| 1 | Transparenz und damit Informationen sind Kernelemente für |
| 2 | in-formierte Entscheidungen und Aktivitäten der |
| 3 | Aufsichtsbehörden, Wettbewerber bzw. anderer Unternehmen und |
| 4 | Verbraucher. Eine wesentliche Voraussetzung für die auch |
| 5 | praktische Durchsetzung des Datenschutzes – damit der |
| 6 | Realisierung des Rechts auf informationelle Selbstbestimmung |
| 7 | – ist die Kenntnis über sowohl das Recht bzw. die eigenen |
| 8 | Rechte als auch über die tatsächlich durchgeführte |
| 9 | Datenerhebung und –verarbeitung. |
| 10 | Transparenz für die Nutzer setzt voraus, dass sich der |
| 11 | Nutzer seinem Bedarf entsprechend und frühzeitig über Art |
| 12 | und Umfang der Datenerfassung und –verarbeitung informieren |
| 13 | kann. Dabei ist es angesichts oft komplexer technischer |
| 14 | Zusammenhänge besonders wichtig, für die Verständlichkeit |
| 15 | der vermittelten Informationen zu sorgen. |
| 16 | |
| 17 | Wie wichtig Transparenz für den Nutzer ist, zeigt das |
| 18 | Beispiel der Einführung neuer Technologien und Dienste: Hier |
| 19 | steht, wie z.B. bei Apps, am Anfang das positive |
| 20 | Nutzungserlebnis und die Freude über den Mehrwert der |
| 21 | Innovation. Ohne vorherige Information kämen erst nach und |
| 22 | nach Erfahrungen dazu, die aufhorchen lassen und die Frage |
| 23 | nach dem Datenschutz und möglichen Missbrauchsszenarien laut |
| 24 | werden lassen. Die berechtigte Sorge wird dabei aus dem |
| 25 | Umstand genährt, dass Dinge im Hintergrund passieren, die |
| 26 | unbekannt und vermeintlich nicht beeinflussbar bzw. |
| 27 | kontrollierbar sind. |
| 28 | Hier ist der Ansatz für die Transparenz und deren |
| 29 | Instrumente. Der Nutzer soll in die Lage versetzt werden zu |
| 30 | verstehen, was mit den Daten passiert und ob er das so und |
| 31 | in diesem Umfang will. |
| 32 | Letztlich muss der Nutzer aber derjenige bleiben dürfen, der |
| 33 | diese Entscheidung trifft. Und hier sind wir an dem Punkt |
| 34 | der Reichweite bzw. an der Grenze der Reichweite der |
| 35 | Transparenzinstrumente. |
| 36 | Ziel sollte also die verständliche, neutrale Information |
| 37 | über die tatsächlichen technischen Vorgänge im Vordergrund |
| 38 | stehen. Dem Nutzer muss klar werden, wer persönliche Daten |
| 39 | verarbeitet, wie, in welchem Umfang und zu welchen Zwecken |
| 40 | dies geschieht und wer sein Ansprechpartner für Fragen und – |
| 41 | besonders wichtig – die Ausübung seiner Selbstbestimmung |
| 42 | über die Datenverarbeitung ist. |
| 43 | |
| 44 | Das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz |
| 45 | (TMG) und das Telekommunikationsgesetz (TKG) sehen jeweils |
| 46 | bereits eine Reihe von Transparenzinstrumenten vor. Diese |
| 47 | Rege-lungen sind somit eine gesetzliche Konkretisierung des |
| 48 | Rechts auf informationelle Selbstbestimmung. |
| 49 | |
| 50 | Informationspflichten von Diensteanbietern |
| 51 | |
| 52 | |
| 53 | Diensteanbieter haben grundsätzlich die Pflicht, die Nutzer |
| 54 | über Art, Umfang und Zweck von Erhebung und Verwendung |
| 55 | personenbezogener Daten zu unterrichten (§ 13 TMG, § 33 |
| 56 | BDSG). Die Informationspflichten sollen sicherstellen, dass |
