auf der freien Entscheidung des
27	Betroffenen beruht, also ohne Zwang erfolgt. Dies setzt
28	voraus, dass der Einzelne Bedeutung und Tragweite seiner
29	Entscheidung erkennen kann.
30
31	Deshalb ist die Einwilligung in die Datenerhebung oder
32	–verarbeitung nur dann zulässig, wenn die betreffende
33	Person „ohne jeden Zweifel ihre Einwilligung gegeben“ hat.
34	Dies impliziert, dass die Einwilligung informiert, aktiv
35	und freiwillig zu geschehen hat. Eine informierte
36	Einwilligung setzt Transparenz und Kenntnis voraus. Allein
37	durch die Nutzung einer Website kann keine aktive
38	Einwilligung erteilt werden. Auch das Beibehalten von
39	Einstellungen von Internetdiensten oder Browsern, die in
40	der Voreinstellung nicht privacy by default vorsehen,
41	genügt nicht der Fiktion einer aktiven Einwilligung. Hier
42	wird die Kenntnis der möglichen Einstellungen und ihrer
43	Veränderungsmöglichkeiten vorausgesetzt, die jedoch weder
44	bei jedem Nutzer gleichermaßen gegeben noch von allen
45	Diensteanbietern gefördert wird.
46
47	An der Möglichkeit zu einer freien Entscheidung kann es
48	jedoch fehlen, wenn die Einwilligung in einer Situation
49	wirtschaftlicher oder sozialer Schwäche oder Unterordnung
50	erteilt wird oder wenn der Betroffene durch übermäßige
51	Anreize finanzieller oder sonstiger Natur zur Preisgabe
52	seiner Daten verleitet wird.
53
54	Es gibt Situationen, in denen sich die Vertragspartner
55	unterschiedlich stark gegenüberstehen. Für diese Fälle wird
56	diskutiert, inwieweit eine freiwillige Einwilligung in die
57	Datenerhebung vorliegt, insbesondere wenn Daten erhoben
58	werden, die für die Erbringung der Dienstleistung selbst
59	nicht benötigt werden. Für die Freiwilligkeit kann aber
60	auch von Bedeutung sein, ob ein anderes Angebot in
61	zumutbarer Weise zur Verfügung steht.
62
63	Außerdem muss der Betroffene nach § 4a BDSG auf den
64	vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung
65	hingewiesen werden. Wenn die Situation es erfordert oder
66	der Betroffene es verlangt, muss er auch darüber informiert
67	werden, welche Folgen eine Verweigerung der Einwilligung
68	nach sich zieht. Das geltende Recht lässt für das Internet
69	die Möglichkeit einer elektronischen Einwilligung zu (§ 13
70	Abs. 2 TMG), die z. B. durch Ankreuzen einer Checkbox
71	erteilt werden kann.
72
73	Nach datenschutzrechtlichen Grundsätzen ist eine
74	Einwilligung also nur dann wirksam, wenn sie in Kenntnis
75	der entscheidungsrelevanten Umstände erteilt wird. Der
76	Betroffene muss auf der Grundlage der ihm vorliegenden
77	Informationen Bedeutung und Tragweite seiner Entscheidung
78	zur Datenfreigabe erkennen können. Im Hinblick auf die
79	spezifischen Bedingungen im digitalen Bereich ergeben sich
80	hier neue Herausforderungen.
81
82	Die Frage von Transparenz- und Informationspflichten stellt
83	sich in besonderem Maße. Auch Art und Weise der
84	Informationspraxis sind bestimmend dafür, in welchem Umfang
85	Bürgerinnen und Bürger bei Erteilung ihrer Einwilligung
86	einschätzen können, welche Daten zu welchem Zweck
87	gespeichert werden sollen.
88
89	Die Einwilligung kann bislang in unterschiedlicher Form
90	eingeholt werden (opt-in und opt-out, sowie
91	unterschiedliche Formulierungen). Dies erfordert eine
92	besondere Aufmerksamkeit und ein erhöhtes Textverständnis,
93	der in der Regel in juristischer Sprache formulierten
94	Textpassagen. Eine informierte Einwilligung aufgrund
95	dieser, der Absicherung eines Unternehmens dienenden Texte,
96	ist aufgrund der Art des Textes und der gegebenen
97	Informationen daher für viele Menschen nur schwer möglich.
98	Gerade in der digitalen Welt gäbe es aber auch alternative
99	Formen, Informationen verständlich bereitzustellen.
100
101	Einwilligungen werden unbefristet erteilt. Eine echte
102	Transparenz und ein Überblick über die erteilten
103	Einwilligungen ist für die Nutzer angesichts der Vielzahl
104	der eingeforderten Einwilligungen nur schwer zu behalten.
105	Der Betreiber des Dienstes unterscheidet sich oftmals von
106	der datenverarbeitenden Stelle, eine Transparenz darüber,
107	welche Dienste bzw. Unternehmen welche Daten erhalten, ist
108	oftmals nicht vorhanden. In einer solchen Situation können
109	die Arbeitnehmer/Bürger/Nutzer ihre Informations-,
110	Widerrufs-, Korrektur- und Löschrechte nur unzureichend
111	geltend machen.
