Mehr Datenschutz im nicht öffentlichen Bereich
FDP fordert Verbesserung im Datenschutz: Die aktuellen Datenschutzskandale zeigen dringenden Handlungsbedarf für eine Stärkung des Datenschutzes im nicht öffentlichen Bereich
Datenschutz kann und soll auch Bestandteil der Wirtschaftsprüfung sein - Dadurch können Wirtschaftsprüfer, die einen umfassenden Überblick über das zu prüfende Unternehmen gewonnen haben, auch hinsichtlich des Datenschutzes ihr Testat abgeben
(19.06.08) - Die Verbesserung des Datenschutzes im nicht-öffentlichen Bereich fordert die FDP-Fraktion in einem Antrag (16/9452), der am Donnerstag in erster Lesung im Bundestag behandelt wird. Dazu soll unter anderem die Stellung des betrieblichen Datenschutzbeauftragten verbessert werden, indem ihm eine von der Geschäftsleitung unabhängige Prüfungskompetenz eingeräumt werden soll.
Außerdem verlangen die Abgeordneten, das Sanktionssystem des Bundesdatenschutzgesetzes zu überprüfen und zu verbessern. Die Nutzung von so genannten RFID-Chips solle gesetzlich so geregelt werden, dass diese bei der Übergabe an den Verbraucher, spätestens aber bei Verlassen des Ladens, automatisch dauerhaft und unwiderruflich deaktiviert werden.
Die Liberalen fordern weiterhin, dass bei dem anstehenden Entwurf eines Gendiagnostikgesetzes sichergestellt werde, dass Unternehmen die Erstellung und Vorlage eines Gentestes nicht verlangen dürfen. Der Verzicht auf die Vorratsdatenspeicherung und die Einleitung eines parlamentarischen Verfahrens zur Aufhebung der dazu erlassenen gesetzlichen Grundlagen wird von der FDP-Fraktion ebenfalls verlangt.
Der Bundestag wolle beschließen:
I. Der Deutsche Bundestag stellt fest:
Die aktuellen Datenschutzskandale zeigen dringenden Handlungsbedarf für eine Stärkung des Datenschutzes im nicht öffentlichen Bereich.
Die Nutzung von modernen Datenverarbeitungssystemen ist aus Unternehmen heute nicht mehr wegzudenken. Computer, Mobiltelefone, Smartphones, PIN-Cards, RFID-Chips, verschiedene Identifizierungssysteme, Videoüberwachung in Geschäftsräumen und unterschiedlichste Speichermedien prägen ebenso die Arbeitsorganisation wie auch die wirtschaftliche Tätigkeit. Zugleich führt der Einsatz moderner Technologien zu einer verstärkten Nutzung von personenbezogenen Daten. Damit wächst die Gefahr, persönliches Verhalten von Kunden und Mitarbeitern zu registrieren und zu bewerten und diese Daten zweckzuentfremden.
1. Eigenverantwortung ist der beste Datenschutz
Datenschutz ist eine gesamtgesellschaftliche Aufgabe. Unternehmen, aber auch jeder einzelne Bürger sind verpflichtet, die bestehenden datenschutzrechtlichen Regelungen zu beachten und für ihre Einhaltung Sorge zu tragen. Grundsätzlich gilt, dass jeder selbst für seine Daten verantwortlich ist. Konkret bedeutet dies, dass jeder sorgsam mit seinen personenbezogenen Daten umgehen sollte. Wer seine Daten preisgibt, z. B. indem er sie ins Netz stellt, muss sich der Gefahren bewusst sein. Was einmal im Netz ist, bleibt im Netz. Der Deutsche Bundestag appelliert an alle Bürgerinnen und Bürger, beim Umgang mit den eigenen Daten achtsam zu sein. Zur Verantwortung gehört darüber hinaus auch die Möglichkeit, Verbleib und Nutzung der eigenen Daten stets in der Hand oder wenigstens im Blick behalten zu können.
2. Unternehmen müssen ihre Verantwortung für den Datenschutz ernst nehmen
Datensicherheit und Datensparsamkeit müssen von Unternehmen gewährleistet werden. Datenschutz im nicht öffentlichen Bereich obliegt den Daten verarbeitenden Unternehmen. Für Daten, die in ihrer Sphäre erhoben, gespeichert und genutzt werden, müssen sie Vorkehrungen gegen Datenverlust, Manipulation und Missbrauch treffen. Der Deutsche Bundestag setzt auf die rechtstreuen Unternehmen in Deutschland, für die Datenschutz rechtliche Verpflichtung und zugleich Grundvoraussetzung für Kundenvertrauen ist. Der Deutsche Bundestag setzt sich dafür ein, die Stellung der betrieblichen Datenschutzbeauftragten zu verbessern. Hierzu benötigen die Datenschutzbeauftragten eine von der Geschäftsleitung unabhängige Prüfungskompetenz. Eine zentrale Speicherung von Unternehmensdaten – wie etwa die Verbindungsdaten sämtlicher Telefonkunden – durch den Staat lehnt der Deutsche Bundestag ab.
