3.1. Novellierung des Datenschutzrechts

Im VIII. Tätigkeitsbericht (Ziff. 3.1) hatte der Landesbeauftragte auf die vielfältigen Ansätze, Meinungen und Forderungen hingewiesen, die sich mit der Notwendigkeit der Novellierung des Datenschutzrechts befassten. Dies umfasste nicht nur das BDSG und die Regelung eines Audits, sondern auch die Forderung nach differenzierten datenschutzrechtlichen Regelungen für das Arbeitsverhältnis.

Die fortschreitende technologische Entwicklung schafft durch Vernetzung und branchenübergreifende zentrale Dateien Auswertungsmöglichkeiten, die zu undurchsichtigen Bewertungen der betroffenen Bürgerinnen und Bürger führen können. Daher begrüßten die Datenschutzbeauftragten grundsätzlich einen Gesetzentwurf der Bundesregierung (BT-Drs. 16/10529), der Übermittlungen an Auskunfteien strenger reguliert und durch Informations- und Auskunftsansprüche ein transparenteres Scoringverfahren regelt. Die im Entwurf vorgesehene Möglichkeit der Erweiterung der Auskunfteitätigkeit auf jegliche Form rechtlichen und wirtschaftlichen Risikos verlagerte aber einseitig die vertraglichen Risiken. Die Auskunfteitätigkeit sollte auf kreditorische Risiken beschränkt bleiben. Scoringverfahren sollten noch offener werden. Hierzu erging die Entschließung der 74. Konferenz der Datenschutzbeauftragten des Bundes und der Länder im Oktober 2007 "Gesetzesinitiative der Bundesregierung zu Auskunfteien und Scoring: Nachbesserung bei Auskunfteiregelungen gefordert" (Anlage 2).

In der am 29. Mai 2009 im Bundestag verabschiedeten Fassung der Änderung des BDSG wurde jedoch lediglich die "ausschließliche" Nutzung von Anschriftendaten zur Berechnung des Wahrscheinlichkeitswertes ausgeschlossen. Die wünschenswerte Benennung der für die Berechnung verwandten Datenarten wurde ebenfalls nicht aufgenommen. Allerdings sind dem Betroffenen bei ungünstigen automatisierten Entscheidungen die wesentlichen Gründe mitzuteilen und zu erläutern (BT-Drs. 16/13219).

Insbesondere Ereignisse seit dem Jahr 2008 haben den Bedarf datenschutzrechtlicher Neuregelung in den Medien zum regelmäßigen Tagesthema werden lassen. Eine Vielzahl von "Datenskandalen" lässt auch weniger interessierte Bürgerinnen und Bürger aufhorchen. Denn einmal kann jeder als Beschäftigter betroffen sein, wenn es um die Ausforschung durch den Arbeitgeber geht, wie die Fälle vom Lebensmittel- über den Telekommunikations- bis zum Logistikkonzern zeigen. Zum anderen geht es um die teilweise sensiblen Datensätze (Adressen, Telefonnummern, Kontoverbindungen, inhaltliche Informationen) von Kunden der Telekommunikations- und Medienkonzerne oder auch Landesbanken, die "im Handel erhältlich" sind.

Demgemäß drängen die Datenschutzbeauftragten des Bundes und der Länder auf eine grundlegende Modernisierung des Datenschutzrechts, u. a. auf bessere Auskunftsrechte, eine Informationspflicht bei Datenpannen und missbräuchlicher Datennutzung, eine Gewinnabschöpfung bei unbefugtem Datenhandel, ein gesetzliches Datenschutzaudit und die Stärkung der Datenschutzbeauftragten. Hierzu fasste die Konferenz der Datenschutzbeauftragten des Bundes und der Länder im September 2008 die Entschließung "Entschlossenes Handeln ist das Gebot der Stunde" (Anlage 15).

Die informationelle Selbstbestimmung im Bereich des Adress- und Datenhandels setzt eine wirkliche Wahlfreiheit der Verbraucherinnen und Verbraucher voraus. Daher forderte die Entschließung der 76. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom November 2008 "Adress- und Datenhandel nur mit Einwilligung der Betroffenen", trotz des Widerstands aus der Wirtschaft nicht vom Vorhaben einer Einwilligungslösung abzuweichen (Anlage 16).

Viele aktuell bekannt gewordene Datenschutzverstöße lagen lange zurück, ohne dass sie bis dahin von den Betroffenen oder den Datenschutzbehörden wahrgenommen werden konnten. Die Notwendigkeit der Schaffung von Informationspflichten - grundsätzlich auch für öffentliche Stellen - wurde durch die Entschließung der 76. Konferenz der Datenschutzbeauftragten des Bundes und der Länder "Mehr Transparenz durch Informationspflichten bei Datenschutzpannen" (Anlage 17) betont.

Im Dezember 2008 legte die Bundesregierung einen Entwurf eines Gesetzes zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften vor (BT-Drs. 16/12011). Danach ist für Unternehmen die Möglichkeit vorgesehen, sich einem Datenschutzaudit zu unterziehen, um für Datenschutzkonzepte und technische Einrichtungen ein Datenschutzsiegel zu erhalten.
Weiterhin soll die Verwendung von personenbezogenen Daten für Zwecke der Markt- und Meinungsforschung ohne Einwilligung der Betroffenen grundsätzlich beschränkt werden. Die Verwendung von Daten für Zwecke des Adresshandels sowie für fremde Markt- oder Meinungsforschung soll nur mit Einwilligung des Betroffenen möglich sein. Marktbeherrschende Unternehmen sollen zudem die Einwilligung nicht durch Koppelung mit dem Vertragsschluss erzwingen dürfen.