112
113	Eine autonome Entscheidung über die Preisgabe eigener Daten
114	im Internet können Menschen dann fällen, wenn sie Vor- und
115	Nachteile ihrer Einwilligung einschätzen und
116	Handlungsalternativen erkennen können. Die Medienkompetenz
117	des Einzelnen trägt wesentlich dazu bei, informierte
118	Einwilligungen zu ermöglichen und zu befördern. Diese kann
119	aber nicht in gleicher Ausprägung von allen Personen
120	erwartet werden und kann nicht als Ersatz für
121	bedürfnisgerechtere Anforderungen an Transparenz,
122	Information und Einwilligung stehen.
123
124	Im öffentlichen Bereich erfolgt die Datenverarbeitung
125	personenbezogener Daten dagegen fast ausschließlich auf
126	Grundlage gesetzlicher Erlaubnistatbestände, die den
127	verfassungsrechtlichen Anforderungen genügen müssen.
128
129	Die erfolgreichen Verfassungsbeschwerden der letzten Jahre
130	zeigen allerdings, dass die verfassungsrechtlichen Vorgaben
131	bei der Gesetzgebung teilweise nicht eingehalten wurden.
132
133	Erforderlichkeitsgrundsatz
134
135	Der Erforderlichkeitsgrundsatz folgt aus dem
136	verfassungsrechtlichen Verhältnismäßigkeitsgrundsatz und
137	ist zudem in Art. 7 lit. b) bis f) DSRL festgeschrieben. Er
138	steht in engem Zusammenhang mit dem Grundsatz der
139	Zweckfestlegung und der Zweckbindung. Demnach ist der
140	Umgang mit personenbezogenen Daten auf das zum Erreichen
141	des angestrebten Zieles erforderliche Minimum zu
142	beschränken. [Fußnote: BVerfGE 65, 1, 46.] Es sollen nur so
143	viele Daten erhoben, verarbeitet oder genutzt werden, wie
144	zur Zweckerreichung unbedingt notwendig. Für den
145	öffentlichen Bereich ist der Grundsatz in §§ 13 bis 16
146	(insbesondere in den Abs. 1) normiert, wobei der zulässige
147	Zweck auf die öffentliche Aufgabenerfüllung begrenzt ist.
148	Der Erforderlichkeitsgrundsatz gilt aber auch im
149	nicht-öffentlichen Bereich, wo seine effektive
150	Verwirklichung durch eine möglichst genaue Zweckbestimmung
151	bedingt ist. [Fußnote: Kühling/Seidel/Sivridis,
152	Datenschutzrecht, S. 136.]
153
154	Zweckbindungsgrundsatz
155
156	Der Zweckbindungsgrundsatz besagt, dass die Daten, die für
157	einen bestimmten Zweck erhoben worden sind, auch nur zu
158	diesem Zweck verarbeitet oder genutzt werden dürfen.
159	[Fußnote: Gola/Klug, Grundzüge des Datenschutzrechts, S.
160	48.] Der Zweck der Datenerhebung begrenzt folglich den
161	weiteren Umgang mit den erhobenen Daten. Sie dürfen nur zu
162	dem Zweck weiter verwendet werden, der von der Einwilligung
163	oder der konkret legitimierenden Rechtsnorm erfasst ist.
164	Das setzt voraus, dass das Ziel der Datenverarbeitung
165	und/oder -nutzung bereits vor der Datenerhebung so genau
166	wie möglich bestimmt ist. Eine Speicherung auf Vorrat für
167	künftige, noch nicht bekannte Zwecke ist dagegen
168	grundsätzlich unzulässig. [Fußnote: Gola/Klug, Grundzüge
169	des Datenschutzrechts, S. 48.]
170
171	-----------------------------------------------
172	streitig Anfang
173	-----------------------------------------------
174
175	Vor allem im nicht-öffentlichen Bereich stößt die
176	Beibehaltung dieses Grundsatzes auf praktische Probleme. In
177	einer vernetzten Welt ist der Datenaustausch oftmals durch
178	Spontanität und gerade nicht durch eine vorherige
179	Festlegung des Verarbeitungszweckes bestimmt. [Fußnote:
180	Kühling, Verw 40 (2007), 153, 159.]
181
182	Die Frage der Freiwilligkeit einer Einwilligung hat in der
183	digitalen Welt an Brisanz gewonnen. Wenn beispielsweise die
184	Nutzung eines Online-Dienstes voraussetzt, dass der Nutzer
185	durch Ankreuzen einer Checkbox der Erhebung seiner Daten
186	zustimmt, so sind sich die Betroffenen über die Tragweite
187	ihrer Entscheidung häufig nicht im Klaren. Da sie die
188	entsprechenden Datenschutzbestimmungen des Anbieters bzw.
