Datenschutz

Datenschutz ist ein aus der zweiten Hälfte des 20. Jahrhunderts stammender Begriff, der ursprünglich den Schutz personenbezogener Daten vor Missbrauch zum Inhalt hatte. Der Begriff wurde gleichgesetzt mit Schutz der Daten, Schutz vor Daten oder auch Schutz vor „Verdatung“.

Heute wird der Zweck des Datenschutzes darin gesehen, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Recht auf informationelle Selbstbestimmung beeinträchtigt wird. Datenschutz steht für die Idee, dass jeder Mensch grundsätzlich selbst entscheiden kann, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Der Datenschutz will den so genannten Gläsernen Menschen verhindern.

Die Bedeutung des Datenschutzes ist auf Grund der technischen Entwicklung (Internet, E-Mail, Mobiltelefone, Videoüberwachung, Data Warehouse usw.) sowie des erhöhten Informationsbedürfnisses staatlicher Stellen (z.B. Rasterfahndung, Telekommunikationsüberwachung) und privater Unternehmen (z.B. Mitarbeiterüberwachung, Kundenprofile, Auskunfteien) stetig gestiegen. Dieser Entwicklung steht eine gewisse Gleichgültigkeit großer Teile der Bevölkerung gegenüber, in deren Augen der Datenschutz keine oder nur geringe praktische Bedeutung hat.

Vor allem durch die weltweite Vernetzung, insbesondere durch das Internet, nehmen die Gefahren hinsichtlich des Schutzes personenbezogener Daten laufend zu („Das Internet vergisst nicht“). Datenschützer müssen sich deshalb zunehmend mit den grundlegenden Fragen des technischen Datenschutzes (Datensicherheit) auseinandersetzen, wenn sie Erfolg haben wollen.

Regelungen

Internationale Regelungen

Seit 1980 existieren mit den OECD Guidelines on the Protection of Privacy and Transborder Data Flows of Personal Data international gültige Richtlinien, welche die Ziele haben, die mitgliedstaatlichen Datenschutzbestimmungen weitreichend zu harmonisieren, einen freien Informationsaustausch zu fördern, ungerechtfertigte Handelshemmnisse zu vermeiden und eine Kluft insbesondere zwischen den europäischen und US-amerikanischen Entwicklungen zu verhindern.

1981 verabschiedete der Europarat mit der Europäischen Datenschutzkonvention eines der ersten internationalen Abkommen zum Datenschutz. Die Europäische Datenschutzkonvention ist bis heute in Kraft; hat jedoch lediglich empfehlenden Charakter. Dagegen sind die Datenschutzrichtlinien der Europäischen Union für die Mitgliedstaaten verbindlich und in nationales Recht umzusetzen.

Europäische Union

Mit der Europäischen Datenschutzrichtlinie haben das Europäische Parlament und der Europäische Rat Mindeststandards für den Datenschutz der Mitgliedsstaaten festgeschrieben. Die Richtlinie gilt jedoch nicht für den Bereich der justiziellen und polizeilichen Zusammenarbeit (sog. "3. Säule" der Union). In Deutschland wurde die Richtlinie im Jahr 2001 mit dem Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze in nationales Recht umgesetzt. Geregelt wird auch die Übermittlung von personenbezogenen Daten in Drittstaaten, die nicht Mitglied der EU sind: Gemäß Artikel 25 ist die Übermittlung nur dann zulässig, wenn der Drittstaat ein angemessenes Schutzniveau gewährleistet. Die Entscheidung, welche Länder dieses Schutzniveau gewährleisten, wird von der Kommission getroffen, die dabei von der so genannten Artikel-29-Datenschutzgruppe beraten wird. Aktuell (Stand 9/2004) wird gemäß Entscheidung der Kommission bei folgende Drittstaaten ein angemessenes Schutzniveau gewährleistet: Schweiz, Kanada, Argentinien, Guernsey, Insel Man, bei der Anwendung der vom US-Handelsministerium vorgelegten Grundsätze des "sicheren Hafens" sowie bei der Übermittlung von Fluggastdatensätzen an die US-Zoll- und Grenzschutzbehörde (CBP).

Insbesondere die Entscheidung über die Zulässigkeit der Übermittlung von Fluggastdatensätzen an die US-amerikanischen Zollbehörden ist stark umstritten gewesen. So hat das Europäische Parlament gegen diese Entscheidungen der Kommission und des Rates Klage erhoben, da es seiner Ansicht nach unzureichend beteiligt worden sei und zudem seitens der USA kein angemessenes Datenschutzniveau garantiert werde.

Ergänzt wurde diese Richtlinie durch die bereichsspezifische Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. Nachdem die Umsetzungsfrist der Richtlinie am 31. Dezember 2003 abgelaufen war, wurde gegen neun Mitgliedsstaaten ein Vertragsverletzungsverfahren eingeleitet; nachdem nur Schweden die Richtlinie daraufhin vollständig umgesetzt hat, droht Belgien, Deutschland, Griechenland, Frankreich, Luxemburg, den Niederlanden, Portugal und Finnland ein Verfahren vor dem Europäischen Gerichtshof.

Derzeit wird auf europäischer Ebene über die Einführung einer obligatorischen Vorratsdatenspeicherung von Verkehrsdaten der Telekommunikation und des Internets diskutiert. Von Seiten des Rates und der Kommission werden Mindestfristen von sechs Monaten (Internet) und einem Jahr (Telefonie) vorgeschlagen. Strittig ist dabei, inwieweit eine derartige Entscheidung allein durch den Ministerrat beschlossen werden kann oder ob das Europäische Parlament zustimmen muss. Die Vorschläge zur Vorratsdatenspeicherung werden von den staatlichen Datenschutzbeauftragten kritisiert.

