Navigation und Service

Springe direkt zu:

Rede: 13. Datenschutzkongresses 2012

Rede der Staatssekretärin des Bundesministeriums der Justiz Dr. Birgit Grundmann anlässlich des 13. Datenschutzkongresses 2012 am 9. Mai 2012 in Berlin

Es gilt das gesprochene Wort!


Sehr geehrter Herr Gliss,
meine Damen und Herren,

ich hoffe, Sie sind nicht schon allzu erschöpft oder gar erschlagen vom ersten Konferenztag. Ein Blick in das Veranstaltungsheft zeigt ein ehrgeiziges Programm, das den Teilnehmerinnen und Teilnehmern echtes Durchhaltevermögen abverlangt.

Es zeigt auch, wie allgegenwärtig die Verarbeitung von Daten in unserer heutigen Lebenswelt ist. Von der zunehmenden Auslagerung persönlicher Daten in sogenannte „Personal Clouds“ über die intensive Nutzung sozialer Netzwerke bis hin zur Erfassung unseres Verbraucher- und Freizeitverhaltens durch Mikroelektronik: Wir alle hinterlassen tagtäglich die verschiedensten Datenspuren bei einer Vielzahl von Akteuren, oftmals ohne dass es uns im Einzelnen bewusst ist.

Für uns alle wird es im Zeitalter der Digitalisierung immer schwieriger, den Überblick zu behalten, über die Verwendung eigener Daten durch andere. Dieser Kontrollverlust droht nicht nur bei der Nutzung des Internets. Zunehmend enthalten auch in unserer realen Welt Gegenstände und Umgebungen Sensoren und Prozessoren, die automatisiert Daten erheben und verarbeiten.

Insbesondere durch die rasch fortschreitende Weiterentwicklung der RFID-Technologie wird es künftig möglich sein, spontan Datenverarbeitungsprozesse durchzuführen, an denen zahlreiche Akteure in wechselnden Rollen beteiligt sein werden und die vielfältige Verarbeitungszwecke gleichzeitig verfolgen können. Diese technische Entwicklung wird es mit sich bringen, dass insbesondere das Verbraucher- und Freizeitverhalten der Menschen vielfach unbemerkt nachvollzogen werden kann, verbunden mit der Möglichkeit, die ermittelten Einzeldaten zu Persönlichkeitsprofilen zusammenzuführen. Dabei besteht die Gefahr, dass zunehmend auch die Grenzen zwischen dem staatlichen und dem privaten Zugriff auf die so erhobenen Daten aufgelöst werden. Stehen aussagekräftige Datenbestände in privater Hand einmal zur Verfügung, wird auch der Staat auf diese zugreifen wollen.

Dies ist – kurz skizziert – der faktische Anwendungsrahmen, dem ein modernes zukunftsfähiges Datenschutzrecht gerecht werden muss. Dieser Rahmen ist in Zeiten des Internets und der allgegenwärtigen Datenverarbeitung per se international. Die Rechtsunsicherheiten bei der zunehmenden Nutzung von Cloud Computing-Angeboten aus Drittstaaten wie auch die Durchsetzungsschwierigkeiten der Datenschutzbeauftragten der Länder gegenüber marktmächtigen Internetanbietern wie Google und Facebook zeigen nur allzu deutlich, dass nationale Regelwerke schon jetzt in vielen Bereichen an ihre Grenzen stoßen.

Meine Damen und Herren,

hieraus sind, jedenfalls was die Datenverarbeitung durch Private angeht, meines Erachtens folgende wesentliche Schlüsse zu ziehen:

• Erstens können die aktuellen und künftigen Herausforderungen für den Datenschutz effektiv nur zugleich auch auf internationaler Ebene gelöst werden.

• Zweitens muss der Einzelne bei der Wahrnehmung seiner Rechte gestärkt und durch technische Maßnahmen zum Selbstschutz unterstützt werden. Zentrale Bedeutung hat hier die informierte Einwilligung als Kernelement der Selbstbestimmung.

