• Beschluss des Petitionsausschuss des Deutschen Bundestags

    at 22 May 2019 02:28

    Pet 1-19-06-298-006064 Datenschutz

    Der Deutsche Bundestag hat die Petition am 16.05.2019 abschließend beraten und
    beschlossen:

    Das Petitionsverfahren abzuschließen, weil dem Anliegen teilweise entsprochen
    worden ist.

    Begründung

    Mit der Petition wird gefordert, Datenschutz als Grundeinstellung („Privacy-by-Default“)
    bei jeglicher Art von Datenerfassung zum Standard zu machen und ein
    „Opt-in“-Verfahren für die Bürger zur Weitergabe und Nutzung personenbezogener
    Daten sowie Sanktionen für zuwiderhandelnde datenverarbeitende Stellen
    vorzusehen.

    Zu dieser Thematik liegen dem Petitionsausschuss eine auf der Internetseite des
    Deutschen Bundestages veröffentlichte Eingabe mit 101 Mitzeichnungen und sieben
    Diskussionsbeiträgen sowie weitere Eingaben mit verwandter Zielsetzung vor, die
    wegen des Sachzusammenhangs einer gemeinsamen parlamentarischen Behandlung
    zugeführt werden. Es wird um Verständnis gebeten, dass nicht auf alle der
    vorgetragenen Aspekte im Einzelnen eingegangen werden kann.

    Zur Begründung des Anliegens wird im Wesentlichen ausgeführt, dass Daten im
    digitalen Zeitalter den größten Wachstumsmarkt und auch einen beachtlichen Wert
    darstellten. Daher sei es erforderlich, die persönlichen und privaten Daten der Bürger
    umfassend zu schützen. Jeder Bürger solle selbst entscheiden, wie viele Daten er
    preisgeben und dem digitalen Markt zur Verfügung stellen wolle. Daten sollten
    entsprechend dem bereits für Werbung existierenden „Opt-in“-Verfahren nur dann
    genutzt werden können, wenn die jeweilige betroffene Person dem explizit zugestimmt
    habe. Auf diese Weise schütze der Staat seine Bürger und schaffe größtmögliche
    Transparenz über die weitergegebenen Daten. Zudem werde so erst ein Bewusstsein
    in Bezug auf die Datenwertigkeit und den Nutzen für die breite Masse der Bevölkerung
    geschaffen. Gerade in der heutigen Zeit, in der große datenverarbeitende
    Unternehmen immer wieder in Skandale verwickelt seien, seien
    datenschutzfreundliche Voreinstellungen („Privacy-by-Default“) ein wirksames Mittel,
    um einheitliche Regeln zu schaffen.

    Ein weiterer Petent fordert, dass die standardmäßige Verarbeitung von
    personenbezogenen Daten durch Online-Dienste im Wege technischer
    Voreinstellungen über den gesetzlich zulässigen oder erforderlichen Rahmen hinaus
    nur mit einer expliziten Zustimmung des Betroffenen zulässig ist. Zur Begründung wird
    vorgetragen, dass es sich bei vielen Online-Diensten eingebürgert habe, dass im
    Wege technischer Voreinstellungen standardmäßig personenbezogene Daten
    erhoben würden. Meist sei es sehr mühsam, diese Voreinstellungen zu deaktivieren;
    bei manchen Online-Diensten müsse man eine Deaktivierung oft wiederholen, wenn
    man dort nicht den Wunsch habe, ein eigenes Konto einzurichten. Zum Teil seien die
    technischen Voreinstellungen auch nicht deaktivierbar. Die Verarbeitung
    personenbezogener Daten dürfe zukünftig nur noch im gesetzlich zugelassenen
    Rahmen per Allgemeiner Geschäftsbedingungen (AGB) geregelt werden, so dass
    weitergehende Datenerhebungen dann explizit zustimmungspflichtig wären.

    Hinsichtlich der weiteren Einzelheiten zu dem Vorbringen wird auf die eingereichten
    Unterlagen verwiesen.