189	dessen Allgemeine Geschäftsbedingungen, in die erstere
190	bisweilen integriert sind, häufig nicht oder nur
191	oberflächlich zur Kenntnis nehmen, erteilen sie im Zweifel
192	alle Einwilligung, die sie bei genauerer Überlegung nicht
193	erteilt hätten. Um zu klären, ob die für eine informierte
194	und freiwillige Entscheidung wichtigen Informationen
195	tatsächlich in ausreichend transparenter Weise vorgelegen
196	haben, ist es dann jedoch bereits zu spät: Die Daten werden
197	erhoben, und der Betroffene ist sich darüber häufig nicht
198	im Klaren. Folglich kommt es im Nachhinein auch nicht mehr
199	zur Überprüfung der Rechtsgültigkeit der erteilten
200	Einwilligung. Die Erfahrung zeigt, dass die Mehrzahl der
201	Internetnutzer Datenschutzerklärungen ebenso wenig liest
202	wie Allgemeine Geschäftsbedingungen und dennoch am
203	elektronischen Geschäftsverkehr teilnimmt. Dies deutet
204	darauf hin, dass die Mehrzahl der auf diesem Wege erteilten
205	Einwilligungen nicht freiwillig erteilt worden sind, woraus
206	zu schließen werde, dass in zahlreichen Fällen Daten ohne
207	rechtliche Grundlage erhoben und gespeichert werden. Man
208	erkennt hier, dass die an sich begrüßenswerte Intention des
209	Gesetzgebers, einen maximalen Schutz der personenbezogenen
210	Daten des Einzelnen zu ermöglichen, im Internetzeitalter
211	nicht mehr verwirklicht wird. Die Praxis der elektronischen
212	Einwilligung nach §13 Abs. 2 TMG wird von Diensteanbietern
213	systematisch dazu genutzt, den Datenschutz zu unterlaufen,
214	indem sie sich auf diese Weise die Zustimmung zu
215	Datenerhebungen von den Nutzern erteilen lassen, die in
216	aller Regel deren Interesse, die eigene Privatsphäre zu
217	schützen, zuwiderlaufen. Anders gesagt: Das bloße
218	„Abklicken“ einer Einwilligung in die Erhebung und
219	Verwendung personenbezogener Daten zu allerlei Zwecken ist
220	nur formal eine freiwillige Einwilligung. Faktisch werden
221	Bürgerinnen und Bürger auf diese Weise entmündigt. Dahinter
222	steht das Interesse der Anbieter, diese Daten zu
223	monetarisieren. Derartige Geschäftsmodelle laufen den
224	Interessen der Bürgerinnen und Bürger auch dann zuwider,
225	wenn sie eine kostenfreie Nutzung des betreffenden Dienstes
226	allererst ermöglichen, weil sie darauf basieren, die
227	Privatsphäre des Einzelne dem Primat der wirtschaftlichen
228	Wertschöpfung zu unterwerfen. Schon heute ist bei vielen
229	Onlinediensten für die Nutzer nicht mehr durchschaubar,
230	wozu ihre Daten genutzt werden und in welcher Weise sie im
231	Rahmen von Datenhandel weiterverbreitet werden.
232
233	Um das Datenschutzrecht in einer bürgerfreundlichen Weise
234	weiterzuentwickeln, sind Regelungen zu schaffen, die dem
235	Nutzer seine verlorene Souveränität wiedergeben. Ihm müssen
236	Mittel an die Hand gegeben werden, die es ihm ermöglichen,
237	die Kontrolle über die Erhebung personenbezogener Daten
238	tatsächlich, nicht nur formal selbst auszuüben.
239	Privacy-by-default-Modelle sind hierfür geeignete
240	Ansatzpunkte. Denkbar sind auch verbindliche Vorgaben für
241	die Diensteanbieter, die es diesen auferlegen, stets auch
242	eine Alternative zu der Option einer „freiwilligen“
243	Zustimmung zur umfassenden Erhebung personenbezogener Daten
244	anzubieten. Dies könnte beispielsweise dadurch realisiert
245	werden, dass ein aktives Anklicken verschiedener
246	Berechtigungen zwingend vorgeschrieben wird. Der Betroffene
247	müsste dann jeweils gesondert in die Erhebung und
248	Verarbeitung personenbezogener Daten zu unterschiedlichen
249	Verwendungszwecken, in den Einsatz unterschiedlicher
250	Webtracking-Techniken und unterschiedlicher Cookies
251	einwilligen. Zu bedenken wäre auch, die Einwilligung unter
252	dem Vorbehalt einer Erneuerung zeitlich zu befristen,
253	sodass nach Ablauf einer gewissen Zeit der Nutzer seine
254	Zustimmung erneut abgeben müsste.
255
256	Wo von vornherein eine gestörte Vertragsparität vorliegt,
257	sollte die Einwilligung des Betroffenen auch dann unwirksam
258	sein, wenn sie nach derzeit geltendem Recht freiwillig
259	erteilt wurde, da in Abhängigkeitsverhältnissen
260	grundsätzlich nicht davon auszugehen ist, dass
261	Freiwilligkeit im Sinne der gesetzgeberischen Intention
262	tatsächlich gegeben ist. Wenn etwa Sozialhilfeempfänger
263	gegenüber der Bundesagentur für Arbeit in die Speicherung
264	einwilligen, weil sie fürchten, dass diese Einwilligung
265	eine Voraussetzung für den Leistungsbezug darstellen
266	könnte, ist dies ebenso problematisch, wie wenn
267	Arbeitnehmer ihrem Arbeitgeber umfassende personenbezogene
268	Daten zur Verfügung stellen. Der im Bundesdatenschutzgesetz
269	vorgesehene Vorbehalt der freiwilligen Einwilligung in die
270	Erhebung personenenbezogener Daten ist deshalb nicht
271	unreflektiert auf das Beschäftigungsverhältnis zu
272	übertragen. Vielmehr ist im Falle gestörter Vertragsparität
273	eine Regelung vorzusehen, die die Rechte der jeweils
274	schwächeren Partei wirksam schützt.