• Und drittens kann sich ein modernes Datenschutzrecht nicht nur auf die herkömmlichen Gestaltungs- und Verarbeitungsregelungen beschränken. Es muss vielmehr neue technische Möglichkeiten berücksichtigen, die eine wirksame Durchsetzung des Datenschutzes und der Datensicherheit sicherstellen.

Alle Augen sind derzeit auf Brüssel gerichtet. Im Januar dieses Jahres hat die Kommission ein umfassendes Datenschutzpaket vorgelegt, zu dem Entwürfe für eine Datenschutz-Grundverordnung sowie für eine Datenschutz-Richtlinie für den Bereich der polizeilichen und justiziellen Zusammenarbeit gehören. Ziel der Reform ist eine weitere Verbesserung und Harmonisierung des Datenschutzrechts in Europa, was im Ansatz sehr positiv zu sehen ist.

Der Vorschlag für die Datenschutz-Richtlinie hat weitreichende Folgen für gewachsene und bewährte nationale Regelungen – wie etwa das Strafprozessrecht – und wird deshalb besonders sorgfältig zu prüfen sein. Ich werde hierauf aber heute nicht näher eingehen können, sondern die von der Kommission vorgelegte Datenschutz-Grundverordnung in den Blick nehmen.

Mit dieser Grundverordnung steht ein ambitioniertes Regelwerk für ein EU-weit harmonisiertes Datenschutzrecht zur Diskussion, das aus Sicht des Bundesministeriums der Justiz (BMJ) als Basis für die weitere Diskussion zu begrüßen ist.

Der Entwurf hat bei uns in Deutschland, aber auch in anderen Mitgliedstaaten, eine sehr lebhafte Debatte ausgelöst, an der sich Wissenschaft, Wirtschaft und Politik auf vielen Veranstaltungen und mit fundierten Stellungnahmen aktiv beteiligen. Dabei vernimmt man auch zahlreiche kritische Stimmen. Diese befürchten, dass die im deutschen Datenschutzrecht vor allem im Bereich der öffentlichen Datenverarbeitung gewachsenen differenzierten Strukturen im Zuge einer EU-Vollharmonisierung abgeschafft werden müssten und dass dies im Ergebnis zu einer wesentlichen Verschlechterung des Datenschutzniveaus führen könnte. Das war auch eine der maßgeblichen Erwägungen in der vom Bundesrat erhobenen Subsidiaritätsrüge.

Diese Befürchtungen sind sicher stark dadurch bedingt, dass sich die Kommission nicht auf die Modernisierung der bestehenden Datenschutz-Richtlinie beschränkt hat, sondern mit dem Verordnungsentwurf die Schaffung eines möglichst einheitlichen, unmittelbar geltenden Rechtsrahmens auf EU-Ebene anstrebt. Dieser würde nationale Datenschutzgesetze weitgehend ausschließen.

Für Mitgliedstaaten wie Deutschland, die vor allem bei der Datenverarbeitung durch öffentliche Stellen über ein komplexes System aus allgemeinen und bereichsspezifischen Vorschriften verfügen, wirft dieser Ansatz in der Tat Probleme auf. Denn die Verordnung gilt in den Mitgliedstaaten unmittelbar und zwingt dazu, bestehendes innerstaatliches Datenschutzrecht hierauf abzustimmen. Bund und Länder werden also den komplexen Bestand an datenschutzrechtlichen Regelungen daraufhin analysieren müssen, welche Regelungen auch nach der Neuregelung des EU-Rechts erhalten bleiben können und sollten.

Dabei muss nach Auffassung des BMJ insbesondere sicherstellt werden, dass ein künftiger EU-Datenschutz-Rechtsrahmen den Mitgliedstaaten die Möglichkeit belässt, über den vorgesehenen Mindeststandard hinaus einen höheren Datenschutzstandard vorzusehen. Vor allem sollte dies für Bereiche der hoheitlichen Datenverarbeitung gelten, in denen wir bereits heute im Interesse eines besonderen Persönlichkeitsschutzes ausdifferenzierte Schutzregeln haben.