    Der Petitionsausschuss hat der Bundesregierung Gelegenheit gegeben, ihre Ansicht
    zu der Eingabe darzulegen. Das Ergebnis der parlamentarischen Prüfung lässt sich
    unter Einbeziehung der seitens der Bundesregierung angeführten Aspekte wie folgt
    zusammenfassen:

    Der Petitionsausschuss weist darauf hin, dass das geltende Datenschutzrecht bereits
    Regelungen für die Verarbeitung von personenbezogenen Daten trifft, um die
    Persönlichkeitssphären des Einzelnen zu gewährleisten und zu schützen.

    Seit dem 25. Mai 2018 bilden die unmittelbar geltende Verordnung (EU) 2016/679 des
    Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher
    Personen bei der Verarbeitung personenbezogener Daten und zum freien
    Datenverkehr (Datenschutz-Grundverordnung – DSGVO) und das neue
    Bundesdatenschutzgesetz (BDSG 2018) den rechtlichen Rahmen für das deutsche
    Datenschutzrecht.

    Das Ziel der DSGVO ist die Neuregelung des europäischen Datenschutzes zur
    Vereinheitlichung des Datenschutzniveaus in allen EU-Mitgliedstaaten. Dies hat für die
    einzelnen EU-Mitgliedstaaten zur Folge, dass von der DSGVO abweichende nationale
    Datenschutzregelungen grundsätzlich nicht zulässig sind. Eine Ausnahme gilt in den
    Fällen, in denen die DSGVO durch Öffnungsklauseln nationale Regelungen explizit
    zulässt. Der der Petition zugrunde liegende Sachverhalt – die Rechtmäßigkeit der
    standardmäßigen Verarbeitung von personenbezogenen Daten durch Online-Dienste
    im Wege technischer Voreinstellungen – wird von der DSGVO abschließend geregelt.
    Für einen Beschluss, der auf eine abweichende Regelung in der Bundesrepublik
    Deutschland zielt, ist daher kein Platz.

    Die DSGVO gilt grundsätzlich für jede Verarbeitung personenbezogener Daten,
    unabhängig davon, ob diese Verarbeitung auf der Grundlage von standardmäßigen
    technischen Voreinstellungen beruht oder auf andere Art und Weise stattfindet (Artikel
    2 Absatz 1 DSGVO).

    Der Ausschuss hebt hervor, dass eine Verarbeitung personenbezogener Daten nach
    der DSGVO nur zulässig ist, wenn die betroffene Person hierin eingewilligt hat (Artikel
    6 Absatz 1 lit. a) DSGVO) oder die Verarbeitung auf eine sonstige Rechtsgrundlage
    von Artikel 6 DSGVO gestützt werden kann, die die Datenverarbeitung erlaubt oder
    anordnet (Verbot mit Erlaubnisvorbehalt).

    Wird die Datenverarbeitung auf eine Einwilligung des Betroffenen gestützt, muss der
    für die Datenverarbeitung Verantwortliche allerdings nachweisen können, dass die
    jeweils betroffene Person in die Verarbeitung ihrer personenbezogenen Daten
    eingewilligt hat (Artikel 7 Absatz 1 DSGVO). Erfolgt die Einwilligung durch eine
    schriftliche Erklärung, die noch andere Sachverhalte betrifft (z. B. im Rahmen von
    AGB), so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher
    Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen
    Sachverhalten klar zu unterscheiden ist (Artikel 7 Absatz 2 DSGVO). Die Einwilligung
    sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den
    konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die
    betroffene Person mit der Verarbeitung einverstanden ist. Daraus folgt insbesondere,
    dass die betroffene Person ihre Einwilligung im Wege des sogenannten „Opt-in“, also
    aktiv, erklärt. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer
    Internetseite, aber auch z. B. durch die Auswahl technischer Einstellungen für
    Online-Dienste geschehen.

    Stillschweigen, bereits angekreuzte Kästchen in Formularen oder beim Besuch einer
    Internetseite (sogenanntes „Opt-Out“) oder Untätigkeit der betroffenen Person stellen
    hingegen nach dem Erwägungsgrund 32 der DSGVO keine wirksame Einwilligung dar.
    Es fehlt insofern an der Unmissverständlichkeit der Willensbekundung.
    Die betroffene Person hat auch das Recht, ihre Einwilligung jederzeit zu widerrufen
    (Artikel 7 Absatz 3 Satz 1 DSGVO).

