Navigation und Service

Springe direkt zu:

"Datenschutz Made in Germany oder Made in Europe?"

Anlass
Keynote anlässlich der 3. Berliner Datenschutzrunde 2012
Datum
29.06.2012
Redner
Cornelia Rogall-Grothe, Staatssekretärin im Bundesministerium des Innern

Sehr geehrte Damen und Herren,

die Debatte um die Zukunft des europäischen Datenschutzrechts ist in vollem Gange. Nachdem die Kommission im Januar ihre Vorschläge für eine Reform vorgelegt hat, haben das Europäische Parlament und der Rat die Beratungen aufgenommen. Die Bundesregierung beteiligt sich an dieser Debatte engagiert.

Die Bundesregierung denkt beim Datenschutz europäisch, wenn es darum geht, den gemeinsamen Rahmen für den europäischen Binnenmarkt zu festigen. Unsere Wirtschaft ist darauf angewiesen, den Datenschutz europaweit noch stärker zu harmonisieren. Wir können uns in der Wirtschaft dauerhaft weder unterschiedliche gesetzliche Regelungen noch eine nationale oder gar regionale Kakophonie in der Auslegung und Anwendung dieser Regelungen leisten.

Die Bundesregierung setzt sich deshalb mit aller Kraft in Brüssel dafür ein, die Reform des europäischen Datenschutzrechts voran zu bringen. Als Land, in dem der Datenschutz stets eine herausragende Rolle gespielt hat, wollen wir unsere Erfahrungen der letzten Jahrzehnte einbringen.

Mit unserem deutschen Datenschutzrecht haben wir gute und schlechte Erfahrungen gemacht. Zu den guten Erfahrungen gehört, dass wir den Datenschutz im Bewusstsein von staatlichen Stellen und Unternehmen verankert haben.

Im staatlichen Bereich haben wir den Datenschutz in etlichen Fachgesetzen laufend fortentwickelt und ausspezifiziert. Unseren Behörden haben wir damit klare Vorgaben an die Hand gegeben. Um manche dieser Regelungen haben wir politisch gerungen und in der Regel – wie ich finde – gute Kompromisse gefunden. Auch wenn es hier und da im staatlichen Bereich weitere Verbesserungsmöglichkeiten gibt und wir manches schlanker und übersichtlicher gestalten könnten – von den Standards, die wir gesetzt haben, wollen wir keine Abstriche machen. Wir können es im Übrigen auch gar nicht, denn bei etlichen bereichsspezifischen Regelungen hat uns das Bundesverfassungsgericht den Weg gewiesen.

Zum Datenschutz im privaten Bereich, also im Bereich der Wirtschaft, gibt es nur wenige Vorgaben des Bundesverfassungsgerichts. Die allermeisten Entscheidungen beziehen sich auf das Verhältnis Staat-Bürger. Diese Feststellung erscheint mir wichtig und ich komme hierauf gleich noch einmal zurück.

Zur Verankerung des Datenschutzes in den Unternehmen haben insbesondere die betrieblichen Datenschutzbeauftragten einen wichtigen Beitrag geleistet. Durch sie ist es gelungen, in vielen Unternehmen eine Unternehmenskultur aufzubauen, in der der Datenschutz von vornherein mitbedacht wird. Wir haben mit diesem Konzept im Vergleich zu den Notifizierungspflichten, die die geltende EU-Datenschutzrichtlinie 95/46 als Alternative vorsieht, die besseren Erfahrungen gemacht. Aus diesem Grunde setzen wir uns auch dafür ein, dass das neue EU-Datenschutzrecht die betrieblichen Datenschutzbeauftragten stärkt und diese nicht nur bei Unternehmen ab 250 Mitarbeitern vorsieht.

