Internet-Law

Onlinerecht und Bürgerrechte 2.0

14.11.11

Modernisierung des Datenschutzrechts

Auf der Jahrestagung der Deutschen Gesellschaft für Recht und Informatik (DGRI) am vergangenen Wochenende in München wurde u.a. über eine Modernisierung des Datenschutzrechts diskutiert. Peter Bräutigam hat ein Thesenpapier vorgestellt, das von ihm, Jochen Schneider und Bernd H. Harder stammt und das, ein neues, zeitgemäßes Rahmenkonzept für den Datenschutz fordert.

Dieser Ansatz bzw. diese Thesen sind bereits seit einigen Monaten im Gespräch. Die Thesen, die auf eine grundlegende Reform des Datenschutzrechts abzielen, sind in der Diskussion bei der DGRI überwiegend auf Zustimmung gestoßen.

Wesentlicher Bestandteil dieses Konzeptes ist ein Abschied von dem geltenden Verbotsprinzip. Zentraler Ansastzpunkt des geltenden Rechts ist die Annahme, dass zunächst jede Art der Verarbeitung personenbezogener Daten verboten ist, solange nicht ein gesetzlicher Erlaubnisstatbestand eingreift (Verbot mit Erlaubnisvorbehalt). Dieses Modell differenziert nicht nach der Art der personenbezogenen Daten und fragt auch nicht nach der Schwere der Beeinträchtigung.

Das vorgestellte Konzept geht demgegenüber davon aus, dass die Gleichbehandlung aller personenbezogener Daten nicht mehr zweckmäßig ist, sondern will das materielle Schutzgut „Privatsphäre/Persönlichkeit“ in den Mittelpunkt stellen und damit gleichzeitig das Regelungsobjekt „Daten“ abschaffen. Letztlich soll also an die Stelle des Verbotsprinzips eine Abwägung verschiedener Rechtspositionen treten.

Verdeutlicht wurde das im Vortrag anhand des Beispiels des personenbezogenen Datums der Religonszugehörigkeit. Während die Zugehörigkeit des Papstes zum katholischen Glauben für diesen kein sensibles Datum darstellt, kann der Angehörige einer religiösen Minderheit ein hohes subjektives Interesse am Schutz derselben Information haben. Nachdem also ein und dasselbe Datum für unterschiedliche Personen eine ganz unterschiedliche Bedeutung haben kann und damit auch ein unterschiedliches Schutzbedürfnis besteht, erscheint es auch nicht gerechtfertigt, in beiden Fällen auf dasselbe Schutzniveau abzustellen.

Das geltende Datenschutzrecht fragt zunächst nicht danach, ob und in welchem Umfang der Schutz eines bestimmten Datums notwendig erscheint, sondern schützt zunächst jedes personenbezogene Datum gleich und folgt damit in gewisser Weise einem Schwarz-Weiß-Schema. Dieses Phänomen wurde außerhalb von Fachkreisen auch häufiger durch die Forderung, dass man nicht Daten sondern Menschen schützen sollte, kritisiert.

Die Kritik erscheint mir durchaus treffend. Denn wer das Individuum und nicht ein starres Datum in den Mittelpunkt der Betrachtung stellt, muss sich zunächst immer fragen, in welchem Umfang der Einzelne im konkreten Fall überhaupt eines Schutzes bedarf.

Im Vortrag schlossen sich weitere Thesen an, wie die Forderung nach der Schaffung eines verschuldensunabhängigen Schadensersatzanspruchs, der auch den immateriellen Schaden umfassen soll. Insoweit soll auch ein vereinfachtes Verfahren vorgesehen werden, in dem auch ein Mindestschaden geltend gemacht werden kann. Man erhofft sich dadurch eine effektive Ahndung von Datenschutzverstößen, an der es bislang zumeist mangelt.

Auch wenn hier einiges noch äußerst vage dargestellt ist, scheint die Diskussion um eine grundlegende Änderung des Datenschutzrechts zumindest in der Fachwelt angekommen zu sein.

Letztlich wird aber entscheidend sein, was die EU-Kommission demnächst zur Frage der Neuregelung des Datenschutzrechts vorschlagen wird. Es steht allerdings zu vermuten, dass die Datenschutzbehörden, die die Diskussion in den letzten Jahren und Jahrzehnten maßgeblich bestimmt haben, sich mit Ansätzen wie dem von Schneider/Bräutigam/Harder nicht werden anfreunden können.

posted by Stadler at 10:34  

6 Comments

  1. Ich glaube, wenn ich das hier so lese, ist es besser, man lässt alles so wie es ist.
    Wenn ich schon lese, die wollen nicht Daten sondern Menschen schützen…, aha, nimmt mich also einer in den Arm im Internet und schützt mich vor pösen Buben wenn meine Daten weltweit die Runde machen?

