---

Ansätze zur Stärkung der Selbstregulierung bei der Modernisierung des Datenschutzrechts

Beginn:

27.02.2004

Ansprechpartner:

Peter Schaar

Sehr geehrter, lieber Herr Professor Kilian!

Meine Damen und Herren!

I.

Seit vielen Jahren gibt es gute Verbindungen zwischen dem von Ihnen gegründeten Institut für Rechtsinformatik der Universität Hannover – nicht nur der engeren Fachwelt auf dem Gebiet der Informationstechnik unter dem Kürzel IRI ein Begriff – und dem Bundesbeauftragten für den Datenschutz.

So war der BfD an einer Arbeitskonferenz Ihres Instituts zur damals gerade verabschiedeten europäischen Datenschutzrichtlinie 95/46/EG beteiligt, deren Ergebnisse – einschließlich der Key Notes by the Federal Data Protection Commissioner – in der von Ihnen herausgegebenen und wesentlich mitgestalteten Monographie EC Data Protection Directive – Interpretation/Application/Transposition zum Ausdruck kamen; nicht lange nach Erscheinen dieser Publikation haben Sie das vielbeachtete „Kurz-Lehrbuch“ zum Europäischen Wirtschaftsrecht vorgelegt, in dem Sie damals – seit dem Jahre 2003 nunmehr in zweiter Auflage – eine erste zusammenhängende Darstellung des europäischen Sekundärrechts auf dem Gebiet des Datenschutzes in deutscher Sprache präsentierten.

Aber auch die persönlichen Beziehungen zwischen dem Jubilar und dem Bundesbeauftragten können bereits auf eine Tradition zurückblicken: So referierte mein Vorgänger im Amt, Herr Dr. Joachim Jacob, auf dem Symposium anlässlich Ihres 60. Geburtstages unter der Thematik „Regulierung in Datennetzen“ über die Perspektiven zwischen datenschutzrechtlicher Regulierung und Selbstregulierung.

Seither ist ein halbes Jahrzehnt vergangen und vielfältige Möglichkeiten der Informationstechnologien sind mit rasendem – manche mögen sagen: erschreckendem – Tempo weiter realisiert worden. Aber auch die Überlegungen zum weiteren Ausbau der Sicherheit in der Informationstechnik stehen glücklicherweise nicht still und nach wie vor wird an der Verbesserung der rechtlichen Lösungsansätze gearbeitet, um dem Anliegen des Datenschutzes und der Datensicherheit in effizienter Weise gerecht zu werden. – Auch wenn sich diese Arbeiten – jedenfalls was den politischen Raum betrifft – sehr im Verborgenen abspielen. Auf entsprechende „Freilandversuche“ sind wir gespannt.

Verbunden mit allen guten Wünschen an Sie, lieber Herr Professor Kilian, möchte ich in meinem Eröffnungsstatement für das Symposium zu Ehren Ihres 65. Geburtstages den Faden der Selbstregulierung wieder aufgreifen. Ich möchte dabei insbesondere Überlegungen nachgehen, wie – durch Kombination verschiedener Regelungsinstrumente unter Einbeziehung selbstregulierender und selbstkontrollierender Elemente - eine Verbesserung des Datenschutzes, zumal unter dem Gesichtspunkt seiner allfälligen Modernisierung, erreicht werden kann.

II.

Das herkömmliche Aufsichts- und Kontrollverfahren des deutschen Datenschutzrechts ist bekanntlich gekennzeichnet durch die externe Kontrolle unabhängiger Datenschutzbeauftragter für den öffentlichen Bereich und – jedenfalls nach wie vor als Regelmodell – Datenschutzaufsichtsbehörden für die nicht-öffentlichen Stellen. Flankiert und ergänzt wird es durch die interne Kontrolle durch behördliche und betriebliche Datenschutzbeauftragte. Bei allem Modellcharakter, der ihm im internationalen Vergleich inzwischen zurecht bescheinigt wird, leidet dieses Verfahren an einem nicht zu übersehenden Manko: einer letztlich zu geringen Kontrolldichte und daraus resultierenden spürbaren Vollzugsdefiziten. Konkret bedeutet dies nichts anderes als schlichte Folgenlosigkeit für viele Fälle unzureichender Datenschutzpraxis. In den betreffenden Unternehmen wird dadurch die Motivation der Geschäftsleitungen zu Investitionen in den Datenschutz unter Kosten-Nutzen-Gesichtspunkten nicht eben gefördert und das Standing der betrieblichen Datenschutzbeauftragten nicht gerade gestärkt.

