2.3.2 Ausgestaltung und Reichweite von Transparenzinstrumenten (Informationspflichten, Auskunftsrechte)

1-1 von 1
  • 2.3.2 Ausgestaltung und Reichweite von Transparenzinstrumenten (Informationspflichten, Auskunftsrechte) (Originalversion)

    von EnqueteBuero, angelegt
    1 Transparenz und damit Informationen sind Kernelemente für
    2 in-formierte Entscheidungen und Aktivitäten der
    3 Aufsichtsbehörden, Wettbewerber bzw. anderer Unternehmen und
    4 Verbraucher. Eine wesentliche Voraussetzung für die auch
    5 praktische Durchsetzung des Datenschutzes – damit der
    6 Realisierung des Rechts auf informationelle Selbstbestimmung
    7 – ist die Kenntnis über sowohl das Recht bzw. die eigenen
    8 Rechte als auch über die tatsächlich durchgeführte
    9 Datenerhebung und –verarbeitung.
    10 Transparenz für die Nutzer setzt voraus, dass sich der
    11 Nutzer seinem Bedarf entsprechend und frühzeitig über Art
    12 und Umfang der Datenerfassung und –verarbeitung informieren
    13 kann. Dabei ist es angesichts oft komplexer technischer
    14 Zusammenhänge besonders wichtig, für die Verständlichkeit
    15 der vermittelten Informationen zu sorgen.
    16
    17 Wie wichtig Transparenz für den Nutzer ist, zeigt das
    18 Beispiel der Einführung neuer Technologien und Dienste: Hier
    19 steht, wie z.B. bei Apps, am Anfang das positive
    20 Nutzungserlebnis und die Freude über den Mehrwert der
    21 Innovation. Ohne vorherige Information kämen erst nach und
    22 nach Erfahrungen dazu, die aufhorchen lassen und die Frage
    23 nach dem Datenschutz und möglichen Missbrauchsszenarien laut
    24 werden lassen. Die berechtigte Sorge wird dabei aus dem
    25 Umstand genährt, dass Dinge im Hintergrund passieren, die
    26 unbekannt und vermeintlich nicht beeinflussbar bzw.
    27 kontrollierbar sind.
    28 Hier ist der Ansatz für die Transparenz und deren
    29 Instrumente. Der Nutzer soll in die Lage versetzt werden zu
    30 verstehen, was mit den Daten passiert und ob er das so und
    31 in diesem Umfang will.
    32 Letztlich muss der Nutzer aber derjenige bleiben dürfen, der
    33 diese Entscheidung trifft. Und hier sind wir an dem Punkt
    34 der Reichweite bzw. an der Grenze der Reichweite der
    35 Transparenzinstrumente.
    36 Ziel sollte also die verständliche, neutrale Information
    37 über die tatsächlichen technischen Vorgänge im Vordergrund
    38 stehen. Dem Nutzer muss klar werden, wer persönliche Daten
    39 verarbeitet, wie, in welchem Umfang und zu welchen Zwecken
    40 dies geschieht und wer sein Ansprechpartner für Fragen und –
    41 besonders wichtig – die Ausübung seiner Selbstbestimmung
    42 über die Datenverarbeitung ist.
    43
    44 Das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz
    45 (TMG) und das Telekommunikationsgesetz (TKG) sehen jeweils
    46 bereits eine Reihe von Transparenzinstrumenten vor. Diese
    47 Rege-lungen sind somit eine gesetzliche Konkretisierung des
    48 Rechts auf informationelle Selbstbestimmung.
    49
    50 Informationspflichten von Diensteanbietern
    51
    52
    53 Diensteanbieter haben grundsätzlich die Pflicht, die Nutzer
    54 über Art, Umfang und Zweck von Erhebung und Verwendung
    55 personenbezogener Daten zu unterrichten (§ 13 TMG, § 33
    56 BDSG). Die Informationspflichten sollen sicherstellen, dass
    57 die Adressaten Kenntnis erhalten über die Datenverarbeitung.
    58 Es muss über die Identität der verantwortlichen Stelle
    59 informiert werden, damit bekannt ist, wer die Daten erhebt
    60 und als Adressat eines Auskunftsanspruchs zur Verfügung
    61 steht. Über sämtliche Zweckbestimmungen der Verarbeitung und
    62 Nutzung der Daten muss informiert werden, die oftmals über
    63 die der Vertragsdurchführung notwendigen Daten hinausgehen.
    64 Der oder die Empfänger der Daten müssen zumindest als
    65 Kategorie bekannt sein (vgl. § …). Eine namentliche Nennung
    66 der Empfänger ist jedoch nicht erforderlich, so dass eine
    67 lückenlose Verfolgung des Weges der Daten nicht ohne weitere
    68 In-formationen bzw. Auskunftsersuchen möglich ist. Dieses
    69 Wissen ist für eine Person jedoch notwendig, um die
    70 Auskunftsrechte bei allen Stellen, die Daten über diese
    71 Person haben, geltend machen zu können.
    72
    73 Die Unterrichtung muss in einer allgemein verständlichen
    74 Form geschehen. Damit soll gewährleistet werden, dass die
    75 Bürger eine informierte Entscheidung zur Preisgabe ihrer
    76 persönlichen Daten treffen und ggf. eine Einwilligung
    77 verweigern können. In der Regel sind diese Informationen in
    78 den allgemeinen Geschäftsbedingungen (AGB) und
    79 Nutzungsbedingungen der Diensteanbieter enthalten. Da es
    80 sich zumeist um umfangreiche und aufgrund gesetzlicher
    81 Vorgaben rechtssicher zu formulierende Texte handelt, sind
    82 sie für viele Menschen oftmals nicht in Gänze
    83 nachvollziehbar und nur schwer zu verstehen.