275
276	-----------------------------------------------
277	streitig Ende
278	-----------------------------------------------
279
280	Transparenzgrundsatz
281
282	Die informationelle Selbstbestimmung setzt nach Auffassung
283	des BVerfG voraus, dass Bürger wissen und grundsätzlich
284	auch entscheiden können sollen, „wer was wann und bei
285	welcher Gelegenheit“ über ihn weiß. [Fußnote: BVerfGE 65,
286	1, 43.]Das setzt wiederum voraus, dass Datenerhebungs-,
287	-verarbeitungs- und -nutzungsvorgänge transparent gestaltet
288	werden. Zudem ist der Transparenzgrundsatz die grundlegende
289	Voraussetzung dafür, dass Betroffene aktive
290	Datenschutzrechte wahrnehmen können. Transparenz wird in
291	erster Linie durch den Grundsatz der Direkterhebung
292	verwirklicht, wonach die Daten grundsätzlich beim
293	Betroffenen zu erheben sind (§ 4 Abs. 2 S. 1, Abs. 3 BDSG),
294	so dass er unmittelbar Kenntnis von dem Vorgang erlangt.
295	Nur unter engen Voraussetzungen darf die Datenerhebung ohne
296	Mitwirkung des Betroffenen erfolgen (§ 4 Abs. 2 S. 2 BDSG).
297	Flankiert wird das Transparenzgebot durch Auskunftsrechte
298	und Informations-, Benachrichtigungs-, Unterrichtungs-,
299	Hinweis- und Aufklärungspflichten der verantwortlichen
300	Stelle. [Fußnote: Kühling/Seidel/Sivridis,
301	Datenschutzrecht, S. 136.]
302
303	Gerade im nicht-öffentlichen Bereich wissen oftmals viele
304	Bürgerinnen und Bürger nicht, wer eigentliche welche ihrer
305	Daten zu welchen Zwecken speichert und verwendet.
306
307	Prinzip der Datenvermeidung und Datensparsamkeit
308
309	Der Grundsatz der Datenvermeidung und Datensparsamkeit ist
310	– obwohl nicht durch die DSRL vorgegeben – in § 3a BDSG
311	normiert und besagt, dass so wenig personenbezogene Daten
312	wie möglich erhoben, verarbeitet oder genutzt werden sollen
313	und auch die Datenverarbeitungssysteme an diesem Ziel
314	auszurichten sind. Dabei handelt es sich um eine
315	Konkretisierung des Erforderlichkeitsgrundsatzes auf
316	technischer Ebene: Schon durch die entsprechende
317	Technikgestaltung soll das Recht auf informationelle
318	Selbstbestimmung präventiv geschützt werden. [Fußnote:
319	Gola/Schomerus, BDSG, § 3a Rn. 1.] Da der Grundsatz nicht
320	sanktionsbewehrt ist, ist er – obwohl als Rechtspflicht
321	formuliert – eher als Programmsatz zu verstehen. [Fußnote:
322	Gola/Schomerus, BDSG, § 3a Rn. 1.]
323
324	-----------------------------------------------
325	streitig Anfang
326	-----------------------------------------------
327
328	Das Prinzip der Datenvermeidung und Datensparsamkeit sollte
329	durch klare Normierung gestärkt werden. Die zahlenreichen
330	Datenskandale der letzten Zeit haben deutlich gemacht, dass
331	die Umsetzung des datenschutzrechtlichen
332	Erforderlichkeitsgrundsatzes in technische Features nur
333	funktionieren kann, wenn die Aufsichtsbehörden bei
334	Nichtbeachtung der Vorschrift wirksame Sanktionen verhängen
335	können. Ziel muss es sein, nur die für einen bestimmten
336	Zweck tatsächlich notwendigen Daten sammeln zu dürfen. Dazu
337	ist eine Normierung des Grundsatzes „privacy-by-design“
338	erforderlich. Es ist Aufgabe des Gesetzesgebers,
339	entsprechende Anreize zu schaffen. Vorstellbar ist
340	beispielsweise ein System der abgestuften Erwiderung, bei
341	dem Anbietern, die sich rechtswidrig verhalten, zunächst
342	ein Warnhinweis zugestellt wird, bevor weitere Sanktionen
343	greifen.