    In welchem Umfang bedarf ich als Individuum eigentlich Schutz, vom konkreten Fall mal ausgegangen? Keine Ahnung?
    Ich auch nicht, denn der Fall muss erst eingetreten sein, um ihn beurteilen zu können. Bis dahin sind die Daten aber im Umlauf.
    Ups, hier bestand ja ein Schutzbedürfnis des Individuums, schließen wir also unsere Augen und vergessen einfach was wir gesehen haben?

    Außerdem, Vorsicht!
    Vorsicht bei dem Versuch, „Datenschutzverstöße“ wie einen Verkehrsverstoß ahnden zu wollen!
    Was ist ein Mindestschaden und woraus berechnet sich dieser und wie kommt der überhaupt zustande?
    Um solche Regeln aufstellen zu wollen wie im Verkehrsrecht, bräuchte man allgemeingültige Standards wie im Straßenverkehr.
    Das gibt es aber bei der Datenverarbeitung gar nicht!

    Es gibt keine Standards, es gibt auch keine sichere Daten und keine sichere Systeme, alles ist relativ und beruht auf einer Momentaufnahme.

    Ja, Momentaufnahme, denn vor fünfzig Jahren hatte „Rechts vor Links“ die gleiche Bedeutung wie heute, es gilt immer noch und muss nicht modernisiert werden, auch wenn inzwischen die Autos erheblich moderner geworden sind.
    Beim Datenschutz sieht es aber so aus, dass noch vor viel kürzerer Zeit eine 32 Bit Verschlüsselung und ein Passwort mit 6 Buchstaben als sicher galt.

    Wer wollte heute nach all den Jahren Erfahrungen behaupten, dass sein System sicher sei? Banken etwa? Sony? Das Pentagon?

    Wie hoch muss ein kleiner Betreiber eine Community seinen Datenschutz schrauben, um nicht in die absolut ruinöse Gefahr einer Ahndung von Datenschutzverstößen zu kommen?
    Ich sag’s gleich hier: Gar nicht, denn er kann das weder finanziell, noch vom Aufwand her noch vom Know How her leisten. Was der Rest der Datenverarbeitenden Welt nicht kann, kann auch dieser Blog hier und kleine Betreiber von Internetportalen erst recht nicht.

    Wir würden uns da an chinesische Verhältnisse angleichen, bei der der Betrieb eines Internetcafes ein höchst riskantes Risiko geworden ist.
    Die Konkurrenz braucht nur noch Hacker auf einen ansetzen und schon greift der „verschuldensunabhängige Schadenersatz“.

    Ich glaube auch nicht, dass es hier um die echten Datenschutz-Probleme mit Facebook und Co. geht, sondern um eben jene Regulierungswut bei anderen Dingen wie zum Beispiel meine persönliche Emailadresse die hier in der Datenbank dieses Blogs gespeichert ist.

    Denn Facebook hat Geld, viel Geld und ist in der Lage, eine große Lobby zu bezahlen. wir aber haben das Geld nicht, aber man kann uns noch blödere Gesetze aufbürden als sie jetzt schon sind.
    Ich vermute dahinter nichts anders als Lobbyarbeit als Motor, aber nicht eine Verbesserung des Datenschutzes, denn dazu müssten erst einmal Standards her, die auch ökonomisch einhaltbar sind und länger als 24 Stunden halten.

    Wer meint, ihm kann das nichts anhaben, soll sich doch mal mit Hackern anlegen und diese herausfordern. Datenschutz funktioniert nur, wenn es keine Daten gibt.

    Dann lieber ein Schwarz-Weiß Schema anstatt den Quatsch mit Abwägungen unterschiedlicher Schutzbedürfnisse und Mindestschadenshöhe.
    Fangt doch hier gleich mal an und nehmt den blöden Zwang zur Email-Angabe raus. DAS ist Datenschutz, alles andere nur BlaBla!

