Inhaltsverzeichnis
Werbung
N
M
Aufsätze
erkennbar war, was mit den Daten konkret geschehen soll.
Die Hauptgefährdung, der hier begegnet werden sollte, wäre
die „heimliche" Verknüpfung an sich jeweils zulässigerweise
verwendeter oder vorhandener Daten.
Sechstens: Der Übergang der Daten, die der Einzelne in
9
allgemein zugängliche oder nicht ihm gehörende oder des-
sen Arbeitgeber gehörende Systeme eingibt, wird flankiert
von einer Reihe informationeller und organisatorischer Maß-
nahmen. Dies wären etwa Hinweise auf Selbstschutzmö-
glichkeiten, Hinweise auf Einstellungen, die der Betroffene
vornehmen kann (auch Hinweise auf bereits getroffene Ein-
stellungen, Defaults) – am besten verbunden mit einer Art
Kontaminations-Code, der graduelle Abstufung von dem
durch das Datenspektrum entstehenden Gefährdungsgehalt
anzeigt. Im primitivsten Fall wäre dies das Modell der Am-
47
pelschaltung.
Die Rechte des Betroffenen müssten so in die Systeme
„eingebaut" werden, dass deren Handhabung für diesen
selbstverständlich und erleichtert ist. Dies betrifft insbeson-
dere die Ausgestaltung der Systeme im Hinblick auf die
Implementation dessen, was Privatheit ausmacht, die Berich-
tigungs- und Löschungsmöglichkeit, das Recht auf Gegen-
darstellung und auch dessen technische Ausübbarkeit sowie
eine Art Kontoauszug inkl. der Herkunft und des Verbleibs
der Daten mit weiteren Mitteln. Der Selbstdatenschutz ist
längst als anerkanntes Prinzip vorgeschlagen, müsste aber
stärker ausgeprägt werden, entsprechend auch die Verpflich-
tung der Anbieter zu Privacy by Design. Wesentliche Unter-
stützung sollen die technisch/organisatorischen Maßnah-
men bieten. Die zu gründende Stiftung Datenschutz könnte
durch Vergleichstest Standards sichern und vermitteln.
Siebtens: Die Verletzung der konkret ausgeformten Pflich-
9
ten, auch der zur Organisation und Gestaltung der Systeme
sowie zur Information der Nutzer, wäre stark sanktioniert und
zwar primär zivilrechtlich. Eine Haftung für Richtigkeit und
Vollständigkeit der Informationen sowie für sonstige Ver-
stöße gegen das Gesetz, wobei auch immaterieller Schaden
(verschuldensunabhängig, pauschal) zu erstatten ist, wird ver-
stärkt durch einen Automatismus der Benachrichtigung und
der Haftung für die Unterlassung dieser Benachrichtigungs-
pflicht. Die Sanktionen effektuieren den Schutz der Privat-
sphäre dadurch, dass die Haftung primär verschuldensunabhän-
gig wäre und mit einer Pauschale für jeden Fall der
Pflichtverletzung entsteht, nach Fallgruppen gestaffelt.
46 Anregung auch im Vortrag von Rogall-Grothe, Moderner Datenschutz im 21. Jahr-
hundert – eine Herausforderung für Staat, Wirtschaft und Gesellschaft, 4.10.2010
in Berlin.
47 Auch dieser Selbstschutz mit Warn-Hinweisen ist angedeutet im vorstehend zitier-
ten Vortrag von Rogall-Grothe v. 4.10.2010 (s. Fn. 46).
48 Bei einfach gelagerten Fällen bestünde die Möglichkeit sich zu entlasten, ab mit-
telschweren griffe automatisch eine Pauschale, wobei notfalls der Verletzer nach-
weisen darf, dass dem Betroffenen kein, auch kein immaterieller Schaden entstan-
den ist. Der Betroffene hätte die Möglichkeit, einen weitergehenden Schaden
nachzuweisen. Eine Verletzung kardinaler Pflichten des „Datenschutzes" ist etwa
die Verletzung der Zweckbindung ohne Zustimmung des Betroffenen und ohne ein
Sonderrecht hierzu, also primär die Verletzung des auf eine untere Ebene ver-
lagerten Verbotsprinzips. Die Schwere des Eingriffs würde indiziert durch die Verlet-
zung einer „Kardinalpflicht", ohne dass der Betroffene nachweisen muss, dass
zum Beispiel sein Intimbereich oder ähnliches verletzt wird. Das würde bedeuten,
dass gerade auch Daten, die in die Öffentlichkeit geraten, wobei sich der Betrof-
fene dieser Daten selbst entäußert hat, im Rahmen einer Zweckbindung einem er-
heblichen Schutz unterliegen und dessen Verletzung einen Ersatz immateriellen
Schadens auslöst oder auslösen kann (wenn nicht der Betreiber überwiegende
Rechte, etwa Meinungsäußerungsfreiheit, geltend machen kann).