| 57 | die Adressaten Kenntnis erhalten über die Datenverarbeitung. |
| 58 | Es muss über die Identität der verantwortlichen Stelle |
| 59 | informiert werden, damit bekannt ist, wer die Daten erhebt |
| 60 | und als Adressat eines Auskunftsanspruchs zur Verfügung |
| 61 | steht. Über sämtliche Zweckbestimmungen der Verarbeitung und |
| 62 | Nutzung der Daten muss informiert werden, die oftmals über |
| 63 | die der Vertragsdurchführung notwendigen Daten hinausgehen. |
| 64 | Der oder die Empfänger der Daten müssen zumindest als |
| 65 | Kategorie bekannt sein (vgl. § …). Eine namentliche Nennung |
| 66 | der Empfänger ist jedoch nicht erforderlich, so dass eine |
| 67 | lückenlose Verfolgung des Weges der Daten nicht ohne weitere |
| 68 | In-formationen bzw. Auskunftsersuchen möglich ist. Dieses |
| 69 | Wissen ist für eine Person jedoch notwendig, um die |
| 70 | Auskunftsrechte bei allen Stellen, die Daten über diese |
| 71 | Person haben, geltend machen zu können. |
| 72 | |
| 73 | Die Unterrichtung muss in einer allgemein verständlichen |
| 74 | Form geschehen. Damit soll gewährleistet werden, dass die |
| 75 | Bürger eine informierte Entscheidung zur Preisgabe ihrer |
| 76 | persönlichen Daten treffen und ggf. eine Einwilligung |
| 77 | verweigern können. In der Regel sind diese Informationen in |
| 78 | den allgemeinen Geschäftsbedingungen (AGB) und |
| 79 | Nutzungsbedingungen der Diensteanbieter enthalten. Da es |
| 80 | sich zumeist um umfangreiche und aufgrund gesetzlicher |
| 81 | Vorgaben rechtssicher zu formulierende Texte handelt, sind |
| 82 | sie für viele Menschen oftmals nicht in Gänze |
| 83 | nachvollziehbar und nur schwer zu verstehen. |
| 84 | |
| 85 | Auskunftsrechte des Betroffenen |
| 86 | |
| 87 | |
| 88 | Neben der Informationspflicht der Diensteanbieter bei |
| 89 | Erhebung, Speicherung und Verwendung von personenbezogenen |
| 90 | Daten sind in § 34 BDSG umfassende Auskunftsrechte für |
| 91 | Betroffene festgeschrieben. Diese berechtigen Betroffene |
| 92 | dazu, jederzeit und bedingungsfrei zu erfahren, welche |
| 93 | personenbezogenen Daten über ihn von einer verantwortlichen |
| 94 | Stelle erhoben, verarbeitet oder genutzt werden und woher |
| 95 | die Daten stammen, an wen die Daten weitergeleitet werden |
| 96 | und zu welchem Zweck diese Daten gespeichert werden. Unter |
| 97 | bestimmten Bedingungen kann die verantwortliche Stelle die |
| 98 | Auskunft allerdings verweigern, etwa zur Wahrung von |
| 99 | Geschäftsgeheimnissen (vgl. § 34 BDSG). Wenngleich diese |
| 100 | Auskunftsrechte ein starkes Instrument zur Wahrung der |
| 101 | informationellen Selbstbestimmung für Betroffene sind, |
| 102 | erscheint die praktische Nutzung in einer Umgebung, in der |
| 103 | immer mehr Anwendungen im Alltag personenbezogene Daten |
| 104 | nutzen, zunehmend weniger handhabbar |
| 105 | |
| 106 | In letzter Zeit ist deshalb die Idee des sogenannten |
| 107 | „Datenbriefs“ im Gespräch. Unternehmen, Behörden oder |
| 108 | sonstige Institutionen könnten gesetzlich verpflichtet |
| 109 | werden, Bürgerinnen und Bürger regelmäßig darüber zu |
| 110 | informieren und zu erläutern, welche Daten zu welchem Zweck |
| 111 | über sie gespeichert werden. Dies käme einem |