3. Datenschutz im nicht öffentlichen Bereich durch klaren Rechtsrahmen stärken, Rechtsschutz der Verbraucherinnen und Verbraucher ausbauen und Möglichkeiten der Rechtsverfolgung konsequent ausschöpfen
Der Deutsche Bundestag sieht die Notwendigkeit, die gesetzlichen Regelungen zum Datenschutz im nicht öffentlichen Bereich mit dem Ziel zu überarbeiten, den Grundsatz der Datensparsamkeit zu stärken und seine Achtung zu gewährleisten, die Transparenz der Datenverarbeitung größtmöglich zu erhöhen und somit mehr eigenverantwortliches Handeln der betroffenen Personen zu fördern.
Der Deutsche Bundestag setzt sich dafür ein, Verstöße gegen Datenschutzvorschriften konsequent zu verfolgen und die bestehenden Bußgeldrahmen vollständig auszuschöpfen. Daneben hält der Deutsche Bundestag es für erforderlich, das Sanktionssystem im Bundesdatenschutzgesetz sowie die Ersatzmöglichkeit von immateriellen Schäden bei Verarbeitung personenbezogener Daten zu überprüfen und zu verbessern und die datenschutzrechtlichen Aufsichtsbehörden mit ausreichend Personalund Sachmitteln auszustatten, um sie in die Lage zu versetzen, die Einhaltung der rechtlichen Vorschriften wirksam zu kontrollieren.
4. Faire und klare Regeln für Transparenz und Verbraucherinformation
Bei der Verabschiedung von weiteren datenschutzrechtlichen Regelungen und Maßnahmen im nicht öffentlichen Bereich wird der Deutsche Bundestag darauf achten, dass die verschiedenen Interessen der Akteure berücksichtigt, die Grundrechte auf informationelle Selbstbestimmung und Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme umfassend geachtet und Spielräume für die Entwicklung neuer Techniken belassen werden.
Datenschutzrechtliche Regelungen im nicht öffentlichen Bereich sollen vor allem das Fundament für Transparenz und Überprüfbarkeit der Verarbeitungsprozesse legen. Nur dann können die Beteiligten eigenverantwortlich über ihre Daten bestimmen. Für den Deutschen Bundestag ist es daher insbesondere zentral, dass die Verbraucher darüber informiert werden, welche Daten zu welchem Zweck erhoben, gespeichert und verwendet werden, wie sie diese einsehen und gegebenenfalls korrigieren können und wer die verantwortliche Stelle für die Datenverarbeitung ist.
Darüber hinaus setzt sich der Deutsche Bundestag dafür ein, zu prüfen, ob in konzentrierten Märkten das Koppelungsverbot, wonach der Vertragsschluss nicht von der Zurverfügungstellung personenbezogener Daten, die für die Vertragsdurchführung nicht erforderlich sind, abhängig gemacht werden darf, ausdrücklich im allgemeinen Datenschutzrecht festgeschrieben werden kann. Im Bereich der Teledienste muss das geltende Recht konsequent angewandt und Verstöße durch die zuständigen Behörden geahndet werden. Die Verbraucher müssen darüber aufgeklärt werden, dass ihnen keine Nachteile drohen, wenn sie nur die notwendigen Daten preisgeben.
5. Datenschutz-Audit rasch einführen
Zur Verbesserung des Datenschutzes und der Datensicherheit fordert der Deutsche Bundestag die Einführung eines Ausführungsgesetztes zum Datenschutz-Audit und Gütesiegel, damit Anbieter von Datenschutzsystemen und Datenverarbeitungsprogrammen sowie Daten verarbeitende Stellen ihr Datenschutzkonzept zertifizieren lassen und damit einerseits werben und andererseits das Kundenund Verbrauchervertrauen stärken können. Darüber hinaus muss die Förderung datenschutzfreundlicher Technik gerade vor dem Hintergrund der stetig zunehmenden automatisierten Datenverarbeitung unter anderem durch marktwirtschaftliche Anreize wie dem Datenschutz-Audit verbessert werden. Es ist die Möglichkeit zu schaffen, nicht nur Produkte und Dienstleistungen, sondern das Datenschutzniveau eines Unternehmens insgesamt zertifizieren zu lassen. Hierzu gehört auch die Beachtung des Arbeitnehmerdatenschutzes.