344
345	-----------------------------------------------
346	streitig Ende
347	-----------------------------------------------
348
349	~~-----------------------------------------------~~
350	~~Alternativvorschlag Anfang~~
351	~~-----------------------------------------------~~
352
353	~~Es gibt Situationen, in denen sich die Vertragspartner~~
354	~~unterschiedlich stark gegenüberstehen. Für diese Fälle wird~~
355	~~diskutiert, inwieweit eine freiwillige Einwilligung in die~~
356	~~Datenerhebung vorliegt, insbesondere wenn Daten erhoben~~
357	~~werden, die für die Erbringung der Dienstleistung selbst~~
358	~~nicht benötigt werden. Für die Freiwilligkeit kann aber~~
359	~~auch von Bedeutung sein, ob ein anderes Angebot in~~
360	~~zumutbarer Weise zur Verfügung steht.~~
361
362	~~-----------------------------------------------~~
363	~~Alternativvorschlag Ende~~
364	~~-----------------------------------------------~~
365
366	~~Außerdem muss der Betroffene nach § 4a BDSG auf den~~
367	~~vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung~~
368	~~hingewiesen werden. Wenn die Situation es erfordert oder~~
369	~~der Betroffene es verlangt, muss er auch darüber informiert~~
370	~~werden, welche Folgen eine Verweigerung der Einwilligung~~
371	~~nach sich zieht. Das geltende Recht lässt für das Internet~~
372	~~die Möglichkeit einer elektronischen Einwilligung zu (§ 13~~
373	~~Abs. 2 TMG), die z. B. durch Ankreuzen einer Checkbox~~
374	~~erteilt werden kann.~~
375
376	~~Nach datenschutzrechtlichen Grundsätzen ist eine~~
377	~~Einwilligung also nur dann wirksam, wenn sie in Kenntnis~~
378	~~der entscheidungsrelevanten Umstände erteilt wird. Der~~
379	~~Betroffene muss auf der Grundlage der ihm vorliegenden~~
380	~~Informationen Bedeutung und Tragweite seiner Entscheidung~~
381	~~zur Datenfreigabe erkennen können. Im Hinblick auf die~~
382	~~spezifischen Bedingungen im digitalen Bereich ergeben sich~~
383	~~hier neue Herausforderungen.~~
384
385	~~Die Frage von Transparenz- und Informationspflichten stellt~~
386	~~sich in besonderem Maße. Auch Art und Weise der~~
387	~~Informationspraxis sind bestimmend dafür, in welchem Umfang~~
388	~~Bürgerinnen und Bürger bei Erteilung ihrer Einwilligung~~
389	~~einschätzen können, welche Daten zu welchem Zweck~~
390	~~gespeichert werden sollen.~~
391
392	~~Die Einwilligung kann bislang in unterschiedlicher Form~~
393	~~eingeholt werden (opt-in und opt-out, sowie~~
394	~~unterschiedliche Formulierungen). Dies erfordert eine~~
395	~~besondere Aufmerksamkeit und ein erhöhtes Textverständnis,~~
396	~~der in der Regel in juristischer Sprache formulierten~~
397	~~Textpassagen. Eine informierte Einwilligung aufgrund~~
398	~~dieser, der Absicherung eines Unternehmens dienenden Texte,~~
399	~~ist aufgrund der Art des Textes und der gegebenen~~
400	~~Informationen daher für viele Menschen nur schwer möglich.~~
401	~~Gerade in der digitalen Welt gäbe es aber auch alternative~~
402	~~Formen, Informationen verständlich bereitzustellen.~~
403
404	~~Einwilligungen werden unbefristet erteilt. Eine echte~~
405	~~Transparenz und ein Überblick über die erteilten~~
406	~~Einwilligungen ist für die Nutzer angesichts der Vielzahl~~
407	~~der eingeforderten Einwilligungen nur schwer zu behalten.~~
408	~~Der Betreiber des Dienstes unterscheidet sich oftmals von~~
409	~~der datenverarbeitenden Stelle, eine Transparenz darüber,~~
410	~~welche Dienste bzw. Unternehmen welche Daten erhalten, ist~~
411	~~oftmals nicht vorhanden. In einer solchen Situation können~~
412	~~die Arbeitnehmer/Bürger/Nutzer ihre Informations-,~~
413	~~Widerrufs-, Korrektur- und Löschrechte nur unzureichend~~
414	~~geltend machen.~~
415
416	~~Eine autonome Entscheidung über die Preisgabe eigener Daten~~
417	~~im Internet können Menschen dann fällen, wenn sie Vor- und~~
418	~~Nachteile ihrer Einwilligung einschätzen und~~
419	~~Handlungsalternativen erkennen können. Die Medienkompetenz~~
420	~~des Einzelnen trägt wesentlich dazu bei, informierte~~
421	~~Einwilligungen zu ermöglichen und zu befördern. Diese kann~~
422	~~aber nicht in gleicher Ausprägung von allen Personen~~
423	~~erwartet werden und kann nicht als Ersatz für~~
424	~~bedürfnisgerechtere Anforderungen an Transparenz,~~
425	~~Information und Einwilligung stehen.~~
426