Die Kommission hat das Bedürfnis für eine partielle Beibehaltung von nationalem Datenschutzrecht im öffentlichen Bereich durchaus gesehen. Der Entwurf verweist an zentraler Stelle auf mitgliedstaatliche Rechtsgrundlagen als Voraussetzung für eine rechtmäßige Datenverarbeitung. Es wird aber bislang aus dem Text und der Erläuterung der Kommission nicht hinreichend deutlich, wie weit diese Regelungsspielräume reichen sollen: Erlauben sie lediglich generalklauselartige Regelungen im nationalen Recht oder können oder müssen darüber hinaus national auch weitere Detailfragen bereichsspezifisch geregelt werden, wie insbesondere Verwendungszwecke, Art und Umfang der Daten, Empfänger und Löschungsfristen? Diese Unklarheiten müssen beseitigt werden. Erforderlich ist eine klare Ausgestaltung der Öffnungsklauseln, die eine Beibehaltung der Rechtsgrundlagen in unserem Recht im notwendigen Umfang sicherstellt.

Die hierfür erforderliche Überprüfung des sehr umfangreichen und heterogenen bereichsspezifischen Rechts ist eine Herkulesaufgabe für die Bundesregierung, die Zeit und Mühen kosten wird. Diese Aufgabe wird sich spätestens dann stellen, wenn der EU-Rechtsakt einmal verabschiedet ist. Angesichts des enormen Aufwandes sind wir dabei für den Input aller Sach- und Fachkundigen dankbar.

Meine Damen und Herren,

das Datenschutzrecht bedarf nach einhelliger Auffassung von Wissenschaft und Praxis einer grundlegenden und umfassenden Modernisierung. Die Allgemeine Europäische Datenschutzrichtlinie stammt aus dem Jahr 1995 und ist seitdem unverändert geblieben. In Deutschland sind in den letzten Jahren in Reaktion auf einzelne Fehlentwicklungen lediglich punktuelle Änderungen und Ergänzungen erfolgt. Insbesondere wird das geltende Recht in Deutschland und in Europa den neuen technischen Formen der Datenverarbeitung nicht mehr gerecht.

Gleichzeitig werden die Bedrohungen für die informationelle Selbstbestimmung größer. Vor diesem Hintergrund wird ein in sich geschlossenes und in der Praxis wirksames normatives Konzept immer wichtiger.

Klar ist aber auch: Die traditionellen Regelungsansätze des Datenschutzrechts reichen nicht mehr aus, um den Risiken für das informationelle Selbstbestimmungsrecht effektiv zu begegnen, die sich aus den vielfältigen Datenverarbeitungstechniken ergeben. Wir brauchen rechtliche Anreize für die Entwicklung und den Einsatz datenschutzfreundlicher und praxistauglicher Techniken.

Ziel eines solchen gesetzgeberischen Konzepts sollte insbesondere sein, die Techniken zu fördern, die die Erhebung und Verarbeitung von personenbezogenen Daten von vornherein vermeiden. Dazu muss der Grundsatz der Datenvermeidung und Datensparsamkeit stärker als bisher rechtlich verankert werden. Dieser im Bundesdatenschutzgesetz geregelte Grundsatz hat bislang im europäischen Recht keine Entsprechung. Hier greift auch der aktuelle Verordnungsentwurf zu kurz, in dem dieser Grundsatz allenfalls in Ansätzen zu finden ist.

Insgesamt sollte ein künftiges europäisches Datenschutzrecht die technische Gestaltung von Verarbeitungssystemen stärker in den Blick nehmen und Datenverarbeiter verpflichten, so weit wie möglich anonyme und pseudonyme Nutzungsmöglichkeiten einzusetzen bzw. anzubieten. Es müssen auch Anreize geschaffen werden für eine vorgelagerte Überprüfung der einzusetzenden Systeme auf Datenvermeidung und Datensparsamkeit. Langfristig würde so die Entwicklung von Techniken gefördert, die bereits datenschutzfreundliche Lösungen beinhalten.