Viele Unternehmen haben uns im Zusammenhang mit den Vorschlägen der Kommission darüber berichtet, dass sie letztlich auch gute Erfahrungen mit unserer Datenschutznovelle von 2009 gemacht haben. Die Regelungen zum Datenhandel zu Werbezwecken und Scoring haben sich – manchen Unkenrufen zum Trotz – in der Praxis bewährt. Es ist verständlich, dass wir auch diese guten Erfahrungen nach Brüssel exportieren wollen und insbesondere bei den Auskunfteien nicht hinter den Lösungen zurückbleiben wollen, die wir in Deutschland erzielt haben. Die in den Vorschlägen der Kommission vorgesehene allgemeine Regelung zu den Profilbildungen genügt diesen Ansprüchen noch nicht. Sie ist nicht trennscharf genug. Dies gilt z.B. nicht zuletzt für den wichtigen Bereich der Profilbildungen anhand von Nutzungsdaten, den wir in Deutschland im Telemediengesetz sehr restriktiv geregelt haben.

Wie können wir diese Erfahrungen in Brüssel einbringen? Europa wird von allen Europäern mitgestaltet. Alle bringen ihre eigenen Erfahrungen, Kulturen und Rechtssysteme mit. Eine Vereinheitlichung bedeutet stets regelmäßig die Einigung auf einen Kompromiss. Nach Kompromissen sollten wir streben, wenn die Einheitlichkeit es gebietet. Nichts anderes bedeutet der Grundsatz der Subsidiarität.

Ich komme wieder zurück auf die Unterscheidung zwischen dem staatlichen Bereich und dem Bereich der Wirtschaft. Im staatlichen Bereich sehe ich nicht den gleichen Harmonisierungsbedarf wie im Bereich der Wirtschaft. Wie ein öffentliches Melderegister auszusehen hat oder wie wir unsere Daten in den Sozialämtern schützen, muss nicht zwingend europäisch reguliert werden. Zwar tauschen auch Behörden verschiedener Mitgliedstaaten Daten aus. Es ist aber die Ausnahme und nicht die Regel und rechtfertigt nicht, dass wir sämtliche Fachgesetze, vom Aufenthaltsgesetz über die Meldegesetze bis hin zu den Sozialgesetzbüchern ändern und für die dort geregelten Fälle nach europäischen Lösungen suchen müssen. Wir brauchen hier – wie auch der Bundesrat und die Konferenz der Datenschutzbeauftragten des Bundes und Länder gefordert haben – genügend nationale Spielräume.

Im Bereich der Wirtschaft sieht dies ganz anders aus. Auch hier wollen wir auf unsere strengen Regelungen etwa zum Datenhandel zu Werbezwecken und zum Scoring nicht verzichten. Die Wirtschaft muss jedoch frei europaweit nach den gleichen Spielregeln agieren können. Dafür haben wir den Binnenmarkt geschaffen, der unserer Wirtschaft etliche Vorteile bringt. Unterschiede in den nationalen Datenschutzbestimmungen schaden der Wirtschaft und dem Schutz der Bürger gleichermaßen. Noch problematischer ist, dass die Kontrolle der Einhaltung der Vorschriften durch die Datenschutzaufsicht derzeit nicht einheitlich erfolgt. Europaweit agierende Unternehmen können deshalb oft schwer einschätzen, wie die gesetzlichen Bestimmungen von den einzelnen Datenschutzbehörden interpretiert und angewandt werden.

Die heterogene Rechtslage führt darüber hinaus zu Wettbewerbsverzerrungen im Binnenmarkt. Unternehmen können auf Staaten ausweichen, die im Vergleich zu anderen Mitgliedstaaten ein niedrigeres Schutzniveau aufweisen – sei es aufgrund anderer Detailregelungen, sei es aufgrund einer anderen Auslegung des Rechts durch den jeweiligen nationalen Datenschutzbeauftragten. Noch problematischer ist es bei Firmen mit Sitz in Drittstaaten, die hier in Europa ihre Informationsdienste anbieten und deshalb den europäischen Datenschutz ebenso beachten sollten wie ihre europäischen Konkurrenten.