427	~~Im öffentlichen Bereich erfolgt die Datenverarbeitung~~
428	~~personenbezogener Daten dagegen fast ausschließlich auf~~
429	~~Grundlage gesetzlicher Erlaubnistatbestände, die den~~
430	~~verfassungsrechtlichen Anforderungen genügen müssen.~~
431
432	~~Die erfolgreichen Verfassungsbeschwerden der letzten Jahre~~
433	~~zeigen allerdings, dass die verfassungsrechtlichen Vorgaben~~
434	~~bei der Gesetzgebung teilweise nicht eingehalten wurden.~~
435
436	~~Erforderlichkeitsgrundsatz~~
437
438	~~Der Erforderlichkeitsgrundsatz folgt aus dem~~
439	~~verfassungsrechtlichen Verhältnismäßigkeitsgrundsatz und~~
440	~~ist zudem in Art. 7 lit. b) bis f) DSRL festgeschrieben. Er~~
441	~~steht in engem Zusammenhang mit dem Grundsatz der~~
442	~~Zweckfestlegung und der Zweckbindung. Demnach ist der~~
443	~~Umgang mit personenbezogenen Daten auf das zum Erreichen~~
444	~~des angestrebten Zieles erforderliche Minimum zu~~
445	~~beschränken. [Fußnote: BVerfGE 65, 1, 46.] Es sollen nur so~~
446	~~viele Daten erhoben, verarbeitet oder genutzt werden, wie~~
447	~~zur Zweckerreichung unbedingt notwendig. Für den~~
448	~~öffentlichen Bereich ist der Grundsatz in §§ 13 bis 16~~
449	~~(insbesondere in den Abs. 1) normiert, wobei der zulässige~~
450	~~Zweck auf die öffentliche Aufgabenerfüllung begrenzt ist.~~
451	~~Der Erforderlichkeitsgrundsatz gilt aber auch im~~
452	~~nicht-öffentlichen Bereich, wo seine effektive~~
453	~~Verwirklichung durch eine möglichst genaue Zweckbestimmung~~
454	~~bedingt ist. [Fußnote: Kühling/Seidel/Sivridis,~~
455	~~Datenschutzrecht, S. 136.]~~
456
457	~~Zweckbindungsgrundsatz~~
458
459	~~Der Zweckbindungsgrundsatz besagt, dass die Daten, die für~~
460	~~einen bestimmten Zweck erhoben worden sind, auch nur zu~~
461	~~diesem Zweck verarbeitet oder genutzt werden dürfen.~~
462	~~[Fußnote: Gola/Klug, Grundzüge des Datenschutzrechts, S.~~
463	~~48.] Der Zweck der Datenerhebung begrenzt folglich den~~
464	~~weiteren Umgang mit den erhobenen Daten. Sie dürfen nur zu~~
465	~~dem Zweck weiter verwendet werden, der von der Einwilligung~~
466	~~oder der konkret legitimierenden Rechtsnorm erfasst ist.~~
467	~~Das setzt voraus, dass das Ziel der Datenverarbeitung~~
468	~~und/oder -nutzung bereits vor der Datenerhebung so genau~~
469	~~wie möglich bestimmt ist. Eine Speicherung auf Vorrat für~~
470	~~künftige, noch nicht bekannte Zwecke ist dagegen~~
471	~~grundsätzlich unzulässig. [Fußnote: Gola/Klug, Grundzüge~~
472	~~des Datenschutzrechts, S. 48.]~~
473
474	~~-----------------------------------------------~~
475	~~streitig Anfang~~
476	~~-----------------------------------------------~~
477
478	~~Vor allem im nicht-öffentlichen Bereich stößt die~~
479	~~Beibehaltung dieses Grundsatzes auf praktische Probleme. In~~
480	~~einer vernetzten Welt ist der Datenaustausch oftmals durch~~
481	~~Spontanität und gerade nicht durch eine vorherige~~
482	~~Festlegung des Verarbeitungszweckes bestimmt. [Fußnote:~~
483	~~Kühling, Verw 40 (2007), 153, 159.]~~
484
485	~~Die Frage der Freiwilligkeit einer Einwilligung hat in der~~
486	~~digitalen Welt an Brisanz gewonnen. Wenn beispielsweise die~~
487	~~Nutzung eines Online-Dienstes voraussetzt, dass der Nutzer~~
488	~~durch Ankreuzen einer Checkbox der Erhebung seiner Daten~~
489	~~zustimmt, so sind sich die Betroffenen über die Tragweite~~
490	~~ihrer Entscheidung häufig nicht im Klaren. Da sie die~~
491	~~entsprechenden Datenschutzbestimmungen des Anbieters bzw.~~
492	~~dessen Allgemeine Geschäftsbedingungen, in die erstere~~
493	~~bisweilen integriert sind, häufig nicht oder nur~~
494	~~oberflächlich zur Kenntnis nehmen, erteilen sie im Zweifel~~
495	~~alle Einwilligung, die sie bei genauerer Überlegung nicht~~
496	~~erteilt hätten. Um zu klären, ob die für eine informierte~~
497	~~und freiwillige Entscheidung wichtigen Informationen~~
498	~~tatsächlich in ausreichend transparenter Weise vorgelegen~~
499	~~haben, ist es dann jedoch bereits zu spät: Die Daten werden~~
500	~~erhoben, und der Betroffene ist sich darüber häufig nicht~~
501	~~im Klaren. Folglich kommt es im Nachhinein auch nicht mehr~~
502	~~zur Überprüfung der Rechtsgültigkeit der erteilten~~
503	~~Einwilligung. Die Erfahrung zeigt, dass die Mehrzahl der~~
504	~~Internetnutzer Datenschutzerklärungen ebenso wenig liest~~
505	~~wie Allgemeine Geschäftsbedingungen und dennoch am~~