| 112 | Paradigmenwechsel gleich: Das derzeitige Auskunftsrecht |
| 113 | würde durch eine Informationspflicht ergänzt. Der Betroffene |
| 114 | müsste also nicht mehr selbst aktiv werden, um zu erfahren, |
| 115 | welche Daten wo über ihn gespeichert sind, sondern würde |
| 116 | automatisch darüber benachrichtigt. |
| 117 | |
| 118 | Für den Datenbrief wird angeführt, dass viele Betroffene |
| 119 | derzeit oft gar nicht wissen würden, wo überall Daten über |
| 120 | sie gespeichert werden. Sie könnten daher gar nicht von |
| 121 | ihrem gesetzlich eingeräumten Auskunftsrecht Gebrauch |
| 122 | machen. Dieser Anspruch würde daher häufig ins Leere laufen. |
| 123 | Mit dem Datenbrief würde zudem das Verantwortungsbewusstsein |
| 124 | der für die Datenverarbeitung verantwortlichen Stellen |
| 125 | gestärkt. Sie würden unter Umständen genauer prüfen, ob und |
| 126 | wie lange personenbezogene Daten tatsächlich gespeichert |
| 127 | werden müssten. |
| 128 | |
| 129 | Gegen den Datenbrief wird angeführt, dass er zunächst bei |
| 130 | vielen datenverarbeitenden Stellen zu einer zentralen |
| 131 | Zusammenführung der Daten führen könnte. An diese |
| 132 | Konzentration von Daten müssten dann nicht nur höhere |
| 133 | Sicherheitsanforderungen gestellt werden, sondern dies |
| 134 | könnte auch wegen einer damit verbundenen Möglichkeit der |
| 135 | verstärkten Profilbildung zu einer Beeinträchtigung des |
| 136 | Rechts auf informationelle Selbstbestimmung führen. Auch die |
| 137 | praktische Umsetzung des Datenbriefs wird als zu |
| 138 | bürokratisch und kostenintensiv für die betroffenen |
| 139 | Unternehmen kritisiert. |
| 140 | |
| 141 | Informationspflichten bei „Datenpannen“ |
| 142 | |
| 143 | Die „Informationspflicht bei unrechtmäßiger |
| 144 | Kenntniserlangung von Daten“ (§ 42a BDSG) verpflichtet |
| 145 | verantwortliche Stellen im nicht-öffentlichen Bereich, die |
| 146 | Betroffenen sowie die zuständigen Aufsichtsbehörden umgehend |
| 147 | zu informieren, wenn gespeicherte sensible personenbezogene |
| 148 | Daten unrechtmäßig an Dritte gelangen. Diese Regelung wurde |
| 149 | jedoch erst im Jahr 2009 in das BDSG aufgenommen. Ursache |
| 150 | hierfür waren vorhergegangene unerlaubte und missbräuchliche |
| 151 | Erhebungen und Verarbeitungen von personenbezogenen Daten in |
| 152 | der Wirtschaft. |
| 153 | |
| 154 | Ziel aller Informationspflichten ist es, Transparenz über |
| 155 | die Spei-cherung und Verarbeitung von Daten herzustellen. |
| 156 | Diese Transparenz ist Voraussetzung dafür, die |
| 157 | informationelle Selbstbestimmung tatsächlich ausüben zu |
| 158 | können. Ohne ausreichende Transparenz kann keine informierte |
| 159 | Einwilligung existieren. Wenn Betroffene in die Lage |
| 160 | versetzt werden sollen, bereits nach dem BDSG bestehende |
| 161 | Auskunfts-, Lösch-, Widerspruchs- und Berichtigungsrechte |
| 162 | auch tatsächlich geltend machen zu können, ist die Kenntnis |
| 163 | notwendig, wer welche Daten zu welchem Zweck gespeichert |
| 164 | hat. |
1-1 von 1
-
2.3.2 Ausgestaltung und Reichweite von Transparenzinstrumenten (Informationspflichten, Auskunftsrechte) (Originalversion)
von EnqueteBuero, angelegt