Datenschutz

Die Bedeutung des Datenschutzes ist seit der Entwicklung der Digitaltechnik stetig gestiegen, weil Datenerfassung, Datenhaltung, Datenweitergabe und Datenanalyse immer einfacher werden. Technische Entwicklungen wie Internet, E-Mail, Mobiltelefonie, Videoüberwachung und elektronische Zahlungsmethoden schaffen neue Möglichkeiten zur Datenerfassung. Interesse an personenbezogenen Informationen haben sowohl staatliche Stellen als auch private Unternehmen. Sicherheitsbehörden möchten beispielsweise durch Rasterfahndung und Telekommunikationsüberwachung die Verbrechensbekämpfung verbessern, Finanzbehörden sind an Banktransaktionen interessiert, um Steuerdelikte aufzudecken. Unternehmen versprechen sich von Mitarbeiterüberwachung (siehe Arbeitnehmerdatenschutz) höhere Effizienz, Kundenprofile sollen beim Marketing helfen und Auskunfteien die Zahlungsfähigkeit der Kunden sicherstellen (siehe Verbraucherdatenschutz, Schufa, Creditreform). Dieser Entwicklung steht eine gewisse Gleichgültigkeit großer Teile der Bevölkerung gegenüber, in deren Augen der Datenschutz keine oder nur geringe praktische Bedeutung hat.

Vor allem durch die weltweite Vernetzung, insbesondere durch das Internet, nehmen die Gefahren hinsichtlich des Schutzes personenbezogener Daten laufend zu („Das Internet vergisst nicht.“). Datenschützer müssen sich deshalb zunehmend mit den grundlegenden Fragen des technischen Datenschutzes (Datensicherheit) auseinandersetzen, wenn sie Erfolg haben wollen.

Seit 1980 existieren mit den OECD Guidelines on the Protection of Privacy and Transborder Data Flows of Personal Data international gültige Richtlinien, welche die Ziele haben, die mitgliedstaatlichen Datenschutzbestimmungen weitreichend zu harmonisieren, einen freien Informationsaustausch zu fördern, ungerechtfertigte Handelshemmnisse zu vermeiden und eine Kluft insbesondere zwischen den europäischen und US-amerikanischen Entwicklungen zu verhindern.

1981 verabschiedete der Europarat mit der Europäischen Datenschutzkonvention eines der ersten internationalen Abkommen zum Datenschutz. Die Europäische Datenschutzkonvention ist bis heute in Kraft, sie hat jedoch lediglich empfehlenden Charakter. Dagegen sind die Datenschutzrichtlinien der Europäischen Union für die Mitgliedstaaten verbindlich und in nationales Recht umzusetzen.

Mit der Europäischen Datenschutzrichtlinie haben das Europäische Parlament und der Europäische Rat Mindeststandards für den Datenschutz der Mitgliedsstaaten festgeschrieben. Die Richtlinie gilt jedoch nicht für den Bereich der justiziellen und polizeilichen Zusammenarbeit (sog. „3. Säule“ der Union). In Deutschland wurde die Richtlinie im Jahr 2001 mit dem Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze in nationales Recht umgesetzt. Geregelt wird auch die Übermittlung von personenbezogenen Daten in Drittstaaten, die nicht Mitglied der EU sind: Gemäß Artikel 25 ist die Übermittlung nur dann zulässig, wenn der Drittstaat ein "angemessenes Schutzniveau"' gewährleistet. Die Entscheidung, welche Länder dieses Schutzniveau gewährleisten, wird von der Kommission getroffen, die dabei von der so genannten Artikel-29-Datenschutzgruppe beraten wird. Aktuell (Stand 9/2004) wird gemäß Entscheidung der Kommission von folgenden Drittstaaten ein angemessenes Schutzniveau gewährleistet: Schweiz, Kanada, Argentinien, Guernsey, Insel Man, sowie bei der Anwendung der vom US-Handelsministerium vorgelegten Grundsätze des „sicheren Hafens“ und bei der Übermittlung von Fluggastdatensätzen an die US-Zoll- und Grenzschutzbehörde (CBP).