506	~~elektronischen Geschäftsverkehr teilnimmt. Dies deutet~~
507	~~darauf hin, dass die Mehrzahl der auf diesem Wege erteilten~~
508	~~Einwilligungen nicht freiwillig erteilt worden sind, woraus~~
509	~~zu schließen werde, dass in zahlreichen Fällen Daten ohne~~
510	~~rechtliche Grundlage erhoben und gespeichert werden. Man~~
511	~~erkennt hier, dass die an sich begrüßenswerte Intention des~~
512	~~Gesetzgebers, einen maximalen Schutz der personenbezogenen~~
513	~~Daten des Einzelnen zu ermöglichen, im Internetzeitalter~~
514	~~nicht mehr verwirklicht wird. Die Praxis der elektronischen~~
515	~~Einwilligung nach §13 Abs. 2 TMG wird von Diensteanbietern~~
516	~~systematisch dazu genutzt, den Datenschutz zu unterlaufen,~~
517	~~indem sie sich auf diese Weise die Zustimmung zu~~
518	~~Datenerhebungen von den Nutzern erteilen lassen, die in~~
519	~~aller Regel deren Interesse, die eigene Privatsphäre zu~~
520	~~schützen, zuwiderlaufen. Anders gesagt: Das bloße~~
521	~~„Abklicken“ einer Einwilligung in die Erhebung und~~
522	~~Verwendung personenbezogener Daten zu allerlei Zwecken ist~~
523	~~nur formal eine freiwillige Einwilligung. Faktisch werden~~
524	~~Bürgerinnen und Bürger auf diese Weise entmündigt. Dahinter~~
525	~~steht das Interesse der Anbieter, diese Daten zu~~
526	~~monetarisieren. Derartige Geschäftsmodelle laufen den~~
527	~~Interessen der Bürgerinnen und Bürger auch dann zuwider,~~
528	~~wenn sie eine kostenfreie Nutzung des betreffenden Dienstes~~
529	~~allererst ermöglichen, weil sie darauf basieren, die~~
530	~~Privatsphäre des Einzelne dem Primat der wirtschaftlichen~~
531	~~Wertschöpfung zu unterwerfen. Schon heute ist bei vielen~~
532	~~Onlinediensten für die Nutzer nicht mehr durchschaubar,~~
533	~~wozu ihre Daten genutzt werden und in welcher Weise sie im~~
534	~~Rahmen von Datenhandel weiterverbreitet werden.~~
535
536	~~Um das Datenschutzrecht in einer bürgerfreundlichen Weise~~
537	~~weiterzuentwickeln, sind Regelungen zu schaffen, die dem~~
538	~~Nutzer seine verlorene Souveränität wiedergeben. Ihm müssen~~
539	~~Mittel an die Hand gegeben werden, die es ihm ermöglichen,~~
540	~~die Kontrolle über die Erhebung personenbezogener Daten~~
541	~~tatsächlich, nicht nur formal selbst auszuüben.~~
542	~~Privacy-by-default-Modelle sind hierfür geeignete~~
543	~~Ansatzpunkte. Denkbar sind auch verbindliche Vorgaben für~~
544	~~die Diensteanbieter, die es diesen auferlegen, stets auch~~
545	~~eine Alternative zu der Option einer „freiwilligen“~~
546	~~Zustimmung zur umfassenden Erhebung personenbezogener Daten~~
547	~~anzubieten. Dies könnte beispielsweise dadurch realisiert~~
548	~~werden, dass ein aktives Anklicken verschiedener~~
549	~~Berechtigungen zwingend vorgeschrieben wird. Der Betroffene~~
550	~~müsste dann jeweils gesondert in die Erhebung und~~
551	~~Verarbeitung personenbezogener Daten zu unterschiedlichen~~
552	~~Verwendungszwecken, in den Einsatz unterschiedlicher~~
553	~~Webtracking-Techniken und unterschiedlicher Cookies~~
554	~~einwilligen. Zu bedenken wäre auch, die Einwilligung unter~~
555	~~dem Vorbehalt einer Erneuerung zeitlich zu befristen,~~
556	~~sodass nach Ablauf einer gewissen Zeit der Nutzer seine~~
557	~~Zustimmung erneut abgeben müsste.~~
558
559	~~Wo von vornherein eine gestörte Vertragsparität vorliegt,~~
560	~~sollte die Einwilligung des Betroffenen auch dann unwirksam~~
561	~~sein, wenn sie nach derzeit geltendem Recht freiwillig~~
562	~~erteilt wurde, da in Abhängigkeitsverhältnissen~~
563	~~grundsätzlich nicht davon auszugehen ist, dass~~
564	~~Freiwilligkeit im Sinne der gesetzgeberischen Intention~~
565	~~tatsächlich gegeben ist. Wenn etwa Sozialhilfeempfänger~~
566	~~gegenüber der Bundesagentur für Arbeit in die Speicherung~~
567	~~einwilligen, weil sie fürchten, dass diese Einwilligung~~
568	~~eine Voraussetzung für den Leistungsbezug darstellen~~
569	~~könnte, ist dies ebenso problematisch, wie wenn~~
570	~~Arbeitnehmer ihrem Arbeitgeber umfassende personenbezogene~~
571	~~Daten zur Verfügung stellen. Der im Bundesdatenschutzgesetz~~
572	~~vorgesehene Vorbehalt der freiwilligen Einwilligung in die~~
573	~~Erhebung personenenbezogener Daten ist deshalb nicht~~
574	~~unreflektiert auf das Beschäftigungsverhältnis zu~~
575	~~übertragen. Vielmehr ist im Falle gestörter Vertragsparität~~