Der Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich "Novellierung des Bundesdatenschutzgesetzes in den Bereichen Adressenhandel, Werbung und Datenschutzaudit" vom November 2008 (Anlage 37) nahm positiv zur Kenntnis, dass nach dem Gesetzentwurf unter anderem eine wirksame Einwilligung in die Werbenutzung von Daten vorliegen muss, da somit die Transparenz und die Freiwilligkeit verbessert werden.
In Folge des Datenschutzgipfels beim Bundesministerium des Innern am 4. September 2008 waren jedoch weitergehende Vorschläge zu Verbesserung des Datenschutzrechts gemacht worden (z. B. Kennzeichnungspflicht für die Herkunft der Daten, bessere Kontroll- und Sanktionsmöglichkeiten), worauf auch die obersten Aufsichtsbehörden hinwiesen.
Im März 2009 erinnerten die Datenschutzbeauftragten an den dringenden Bedarf nach gesetzgeberischem Handeln. Der Deutsche Bundestag wurde aufgefordert, noch in der laufenden Legislaturperiode die vorliegenden Gesetzentwürfe zu ersten Korrekturen zu verabschieden. Die grundlegende Modernisierung des Datenschutzrechts müsse in der neuen Legislaturperiode umgehend angegangen werden, auch der Einsatz datenschutzfreundlicher Technik müsse geregelt werden (vgl. dazu die Entschließung 77. Konferenz der Datenschutzbeauftragten des Bundes und der Länder im März 2009 "Defizite beim Datenschutz jetzt beseitigen!", Anlage 27).

Nach bis zuletzt kontroversen Erörterungen zwischen Interessenvertretern des Daten- und Verbraucherschutzes und der Werbewirtschaft beschloss der Bundestag den Kompromissvorschlag seines Innenausschusses vom 1. Juli 2009 (BT-Drs. 16/13657). Dieser umfasst im Wesentlichen: Weiterhin nur ein Widerspruchsrecht gegen die Verwendung von listenmäßig erfassten personenbezogenen Daten zu Werbezwecken, aber stärkere Transparenz mittels eines Anspruchs auf Information über die Herkunft der Daten und mittels Dokumentationspflicht; mehr Datensicherheit durch mehr Anonymisierung; Kündigungsschutz für betriebliche Datenschutzbeauftragte; materielle Eingriffsbefugnisse der Aufsichtsbehörden im nicht-öffentlichen Bereich. Diese Verbesserungen gehen in die richtige Richtung, bleiben aber noch hinter den Empfehlungen des o. a. Datenschutzgipfels zurück. Das Datenschutzaudit wurde im Übrigen einstweilen nicht geregelt.

Zum Ende der 16. Legislaturperiode des Bundestages liegen darüber hinaus sowohl vom Bundestag als auch vom Bundesrat allgemeine positive Voten zu einer Novellierung des Datenschutzrechts vor. Dies müsse modern (also die technologischen Entwicklungen aufnehmend und die Technologien als Regelungsinstrument einbeziehend), leicht verständlich und übersichtlich (als Beitrag auch zur Entbürokratisierung) sein. Dazu gehört auch eine Systematisierung zwischen allgemeinem Datenschutzrecht und bereichsspezifischen Regelungen.

Ein Entwurf zu klaren Regelungen zum Beschäftigtendatenschutz steht dagegen seit vielen Jahren aus. Bereits in mehreren Legislaturperioden stand das Thema auf der politischen Agenda. In der Antwort auf eine Kleine Anfrage (BT-Drs. 16/9178) verwies die Bundesregierung darauf, dass sie in der Vergangenheit die Notwendigkeit moderner bereichsspezifischer Datenschutzregelungen im Arbeitsverhältnis anerkannt hat. In letzter Zeit hatte u. a. der Bundesrat mit dem Beschluss vom 7. November 2008 (BR-Drs. 665/08B) die Bundesregierung gebeten, entsprechende Regelungen vorzulegen. Bisher ist jedoch keine Umsetzung erfolgt. Dabei standen Entwürfe als Diskussionsgrundlagen zur Verfügung (u. a. ein Entwurf eines Arbeitsvertragsgesetzes durch Hochschullehrer oder ein Vorschlag für Arbeitnehmerdatenschutzregelungen eines Berufsverbandes von Datenschützern).

Die Entschließung "Eckpunkte für ein Gesetz zum Beschäftigtendatenschutz" der 77. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (Anlage 28) fordert die Bundesregierung auf, nach jahrelanger Untätigkeit jetzt unverzüglich einen entsprechenden Gesetzentwurf vorzulegen. Unter anderem werden die Einbeziehung auch der Beschäftigten im öffentlichen Dienst, der Umfang der Datenerhebungen und ihre Nutzung, der Datenabgleich, die Informations- und Kommunikationstechnologien und die Auswertung ihrer Nutzung, der Einsatz von Überwachungssystemen, die Rechte der Beschäftigten und eine effektive Kontrolle als regelungsbedürftig genannt.
In die o. g. Gesetzesänderung des BDSG (BT-Drs. 16/13657) ist nur eine allgemeine Zusammenfassung der Rechtsprechung zum Datenschutz in Beschäftigungsverhältnissen aufgenommen worden; ein umfassendes Arbeitnehmerdatenschutzgesetz steht danach aus.