Datenschutz kann und soll auch Bestandteil der Wirtschaftsprüfung sein. Dadurch können Wirtschaftsprüfer, die einen umfassenden Überblick über das zu prüfende Unternehmen gewonnen haben, auch hinsichtlich des Datenschutzes ihr Testat abgeben.
6. Biometrische Daten schützen und Missbrauch vorbeugen
Die Nutzung von biometrischen Daten und Verfahren durch Private bietet neben Anwendungskomfort und Erhöhung des Umsatzes auch die Möglichkeit der Erhöhung von Sicherheit. Für den Deutschen Bundestag ist jedoch zwingende Voraussetzung für die Nutzung solcher Verfahren, dass die Betroffenen über das Verfahren aufgeklärt sind und in das Verfahren freiwillig eingewilligt haben. Die Freiwilligkeit ist allerdings nur dann gegeben, wenn die vertraglichen Leistungen oder Waren auch ohne biometrische Daten und zum selben Preis erworben werden können und daher eine echte Wahlmöglichkeit besteht.
Der Deutsche Bundestag fordert zudem, dass biometrische Daten einer strikten Zweckbindung unterworfen und nach festgelegten Zeiträumen gelöscht werden. Er lehnt eine Weitergabe bzw. Schaffung von zentralen Stellen für biometrische Daten im nicht öffentlichen Bereich ab.
7. Verbraucherschutz und Transparenz bei RFID gewährleisten
Die Nutzung von RFID-Chips (Radio Frequency Identification) nimmt auch im privaten Bereich immer weiter zu, z.B. für Systeme zur Produktidentifizierung, Logistik oder Lagerhaltung bis hin zur Nutzung für die erleichterte Abwicklung von Gewährleistungsfällen. Gefahren für den Datenschutz ergeben sich unter anderem durch mögliche Verknüpfungen von Informationen, die von RFID-Chips mittels Funk ausgelesen werden können, mit anderen personenbezogenen Daten, wie solchen von ECoder Kreditkarten. Um diese Gefahren weitestgehend zu vermeiden und für den Einzelnen überschaubar zu machen, setzt sich der Deutsche Bundestag nach Scheitern einer Selbstverpflichtungserklärung der Wirtschaft für eine gesetzliche Regelung dergestalt ein, dass im Regelfall RFID-Chips bei der Übergabe an den Verbraucher, spätestens aber beim Verlassen des Ladens, automatisch dauerhaft und unwiderruflich deaktiviert werden. Weiterhin fordert der Deutsche Bundestag, dass Kommunikationsvorgänge mittels des Chips für den Verbraucher leicht erkennbar gekennzeichnet werden. Er erachtet die Implementierung von Sicherungsmechanismen gegen unbefugtes Auslesen für notwendig.
8. Videoüberwachung von Angestellten und Kunden beschränken, Anbringung von Warnhinweisen durchsetzen und Löschungsfristen vorschreiben
Videoüberwachung von Geschäftsräumen darf nicht zum Ausspähen der eigenen Angestellten missbraucht werden. Der Deutsche Bundestag lehnt die heimliche Videoüberwachung durch Unternehmen ab. Es ist es ein unerträglicher Eingriff in das Persönlichkeitsrecht, wenn Angestellte beispielsweise beim Umkleiden heimlich gefilmt werden. Der Deutsche Bundestag appelliert daher an alle Unternehmen, auf derartige Maßnahmen zu verzichten. In jedem Fall müssen jedoch die Vorgaben des Bundesarbeitsgerichts eingehalten werden, wonach eine heimliche Videoüberwachung von Angestellten durch Unternehmen ausschließlich in Frage kommt, wenn ein konkreter Verdacht auf eine strafbare Handlung oder eine andere schwere Verfehlung gegen den Arbeitgeber vorliegt.
Auch die zweckentfremdete Verwendung von Videoaufzeichnungen über Kunden ist nicht hinnehmbar. Vorfälle wie in einer Bank in Stuttgart, die einer Kundin, die von der Bank anhand einer Videoaufzeichnung identifiziert worden war, eine Rechnung für Reinigungskosten zusandte, weil deren Kind in Hundekot getreten war und in den Geschäftsräumen daher unangenehme Spuren hinterließ, dürfen sich nicht wiederholen. Der Deutsche Bundestag hält die deutlich sichtbar anzubringenden Warnhinweise auf jedwede Videoüberwachung in privaten Geschäftsräumen für unabdingbar, um das Persönlichkeitsrecht zu achten. Er fordert eine Löschung der Daten von Videoaufzeichnungen nach spätestens 48 Stunden, sofern sie nicht in einem strafrechtlichen Verfahren zum Zwecke der Beweissicherung oder sonst unter der Bedingung einer Einwilligung der Betroffenen im Einzelfall aufbewahrt werden dürfen. Nach Wegfall des Zwecks sind die Daten umgehend zu löschen.