Insbesondere die Entscheidung über die Zulässigkeit der Übermittlung von Fluggastdatensätzen an die US-amerikanischen Zollbehörden ist stark umstritten gewesen. So hat das Europäische Parlament gegen diese Entscheidungen der Kommission und des Rates Klage erhoben, da es seiner Ansicht nach unzureichend beteiligt worden sei und zudem seitens der USA kein angemessenes Datenschutzniveau garantiert werde.

Ergänzt wurde diese Richtlinie durch die bereichsspezifische Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. Nachdem die Umsetzungsfrist der Richtlinie am 31. Dezember 2003 abgelaufen war, wurde gegen neun Mitgliedsstaaten ein Vertragsverletzungsverfahren eingeleitet; nachdem nur Schweden die Richtlinie daraufhin vollständig umgesetzt hat, droht Belgien, Deutschland, Griechenland, Frankreich, Luxemburg, den Niederlanden, Portugal und Finnland ein Verfahren vor dem Europäischen Gerichtshof.

Vom EU-Parlament wurde auf europäischer Ebene am 14. Dezember 2005 die Einführung einer obligatorischen Vorratsdatenspeicherung von Verkehrsdaten der Telekommunikation und des Internets mit den Stimmen von Christdemokraten und Sozialdemokraten beschlossen. Von Seiten des Rates und der Kommission wurden Mindestfristen von sechs Monaten (Internet) und einem Jahr (Telefonie) vorgeschlagen, gespeichert werden sollen die Daten nun bis zu 2 Jahre. Die Beschlüsse zur Vorratsdatenspeicherung werden von den staatlichen Datenschutzbeauftragten kritisiert.

Der Datenschutz ist nach der Rechtsprechung des Bundesverfassungsgerichts ein Grundrecht (Recht auf informationelle Selbstbestimmung). Danach kann der Betroffene grundsätzlich selbst darüber entscheiden, wem er welche persönlichen Informationen bekannt gibt.

Auf Bundesebene regelt das Bundesdatenschutzgesetz (BDSG) den Datenschutz für die Bundesbehörden und den privaten Bereich (d. h. für alle Wirtschaftsunternehmen). Daneben regeln die Landesdatenschutzgesetze der Bundesländer den Datenschutz in Landes- und Kommunalbehörden.

Neben den allgemeinen Datenschutzgesetzen (BDSG, Landesdatenschutzgesetze) gibt es eine Vielzahl bereichsspezifischer Datenschutzregelungen. So gelten für die Sozialleistungsträger die Datenschutz-Sonderregelungen des Sozialgesetzbuchs, insbesondere das zweite Kapitel des Zehnten Buchs Sozialgesetzbuch. Die bereichsspezifischen Datenschutzbestimmungen gehen den Regelungen des allgemeinen Datenschutzrechts vor.

Die öffentlichen Stellen des Bundes sowie die Unternehmen, die geschäftsmäßig Telekommunikations- oder Postdienstleistungen erbringen, unterliegen der Aufsicht durch den Bundesbeauftragten für den Datenschutz. Die Landesbehörden werden durch die Landesdatenschutzbeauftragten kontrolliert. Die privaten Unternehmen (bis auf Telekommunikation und Post) unterliegen der Aufsicht der Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich, die beim Landesdatenschutzbeauftragten oder bei den Landesbehörden (z.B. Innenministerium) angesiedelt sind. Die EU-Kommission hat ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland eingeleitet, da einige Landesdatenschutzbeauftragte und alle Landesbehörden nicht „in völliger Unabhängigkeit“ arbeiten, sondern die Landesregierung weisungsbefugt ist [1].

Rechtsgrundlage für den Datenschutz ist in Österreich das Datenschutzgesetz 2000 (DSG 2000). Die Einhaltung des Datenschutzes kontrolliert die Österreichische Datenschutzkommission. Deren geschäftsführendes Mitglied ist derzeit Waltraut Kotschy.

Ähnlich wie in Deutschland regelt das Datenschutzgesetz des Bundes den Datenschutz für die Bundesbehörden und für den privaten Bereich; auf die kantonalen Behörden ist das jeweilige kantonale Datenschutzgesetz anwendbar.