Der von der Kommission vorgeschlagene Weg, das von der momentan geltenden EU-Richtlinie vorgegebene Niederlassungsprinzip durch das sog. Marktortprinzip abzulösen, ist deshalb richtig. Ob die Umsetzung dieses neuen Wegs in den Vorschlägen der Kommission bereits optimal gelungen ist, steht auf einem anderen Blatt. Verbesserungen im Detail werden wir gemeinsam rasch erreichen können, da bin ich mir sicher.

Ich habe eben von den guten Erfahrungen mit unserem Datenschutzrecht gesprochen, die wir für einen "Datenschutz made in Europe" nutzen wollen. Wir dürfen die schlechten nicht unterschlagen, wenn wir den Datenschutz verbessern wollen.

Experten aus Wissenschaft und Praxis sind sich längst darin einig, dass das Datenschutzrecht im privaten Bereich in zentralen Punkten grundlegender reformiert werden muss. Ein kurzer Blick ins Gesetz reicht selten aus, um mit hinreichender Sicherheit festzustellen, ob eine Datenverarbeitung zulässig ist oder nicht. Spätestens die Diskussion um den Facebook-Like-Button hat gezeigt, dass die Lebenswirklichkeit unser Datenschutzrecht überfordert.

Die Lebenswirklichkeit und Sachverhalte, an die wir die rechtlichen Maßstäbe des Datenschutzrechts anlegen, werden immer breiter und vielfältiger. Die automatisierte Datenverarbeitung ist allgegenwärtig. Das Internet dringt in immer mehr Lebensbereiche vor. Es steuert unsere Autos. Es regelt unseren Stromverbrauch. In der Landwirtschaft düngen wir dank GPS und Internet punktgenau und umweltgerecht unsere Felder. Fragen des Verkehrs, des Umweltschutzes der Gesundheitsvorsorge und der persönlichen Entfaltung und Kommunikation im Internet werden damit zu Fragen, auf die das Datenschutzrecht Antworten geben soll.

Kann es das eigentlich? Das Datenschutzrecht dient dem Schutz der Persönlichkeitsrechte. So, wie wir das Datenschutzrecht konzipiert haben, fragen wir aber nicht danach, ob bzw. wie stark Persönlichkeitsrechte tatsächlich beeinträchtigt sind. Wir setzen vorher an und sagen: "Es gibt kein belangloses Datum. Jede Datenverarbeitung kann gefährlich sein. Deshalb müssen wir jeden einzelnen Schritt der Datenverarbeitung regeln. Und alles, was nicht geregelt und für zulässig erklärt wurde, ist verboten".

Bei diesem Konzept rückt die Frage, wie sich eigentlich die konkrete Datenverarbeitung auf die Persönlichkeitsrechte auswirkt, zunächst völlig aus dem Blickfeld. Ja, es kann sogar sein, dass Daten gegen den erklärten Willen des Betroffenen geschützt werden.

Die Abbildung einer Häuserfassade bei Google Street View und die kommerzielle und massenhafte Profilbildung bei Internetunternehmen – regulatorisch stellen wir erst einmal alles auf eine Stufe. Werden wir mit diesem Ansatz den tatsächlichen Risiken eigentlich gerecht?

Diese technische Entwicklung zwingt zu einer Neubeurteilung des Datenschutzrechts und verstärkt die Notwendigkeit einer stärkeren Trennung zwischen dem öffentlichen und nicht-öffentlichen Bereich. Denn die Trennung ist nicht nur wichtig um die jeweiligen Gesetzgebungskompetenzen auf europäischer und mitgliedstaatlicher Ebene besser auszutarieren. Sie ist auch aus systematischen Gründen erforderlich, um den Datenschutz im Bereich der Wirtschaft zu reformieren und dem Internetzeitalter anzupassen.

Im öffentlichen Bereich – im Verhältnis Staat-Bürger – hat sich die Systematik des Datenschutzrechts mit seinem Verbot mit Erlaubnisvorbehalt bewährt. Der Staat ist durch die Grundrechte verpflichtet. Sein Handeln bedarf der Rechtfertigung. Hieran sollten wir nicht rütteln.