9. Datenmissbrauch bei Kundenkarten vorbeugen und Opt-In-Verfahren verpflichtend machen
Kundenbindungssysteme dürfen nicht zum Ausverkauf persönlicher Daten und damit zum gläsernen Kunden führen. Anonyme Stempelkarten als Rabattvarianten sind datenschutzfreundlicher als personenbezogene Bonus-, Rabatt- oder Kundenkarten und daher vorzugswürdig. Die Einwilligungserklärung in die Datenverarbeitung bei Kundenbindungssystemen sollte für die Verarbeitung und Nutzung über das abwicklungsnotwendige Maß hinaus grundsätzlich das so genannte Opt-In-Verfahren enthalten, so dass der Verbraucher aktiv die Möglichkeit erhält, durch eine bewusste Handlung den weiteren Gang der Datenverarbeitung und die Zusendung von Werbung zu bestimmen.
10. Transparenz und Datenschutz bei Adresshandel verbessern
Der Handel mit Adressen von Verbrauchern hat in den letzten Jahren wirtschaftlich zunehmend an Bedeutung gewonnen. Informationsansprüche der Verbraucher werden dadurch umgangen, dass die Daten nicht auf eine Person bezogen gespeichert werden, sondern Daten einer ganzen Straße in einer Stadt, das Alter der Bewohner, die Berufe und anderes mehr. Bei der Abfassung des Bundesdatenschutzgesetzes waren solche Phänomene in dem Umfang noch nicht absehbar. Der Deutsche Bundestag setzt sich dafür ein, dass der Schutzbereich des Bundesdatenschutzgesetzes auch auf aus personenbezogenen Daten gewonnene Daten aller Art ausgeweitet wird.
11. Arbeitnehmerdatenschutz schnellstmöglich stärken
Der Arbeitnehmerdatenschutz ist lückenhaft, und die bestehende Rechtsprechung im Einzelfall für die Betroffen nur schwer nachvollziehbar. Die immer schneller fortschreitenden technischen Entwicklungen in der Arbeitswelt machen transparente und verständliche Regelungen zum Schutz von Persönlichkeitsrechten der Arbeitnehmer unerlässlich, um den Gefahren der Informations- und Kommunikationsgesellschaft auch in der Arbeitswelt zu begegnen. Der Deutsche Bundestag setzt sich konsequent für die Stärkung des Arbeitnehmerdatenschutzes ein. Dabei wird er insbesondere darauf dringen, dass die Nutzung von elektronischen Kommunikationsdienstleistungen (E-Mail und Internet) am Arbeitsplatz geregelt wird.
12. Keine Verwendung von DNA-Tests für Unternehmen
Der Deutsche Bundestag lehnt die von der Bundesregierung vorgelegten Eckpunkte für ein Gendiagnostikgesetz ab und fordert stattdessen, dass DNA-Tests von Versicherungen nicht verlangt werden dürfen. Verhindert werden muss allerdings auch, dass Versicherungsnehmer die Versichertengemeinschaft bewusst schädigen.
13. Datenschutz bei Geodaten achten
Die Verwendung von Geodaten braucht klare Rahmenbedingungen, damit der Datenschutz nicht verloren geht. Kameraaufzeichnungen, die immer detaillierter und hochauflösender werden, bergen die Gefahr in sich, dass Rückschlüsse über Personen, die oder deren Autos, Häuser etc. dabei unweigerlich mit aufgenommen werden, möglich werden. Der Deutsche Bundestag appelliert an die Unternehmen, alle technisch zur Verfügung stehenden Maßnahmen zu ergreifen, um Geodaten zu anonymisieren. Er fordert zudem eine Prüfung gesetzgeberischer Maßnahmen, um einen sicheren Rahmen zu setzen, wie und in welcher Art und in welchem Umfang Geodaten erhoben, gespeichert und genutzt werden dürfen.