Kontrolliert wird die Einhaltung des DSG im Bund SR 235.1) durch den Eidgenössischen Datenschutzbeauftragten und sein Sekretariat. Momentan wird diese Stelle durch Hanspeter Thür bekleidet.

Für die Kontrolle der Einhaltung der kantonalen Datenschutzgesetze sind die Kantone zuständig. Sie sind dem Eidg. Datenschutzbeauftragten nicht unterstellt, sondern kontrollieren unabhängig.

In der Kirche hat Datenschutz eine sehr lange Tradition. So wurden bereits 1215 n. Chr. Seelsorge- und Beichtgeheimnis im Kirchenrecht schriftlich verankert. Heute schützt für den Bereich der katholischen Kirche das kirchliche Gesetzbuch Codex Iuris Canonici (CIC) das Persönlichkeitsrecht auf Schutz der Intimsphäre in Canon 220. In Deutschland gelten die Datenschutzgesetze von Bund und Ländern im Bereich der öffentlich-rechtlichen Kirchen (einschließlich Caritas und Diakonie) nicht unmittelbar, da die Kirchen diesbezüglich ein Selbstgestaltungsrecht haben. In der Evangelischen Kirche in Deutschland (EKD) gilt das Datenschutzgesetz der EKD (DSG-EKD), in der römisch-katholischen Kirche die Anordnung über den kirchlichen Datenschutz (KDO) und in der alt-katholischen Kirche die Ordnung über den Schutz von personenbezogenen Daten (Datenschutz-Ordnung, DSO) im Bereich des Katholischen Bistums der Alt-Katholiken in Deutschland. das ist falsch

Hauptprinzipien des Datenschutzes sind

• Datenvermeidung und Datensparsamkeit,
• Erforderlichkeit,
• Zweckbindung.

Sind (dennoch) Daten einmal angefallen, so sind technisch-organisatorische Maßnahmen zur Gewährleistung des Datenschutzes zu treffen (Datensicherheit). Hierzu gehört insbesondere die Beschränkung des Zugriffs auf die Daten durch die jeweils berechtigten Personen. Für automatisierte Abrufverfahren (Online-Verfahren) sind besondere Regeln zu beachten.

Aus den Prinzipien der Datensparsamkeit und der Erforderlichkeit folgt, dass Daten zu löschen (vgl. Datenvernichtung) sind, sobald sie nicht mehr benötigt werden. Nicht mehr erforderliche Daten, die wegen gesetzlicher Aufbewahrungs- und Dokumentationspflichten (insb. im Steuerrecht) nicht gelöscht werden dürfen, sind zu sperren.

Zu den grundlegenden Datenschutzanforderungen gehören ferner die unabdingbaren Rechte der Betroffenen (insb. das Recht auf Auskunft über die zu der jeweiligen Person gespeicherten Daten) und eine unabhängige Datenschutzaufsicht.

Auf der Internationalen Datenschutzkonferenz 2005 haben die Datenschutzbeauftragten in ihrer „Erklärung von Montreux“ darüber hinaus an die international anerkannten Datenschutzprinzipien erinnert. Diese sind:

• Prinzip der Zulässigkeit und Rechtmäßigkeit der Erhebung und Verarbeitung der Daten
• Prinzip der Richtigkeit
• Prinzip der Zweckgebundenheit
• Prinzip der Verhältnismäßigkeit
• Prinzip der Transparenz
• Prinzip der individuellen Mitsprache und namentlich der Garantie des Zugriffsrechts für die betroffenen Personen
• Prinzip der Nicht-Diskriminierung
• Prinzip der Sicherheit
• Prinzip der Haftung
• Prinzip einer unabhängigen Überwachung und gesetzlicher Sanktionen
• Prinzip des angemessenen Schutzniveaus bei grenzüberschreitendem Datenverkehr

Kritiker wenden gerne ein, dass übertriebener Datenschutz oder Datenschutz am falschen Ort auch schädlich sein kann. Als Beispiele werden etwa als ungenügend empfundener Datenaustausch zwischen Behandelnden in der Medizin (Elektronische Patientenkarte) oder die Behinderung der Forschung angeführt. Hierzu ist jedoch zu bemerken, dass die für die Forschung meist ausreichende Verarbeitung pseudonymisierter oder gar anonymisierter Daten sehr viel weniger datenschutzrechtlich relevant ist als die Verarbeitung personenbezogener Daten.