Defizitäre Bilanzen dieser Art werfen zurecht die Frage auf, ob die im wesentlichen hoheitlich orientierten Instrumente der Datenschutzkontrolle dem Grunde nach wirklich geeignet sind, den Datenschutz allein – vor allem im Internet – in der Praxis zu gewährleisten. Zugespitzt stellt sich die immer drängender werdende Frage, ob und inwieweit neben der hoheitlichen Steuerung über gesetzliche Ge- und Verbote einerseits und – als Gegenposition hierzu einer allein marktwirtschaftlichen Steuerung, die auf den Wettbewerb der Unternehmen untereinander und die Präferenzen der Betroffenen setzt andererseits - nicht einem weiteren Lenkungsansatz die gebührende Berücksichtigung zuteil werden sollte: Ich denke dabei an das zukunftsträchtige Potential, das sich unter dem Stichwort Selbstregulierung verbirgt und das beide Steuerungsmechanismen miteinander verbinden kann.

III.

Bei dieser Ausgangslage kann es im Hinblick auf die aufgeworfene Frage nicht mehr überraschen, dass das im Auftrag des Bundesministerium des Innern erstellte Gutachten zur Modernisierung des Datenschutzrechts aus dem Jahre 2001 – neben der Stärkung der Einwilligung – als zweiten wichtigen Ansatz zur Entlastung und Verbesserung des Datenschutzrechts im nicht-öffentlichen Bereich auf selbstregulierende und selbstkontrollierende Regelungsmechanismen setzt.

Unter der Prämisse „Freiwillige, aber verbindliche Geltung“ würden hiernach selbstgesetzte und anerkannte Regeln freiwillig akzeptiert. Zur Gewährleistung der notwendigen Rechtssicherheit müsste eine verantwortliche Stelle verbindlich erklären, ob die Regeln für sie gelten sollen. Hat sie dies gegenüber dem zuständigen Datenschutzbeauftragten getan, wäre sie in ein öffentliches Register einzutragen. Ein Verstoß gegen diese selbst akzeptierten Regeln würde dann in der gleichen Form geahndet wie ein Verstoß gegen gesetzliche Vorgaben – der Vollzug dieser Art von Regeln würde sich somit nicht vom Vollzug gesetzlicher Regeln unterscheiden.

Aber auch schon das in der ersten Stufe der Novellierung (teil-)reformierte BDSG enthält eine Reihe von Ansatzpunkten für selbstregulierende und selbstkontrollierende Verfahren. Lassen Sie mich kurz eingehen auf

• die Unternehmensregelungen für Datenübermittlungen in Drittländer
  
  
• das Datenschutzaudit und auf
  
  
• die Verhaltensregeln, meist als Codes of Conduct bekannt,

und dabei die Frage stellen, wie diese verschiedenen Ansätze sinnvoll miteinander verknüpft werden könnten, um einen datenschutzrechtlichen Mehrwert, ein „added value“, zu erzielen.

Mittels verbindlicher Unternehmensregelungen können Unternehmen Garantien dafür erbringen, dass personenbezogene Daten in Drittländer außerhalb der Europäischen Union – und damit außerhalb des Geltungsbereichs der europäischen Datenschutzrichtlinie 95/46/EG aus dem Jahr 1995 – ohne ausreichendes Datenschutzniveau angemessen geschützt werden. So sieht es § 4c Abs. 2 Satz 1 BDSG vor. Das Gesetz trägt damit einer häufig anzutreffenden Situation Rechnung, dass Teilunternehmen von international operierenden Konzernen in Ländern ohne angemessenem Datenschutzniveau angesiedelt sind, das Verhältnis der Teilunternehmen untereinander – bezogen auf den Datenschutz - häufig aber nicht von Vertragsklauseln bestimmt wird. Als Reaktion hierauf sind einige internationale Konzerne dazu übergegangen, für alle betroffene Teilunternehmen – standortunabhängig – verbindliche Verhaltenskodizes mit datenschützendem Inhalt zu erlassen. Noch sind Rechtscharakter und Rechtsfolgen der verbindlichen Unternehmensregelungen nicht in allen Feinheiten geklärt: So harrt noch der abschließenden Diskussion, ob eine Unternehmensregelung der Aufsichtsbehörde zur Überprüfung vorzulegen ist und wie detailliert die auf der Grundlage einer Unternehmensregelung gestellten Datenexportanträge zu prüfen sind. Zumindest de lega ferrenda sollte auf derartige Einzelgenehmigungen verzichtet werden, wenn ein Konzerncodex von der Aufsichtsbehörde akzeptiert wurde.