Bundesrepublik Deutschland

Der Datenschutz ist nach der Rechtsprechung des Bundesverfassungsgerichts ein Grundrecht (Recht auf informationelle Selbstbestimmung). Danach kann der Betroffene grundsätzlich selbst darüber entscheiden, wem er welche persönlichen Informationen bekannt gibt.

Auf Bundesebene regelt das Bundesdatenschutzgesetz (BDSG) den Datenschutz für die Bundesbehörden und den privaten Bereich (d. h. für alle Wirtschaftsunternehmen). Daneben regeln die Landesdatenschutzgesetze der Bundesländer den Datenschutz in Landes- und Kommunalbehörden.

Neben den allgemeinen Datenschutzgesetzen (BDSG, Landesdatenschutzgesetze) gibt es eine Vielzahl bereichsspezifischer Datenschutzregelungen. So gelten für die Sozialleistungsträger die Datenschutz-Sonderregelungen des Sozialgesetzbuchs, insbesondere das zweite Kapitel des Zehnten Buchs Sozialgesetzbuch. Die bereichsspezifischen Datenschutzbestimmungen gehen den Regelungen des allgemeinen Datenschutzrechts vor.

Die öffentlichen Stellen des Bundes sowie die Unternehmen, die geschäftsmäßig Telekommunikations- oder Postdienstleistungen erbringen, unterliegen der Aufsicht durch den Bundesbeauftragten für den Datenschutz. Die Landesbehörden werden durch die Landedatenschutzbeauftragten kontrolliert. Die privaten Unternehmen (bis auf Telekommunikation und Post) unterliegen der Aufsicht der Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich, die z.T. bei den Innenministerien der Länder angesiedelt sind. Die Zulässigkeit dieser Zuordnung ist derzeit Gegenstand eines Vertragsverletzungsverfahrens der EU-Kommission gegen die Bundesrepublik Deutschland.

Schweiz

Ähnlich wie in Deutschland regelt das Datenschutzgesetz des Bundes den Datenschutz für die Bundesbehörden und für den privaten Bereich; auf die kantonalen Behörden ist das jeweilige kantonale Datenschutzgesetz anwendbar.

Kirche

In der Kirche hat Datenschutz eine sehr lange Tradition. So wurden bereits 1215 n. Chr. Seelsorge- und Beichtgeheimnis im Kirchenrecht schriftlich verankert. In Deutschland gelten die Datenschutzgesetze von Bund und Ländern im Bereich der öffentlich-rechtlichen Kirchen (einschließlich Caritas und Diakonie) nicht unmittelbar, da die Kirchen diesbezüglich ein Selbstgestaltungsrecht haben. In der Evangelischen Kirche in Deutschland (EKD) gilt das Datenschutzgesetz der EKD (DSG-EKD), in der römisch-katholischen Kirche die Anordnung über den kirchlichen Datenschutz (KDO) und in der alt-katholischen Kirche die Ordnung über den Schutz von personenbezogenen Daten (Datenschutz-Ordnung, DSO) im Bereich des Katholischen Bistums der Alt-Katholiken in Deutschland.

Verfahren

Hauptprinzipien des Datenschutzes sind

Sind (dennoch) Daten einmal angefallen, so sind technisch-organisatorische Maßnahmen zur Gewährleistung des Datenschutzes zu treffen (Datensicherheit). Hierzu gehört insbesondere die Beschränkung des Zugriffs auf die Daten auf die jeweils berechtigten Personen. Für automatisierte Abrufverfahren (Online-Verfahren) sind besondere Regeln zu beachten.

Aus den Prinzipien der Datensparsamkeit und der Erforderlichkeit folgt, dass Daten zu löschen sind, sobald sie nicht mehr benötigt werden. In diesem Fall muss eine wirksame Datenvernichtung (Löschung) durchgeführt werden.

Zu den grundlegenden Datenschutzanforderungen gehören ferner die unabdingbaren Rechte der Betroffenen (insb. das Recht auf Auskunft über die zu der jeweiligen Person gespeicherten Daten) und eine unabhängige Datenschutzaufsicht.

Literatur

Bäumler, Helmut: Datenschutz im Internet.
Haaz, Heiko: Tätigkeitfeld Datenschutzbeauftragter, Datakontext Verlag, ISBN 3-89577-207-0
Heinzmann, Peter: Das Internet – Ein Datenschleppernetz für Personendaten? In: Das Internet – Ende des Datenschutzes? Symposium 1997. Materialen zum Datenschutz Nr. 24 (PDF)
Roßnagel, Alexander: Handbuch Datenschutzrecht, Verlag C.H. Beck 2003, ISBN 3-406-48441-7
Schulzki-Haddouti, Christiane: Bürgerrechte im Netz, Bundeszentrale für politische Bildung, ISBN 3-8100-3872-5.
Schulzki-Haddouti, Christiane: Vom Ende der Anonymität. Die Globalisierung der Überwachung, ISBN 3-88229-185-0
Schulzki-Haddouti, Christiane: Datenjagd. Eine Anleitung zur Selbstverteidigung. ISBN 3-434-53089-4
Voßbein, Reinhard (Hrsg.): Die Organisation der Arbeit des betrieblichen Datenschutzbeauftragten, Datakontext Verlag, ISBN 3-89577-225-9

Siehe auch

Weblinks

Deutschland

http://www.bfd.bund.de Bundesbeauftragter für den Datenschutz
http://www.datenschutz.de Virtuelles Datenschutzbüro
http://www.datenschutzzentrum.de Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Kirche

Europa