Auch die immer wieder von den Polizeien des Bundes und der Länder angeführte Kritik, der Datenschutz erschwere die Kriminalitätsbekämpfung, muss differenziert betrachtet werden: für viele der polizeilichen Maßnahmen ist entweder bereits deren Eignung zur Erreichung ihres Zwecks überhaupt nicht erwiesen oder aber das Verhältnis zwischen Nutzen (Sicherheit) und Schaden (Eingriff in die Freiheits- und Bürgerrechte) einseitig zuungunsten der Freiheitsrechte übergewichtet.

Hierzu ein fiktives Beispiel: Eine Totalüberwachung aller Bürger – also auch der bisher nicht in Erscheinung getretenen – würde das Kriminalitätsrisiko vermutlich senken, stellte jedoch unschwer zu erkennen einen unverhältnismäßigen Eingriff in die grundrechtlich verbürgten Freiheitsrechte der Bürger dar. In diesem Zusammenhang wurde auch über die Einführung von biometrischen Daten (Fingerabdruck, Gesichtsmaße, Irisscan) und RFID-Chips in den Reisepass (Elektronischer Reisepass) diskutiert.

• Bäumler, Helmut: E-Privacy - Datenschutz im Internet. Vieweg Verlag, ISBN 3-528-03921-3
• Garstka, Hansjürgen: Informationelle Selbstbestimmung und Datenschutz. Das Recht auf Privatsphäre. (PDF)
• Kongehl, Gerhard (Hrsg): Datenschutz-Management in Unternehmen und Behörden. Haufe 2005, ISBN 3-8092-1705-0
• Roßnagel, Alexander: Handbuch Datenschutzrecht, Verlag C.H. Beck 2003, ISBN 3-406-48441-7
• Martin Rost: Verkettbarkeit als Grundbegriff des Datenschutzes? in: Innovativer Datenschutz, Für Helmut Bäumler 2004: 315-334, (PDF)
• Schulzki-Haddouti, Christiane: Bürgerrechte im Netz. Bundeszentrale für politische Bildung, ISBN 3-8100-3872-5.
• Schulzki-Haddouti, Christiane: Vom Ende der Anonymität. Die Globalisierung der Überwachung. ISBN 3-88229-185-0
• Schulzki-Haddouti, Christiane: Datenjagd. Eine Anleitung zur Selbstverteidigung. ISBN 3-434-53089-4
• Ström, Pär: Die Überwachungsmafia. Das gute Geschäft mit unseren Daten. München 2005

• Datenschutzkonzept
• Anonymität
• Arbeitnehmerdatenschutz
• Datenverarbeitung im Auftrag
• Deutsche Vereinigung für Datenschutz
• Berufsverband der Datenschutzbeauftragten Deutschlands
• Gefahren bei Onlineberatung
• P3P
• Privacy
• Schweigepflicht von Anwälten, Ärzten, Priestern, Steuerberatern, usw.
• Selbstdatenschutz
• Stop1984
• Überwachungsstaat
• FoeBuD

• www.bfdi.bund.de - Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
• www.datenschutz.de - Virtuelles Datenschutzbüro
• www.datenschutzzentrum.de - Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
• „Sicherheit im Internet“ – Datenschutz- und Datensicherheitsrisiken erkennen und minimieren. Fachbeitrag auf http://www.verbraucherbildung.de, dem Bildungsportal des Verbraucherzentrale Bundesverbandes e.V.
• Digitalisierung und Datenschutz ("Aus Politik und Zeitgeschichte", APuZ 5-6/2006, 30. Januar 2006, BPB - PDF-Download, 3,78 MB: [2])

• Datenschutz in der römisch-katholischen Kirche
• Datenschutz in der EKD
• Datenschutz in der alt-katholischen Kirche

• Österreichische Datenschutzkommission
• Datenschutzgesetz (DSG2000)

• Schweizerischer Datenschutzbeauftragter

• Datenschutzportal der Europäischen Union
• Europäischer Datenschutzbeauftragter