Speziell für das Internet bedeutet dies, dass die Anbieter zu datenschutzfreundlichen, also datensparsamen Vor- und Grundeinstellungen verpflichtet werden sollten. Auf diese Weise kann den Nutzern ein verantwortungsvoller Umgang mit Bildern, Postings, Links und Dokumenten in sozialen Netzwerken von Anfang an ermöglicht werden. Die gängige Praxis ist momentan meist umgekehrt: Was einmal ins Netz gestellt wurde, ist unter Umständen schon kopiert, bevor der Nutzer Änderungen bei seinen Einstellungen zur Privatsphäre vornehmen kann.

Generell sollten Internetdienste künftig stärker angehalten sein, ein datenschutzfreundliches Identitätsmanagement durch den Nutzer selbst zu etablieren, indem diesem die nötigen Mittel zum Selbstdatenschutz zur Verfügung gestellt werden. Es muss den Betroffenen ermöglicht werden, elektronisch ihre Einwilligung zu erteilen und ihre Rechte auf Berichtigung oder Löschung auszuüben.

Der aktuelle Verordnungsentwurf enthält zum „Datenschutz durch Technik“ nur Grundregelungen, die weiter ausgebaut und konkretisiert werden müssen. Dabei kann es nicht darum gehen, Herstellern und Anwendern eine konkrete Technikgestaltung verbindlich vorzuschreiben. Eine solche Vorgehensweise würde unverhältnismäßig in das Marktverhalten der Unternehmen eingreifen und wäre angesichts der rasanten technischen Entwicklung ohnehin von vornherein zum Scheitern verurteilt.

Durch eine Kombination von grundsätzlichen rechtlichen Vorgaben und der Eröffnung von Möglichkeiten der Selbstregulierung für die Unternehmen müssen vielmehr Anreize geschaffen werden, verstärkt datenschutzfreundliche Technologien und Verfahren einzusetzen, die auf die Erhebung von personenbezogenen Daten weitestgehend verzichten. Ein solches Konzept der „regulierten Selbstregulierung“ kann durch die Durchführung von Auditverfahren und die Vergabe von Datenschutzsiegeln wirksam ergänzt werden. Auch deshalb ist die Schaffung einer „Stiftung Datenschutz“, die Kriterien für ein Zertifizierungsverfahren entwickeln soll, dem BMJ ein wichtiges Anliegen. Ich hoffe sehr, dass diese im Koalitionsvertrag vereinbarte Stiftung jetzt endlich bald ins Leben gerufen werden kann.

Meine Damen und Herren,

die bisherigen Ratsverhandlungen haben gezeigt, dass die Verabschiedung eines neuen EU-Rechtsrahmens für den Datenschutz noch geraume Zeit dauern wird. Dies ist angesichts der Komplexität und der möglichen Auswirkungen auch gut und richtig.

Das übergeordnete Ziel ist es, dass am Ende des Beratungsprozesses ein Gesamtkonzept steht, das den „Datenschutz durch Technik“ stärkt und gegenüber dem geltenden Recht einen echten Fortschritt für Betroffene und Datenverarbeiter bringt. Das BMJ wird sich an diesem Beratungsprozess von Anfang an intensiv beteiligen, und ich bin sicher – Sie alle auch!

Vielen Dank!

Mach mit - gestalte Zukunft!

Mehr: Medien …

Zum Webangebot von wir sind bund.

Die Jugendseite des Bundesjustizministeriums

Mehr: Gerchte Sache …

Zur Jugendseite des Bundesjustizministeriums

Gesetze im Internet -

Jetzt auch als XML-Fassung!

Mehr: Juris …

Zur Startseite Gesetze im Internet

D115 -
Ihre Einheitliche Behördennummer

Mehr: D115 …

Startseite D115 - Telefonnummer für Behörden und Ämter

Diese Seite:

Creative Commons Lizenzvertrag
Soweit nicht anders gekennzeichnet, stehen die Texte auf dieser Seite unter einer Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland Lizenz.