49 Solche Accountability wird in der EU diskutiert. S. oben EU-Kommission v.
4.11.2010.
50 EuGH vom 9.3.2010 – Rs.C-518/07; s. a. zum Verfahren bzw. zur Unabhängigkeit
Taeger/Gabel/Grittmann, BDSG-Kommentar 2010, Rz. 43 ff. zu § 38 BDSG. Berlin
hat inzwischen „nachgebessert", s. datenschutz-berlin.de, 18.2.2011.
Hemmnis für einen modernen Datenschutz: Das Verbotsprinzip, Schneider
46
48
Achtens: Im Rahmen der Haftung wäre es wichtig, dass
9
Verletzungen von Pflichten lizenzähnliche Schadensersatz-
ansprüche auslösen. Die unrechtmäßige Abbildung des Ein-
zelnen oder die unrechtmäßige Verwendung seiner Daten,
insbesondere außerhalb der Zweckbindung, könnte so auch
ohne konkreten Schaden zu einem bezifferbaren Schaden-
ersatz führen.
Neuntens: Das weitere Instrumentarium würde be-
9
stimmte Arten von Daten nach anderen Kategorien behan-
deln, so insbesondere die durch die Nutzung verschiedenster
Systeme zwangsläufig entstehenden Datenspuren. Solche Da-
ten würden zwar nicht separat geschützt, wären aber zum ei-
nen nicht einer weiteren Verwendung zuzuführen (wenn
nicht Spezialgesetze dies erlauben), zum anderen automa-
tisch zu löschen. Altersabhängig könnten Daten, die Jugend-
liche absondern, ebenfalls einem solchen Verfallsdatum an-
heimfallen. Dem könnte der Betroffene – entsprechende klare
Übersicht und Informationen vorausgesetzt – widersprechen,
so dass er seine Daten insoweit selbst perpetuieren kann.
Zehntens: Das oben schon angedeutete Prinzip einer Art
9
Kontoführung wäre möglicherweise für den Einzelnen zu we-
nig transparent und müsste stark vereinfacht werden. Den-
noch erscheint es nicht obsolet. Vielmehr sollte eine Pflicht
zur Informationspflicht und zur Gestaltung der Prüfbarkeit
49
durch Dritte gegeben sein.
der Einsehbarkeit durch den Einzelnen auch die Befundsiche-
rung gewährleistet. Unter Umständen würde für bestimmte
Prozesse die Beweislast so konzipiert, dass sich der Informati-
onsverwender durch entsprechende Befundsicherung und de-
ren Darlegung entlasten kann. Die Telekommunikations-
anbieter und Systembetreiber hätten insoweit auch die Pflicht,
die Rückverfolgbarkeit der Informations-Ströme und -verwen-
dungen (Traceability) zu gewährleisten.
Elftens: Wechsel in der Gefährdungslage durch Erhö-
9
hung der Risiken oder Verletzungen von Schutzbestimmun-
gen wären dem Betroffenen mitzuteilen (§ 42 a BDSG wäre
zu erweitern). Besondere Vorkommnisse würden individu-
elle Benachrichtigungen auslösen. Die Unterlassung wäre
bei der Dimensionierung der Schadenspauschale zu berück-
sichtigen. Der Bürger würde so von Missbrauchsfällen erfah-
ren und könnte sich unter Umständen vor weiterem Miss-
brauch schützen.
Zwölftens: Die Eingriffsbefugnisse der Aufsichtsbehör-
9
den wären zu stärken. Gemäß Art. 28 Abs. 1 Satz 2 EU-Da-
tenschutzrichtlinie haben die Überwachungsstellen als eines
der wichtigsten Merkmale die zugewiesenen Aufgaben in
„völliger Unabhängigkeit" wahrzunehmen.
nehin eine Revision der Organisation der Aufsichtsbehörden
erforderlich ist, wäre gleichzeitig auch die Ausstattung mit
den geeigneten Befugnissen denkbar, damit Sanktionen
auch auf späteren Stufen ausgesprochen werden können.
Prof. Dr. Jochen Schneider, München
Prof. Dr. Jochen Schneider, München
Der Autor ist Rechtsanwalt. Er ist Partner der Kanzlei
Schneider Schiffer Weihermüller und Honorarprofessor für
Rechtsinformatik an der Ludwig-Maximilians-Universität
München. Er ist Vorsitzender des Ausschusses Informations-
recht und des Geschäftsführenden Ausschusses der Ar-
beitsgemeinschaft IT-Recht im Deutschen Anwaltverein
(davit).
Sie erreichen den Autor unter der E-Mail-Adresse
autor@anwaltsblatt.de.
Mit diesem „Account" wäre neben
50
Da insoweit oh-
AnwBl 4 / 2011
239
Werbung
Inhaltsverzeichnis