    Comment by Frank — 14.11, 2011 @ 14:17

  2. Sicher ist, dass der Schutz von Menschen über dem Schutz von Daten stehen sollte. Auch ist das Verbotsprinzip nur schwerlich zu vermitteln. Es ist aber fraglich, ob der Zweckbindungsgedanke so weit gedehnt werden kann, dass ein gleichbleibend hoher Schutz gewährt werden kann.
    Auch der Angehörige einer religiösen Minderheit hat nur in bestimmten Zusammenhängen ein Interesse am Schutz dieser Information. Innerhalb seiner Gemeinde ist seine Zugehörigkeit so evident wie die des Papstes zum katholischen Glauben.
    Will man aber ein hohes Schutzniveau beibehalten wird man a) hohe Anforderungen an die Entscheidung in welchem Zusammenhang ein Datum schützenswert ist stellen müssen und b) eine scharfe Zweckbindung für genau diese Verwendung statuieren müssen.
    Gerade in Verbindung mit einem Schadensersatzanspruch scheint es zweifelhaft, ob dieses doch recht unsichere Verfahren zu einer Vereinfachung des Datenschutzrechts beitragen kann.

    Comment by Sven — 14.11, 2011 @ 15:29

  3. Die Idee nach der Schwere der Beeinträchtigung zu urteilen finde ich gut (Risiko = Eintrittswahrscheinlichkeit mal Schadensausmaß).

    Gerade heute wird in Österreich wider die Entartung des Datenschutzes diskutiert:
    „Österreichs Gesundheitsminister: Menschenschutz vor Datenschutz“
    http://www.heise.de/newsticker/meldung/Oesterreichs-Gesundheitsminister-Menschenschutz-vor-Datenschutz-1378967.html

    Um es mal ein weniger abstrakt zu sagen. Meine Mutter ist an Nierenversagen gestorben. Sie war Marcomar-Patientin zur Blutverflüssigung. Wie in der Steinzeit haben eine Vielzahl von Ärzten an ihr herumgebastelt, ohne die jeweilige Medikation des anderen zu kennen und Wechselwirkungen zu ahnen. In unterschiedlichen Fachdisziplinen, in unterschiedlichen Sektoren (Krankenhaus, Hausarzt, Facharzt, Notarzt, Reha-Arzt, …). Es gab kein zentrales Archiv, wo Medikationen, Diagnosen, Laborberichte, Pflegeberichte (Gelenkkoperationen) zusammengefasst werden. Wir leben dort in der Steinzeit. Aber wir haben ein Riesenpathcwork an Datenschutzbestimmungen im TMGm, BDSG, StGB, SGB, die eine menschenschützende Medizin erschweren. Wir geh da mit dem Datenschutz über Leichen (reale). Google Health hat sich aus dem Markt zurückgezogen, Microsoft Health Vault wird von ATOS versteckt.

    Der entartete Mullah Weichert freut sich wie ein Kranker, dass er wegen des Datenschutzes und der theoretischen Möglichkeit, Patientendaten missbrauchen zu können (ohne einen einzigen konkreten Fall zu haben), die Behandlung psychisch kranker unterbrechen kann, in dem er den Server dazu abgeschlachtet sieht. Datenschutz vor Irrenschutz: „ULD zum Psychiatriedatenleck: „Desorganisation war Hauptursache“ “
    https://www.datenschutzzentrum.de/presse/20111107-psychatriedaten.htm
    Er fragt nicht mal im Ansatz, ob nun Depressive wegen möglicherweise unterbrochener Behandlung erhöht suizidgefährdet sind, oder ob manisch-depressive nun eine verschlechterte Haldol-Einstellung ihren manischen Schub verstärkt und sie zur Gefahr für sich und andere werden. Brutal und menschenfeindlich freut sich der perverse „Datenschützer“, dass er Behandlung verhindern kann.

    Hier wir in moralische verwerflicher Weise der angebliche Datenschutz gegen die körperliche Unversehrtheit von Menschen eingesetzt. Das muss enden. Diesen Halunken muss das Handwerk gelegt werden.

    Zu Facebook noch einmal. Es ist in hohem Maße unverhältnismäßig, wenn Millionen Menschen auf der ganzen Welt irgendwelche besonderen Maßnahmen treffen sollen (Opt-In, Opt-Out, Einstellungen, Installation von Sonderhardware für Spezialsoftware auf Windows, die bei Apple nicht hilft (Cookie-Blocker und anderes IT-Spielzeug von IT-verliebten Spielkindern), wenn ein einziges Unternehmen wie Facebook Scheiße macht (oder machen sollte). Das Risiko beim Einzelnen ist da klein, aber bei Facebook groß. Deswegen sollten wir den Datenschutz darauf hin schärfen, dass nicht 8 Mrd. Menschen Rechte eingeräumt werden, sondern bei einigen tausend Unternehmen Recht effektiv und effizient durchgesetzt wird.