    Weiterhin macht der Ausschuss darauf aufmerksam, dass die Datenverarbeitung
    durch den für sie Verantwortlichen datenschutzfreundlich gestaltet werden soll. So
    muss der Verantwortliche, wenn er seine Datenverarbeitung standardmäßig durch
    technische Voreinstellungen einrichtet, geeignete technische und organisatorische
    Maßnahmen treffen, die sicherstellen, dass durch diese Voreinstellungen
    grundsätzlich nur personenbezogene Daten verarbeitet werden, deren Verarbeitung
    für den jeweiligen bestimmten Verarbeitungszweck auch erforderlich ist (Artikel 25
    Absatz 2 Satz 1 DSGVO).

    Dass einmal festgelegte bzw. vom Betroffenen schon modifizierte technische
    Voreinstellungen erneut vom Verantwortlichen überprüft bzw. geändert werden
    müssen, ist insbesondere damit zu erklären, dass sich Umstände der
    Datenverarbeitung seitens des Verantwortlichen ändern können und dann auch die
    technischen Voreinstellungen an diese neuen Umstände angepasst werden müssen.
    Eine erneute Modifizierung der Voreinstellungen durch den Betroffenen kann aber
    auch aus anderen Gründen notwendig sein, z. B. wenn die ursprüngliche Modifizierung
    durch den Betroffenen nicht im System des Online-Dienstes gespeichert wurde. Auch
    wenn eine Datenverarbeitung auf einer Einwilligung des Betroffenen beruht, kann es
    notwendig sein, diese Einwilligung zu erneuern. Dies ist z. B. der Fall, wenn sich
    einzelne Umstände der Datenverarbeitung durch den Online-Dienst ändern.
    Grundsätzlich ist nämlich für jede einzelne Datenverarbeitung zu einem bestimmten
    Zweck eine eigene Einwilligung einzuholen (Artikel 6 Absatz 1 lit. a) DSGVO).

    Liegt keine Rechtsgrundlage vor, die die Datenverarbeitung personenbezogener
    Daten erlaubt, ist diese nicht rechtmäßig. Der für die Datenverarbeitung
    Verantwortliche verstößt gegen das Datenschutzrecht, was rechtliche Folgen nach
    sich ziehen kann. So kann eine Datenschutzaufsichtsbehörde bei einem Verstoß
    gegen Bestimmungen der DSGVO etwa eine rechtswidrige Datenverarbeitung
    unterbinden oder die Löschung personenbezogener Daten erwirken (siehe Artikel 58
    Absatz 2 DSGVO).

    Eine betroffene Person kann sich ihrerseits an die unabhängigen
    Datenschutzaufsichtsbehörden wenden, wenn sie der Ansicht ist, dass die
    Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO
    verstößt (vgl. Artikel 77 Absatz 1 DSGVO).
    Zudem steht den unabhängigen Datenschutzaufsichtsbehörden nach
    Artikel 83 DSGVO die Befugnis zu, Bußgelder zu verhängen. So sind für bestimmte
    Rechtsverstöße Bußgelder bis zu vier Prozent des Jahresumsatzes eines
    Unternehmens bzw. 20 Mio. Euro zulässig.

    Vor diesem Hintergrund empfiehlt der Petitionsausschuss nach umfassender Prüfung
    der Sach- und Rechtslage angesichts der oben dargestellten datenschutzrechtlichen
    Regelungen, das Petitionsverfahren abzuschließen, weil dem Anliegen teilweise
    entsprochen worden ist.

    Der von der Fraktion der AfD gestellte Antrag, die Petition dem Europäischen
    Parlament zuzuleiten, ist mehrheitlich abgelehnt worden.

    Der von der Fraktion von BÜNDNIS 90/DIE GRÜNEN gestellte Antrag, die Petition der
    Bundesregierung - dem Bundesministerium des Innern, für Bau und Heimat - zur
    Erwägung zu überweisen und sie den Fraktionen des Deutschen Bundestages zur
    Kenntnis zu geben, ist ebenfalls mehrheitlich abgelehnt worden.

    Begründung (PDF)

Help us to strengthen citizen participation. We want your petition to get attention and stay independent.

Donate now