14. Vorratsdatenspeicherung aussetzen
Der Deutsche Bundestag spricht sich im Lichte der aktuellen Vorfälle für eine Aufhebung der gesetzlichen Bestimmungen zur Vorratsspeicherung von Telekommunikationsdaten aus. Auf Grund des Beschlusses des Bundesverfassungsgerichts vom 11. März 2008 ist bereits die Verwendung gespeicherter Daten zum Zwecke der Strafverfolgung nur noch in modifizierter Form zulässig. Mit Blick auf die aktuellen Ereignisse, die die Gefahren einer solchen Datensammlung aufgezeigt haben, reicht die Einschränkung nicht länger aus. Es ist vielmehr geboten, die Vorratsdatenspeicherung insgesamt aufzuheben.
Hinzu kommt, dass derzeit vor dem Europäischen Gerichtshof eine Nichtigkeitsklage aus Irland gegen die entsprechende Richtlinie anhängig ist. Zweifelhaft ist, ob die Richtlinie aufgrund einer tauglichen Rechtsgrundlage ergangen ist. Die Europäische Kommission vertritt die Auffassung, die Zuständigkeit der Gemeinschaft ergebe sich aus Artikel 95 des Vertrags zur Gründung der Europäischen Gemeinschaft (EGV). Dies ist die Ermächtigungsgrundlage für Harmonisierungsmaßnahmen im Zusammenhang mit dem Binnenmarkt. Bereits 2005 hat der Europäische Gerichtshof zur Übermittlung von Fluggastdaten an die USA entscheiden, es handele sich um „eine Datenverarbeitung, die nicht für die Erbringung einer Dienstleistung erforderlich ist, sondern zum Schutz der öffentlichen Sicherheit und zur Strafverfolgung als erforderlich angesehen wird“. Für den Bereich der öffentlichen Sicherheit und der Strafverfolgung sei die Europäische Gemeinschaft nicht zuständig.
II. Der Deutsche Bundestag fordert die Bundesregierung auf,
1. die Voraussetzungen für eine Verbesserung der Stellung der betrieblichen Datenschutzbeauftragten zu schaffen, insbesondere durch Einräumung einer von der Geschäftsleitung unabhängigen Prüfungskompetenz,
2. Vorschläge für die Überarbeitung der gesetzlichen Regelungen mit dem Ziel vorzulegen, den Grundsatz der Datensparsamkeit zu stärken und seine Achtung zu gewährleisten, die Transparenz der Datenverarbeitung größtmöglich zu erhöhen und somit mehr eigenverantwortliches Handeln der betroffenen Personen zu fördern,
3. das Sanktionssystem des Bundesdatenschutzgesetzes sowie die Ersatzmöglichkeiten von immateriellen Schäden bei der Verarbeitung personenbezogener Daten zu überprüfen und Vorschläge zur Verbesserung vorzulegen,
4. zu prüfen, ob in konzentrierten Märkten das Koppelungsverbot, wonach der Vertragsschluss nicht von der Zurverfügungstellung personenbezogener Daten, die für die Vertragsdurchführung nicht erforderlich sind, abhängig gemacht werden darf, ausdrücklich im allgemeinen Datenschutzrecht festgeschrieben werden kann,
5. unverzüglich einen Gesetzentwurf für ein Ausführungsgesetz zum Datenschutz-Audit gemäß § 9a des Bundesdatenschutzgesetzes vorzulegen,
6. eine Gesamtstrategie zur Förderung datenschutzfreundlicher Technik zu erarbeiten,
7. einen Gesetzentwurf vorzulegen, der die Nutzung von RFID-Chips dergestalt regelt, dass diese bei der Übergabe an den Verbraucher, spätestens aber beim Verlassen des Ladens, automatisch dauerhaft und unwiderruflich deaktiviert werden. Daneben sind Kommunikationsvorgänge mittels des Chips für den Verbraucher leicht erkennbar zu kennzeichnen. Bei der Nutzung sind Sicherungsmechanismen gegen unbefugtes Auslesen zu implementieren,
8. einen Gesetzentwurf zur Überarbeitung des Bundesdatenschutzgesetzes mit dem Ziel vorzulegen, dass der Schutzbereich auch auf aus personenbezogenen Daten gewonnene Daten aller Art ausgeweitet wird,
9. Vorschläge zur Stärkung des Arbeitnehmerdatenschutzes vorzulegen,
10. bei dem anstehenden Entwurf eines Gendiagnostikgesetzes sicherzustellen, dass Unternehmen die Erstellung und Vorlage eines Gentests nicht verlangen dürfen,
11. einen gesetzlichen Rahmen für die Erhebung, Speicherung und Nutzung von Geodaten vorzulegen,
12. auf die Vorratsdatenspeicherung zu verzichten und insoweit unverzüglich ein parlamentarisches Verfahren zur Aufhebung der gesetzlichen Grundlagen für die Vorratsdatenspeicherung einzuleiten.
(Deutscher Bundestag: FDP: ra)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>