Der Landtag hat dem Landesbeauftragten für den Datenschutz mit Wirkung zum 1. Oktober 2008 auch die Funktion einer Aufsichtsbehörde für den Datenschutz bei privaten Stellen im Land übertragen. Ziele sind mehr Transparenz für die Bürger, die Bündelung von Sachverstand und die Stärkung der Unabhängigkeit der Kontrollbehörde. Für den LfD bedeutet diese Neuorganisation einen erheblichen Zuwachs an Verantwortung.
Angesichts der jüngsten Skandale fragt es sich, wie es um den Datenschutz in diesem Bereich bestellt ist und ob das Datenschutzgrundrecht durch privatwirtschaftliche mehr als durch staatliche Aktivitäten gefährdet wird. Da Kontrollen und Aufsicht im staatlichen Bereich erheblich enger geknüpft sind, ist davon auszugehen, dass die Gefahr missbräuchlicher Datennutzungen im Privatbereich deutlich größer ist. Generell ist festzustellen, dass sich die Datenschutzprobleme zwar nicht nur, aber auch im Bereich der Privatwirtschaft parallel zur exponentiellen Entwicklung der Kommunikationstechnik in relativ kurzen Zeiträumen potenzieren. Riesige Datenbestände mit teils sensiblen Informationen entstehen bei immer mehr privaten Unternehmen (nicht nur bei amazon und google). Die Miniaturisierung von Speichern macht das unbefugte Kopieren und Übermitteln immer leichter. Damit werden auch missbräuchliche Datenverwendungen in immer neuen Dimensionen möglich. Hinzu kommen die neuen Gefahren im Internet, insbes. durch das Web 2.0 (z.B. lückenlose Erfassung des Nutzungsverhaltens, Identitätsdiebstahl, Rufschädigung, Betrug, Phishing, virtueller Exhibitionismus etc).
Zur Erhöhung des Datenschutzniveaus sind zunächst Rechtsänderungen zu fordern (Adressat ist dafür in erster Linie der Bundesgesetzgeber):
- Die Weitergabe von persönlichen Angaben zu Werbezwecken darf nur mit ausdrücklicher Einwilligung der Betroffenen zulässig sein.
- Personenbezogene Daten sind mit einem Vermerk über ihre Quelle zu kennzeichnen.
- Der Abschluss von Verträgen darf nicht von der Einwilligung in die Datenübermittlung zu Werbezwecken abhängig gemacht werden.
- Verstöße gegen den Datenschutz dürfen nicht ohne Konsequenzen bleiben, sondern müssen strikt geahndet werden. Deshalb müssen die bestehenden Lücken in den Bußgeld- und Strafbestimmungen geschlossen und der Bußgeld- und Strafrahmen für Datenschutzverstöße deutlich erhöht werden.
- Unbefugter Datenhandel muss eine Gewinnabschöpfung auslösen können.
- Die Pflicht der Datenverarbeiter, Datenzugriffe in automatisierten Verfahren zu protokollieren, ist auszuweiten.
- Die datenschutzrechtlichen Auskunftsrechte der Betroffenen sind zu stärken.
- Bei Datenpannen und missbräuchlicher Datennutzung muss es eine Pflicht zur Information der betroffenen Personen und der Aufsichtsbehörden geben.
- Ein gesetzlich geregeltes Datenschutzaudit, mit dem unabhängig und qualifiziert die Datenschutzkonformität von Verfahren und Produkten bestätigt wird, muss geschaffen werden.
- Die betrieblichen Datenschutzbeauftragten als Organ der Selbstkontrolle sind zu stärken.
Schätzungsweise über 200 000 private geschäftsmäßig tätige Datenverarbeiter sind im Land tätig. Eine lückenlose flächendeckende Überwachung und Kontrolle ist unmöglich. Gesetzgeberische Maßnahmen allein helfen nicht weiter, wenn ihre Einhaltung nicht ausreichend kontrolliert und Verstöße nicht sanktioniert werden können. Die Datenschutzaufsichtsbehörden müssen auch organisatorisch, personell und finanziell in die Lage versetzt werden, ihren Beratungs- und Kontrollaufgaben unabhängig und wirkungsvoll nachkommen zu können.
Im Rahmen der mir nur sehr begrenzt zur Verfügung stehenden personellen Ressourcen beabsichtige ich, folgende Schwerpunkte bei der Datenschutzkontrolle im privaten Bereich zu setzen:
- Die ca. fünfzig im Land tätigen Callcenter müssen mit Stichprobenkontrollen rechnen.
- Die im Rahmen von Internet-Anwendungen erfolgenden Datenerhebungen und -übermittlungen, insbesondere wenn sie zu prinzipiell unbeschränkten Zugriffsmöglichkeiten im www führen, sind kritisch zu begleiten und zu prüfen. Dies betrifft insbesondere die Betreiber von Plattformen und Foren aller Art: Sie haben Datenschutzvorgaben zu beachten. Hier sind die verschiedensten Akteure tätig; das Spektrum reicht von öffentlichen Stellen (z.B. Kommunen) über Vereine bis zu kommerziellen Anbietern, die sich durch Werbung finanzieren. Auch die Anbieter anderer Telemedien sind in anlasslose Kontrollen einzubeziehen.
- Ein bedeutsamer Bereich ist das Gesundheitswesen: künftig wird auch die Datenverarbeitung von Ärzten und anderen niedergelassenen Heilberuflern, Apotheken sowie privaten Krankenhäusern zum Kontrollbereich des Landesbeauftragten für den Datenschutz zählen. Dies ermöglicht u.a. eine umfassendere datenschutzrechtliche Begleitung des Einführungsprozesses der elektronischen Gesundheitskarte.
- Die Kontrolle des Einsatzes der Videobeobachtung bildet bereits derzeit einen Schwerpunkt meiner Tätigkeit. Die privaten Nutzer dieser Technik (z.B. Banken, Einkaufszentren etc.) müssen ebenfalls die gesetzlichen Schranken beachten und sollten mit Kontrollen rechnen müssen.
- Schließlich ist der Bereich des Arbeitnehmerdatenschutzes zu nennen.
Neben der Kontrolle sind selbstverständlich die Beratung und die Information aller an DV-Prozessen beteiligten Akteure von großer Bedeutung. Dies betrifft zunächst die datenverarbeitenden Unternehmen, aber auch die Bürgerinnen und Bürger als Nutzer elektronischer Medien und als Konsumenten, die in den verschiedensten Zusammenhängen von EDV betroffen sind. Gerade angesichts knapper Kontrollressourcen der Aufsichtsbehörden ist es vordringlich, dass sich die Bürger selbst vor missbräuchlichen Datenerhebungen und -verwendungen schützen.
Ich werde mich darum bemühen, mein neues umfangreiches Aufgabenspektrum, aus dem nur die derzeit wichtigsten Bereiche beispielhaft genannt wurden, mit den mir künftig zur Verfügung stehenden maximal drei neuen Stellen so gut wie möglich zu bearbeiten.