Förderung

Weil damals marktführende Firmen Bauteile und Verfahren verbreiteten, die

­ für Nutzer gar nicht oder wenig durchschaubar ­ deren personenidentifizierbare Daten erheben und verwenden konnten, haben die Datenschutzbeauftragten von Bund und Ländern sich im Frühjahr 1999 gegen solche Praktiken ausgesprochen. An die entsprechenden Hersteller wurde appelliert, Hard- und Software so zu entwickeln und herzustellen, dass Anwender und unabhängige Dritte sich jederzeit von der Wirksamkeit von Sicherheitsvorkehrungen überzeugen können, und den Anwendern empfohlen, nur solche Produkte einzusetzen, welche auch eine Transparenz der Verfahrensabläufe gewährleistet. (Anlage 3). Andererseits sollten die Verfahren und Produkte geeignet sein, die vom Nutzer vorausgesetzte Vertraulichkeit bei der Kommunikation auch zu garantieren. Hierfür kommen vor allem Verschlüsselungsverfahren in Betracht, die leicht handhabbar sein sollten und keine unangemessenen „Hintertüren" aufweisen. Bei der Verarbeitung sensibler Daten sind derartige Verfahren auch im öffentlichen Bereich ­ vor allem für die Kommunikation zwischen externen Stellen ­ unabdingbar. Im Hinblick auf die jahrelange politische Kontroverse über die deutsche Kryptopolitik haben die Datenschutzbeauftragten 1999 die Öffnung zu einer generell freien Verfügbarkeit von Verschlüsselungsprodukten ausdrücklich begrüßt und die öffentlichen Stellen aufgefordert, beispielhaft daran mitzuwirken, dass Kryptographie Standard in der Informations- und Kommunikationstechnik wird (Anlage 11).

Mit besonderer Sorge war im Telekommunikationsbereich die Entwicklung zu immer aussagekräftigeren Daten zu beobachten, die ­ sogar ohne die eigentlichen Inhalte ­ als Verbindungs- Nutzungs- und Abrechnungsdaten eine detaillierte Auswertung und Verknüpfung mit anderen Informationen erlauben. Mit Abwicklung von verschiedensten Geschäften im Internet fallen weitere Spuren an, die ebenfalls das Interesse privater wie öffentlicher Stellen wecken. Tatsächlich ist ein deutlich zunehmender Zugriff der Sicherheitsorgane auf diese Daten zu verzeichnen, und in verschiedenen Zusammenhängen zielen Gesetzgebungsvorhaben auf eine Absicherung und Erweiterung dieser Möglichkeiten. Ein zusammenfassendes, in sich schlüssiges System von Regelungen staatlicher Eingriffe in das Kommunikationsverhalten, das dem besonderen Gewicht des Grundrechts auf unbeobachtete Kommunikation unter Berücksichtigung der legitimen staatlichen Sicherheitsinteressen Rechnung trägt, fehlt aber bisher.

Mit Forderungen zur Gewährleistung der freien Telekommunikation haben die Datenschutzbeauftragten sich im März 2000 an Gesetzgebung und Verwaltung gewandt (Anlage 14). Die Entschließung zeigt die Problematik auf und wendet sich gegen die Vernachlässigung des Telekommunikationsgrundrechts gegenüber Sicherheitsbelangen, richtet sich keineswegs einsei 26

tig gegen diese, sondern verlangt wirksamen Schutz der Privatsphäre gerade auch gegen illegale Aktivitäten im nichtöffentlichen Bereich.

4 Allgemeines Datenschutzrecht

Europäischer Datenschutz

Datenschutz als Grundrecht

Seit langem fordern nicht nur die Datenschutzbeauftragten (in Deutschland und anderen Staaten der EU), auch auf der Ebene des Europäischen Primärrechts den Datenschutz als Grundrecht zu verankern; hierauf hatte ich bereits im 16. TB hingewiesen (TZ 6.1 mit Anlage 5). Meine Kollegen und ich haben in einer erneuten Entschließung vom 7./8.10.1999 (Anlage 9) den damaligen Beschluss des Europäischen Rates nachhaltig unterstützt und die Gesetzgebungsorgane des Bundes aufgefordert, sich für eine schriftliche Verankerung des Grundrechts in den Verträgen der EU einzusetzen.

