Eine strikte Reglementierung der Profilbildung, insbesondere deren Verbot bei Minderjährigen ist eine der Forderungen der 83. Konferenz der Datenschutzbeauftragten des Bundes und der Länder, die am 21./22. März 2012 in Potsdam stattfand. Hintergrund ist der bereits vorliegenden Entwurf einer Datenschutzgrundverordnung und die damit verbundenen Wünsche der deutschen Aufsichtsbehörden. Damit wird klar, welche Richtung die Aufsichtspolitik der deutschen Aufsichtsbehörden künftig einschlägt. ilex erklärt, was datenaffine Unternehmen bereits jetzt beachten müssen.
1. Behörden fordern strikte Regulierung
Am 21. und am 22. März trafen sich die Datenschutzbehörden der Länder und des Bundes in Potsdam. Topthema waren die Novellierungsentwürfe auf europäischer Ebene. Zu Beginn der Tagung stellte die zuständige EU-Kommissarin Viviane Reding der Konferenz den Entwurf für eine europäische Datenschutz-Grundverordnung vor.
In einer Entschließung der 83. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 21./22. März 2012 in Potsdam heißt es hierzu:
Über die bereits in dem Verordnungsentwurf vorgeschlagenen Modernisierungen hinaus hält die Konferenz weitere Schritte für erforderlich, die sie etwa in ihrem Eckpunktepapier für ein modernes Datenschutzrecht vom 18. März 2010 vorgeschlagen hat:
• eine strikte Reglementierung der Profilbildung, insbesondere deren Verbot bei Minderjährigen
Die Forderung ist mithin nicht ganz neu und dennoch halten die deutschen Aufsichtsbehörden an ihr fest. Dies ist angesichts des vorliegenden Entwurfs zu einer Datenschutz-Grundverordnung der EU ein deutlicher Fingerzeig. Die Behörden werden bei der Profilbildung strenger kontrollieren.
2. Rückschlüsse für die künftige Aufsichtspraxis
Hierbei ist der Verweis auf das 2 Jahre alte Eckpunkte-Papier durchaus ernst zu nehmen. Damals hieß es:
Die moderne Datenverarbeitung ermöglicht in erheblichem Umfang eine für die Betroffenen nicht offensichtliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Das Datenschutzrecht enthält eine Reihe von Vor-schriften für eine transparente Datenerhebung (und Weiterverarbeitung), die in der Regel an bestimmte Technologien anknüpfen (Videoüberwachung, Chipkar-ten usw.). Es fehlt aber an einem übergreifenden technikunabhängigen Kon-zept. Auf der anderen Seite entstehen in großem Umfang ungezielt – quasi nebenher – bei der Inanspruchnahme informationstechnischer Systeme perso-nenbeziehbare Daten (z. B. Protokoll- oder Verkehrsdaten), bei denen die un-mittelbare Herstellung des Personenbezugs nicht intendiert, aber möglich ist. Diese Daten können sensitiv sein, da sie umfassende Auskünfte über die Ver-haltensweise der/des Einzelnen geben können. Hierfür gibt es im geltenden Datenschutzrecht keine adäquaten Lösungen.
Den Aufsichtsbehörden ist zuzustimmen. Zwar sieht die Datenschutzgrundverordnung in ihrem Entwurf durchaus Einschränkungen vor. Der Umstand, dass dies nach der Lesart der deutschen Behörden nicht ausreicht, lässt tief blicken.
Gleichwohl ist schon die Frage, was unter die Profilbildung fällt bislang unbeantwortet. Eindeutig scheint dies bei den Persönlichkeitsprofilen, die die Werbewirtschaft nutzt. Streng genommen fällt darunter aber auch das Scoring der Auskunfteien und die sog. Zahlungswegeempfehlungen, die an der Supermarktkasse entscheiden, ob der Käufer mit PIN oder Unterschrift die bargeldlose Zahlung bewirkt.
Unternehmen, die mit Profilbildung arbeiten, sollten zumindest soweit deutsches Recht auf sie anwendbar sind, schon jetzt versuchen, den Vorgaben der Aufsichtsbehörden zu folgen. Letzteres ist nicht schwer und erspart zudem Umstellungskosten, wenn sich die Behörden mit ihren strengen Forderungen durchsetzen sollten. Welche das sind kann nur im Einzelfall und gemeinsam mit der jeweils zuständigen Behörde bestimmt werden. Hierin liegt die Chance der Unternehmer.
3. Fazit
Letztendlich bleibt das Datenschutzrecht – egal, welcher Entwurf einer Datenschutzgrundverordnung sich durchsetzt – ein Recht, dessen Schlagkraft nicht von Paragraphen, sondern von der Durchsetzung der Behörden abhängt. Daher verfolgt ilex einen proaktiven Ansatz. Wir analysieren zunächst den rechtlichen Rahmen und bereiten mehrere rahmengerechte Lösungsvorschläge für ein Problem vor und stimmen die besten Lösungen mit den Behörden ab.
Dr. iur. Stephan Gärtner
Rechtsanwalt Compliance Manager
________________
Wir unterstützen Sie bei Ihrer Recherche.
ilex Datenschutz – Potsdam
Alleestraße 13
14469 Potsdam
Telefon: (0331) 97 93 75 0
Telefax: (0331) 97 93 75 20
Internet: www.ilex-datenschutz.de
Die ilex Datenschutz GbR ist ein hochspezialisiertes Beratungshaus mit Büros in Potsdam und berät in- und ausländische, mittelständische Unternehmen der privaten und öffentlichen Hand, kommunale Gebietskörperschaften und Behörden auf den Gebieten des Datenschutzes und des Datenschutzrechts!