Häufig ist zu hören, dass Datenschutz ohnehin nicht beachtet werde und wenn dies einmal geschehe, behindere er nur die dringend benötigte Innovation. Diesem Klischee tritt die 83. Konferenz der Datenschutzbeauftragten des Bundes und der Länder entgegen. Sie fordern EU-weit ein einfaches, flexibles und praxistaugliches Recht. ilex erklärt die Hintergründe.
1. Technisch-organisatorischer Datenschutz
Seit Wochen diskutiert Europa über den Datenschutz. Hintergrund ist v.a. der Entwurf der Datenschutzgrundverordnung. Die deutschen Aufsichtsbehörden begrüßen die Entwürfe, fordern teilweise aber Nachbesserungen. Gleichwohl haben sie aber auch gegenüber der zuständigen EU-Kommissarin betont, dass Datenschutz für Unternehmen passend und für Verbraucher schützend sein soll.
Hierzu heißt es in einer Entschließung der 83. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 21./22. März 2012 in Potsdam:
Über die bereits in dem Verordnungsentwurf vorgeschlagenen Modernisierungen hinaus hält die Konferenz weitere Schritte für erforderlich, die sie etwa in ihrem Eckpunktepapier für ein modernes Datenschutzrecht vom 18. März 2010 vorgeschlagen hat: […]
• einfache, flexible und praxistaugliche Regelungen zum technisch-organisatorischen
Datenschutz, welche vor allem die Grundsätze der Vertraulichkeit, der Integrität, der Verfügbarkeit, der Nichtverkettbarkeit, der Transparenz und der Intervenierbarkeit anerkennen und ausgestalten,
2. Rückschlüsse für die künftige Aufsichtspraxis
Unternehmen, die schon einmal einen Blick in das Bundesdatenschutzgesetz gewagt haben, entdecken meist sehr schnell den § 9 BDSG. Dort heißt es:
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
Gelegentlich finden sie auch die Anlage zu dieser Vorschrift, der das vorstehende mit Begriffen, wie Zugangskontrolle oder Zutrittskontrolle “konkretisiert”.
Das Problem zahlreicher Unternehmen besteht darin, dass diese Begriffe “Aller-Welts-Formulierungen” sind, die der Auslegung bedürfen. Rechtsunsicherheit macht sich breit. Je komplexer und gefahrträchtiger die Datenverarbeitungen eines Unternehmen sind, desto eher empfiehlt es sich vorab auf eine Aufsichtsbehörde zuzugehen und die eigenen Maßnahmen mit offenem Visir abzustimmen.
Hierbei muss niemand fürchten, dass eine Aufsichtsbehörde das eigene Geschäftsmodell gänzlich verbietet. Vielmehr haben die deutschen Behörden geäußert, dass der sog. technisch-organisatorische Datenschutz v.a. drei Kriterien erfüllen soll: Einfach, flexibel, praxistauglich.
Hier ist den Behörden zuzustimmen. § 9 BDSG ist eine Norm, die auf die unternehmerischen Belange der Betroffenen ebenso viel Rücksicht nimmt wie auf die Rechte der Betroffenen. Nicht umsonst heißt es in § 9 Satz 2 BDSG: Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
Dieser Verhältnismäßigkeitsgrundsatz ist im Einzelfall – gemeinsam mit der Behörde und durchaus auf Augenhöhe anzuwenden.
3. Fazit
Die deutschen Aufsichtsbehörden haben durchaus strenge Forderungen an die EU gestellt. Sie wollen über den bisherigen Entwurf hinaus, weitere Verbesserungen erwirken. Gleichwohl verlieren sie – zumindest in der Gemeinschaft aller Behörden – nicht den Blick für die Belange für die verantwortlichen Stellen. Hier sollten Unternehmen sich durchaus trauen, die Behörden beim Wort zu nehmen.
Dr. iur. Stephan Gärtner
Rechtsanwalt Compliance Manager
________________
Wir unterstützen Sie bei Ihrer Recherche.
ilex Datenschutz – Potsdam
Alleestraße 13
14469 Potsdam
Telefon: (0331) 97 93 75 0
Telefax: (0331) 97 93 75 20
Internet: www.ilex-datenschutz.de
Die ilex Datenschutz GbR ist ein hochspezialisiertes Beratungshaus mit Büros in Potsdam und berät in- und ausländische, mittelständische Unternehmen der privaten und öffentlichen Hand, kommunale Gebietskörperschaften und Behörden auf den Gebieten des Datenschutzes und des Datenschutzrechts!