576	~~eine Regelung vorzusehen, die die Rechte der jeweils~~
577	~~schwächeren Partei wirksam schützt.~~
578
579	~~-----------------------------------------------~~
580	~~streitig Ende~~
581	~~-----------------------------------------------~~
582
583	~~Transparenzgrundsatz~~
584
585	~~Die informationelle Selbstbestimmung setzt nach Auffassung~~
586	~~des BVerfG voraus, dass Bürger wissen und grundsätzlich~~
587	~~auch entscheiden können sollen, „wer was wann und bei~~
588	~~welcher Gelegenheit“ über ihn weiß. [Fußnote: BVerfGE 65,~~
589	~~1, 43.]Das setzt wiederum voraus, dass Datenerhebungs-,~~
590	~~-verarbeitungs- und -nutzungsvorgänge transparent gestaltet~~
591	~~werden. Zudem ist der Transparenzgrundsatz die grundlegende~~
592	~~Voraussetzung dafür, dass Betroffene aktive~~
593	~~Datenschutzrechte wahrnehmen können. Transparenz wird in~~
594	~~erster Linie durch den Grundsatz der Direkterhebung~~
595	~~verwirklicht, wonach die Daten grundsätzlich beim~~
596	~~Betroffenen zu erheben sind (§ 4 Abs. 2 S. 1, Abs. 3 BDSG),~~
597	~~so dass er unmittelbar Kenntnis von dem Vorgang erlangt.~~
598	~~Nur unter engen Voraussetzungen darf die Datenerhebung ohne~~
599	~~Mitwirkung des Betroffenen erfolgen (§ 4 Abs. 2 S. 2 BDSG).~~
600	~~Flankiert wird das Transparenzgebot durch Auskunftsrechte~~
601	~~und Informations-, Benachrichtigungs-, Unterrichtungs-,~~
602	~~Hinweis- und Aufklärungspflichten der verantwortlichen~~
603	~~Stelle. [Fußnote: Kühling/Seidel/Sivridis,~~
604	~~Datenschutzrecht, S. 136.]~~
605
606	~~Gerade im nicht-öffentlichen Bereich wissen oftmals viele~~
607	~~Bürgerinnen und Bürger nicht, wer eigentliche welche ihrer~~
608	~~Daten zu welchen Zwecken speichert und verwendet.~~
609
610	~~Prinzip der Datenvermeidung und Datensparsamkeit~~
611
612	~~Der Grundsatz der Datenvermeidung und Datensparsamkeit ist~~
613	~~– obwohl nicht durch die DSRL vorgegeben – in § 3a BDSG~~
614	~~normiert und besagt, dass so wenig personenbezogene Daten~~
615	~~wie möglich erhoben, verarbeitet oder genutzt werden sollen~~
616	~~und auch die Datenverarbeitungssysteme an diesem Ziel~~
617	~~auszurichten sind. Dabei handelt es sich um eine~~
618	~~Konkretisierung des Erforderlichkeitsgrundsatzes auf~~
619	~~technischer Ebene: Schon durch die entsprechende~~
620	~~Technikgestaltung soll das Recht auf informationelle~~
621	~~Selbstbestimmung präventiv geschützt werden. [Fußnote:~~
622	~~Gola/Schomerus, BDSG, § 3a Rn. 1.] Da der Grundsatz nicht~~
623	~~sanktionsbewehrt ist, ist er – obwohl als Rechtspflicht~~
624	~~formuliert – eher als Programmsatz zu verstehen. [Fußnote:~~
625	~~Gola/Schomerus, BDSG, § 3a Rn. 1.]~~
626
627	~~-----------------------------------------------~~
628	~~streitig Anfang~~
629	~~-----------------------------------------------~~
630
631	~~Das Prinzip der Datenvermeidung und Datensparsamkeit sollte~~
632	~~durch klare Normierung gestärkt werden. Die zahlenreichen~~
633	~~Datenskandale der letzten Zeit haben deutlich gemacht, dass~~
634	~~die Umsetzung des datenschutzrechtlichen~~
635	~~Erforderlichkeitsgrundsatzes in technische Features nur~~
636	~~funktionieren kann, wenn die Aufsichtsbehörden bei~~
637	~~Nichtbeachtung der Vorschrift wirksame Sanktionen verhängen~~
638	~~können. Ziel muss es sein, nur die für einen bestimmten~~
639	~~Zweck tatsächlich notwendigen Daten sammeln zu dürfen. Dazu~~
640	~~ist eine Normierung des Grundsatzes „privacy-by-design“~~
641	~~erforderlich. Es ist Aufgabe des Gesetzesgebers,~~
642	~~entsprechende Anreize zu schaffen. Vorstellbar ist~~
643	~~beispielsweise ein System der abgestuften Erwiderung, bei~~
644	~~dem Anbietern, die sich rechtswidrig verhalten, zunächst~~
645	~~ein Warnhinweis zugestellt wird, bevor weitere Sanktionen~~
646	~~greifen.~~
647
648	~~-----------------------------------------------~~
649	~~streitig Ende~~
650	~~-----------------------------------------------~~
651

Datenschutz und Persönlichkeitsrechte

2.1.2 Grundprinzipien des Datenschutzrechts

2.1.2 Grundprinzipien des Datenschutzrechts (Originalversion)

2.1.2 Grundprinzipien des Datenschutzrechts (Originalversion)

2.1.2 Grundprinzipien des Datenschutzrechts (Originalversion)

2.1.2 Grundprinzipien des Datenschutzrechts (Originalversion)

2.1.2 Grundprinzipien des Datenschutzrechts (Originalversion)