Im nicht-öffentlichen Bereich müssen wir uns jedoch ernsthaft fragen, ob wir nicht neue Wege finden müssen. Sollten wir nicht darüber nachdenken, wie wir dort stärker eingreifen und schützen können, wo größere Gefahren für die Persönlichkeitsrechte lauern als bei einer – ich sage das jetzt mal ganz bewusst etwas provokant – eigentlich "belanglosen Datenverarbeitung"?

Bei den anstehenden Reformen wird es daher auch und vor allem darum gehen, das Datenschutzrecht dem Internetzeitalter anzupassen. Mit der jetzigen Systematik droht die Kapitulation des Datenschutzrechts vor der Komplexität des Internets. Statt alles allumfassend präventiv zu regeln, sollten präventive und repressive Maßnahmen im privaten Datenschutzrecht nach Risiken gestaffelt werden.

Auch den Gefahren des Straßenverkehrs begegnen wir nicht dadurch, dass wir überall Ampeln aufstellen. Was im Innenstadtbereich höchst sinnvoll und angemessen ist, wird spätestens auf Waldwegen zu einer Gängelei. Ich sehe die Gefahr, dass wir es im Bemühen um einen guten Datenschutz übertreiben könnten. Ich sehe die Gefahr, dass wir das Datenschutzrecht mit Themen überfrachten, die es eigentlich nicht bewältigen kann.

Vielleicht brauchen wir eine Rückbesinnung auf das Schutzgut des Datenschutzrechts. Nach § 1 BDSG und Art. 1 der EU-Datenschutzrichtlinie 95/46 ist dies das Persönlichkeitsrecht respektive die Privatsphäre. Ins Englische übersetzen wir beides mit "Privacy. Die Amerikaner nutzen diesen Begriff noch heute, um damit ihr gesamtes Datenschutzrecht zu beschreiben. Bei uns droht sich der Begriff des Datenschutzes hingegen zu verselbständigen. Wir müssen uns immer darüber im Klaren sein: wir schützen die Daten nicht um ihrer selbst willen, sondern um die Persönlichkeitsrechte der Betroffenen zu wahren.

Vielleicht liegt hierin der Kern des Frusts, den manch Praktiker im Umgang mit dem Datenschutzrecht empfindet. Die von Juristen gerne zur Kontrolle ihrer Ergebnisse bemühte "Parallelwertung in der Laiensphäre" – also die allgemeine Überzeugung von richtig und falsch, von zulässig und unzulässig –, fällt uns im Datenschutzrecht häufig schwer. Nicht selten führt sie zu völlig anderen Ergebnissen. Entfernt sich aber das Recht in zu vielen Fällen von dieser allgemeinen Wertung, wird es wahlweise als überflüssige Förmelei, zahnloser Tiger oder weltfremdes Konstrukt wahrgenommen. Aus dieser Wahrnehmung reift nicht selten die Erkenntnis, dass mit der gesetzlichen Regelung etwas nicht stimmt. So geht es uns beim Datenschutzrecht immer öfter.

Nehmen wir die Cloud als Beispiel: Nehmen wir an, ich bin Hobbyfotografin und speichere meine Fotos in einer Cloud. Spätestens wenn ich mein Talent entdecke, die Fotos ausstelle und das erste Foto verkaufe, würde ich als Datenverarbeiter unter die von der Kommission vorgeschlagene Datenschutz-Grundverordnung fallen. Ich wäre dann "Verantwortliche Stelle". Ich müsste prüfen, ob die Speicherung der Daten in der Cloud zulässig ist, z.B. ob ich ein berechtigtes Interesse habe. Gegebenenfalls müsste ich jeden, der auf einem meiner Bilder zu sehen ist, um Erlaubnis fragen, ob ich die Fotos speichern darf – wohlgemerkt "speichern" und nicht "veröffentlichen". Das Veröffentlichen ist ein anderer Sachverhalt, wie z.B. der Fall der bekannten Stabhochspringerin zeigt, die eine Mail veröffentlicht hat, mit der sie sexuell belästigt wurde. Ob die Mail tatsächlich von dem veröffentlichten Absender kam, und ob dieser seinerseits durch die Veröffentlichung in seinen Persönlichkeitsrechten verletzt wurde, sind Fragen, auf die das Äußerungs- und Presserecht mit seiner umfassenden Rechtsprechung Antworten gibt. Das Datenschutzrecht dürfte zwar gelten, erscheint aber wenig passend.