    Hier gibt es bei klarer Fassung von Straftatsbeständen, Ordnungswidrigkeiten, Genehmigungspflichten eine Vielzahl von Möglichkeiten, mehr gewünschte Privacy herzustellen, wenn der Staat durchknallt, Scoring überschiesst, manisch Personen-Profile erstellt werden. Das muss aber auch international angegangen werden.

    Den Hinweis auf die EU halte ich verfehlt: wir haben weder die EU-Dienstleistungsrichtlinie umgesetzt (Art.8 EU-DLR harmoniert überhaupt nicht mit §3a VwVfG) , noch die EU-Signaturrichtlinie harmonisiert und in Europa ein unsinniges Patchwork von einfacher Signatur (UK) zu qualifizierter Signatur (D), die weder technisch noch rechtlich zu einander passen.

    Wenn die EU gute Vorschläge macht, wie wir Probleme bei Facebook, bei Bankdaten (Swift), Reisefreiheit (Fluggastdaten), Vorratsdaten, Trojaner bei Polizei und Schule, usw. macht, dann können wir darüber reden, ob das reicht oder ob wir mit unseren amerikanischen Freunden und/oder in der UN was besseres durchsetzen.

    Mit diesem menschenverachtenden Zynismus aus Kiel, der über Leichen geht, geht es auf jeden Fall nicht weiter. Da liegt ein schwerer Schatten auf den notzigen Grünen, der offenbar jetzt auch NRW abschattet:
    „NRW-Grüne Löhrmann verteidigt Schultrojaner“
    http://www.heise.de/tp/blogs/8/150813

    Hier ist offenbar jeder Respekt vor der Privacy des Einzelnen längst entglitten. Solch Dreistigkeit hätte man sich bei der Fahndung nach Alkohol von alkoholkranken Beamten in Schreibtischen in ihren Amtsbüros nie erlaubt. Aber im Internet scheinen manche Politiker (jetzt auch bei den Grünen) einen rechtsfreien Raum entdeckt zu haben. Mir ist völlig schleierhaft, wie man sich so unpolitisch erblöden kann und den Piraten die Tür sperrangelweit aufmacht.

    Comment by Jan Dark — 15.11, 2011 @ 11:59

  4. Im Netz gefunden (ja, Facebook :-)

    „Der Münchener Flughafen hat einen heimlichen Deal mit Facebook: Ziel ist, dass alle Facebook-User immer ihren geografischen Standort posten als wandernde Georessource. Google nutzt das schon mit den Android-Handys für Verkehrsnachrichten mit Autos. Facebook hat versprochen, dass bei genügender Teilnehmerzahl wir einen eine App bekommen, wo die ganzen Meldungen: ich um um 3:30 hier eingecheckt, Flug ABC hatte 16 Sek Verspätung, am Flughafen standen 796 gelbe Taxis, der Pilot hat links gesessen, das Kabinenpersonal hat rote Schokolade verteilt, im Thüringer Wald sind wir mit 10 Gänsen zusammengeprallt, usw.auf eine Karte gemappt bekommen, wo wir dann auf einen Blick sehen, was sich auf der Welt bewegungsmäßig tut. In Bayern sollen zudem Fährräder mit GPS-Sendern ausgestattet werden, damit bei Pschierers Radwegekarte auch der Fahrrad-Traffic über GPX angezeigt werden kann. Wer die richtige Hardware hat.“

    Comment by Jan Dark — 15.11, 2011 @ 19:46

  5. Ich verstehe das „scheint die Diskussion um eine grundlegende Änderung des Datenschutzrechts zumindest in der Fachwelt angekommen zu sein.“ nicht ganz. Das Gutachten von Roßnagel, Garstka und Pfitzmann zur Modernisierung des deutschen Datenschutzrechts aus dem Jahr 2001 (!) ging doch auch schon in eine recht ähnliche Richtung.

    Comment by lala — 16.11, 2011 @ 10:08

  6. Gibt es das Thesenpapier von Peter Bräutigam irgendwo zum Nachlesen, online oder offline?

    Comment by Sven Türpe — 21.02, 2012 @ 10:50

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.