Mit der feierlichen Proklamation der Europäischen Grundrechtscharta in der Regierungskonferenz in Nizza im Dezember 2000 sind diese Bemühungen einen großen Schritt vorangekommen. Zwar ist die Charta bislang kein formelles Recht; die breite Zustimmung auch im Europäischen Parlament lässt aber hoffen, dass der Grundrechtskatalog mittelfristig in die Europäischen Verträge aufgenommen und damit rechtsverbindlich wird. Dies ist unerlässlich, damit in einer Welt mit zunehmenden internationalen Kontakten und Kommunikationsströmen und mit immer bedeutsamerer Rechtsetzung durch die Europäische Union ausreichender Schutz gewährleistet ist, auf den man sich gegenüber den Europäischen Organen, zugleich aber auch nationalen Stellen des eigenen Landes oder anderer Mitgliedsstaaten berufen kann, wenn diese Unionsrecht ausführen. Über die Beachtung bei den EU-Stellen muss eine eigene unabhängige Kontrollinstanz wachen.

Wie effektiv der tatsächliche Schutz durch das Grundrecht ist, bestimmt sich aber nicht allein aus dessen Formulierung, sondern wesentlich danach, wie intensiv die - selbstverständlich nötigen - Schranken das Recht inhaltlich bestimmen. Während die Grundrechtscharta in der Mehrzahl der Rechte auf konkrete Begrenzungen verzichtet und vielmehr alle Grundrechte unter eine eher allgemein gehaltene Generalklausel-Schranke stellt, sind für den Datenschutz immerhin zentrale Grundsätze festgelegt: Datenverarbeitung „nach Treu und Glauben" und nur aufgrund Einwilligung oder gesetzlicher Grundlage; Zweckbindung; Auskunftsrecht; unabhängige Kontrollinstanz.

Jedenfalls muss (letztlich durch die Rechtsprechung des Europäischen Gerichtshofs) ausgeschlossen sein, dass der gewollte Freiheitsschutz unter Hinweis auf „von der Union verfolgte Zielsetzungen von allgemeinem Inter 27

esse" oder „andere legitime Interessen in einer demokratischen Gesellschaft" faktisch ausgehöhlt wird.

Datenverkehr mit „Drittländern"

Die Harmonisierung des Datenschutzes auf europäischer Ebene soll vor allem einen leichteren, von bürokratischen Hemmnissen freien Transfer auch personenbezogener Daten im Handel und Dienstleistungsverkehr erreichen. Dementsprechend wird im Binnenmarkt prinzipiell nicht mehr zwischen Inland und den übrigen Mitgliedsstaaten unterschieden, bei denen ja wegen der Harmonisierung - ein gleichwertiger Datenschutzstandard gewährleistet ist, wenn auch die Anforderungen im Einzelnen differieren mögen.

Damit für den ebenfalls häufigen Verkehr mit Stellen in Staaten außerhalb der Europäischen Union nicht jeweils auf das Einverständnis der Betroffenen zurückgegriffen werden muss, lässt Art. 25 der EG-Richtlinie grenzüberschreitende Datenübermittlungen auch dann zu, wenn die Europäische Kommission feststellt, dass im jeweiligen Drittland ein „angemessenes Schutzniveau" gewährleistet ist. Für eine Reihe von (überwiegend europäischen) Staaten ist dies inzwischen erfolgt. Diese Entscheidung ist insbesondere dann schwierig zu treffen, wenn deutliche Strukturunterschiede im Rechtssystem bestehen. Im ­ für den Datentransfer bedeutsamen - Verhältnis zu den USA wird ein angemessenes Schutzniveau für solche Stellen angenommen, die sich den mit der Kommission abgesprochenen Grundsätzen des „sicheren Hafens" unterworfen haben, zu denen auch die Möglichkeit einer Kontrolle gehört.

Bundesdatenschutzgesetz

Trotz der durch die EG-Datenschutzrichtlinie gesetzten Anpassungsfrist, die bereits im Oktober 1998 abgelaufen war, konnte die Novellierung des wichtigsten Datenschutzgesetzes des Bundes noch nicht abgeschlossen werden. Immerhin gab es die parlamentarische Behandlung eines Entwurfs, der

- im wesentlichen auf der Basis von Vorarbeiten noch aus der früheren Wahlperiode, aber teilweise ergänzt ­ in einer „ersten Stufe" die dringlichsten Punkte in Angriff genommen hat. Für eine zweite Stufe ­ möglichst noch in dieser Wahlperiode ­ sind weitere Schritte auf dem Weg in Aussicht genommen, das Datenschutzrecht zu modernisieren. Die Koalitionsfraktionen und die Bundesregierung bereiten dies mit Gutachten und unter Beteiligung von Sachverständigen vor, bei der auch die Datenschutzbeauftragten zu Wort kommen werden.