1 | Transparenz und damit Informationen sind Kernelemente für |
2 | in-formierte Entscheidungen und Aktivitäten der |
3 | Aufsichtsbehörden, Wettbewerber bzw. anderer Unternehmen und |
4 | Verbraucher. Eine wesentliche Voraussetzung für die auch |
5 | praktische Durchsetzung des Datenschutzes – damit der |
6 | Realisierung des Rechts auf informationelle Selbstbestimmung |
7 | – ist die Kenntnis über sowohl das Recht bzw. die eigenen |
8 | Rechte als auch über die tatsächlich durchgeführte |
9 | Datenerhebung und –verarbeitung. |
10 | Transparenz für die Nutzer setzt voraus, dass sich der |
11 | Nutzer seinem Bedarf entsprechend und frühzeitig über Art |
12 | und Umfang der Datenerfassung und –verarbeitung informieren |
13 | kann. Dabei ist es angesichts oft komplexer technischer |
14 | Zusammenhänge besonders wichtig, für die Verständlichkeit |
15 | der vermittelten Informationen zu sorgen. |
16 | |
17 | Wie wichtig Transparenz für den Nutzer ist, zeigt das |
18 | Beispiel der Einführung neuer Technologien und Dienste: Hier |
19 | steht, wie z.B. bei Apps, am Anfang das positive |
20 | Nutzungserlebnis und die Freude über den Mehrwert der |
21 | Innovation. Ohne vorherige Information kämen erst nach und |
22 | nach Erfahrungen dazu, die aufhorchen lassen und die Frage |
23 | nach dem Datenschutz und möglichen Missbrauchsszenarien laut |
24 | werden lassen. Die berechtigte Sorge wird dabei aus dem |
25 | Umstand genährt, dass Dinge im Hintergrund passieren, die |
26 | unbekannt und vermeintlich nicht beeinflussbar bzw. |
27 | kontrollierbar sind. |
28 | Hier ist der Ansatz für die Transparenz und deren |
29 | Instrumente. Der Nutzer soll in die Lage versetzt werden zu |
30 | verstehen, was mit den Daten passiert und ob er das so und |
31 | in diesem Umfang will. |
32 | Letztlich muss der Nutzer aber derjenige bleiben dürfen, der |
33 | diese Entscheidung trifft. Und hier sind wir an dem Punkt |
34 | der Reichweite bzw. an der Grenze der Reichweite der |
35 | Transparenzinstrumente. |
36 | Ziel sollte also die verständliche, neutrale Information |
37 | über die tatsächlichen technischen Vorgänge im Vordergrund |
38 | stehen. Dem Nutzer muss klar werden, wer persönliche Daten |
39 | verarbeitet, wie, in welchem Umfang und zu welchen Zwecken |
40 | dies geschieht und wer sein Ansprechpartner für Fragen und – |
41 | besonders wichtig – die Ausübung seiner Selbstbestimmung |
42 | über die Datenverarbeitung ist. |
43 | |
44 | Das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz |
45 | (TMG) und das Telekommunikationsgesetz (TKG) sehen jeweils |
46 | bereits eine Reihe von Transparenzinstrumenten vor. Diese |
47 | Rege-lungen sind somit eine gesetzliche Konkretisierung des |
48 | Rechts auf informationelle Selbstbestimmung. |
49 | |
50 | Informationspflichten von Diensteanbietern |
51 | |
52 | |
53 | Diensteanbieter haben grundsätzlich die Pflicht, die Nutzer |
54 | über Art, Umfang und Zweck von Erhebung und Verwendung |
55 | personenbezogener Daten zu unterrichten (§ 13 TMG, § 33 |
56 | BDSG). Die Informationspflichten sollen sicherstellen, dass |
57 | die Adressaten Kenntnis erhalten über die Datenverarbeitung. |
58 | Es muss über die Identität der verantwortlichen Stelle |
59 | informiert werden, damit bekannt ist, wer die Daten erhebt |
60 | und als Adressat eines Auskunftsanspruchs zur Verfügung |
61 | steht. Über sämtliche Zweckbestimmungen der Verarbeitung und |
62 | Nutzung der Daten muss informiert werden, die oftmals über |
63 | die der Vertragsdurchführung notwendigen Daten hinausgehen. |
64 | Der oder die Empfänger der Daten müssen zumindest als |
65 | Kategorie bekannt sein (vgl. § …). Eine namentliche Nennung |
66 | der Empfänger ist jedoch nicht erforderlich, so dass eine |
67 | lückenlose Verfolgung des Weges der Daten nicht ohne weitere |
68 | In-formationen bzw. Auskunftsersuchen möglich ist. Dieses |
69 | Wissen ist für eine Person jedoch notwendig, um die |
70 | Auskunftsrechte bei allen Stellen, die Daten über diese |
71 | Person haben, geltend machen zu können. |
72 | |
73 | Die Unterrichtung muss in einer allgemein verständlichen |
74 | Form geschehen. Damit soll gewährleistet werden, dass die |
75 | Bürger eine informierte Entscheidung zur Preisgabe ihrer |
76 | persönlichen Daten treffen und ggf. eine Einwilligung |
77 | verweigern können. In der Regel sind diese Informationen in |
78 | den allgemeinen Geschäftsbedingungen (AGB) und |
79 | Nutzungsbedingungen der Diensteanbieter enthalten. Da es |
80 | sich zumeist um umfangreiche und aufgrund gesetzlicher |
81 | Vorgaben rechtssicher zu formulierende Texte handelt, sind |
82 | sie für viele Menschen oftmals nicht in Gänze |