    84
    85 Auskunftsrechte des Betroffenen
    86
    87
    88 Neben der Informationspflicht der Diensteanbieter bei
    89 Erhebung, Speicherung und Verwendung von personenbezogenen
    90 Daten sind in § 34 BDSG umfassende Auskunftsrechte für
    91 Betroffene festgeschrieben. Diese berechtigen Betroffene
    92 dazu, jederzeit und bedingungsfrei zu erfahren, welche
    93 personenbezogenen Daten über ihn von einer verantwortlichen
    94 Stelle erhoben, verarbeitet oder genutzt werden und woher
    95 die Daten stammen, an wen die Daten weitergeleitet werden
    96 und zu welchem Zweck diese Daten gespeichert werden. Unter
    97 bestimmten Bedingungen kann die verantwortliche Stelle die
    98 Auskunft allerdings verweigern, etwa zur Wahrung von
    99 Geschäftsgeheimnissen (vgl. § 34 BDSG). Wenngleich diese
    100 Auskunftsrechte ein starkes Instrument zur Wahrung der
    101 informationellen Selbstbestimmung für Betroffene sind,
    102 erscheint die praktische Nutzung in einer Umgebung, in der
    103 immer mehr Anwendungen im Alltag personenbezogene Daten
    104 nutzen, zunehmend weniger handhabbar
    105
    106 In letzter Zeit ist deshalb die Idee des sogenannten
    107 „Datenbriefs“ im Gespräch. Unternehmen, Behörden oder
    108 sonstige Institutionen könnten gesetzlich verpflichtet
    109 werden, Bürgerinnen und Bürger regelmäßig darüber zu
    110 informieren und zu erläutern, welche Daten zu welchem Zweck
    111 über sie gespeichert werden. Dies käme einem
    112 Paradigmenwechsel gleich: Das derzeitige Auskunftsrecht
    113 würde durch eine Informationspflicht ergänzt. Der Betroffene
    114 müsste also nicht mehr selbst aktiv werden, um zu erfahren,
    115 welche Daten wo über ihn gespeichert sind, sondern würde
    116 automatisch darüber benachrichtigt.
    117
    118 Für den Datenbrief wird angeführt, dass viele Betroffene
    119 derzeit oft gar nicht wissen würden, wo überall Daten über
    120 sie gespeichert werden. Sie könnten daher gar nicht von
    121 ihrem gesetzlich eingeräumten Auskunftsrecht Gebrauch
    122 machen. Dieser Anspruch würde daher häufig ins Leere laufen.
    123 Mit dem Datenbrief würde zudem das Verantwortungsbewusstsein
    124 der für die Datenverarbeitung verantwortlichen Stellen
    125 gestärkt. Sie würden unter Umständen genauer prüfen, ob und
    126 wie lange personenbezogene Daten tatsächlich gespeichert
    127 werden müssten.
    128
    129 Gegen den Datenbrief wird angeführt, dass er zunächst bei
    130 vielen datenverarbeitenden Stellen zu einer zentralen
    131 Zusammenführung der Daten führen könnte. An diese
    132 Konzentration von Daten müssten dann nicht nur höhere
    133 Sicherheitsanforderungen gestellt werden, sondern dies
    134 könnte auch wegen einer damit verbundenen Möglichkeit der
    135 verstärkten Profilbildung zu einer Beeinträchtigung des
    136 Rechts auf informationelle Selbstbestimmung führen. Auch die
    137 praktische Umsetzung des Datenbriefs wird als zu
    138 bürokratisch und kostenintensiv für die betroffenen
    139 Unternehmen kritisiert.
    140
    141 Informationspflichten bei „Datenpannen“
    142
    143 Die „Informationspflicht bei unrechtmäßiger
    144 Kenntniserlangung von Daten“ (§ 42a BDSG) verpflichtet
    145 verantwortliche Stellen im nicht-öffentlichen Bereich, die
    146 Betroffenen sowie die zuständigen Aufsichtsbehörden umgehend
    147 zu informieren, wenn gespeicherte sensible personenbezogene
    148 Daten unrechtmäßig an Dritte gelangen. Diese Regelung wurde
    149 jedoch erst im Jahr 2009 in das BDSG aufgenommen. Ursache
    150 hierfür waren vorhergegangene unerlaubte und missbräuchliche
    151 Erhebungen und Verarbeitungen von personenbezogenen Daten in
    152 der Wirtschaft.
    153
    154 Ziel aller Informationspflichten ist es, Transparenz über
    155 die Spei-cherung und Verarbeitung von Daten herzustellen.
    156 Diese Transparenz ist Voraussetzung dafür, die
    157 informationelle Selbstbestimmung tatsächlich ausüben zu
    158 können. Ohne ausreichende Transparenz kann keine informierte
    159 Einwilligung existieren. Wenn Betroffene in die Lage
    160 versetzt werden sollen, bereits nach dem BDSG bestehende
    161 Auskunfts-, Lösch-, Widerspruchs- und Berichtigungsrechte
    162 auch tatsächlich geltend machen zu können, ist die Kenntnis
    163 notwendig, wer welche Daten zu welchem Zweck gespeichert
    164 hat.