Doch kommen wir zurück zur Cloud. Es könnte sein, dass neben mir der Anbieter der Cloud "Verantwortliche Stelle" oder "Auftragsdatenverarbeiter" im Sinne des Datenschutzrechts ist. Möglicherweise sind der Anbieter der Cloud und ich gemeinsam verantwortlich. Wir müssten dann nach Art. 24 der Verordnung gemeinsam vereinbaren, wer welche datenschutzrechtlichen Pflichten gegenüber den Fotografierten zu erfüllen hat. Wäre der Cloud-Anbieter mein Auftragsdatenverarbeiter müsste ich diesen nach Art. 26 der Verordnung so aussuchen, dass ich mir einigermaßen sicher bin, dass er die Datenschutzbestimmungen der Verordnung einhält. Befindet sich mein Cloud-Anbieter oder dessen Subunternehmer außerhalb der EU wird es noch komplizierter. Möglicherweise bedeutet die Speicherung eines Fotos in der Cloud bereits eine Drittstaatsübermittlung. Die Vorschriften, die ich einzuhalten habe, sind z.T. mit empfindlichen Bußgeldern bewährt. Wer diesen Fall durchprüft, wird schnell feststellen: hier stimmt etwas nicht – die Parallelwertung in der Laiensphäre kommt weder zu den datenschutzrechtlich entscheidungserheblichen Fragen noch zu den gleichen Ergebnissen.

Das Hauptproblem, das bei einer Cloud besteht, nämlich der Schutz vor unbefugten Zugriffen, wird hingegen nur unzureichend geregelt. Von seiner Systematik her behandelt das Datenschutzrecht den Fotografen, der die Fotos in der Cloud speichert, nicht als Schützling, sondern als Gefährder. Übertragen auf die Wirtschaft bedeutet dies häufig, dass wir kleinen und mittleren Betrieben, die zunehmend auf Clouds angewiesen sind, um Kundendaten zu speichern, eine Verantwortung aufbürden, die sie kaum in der Lage sind wahrzunehmen. Nicht, weil sie es nicht wollen, sondern weil sie schlicht nicht überblicken können, wie eine Cloud organisiert ist. Genauso ist es beim Facebook-Like-Button. Derjenige, der den Button auf seiner Homepage platziert, wird selten wissen, wie er genau funktioniert. Nimmt man ihn in die Pflicht, regelt man um die Ecke. Ein "um-die-Ecke-denken-müssen" führt aber weder zu Akzeptanz noch zu Rechtssicherheit.

Meine Damen und Herren,

das rasante Wachstum des Internets geht mit einem gewaltigen Anstieg verarbeiteter personenbezogener Daten einher. Niemand will dieses Wachstum ernsthaft aufhalten. Energieeinsparungen, Elektromobilität, digitale Partizipation, Meinungsäußerungen, soziale Netzwerke und vieles mehr sind ohne die massenhafte Verarbeitung und Vernetzung von Daten nicht möglich. Durch den technischen Fortschritt werden die Daten insgesamt zunehmend personenbeziehbarer.

Der Verordnungsvorschlag der EU-Kommission verstärkt diesen Trend durch seine Begriffsbestimmungen noch einmal ausdrücklich. Hält man unter diesen Bedingungen jedes Datum für gleich wichtig und will jeden Schritt der Verarbeitung einzeln bewerten und regeln, stößt man spätestens bei der Rechtsumsetzung an Grenzen. Dies gilt erst recht im internationalen Kontext.