Das bereits angesprochene Vollzugsdefizit im Datenschutz stand letztlich Pate für das Datenschutzaudit, dessen Maßstäbe und Verfahren es dem Verbraucher ermöglichen sollen, die Einhaltung der Datenschutzanforderungen zu bewerten und die datenschutzfreundlichsten Angebote auszuwählen. § 9a Satz 2 BDSG sieht vor, dass die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter durch ein besonderes Gesetz zu regeln sind – eine verfassungsrechtliche Erforderlichkeit, weil in die Freiheit der Berufsausübung nach Art. 12 Grundgesetz eingegriffen wird. Anzumahnen ist, dass die Bundesregierung endlich einen Entwurf für ein Ausführungsgesetz zum Datenschutzaudit vorlegt. In diesem Zusammenhang möchte ich betonen, dass es sich beim Audit nicht um ein Instrument handelt, mit dem die Wirtschaft gequält werden soll, sondern um einen marktwirtschaftlichen Ansatz, der die Transparenz des Marktes fördert und so zu einer Optimierung der Entscheidung der Marktteilnehmer beitragen kann.

Neben den verbindlichen Unternehmensregeln und dem Datenschutzaudit ist als drittes Instrument der Selbstregulierung auf die „Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen“ hinzuweisen. Nach der Vorschrift des neuen § 38a BDSG können Berufsverbände und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen Stellen vertreten, Verhaltensregeln zur Förderung der Durchführung von datenschutzrechtlichen Regelungen der zuständigen Aufsichtsbehörde unterbreiten. Die Verhaltensregeln müssen einen datenschutzrechtlichen Mehrwert beinhalten, indem sie die gesetzlichen Vorgaben konkretisieren, klarstellen oder eine besondere bereichsspezifische Verlängerung der gesetzlichen Vorgaben bewirken – so die ratio legis des Art. 27 der EG-Datenschutzrichtlinie, die zur richtlinienkonformen Auslegung von Art. 38a BDSG heranzuziehen ist. Die Aufsichtsbehörde ihrerseits überprüft die Vereinbarkeit der Entwürfe im Rahmen der Rechtmäßigkeitskontrolle mit den datenschutzrechtlichen Anforderungen. Bislang wird allerdings von den in § 38 a BDSG zur Verfügung gestellten Möglichkeiten noch sehr zurückhaltend Gebrauch gemacht, vielleicht deshalb, weil der „Mehrwert“ solcher Regelungen den Unternehmen nicht einleuchtet.

IV.

Ein Beispiel für die Einrichtung einer freiwilligen Selbstkontrolle bildet das „Presseratsmodell“, das sich bei der Novellierung von § 41 BDSG durchgesetzt hat. Im europarechtlichen Sekundärrecht fußt es letztlich auf Art. 9 der EG-Datenschutzrichtlinie, der dem Konflikt zwischen den beiden Grundfreiheiten des Persönlichkeitsrechts und der Freiheit der Meinungsäußerung bzw. der Pressefreiheit im wesentlichen dadurch aus dem Weg geht, dass er den Mitgliedstaaten aufgibt, von bestimmten Regelungsbereichen „Abweichungen und Ausnahmen (vorzusehen)“, allerdings „nur insofern ..., als sich dies als notwendig erweist, um das Recht auf Privatsphäre mit den für die Freiheit der Meinungsäußerung geltenden Vorschriften in Einklang zu bringen“. Dieser Regelungsansatz der Richtlinie bot den nationalen Gesetzgebern umfangreichen Gestaltungsspielraum einschließlich des Einsatzes von selbstregulierenden Elementen. So hat der deutsche Presserat unter Mitwirkung des Bundesbeauftragten für den Datenschutz ein Konzept entwickelt, das einen – im Ergebnis – wirkungsvollen Schutz personenbezogener Daten in den Redaktionen und dessen Kontrolle durch den Presserat gewährleisten soll. Es sieht Verhaltensregeln und Empfehlungen zur Beachtung des Datenschutzes in den Redaktionen unter Berücksichtigung der §§ 5, 9 und 38a BDSG-Bundesdatenschutzgesetz vor, wobei die Verlage dem Presserat über durchgeführte Maßnahmen und grundsätzliche Änderungen berichten müssen.