83 | nachvollziehbar und nur schwer zu verstehen. |
84 | |
85 | Auskunftsrechte des Betroffenen |
86 | |
87 | |
88 | Neben der Informationspflicht der Diensteanbieter bei |
89 | Erhebung, Speicherung und Verwendung von personenbezogenen |
90 | Daten sind in § 34 BDSG umfassende Auskunftsrechte für |
91 | Betroffene festgeschrieben. Diese berechtigen Betroffene |
92 | dazu, jederzeit und bedingungsfrei zu erfahren, welche |
93 | personenbezogenen Daten über ihn von einer verantwortlichen |
94 | Stelle erhoben, verarbeitet oder genutzt werden und woher |
95 | die Daten stammen, an wen die Daten weitergeleitet werden |
96 | und zu welchem Zweck diese Daten gespeichert werden. Unter |
97 | bestimmten Bedingungen kann die verantwortliche Stelle die |
98 | Auskunft allerdings verweigern, etwa zur Wahrung von |
99 | Geschäftsgeheimnissen (vgl. § 34 BDSG). Wenngleich diese |
100 | Auskunftsrechte ein starkes Instrument zur Wahrung der |
101 | informationellen Selbstbestimmung für Betroffene sind, |
102 | erscheint die praktische Nutzung in einer Umgebung, in der |
103 | immer mehr Anwendungen im Alltag personenbezogene Daten |
104 | nutzen, zunehmend weniger handhabbar |
105 | |
106 | In letzter Zeit ist deshalb die Idee des sogenannten |
107 | „Datenbriefs“ im Gespräch. Unternehmen, Behörden oder |
108 | sonstige Institutionen könnten gesetzlich verpflichtet |
109 | werden, Bürgerinnen und Bürger regelmäßig darüber zu |
110 | informieren und zu erläutern, welche Daten zu welchem Zweck |
111 | über sie gespeichert werden. Dies käme einem |
112 | Paradigmenwechsel gleich: Das derzeitige Auskunftsrecht |
113 | würde durch eine Informationspflicht ergänzt. Der Betroffene |
114 | müsste also nicht mehr selbst aktiv werden, um zu erfahren, |
115 | welche Daten wo über ihn gespeichert sind, sondern würde |
116 | automatisch darüber benachrichtigt. |
117 | |
118 | Für den Datenbrief wird angeführt, dass viele Betroffene |
119 | derzeit oft gar nicht wissen würden, wo überall Daten über |
120 | sie gespeichert werden. Sie könnten daher gar nicht von |
121 | ihrem gesetzlich eingeräumten Auskunftsrecht Gebrauch |
122 | machen. Dieser Anspruch würde daher häufig ins Leere laufen. |
123 | Mit dem Datenbrief würde zudem das Verantwortungsbewusstsein |
124 | der für die Datenverarbeitung verantwortlichen Stellen |
125 | gestärkt. Sie würden unter Umständen genauer prüfen, ob und |
126 | wie lange personenbezogene Daten tatsächlich gespeichert |
127 | werden müssten. |
128 | |
129 | Gegen den Datenbrief wird angeführt, dass er zunächst bei |
130 | vielen datenverarbeitenden Stellen zu einer zentralen |
131 | Zusammenführung der Daten führen könnte. An diese |
132 | Konzentration von Daten müssten dann nicht nur höhere |
133 | Sicherheitsanforderungen gestellt werden, sondern dies |
134 | könnte auch wegen einer damit verbundenen Möglichkeit der |
135 | verstärkten Profilbildung zu einer Beeinträchtigung des |
136 | Rechts auf informationelle Selbstbestimmung führen. Auch die |
137 | praktische Umsetzung des Datenbriefs wird als zu |
138 | bürokratisch und kostenintensiv für die betroffenen |
139 | Unternehmen kritisiert. |
140 | |
141 | Informationspflichten bei „Datenpannen“ |
142 | |
143 | Die „Informationspflicht bei unrechtmäßiger |
144 | Kenntniserlangung von Daten“ (§ 42a BDSG) verpflichtet |
145 | verantwortliche Stellen im nicht-öffentlichen Bereich, die |
146 | Betroffenen sowie die zuständigen Aufsichtsbehörden umgehend |
147 | zu informieren, wenn gespeicherte sensible personenbezogene |
148 | Daten unrechtmäßig an Dritte gelangen. Diese Regelung wurde |
149 | jedoch erst im Jahr 2009 in das BDSG aufgenommen. Ursache |
150 | hierfür waren vorhergegangene unerlaubte und missbräuchliche |
151 | Erhebungen und Verarbeitungen von personenbezogenen Daten in |
152 | der Wirtschaft. |
153 | |
154 | Ziel aller Informationspflichten ist es, Transparenz über |
155 | die Spei-cherung und Verarbeitung von Daten herzustellen. |
156 | Diese Transparenz ist Voraussetzung dafür, die |
157 | informationelle Selbstbestimmung tatsächlich ausüben zu |
158 | können. Ohne ausreichende Transparenz kann keine informierte |
159 | Einwilligung existieren. Wenn Betroffene in die Lage |
160 | versetzt werden sollen, bereits nach dem BDSG bestehende |
161 | Auskunfts-, Lösch-, Widerspruchs- und Berichtigungsrechte |
162 | auch tatsächlich geltend machen zu können, ist die Kenntnis |
163 | notwendig, wer welche Daten zu welchem Zweck gespeichert |
164 | hat. |
1-1 von 1
-
2.3.2 Ausgestaltung und Reichweite von Transparenzinstrumenten (Informationspflichten, Auskunftsrechte) (Originalversion)
von EnqueteBuero, angelegt