Wir müssen uns deshalb auf das Grundanliegen des Datenschutzrechts zurückbesinnen und uns vergegenwärtigen, dass es inhaltlich um ein – europäisches (!) – "Privacy-Recht" geht: Anstatt das einzelne Datum in den Mittelpunkt der Betrachtung zu rücken, sollte der Schutz der Persönlichkeitsrechte unmittelbar im Zentrum der Regelungen stehen.

Wir müssen über ein flexibles Regelungsmodell nachdenken, bei dem wir uns stärker auf die tatsächlichen Gefahren für die Privatsphäre der Betroffen konzentrieren. Das Modell muss sich technischen Neuerungen schnell anpassen können. Bei Geschäftsmodellen oder Internetdiensten mit hohem Gefahrenpotential müssen schnell wirksame Schutzmechanismen greifen und strenge Regeln und Auflagen gelten. Weniger gefahrgeneigte Alltagsvorgänge sollten demgegenüber nicht unnötig einer "datenschutzrechtlichen Bürokratie" unterworfen werden. Die automatisierte Buchhaltung eines kleinen Unternehmens zum Beispiel sollte nur dann den gleichen Regelungen wie Facebook und Google unterliegen, wenn sie ähnliche Gefahren für die Betroffenen birgt, was regelmäßig nicht der Fall ist.

Wir brauchen daher rechtliche Maßstäbe, um Datenverarbeitungen zu identifizieren, die wir für besonders regelungsbedürftig halten und daher einem strengeren Regime unterstellen. Umgekehrt brauchen wir ein leichteres Regime für Sachverhalte, die wir allgemein für weniger regelungsbedürftig erachten. Wie könnte ein Regelungsmodell aussehen, das sich mehr als bisher an den Risiken der Datenverarbeitungen ausrichtet?

Meine Damen und Herren,

es gibt nicht nur einen "Datenschutz made in Germany" oder "Made in Europe". Es gibt beispielsweise auch einen "Datenschutz made in Sweden". In Schweden hat man 2007 das nationale Datenschutzrecht dahingehend geändert, dass weniger gefährliche "alltägliche" Datenverarbeitungen einem vereinfachten Datenschutzrecht unterfallen. Vom schwedischen Datenschutzbeauftragten wurde dies ausdrücklich gefordert.

Wir würden gerne auch diese Erfahrungen in den Ausbau unseres gemeinsamen europäischen Datenschutzrechts einbringen.

Der Bundesinnenminister lädt deshalb Experten aus anderen Mitgliedstaaten, Wirtschaft, Wissenschaft und Zivilgesellschaft ein, um Vorschläge zu erarbeiten, die wir in unsere Beratungen in Brüssel einbringen können. Im Oktober dieses Jahres werden erste Ergebnisse auf einer internationalen Konferenz in Berlin vorgestellt und diskutiert.

Wir wollen uns dabei zunächst auf drei Themenblöcke konzentrieren, nämlich:

  1. angemessene Regelungen für Privatpersonen und alltägliche Datenverarbeitungen,
  2. stärkere Regelungen für besondere Gefährdungen der Persönlichkeitsrechte und
  3. Selbstregulierung und wettbewerbsrechtliche Elemente im Datenschutzrecht der Zukunft.

Neben den anderen Mitgliedstaaten wollen wir auch die Experten der Kommission und des Europäischen Parlaments mit einbeziehen. Uns eint das Ziel, möglichst rasch zu guten Ergebnissen in Europa zu kommen. Parallel hierzu bemühen wir uns darum, die Beratungen zu den einzelnen Artikeln der Kommissionsvorschläge im Rat voranzutreiben. Die scheidende dänische Ratspräsidentschaft hat hier gute Arbeit geleistet und wir freuen uns darüber, dass Zypern das Dossier ebenfalls zu einem Schwerpunkt ihrer Präsidentschaft erklärt hat.

Ich danke Ihnen für Ihre Aufmerksamkeit!