Zwischen einem Beauftragten des deutschen Presserats und den Verlagen bzw. Redaktionen finden anlassunabhängig regelmäßig Gespräche über Stand und Entwicklung des Redaktionsdatenschutzes statt, worüber der Presserat die Öffentlichkeit regelmäßig unterrichtet. Der Presserat hat einen derartigen Bericht erst kürzlich wieder vorgelegt. Für Fälle begründeter Datenschutzbeschwerden oder bei Anhaltspunkten für datenschutzrechtliche Mängel tritt eine Anlassaufsicht auf den Plan, die durch einen besonderen Beschwerdeausschuss beim Deutschen Presserat unterstützt wird. Gegebenenfalls verhängte Sanktionen sind aufgrund einer Selbstverpflichtung der Verlage zu befolgen. Schließlich sind auch die vom Deutschen Presserat entwickelten, im sog. Pressekodex enthaltenen Richtlinien für die publizistische Arbeit, die auch bisher schon eine Reihe von Schutzbestimmungen zur Wahrung der Persönlichkeitsrechte Betroffener enthielten, um eine Reihe datenschutzrelevanter Regelungen erweitert worden. Das vom Deutschen Presserat vorgelegte Konzept bietet somit ein gutes Beispiel für Selbstregulierung durch Verhaltenkodizes.

V.

Wie weit lassen sich nun die beschriebenen Modelle selbstregulierender und selbstkontrollierender Verfahren zum Vorteil der Betroffenen – der data subjects nach europäischer, vielleicht zutreffender beschriebener Lesart – und unter dem Gedanken eines wirklichen datenschutzrechtlichen Mehrwerts nutzbar machen?

Zweifel sind angebracht an der Übertragbarkeit des Presseratsmodells auf das Anbieter-Nutzer-Verhältnis bei den elektronischen Medien oder gar auf das generelle Verhältnis von verantwortlicher Stelle und Betroffenem im Anwendungsbereich des BDSG. Bedingt durch den hohen Organisationsgrad der Presse umfassen Selbstregulierung und Selbstkontrolle die weit überwiegende Anzahl der Printmedien sowohl hinsichtlich der Zahl der Anbieter als auch bezüglich der verkaufenen Auflage. Bei dem breiten Spektrum der Internet-Anbieter und auf anderen Märkten ist dies bekanntlich gerade nicht der Fall. Hinzu kommt, dass das Presseratsmodell lediglich die Verarbeitung journalistisch-redaktioneller Daten zur ausschließlich eigenen journalistisch-redaktionellen Zwecken umfasst. Da es sich damit gerade nicht auf die administrative oder kommerzielle Datenverarbeitung der Medien bezieht, bleibt für Daten über Abonnenten das BDSG voll anwendbar.

Bei der Neuformulierung der Datenschutzbestimmungen – zumindest für die elektronischen Medien - schwebt mir indessen ein alternatives Kontrollmodell vor, das die verschiedenen oben angesprochenen Ansätze miteinander verknüpft. So erscheint es mir sinnvoll, die Unternehmensregeln nach § 4c Abs. 2 BDSG und die Verhaltensregeln nach § 38a BDSG als Maßstäbe für das Datenschutzaudit nach § 9a BDSG zu verwenden. Denn bislang ist offen, welche inhaltlichen Maßstäbe an die Unternehmen anzulegen sind, die sich für ein Datenschutzaudit aussprechen. Mir erscheint die Formulierung branchenspezifischer und geschäftsmodellspezifischer Kriterien naheliegend, die – nach Billigung seitens der Aufsichtsbehörden – die Gütesiegel vergleichbar machen würden und ihre Bedeutung bei der Vermarktung auditierter Produkte und Dienstleistungen steigern würde.

Unabhängige Gutachter könnten anhand dieser Kriterien testieren, dass die auditierten Produkte und Dienstleistungen den von den Aufsichtsbehörden genehmigten Verhaltensregeln entsprechen.

Damit verbunden werden könnte eine partielle Freistellung von der externen Kontrolle seitens der Aufsichtsbehörden: Diese bräuchten nur noch anlassbezogen tätig zu werden, wenn konkrete Anhaltspunkte für einen Verstoß vorliegen; diejenigen hingegen, die sich nicht auf ein Gütesiegel verpflichtet haben, würden weiterhin der Daueraufsicht unterliegen.

Dieses von mir favorisierte Regelungsmodell würde für Unternehmen und Dienstleister einen Anreiz schaffen, Selbstregulierung und Selbstkontrolle für sich zu entdecken und sich dann daran zu beteiligen.

Ein solches Modell würde auch der Zielsetzung des Gutachtens zur Modernisierung des Datenschutzrechts entsprechen, das einen effektiven, risikoadäquaten, verständlichen und nicht zuletzt aus Sicht der privaten Wirtschaft attraktiven Datenschutz befürwortet.

Mit dieser Skizze soll es für heute sein Bewenden haben. Vieles wäre noch dazu zu sagen. Manche Diskussion muss noch geführt werden.

Jetzt wünsche ich Ihnen und uns einen guten Verlauf des Symposiums, anregende und weiterführende Gedanken und – wie schon gewohnt – ertragreiche Resultate.

Druckversion im pdf-Format (Link)

Adresse