22.05.2019, 04:28
Pet 1-19-06-298-006064 Datenschutz
Der Deutsche Bundestag hat die Petition am 16.05.2019 abschließend beraten und
beschlossen:
Das Petitionsverfahren abzuschließen, weil dem Anliegen teilweise entsprochen
worden ist.
Begründung
Mit der Petition wird gefordert, Datenschutz als Grundeinstellung („Privacy-by-Default“)
bei jeglicher Art von Datenerfassung zum Standard zu machen und ein
„Opt-in“-Verfahren für die Bürger zur Weitergabe und Nutzung personenbezogener
Daten sowie Sanktionen für zuwiderhandelnde datenverarbeitende Stellen
vorzusehen.
Zu dieser Thematik liegen dem Petitionsausschuss eine auf der Internetseite des
Deutschen Bundestages veröffentlichte Eingabe mit 101 Mitzeichnungen und sieben
Diskussionsbeiträgen sowie weitere Eingaben mit verwandter Zielsetzung vor, die
wegen des Sachzusammenhangs einer gemeinsamen parlamentarischen Behandlung
zugeführt werden. Es wird um Verständnis gebeten, dass nicht auf alle der
vorgetragenen Aspekte im Einzelnen eingegangen werden kann.
Zur Begründung des Anliegens wird im Wesentlichen ausgeführt, dass Daten im
digitalen Zeitalter den größten Wachstumsmarkt und auch einen beachtlichen Wert
darstellten. Daher sei es erforderlich, die persönlichen und privaten Daten der Bürger
umfassend zu schützen. Jeder Bürger solle selbst entscheiden, wie viele Daten er
preisgeben und dem digitalen Markt zur Verfügung stellen wolle. Daten sollten
entsprechend dem bereits für Werbung existierenden „Opt-in“-Verfahren nur dann
genutzt werden können, wenn die jeweilige betroffene Person dem explizit zugestimmt
habe. Auf diese Weise schütze der Staat seine Bürger und schaffe größtmögliche
Transparenz über die weitergegebenen Daten. Zudem werde so erst ein Bewusstsein
in Bezug auf die Datenwertigkeit und den Nutzen für die breite Masse der Bevölkerung
geschaffen. Gerade in der heutigen Zeit, in der große datenverarbeitende
Unternehmen immer wieder in Skandale verwickelt seien, seien
datenschutzfreundliche Voreinstellungen („Privacy-by-Default“) ein wirksames Mittel,
um einheitliche Regeln zu schaffen.
Ein weiterer Petent fordert, dass die standardmäßige Verarbeitung von
personenbezogenen Daten durch Online-Dienste im Wege technischer
Voreinstellungen über den gesetzlich zulässigen oder erforderlichen Rahmen hinaus
nur mit einer expliziten Zustimmung des Betroffenen zulässig ist. Zur Begründung wird
vorgetragen, dass es sich bei vielen Online-Diensten eingebürgert habe, dass im
Wege technischer Voreinstellungen standardmäßig personenbezogene Daten
erhoben würden. Meist sei es sehr mühsam, diese Voreinstellungen zu deaktivieren;
bei manchen Online-Diensten müsse man eine Deaktivierung oft wiederholen, wenn
man dort nicht den Wunsch habe, ein eigenes Konto einzurichten. Zum Teil seien die
technischen Voreinstellungen auch nicht deaktivierbar. Die Verarbeitung
personenbezogener Daten dürfe zukünftig nur noch im gesetzlich zugelassenen
Rahmen per Allgemeiner Geschäftsbedingungen (AGB) geregelt werden, so dass
weitergehende Datenerhebungen dann explizit zustimmungspflichtig wären.
Hinsichtlich der weiteren Einzelheiten zu dem Vorbringen wird auf die eingereichten
Unterlagen verwiesen.
Der Petitionsausschuss hat der Bundesregierung Gelegenheit gegeben, ihre Ansicht
zu der Eingabe darzulegen. Das Ergebnis der parlamentarischen Prüfung lässt sich
unter Einbeziehung der seitens der Bundesregierung angeführten Aspekte wie folgt
zusammenfassen:
Der Petitionsausschuss weist darauf hin, dass das geltende Datenschutzrecht bereits
Regelungen für die Verarbeitung von personenbezogenen Daten trifft, um die
Persönlichkeitssphären des Einzelnen zu gewährleisten und zu schützen.
Seit dem 25. Mai 2018 bilden die unmittelbar geltende Verordnung (EU) 2016/679 des
Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten und zum freien
Datenverkehr (Datenschutz-Grundverordnung – DSGVO) und das neue
Bundesdatenschutzgesetz (BDSG 2018) den rechtlichen Rahmen für das deutsche
Datenschutzrecht.
Das Ziel der DSGVO ist die Neuregelung des europäischen Datenschutzes zur
Vereinheitlichung des Datenschutzniveaus in allen EU-Mitgliedstaaten. Dies hat für die
einzelnen EU-Mitgliedstaaten zur Folge, dass von der DSGVO abweichende nationale
Datenschutzregelungen grundsätzlich nicht zulässig sind. Eine Ausnahme gilt in den
Fällen, in denen die DSGVO durch Öffnungsklauseln nationale Regelungen explizit
zulässt. Der der Petition zugrunde liegende Sachverhalt – die Rechtmäßigkeit der
standardmäßigen Verarbeitung von personenbezogenen Daten durch Online-Dienste
im Wege technischer Voreinstellungen – wird von der DSGVO abschließend geregelt.
Für einen Beschluss, der auf eine abweichende Regelung in der Bundesrepublik
Deutschland zielt, ist daher kein Platz.
Die DSGVO gilt grundsätzlich für jede Verarbeitung personenbezogener Daten,
unabhängig davon, ob diese Verarbeitung auf der Grundlage von standardmäßigen
technischen Voreinstellungen beruht oder auf andere Art und Weise stattfindet (Artikel
2 Absatz 1 DSGVO).
Der Ausschuss hebt hervor, dass eine Verarbeitung personenbezogener Daten nach
der DSGVO nur zulässig ist, wenn die betroffene Person hierin eingewilligt hat (Artikel
6 Absatz 1 lit. a) DSGVO) oder die Verarbeitung auf eine sonstige Rechtsgrundlage
von Artikel 6 DSGVO gestützt werden kann, die die Datenverarbeitung erlaubt oder
anordnet (Verbot mit Erlaubnisvorbehalt).
Wird die Datenverarbeitung auf eine Einwilligung des Betroffenen gestützt, muss der
für die Datenverarbeitung Verantwortliche allerdings nachweisen können, dass die
jeweils betroffene Person in die Verarbeitung ihrer personenbezogenen Daten
eingewilligt hat (Artikel 7 Absatz 1 DSGVO). Erfolgt die Einwilligung durch eine
schriftliche Erklärung, die noch andere Sachverhalte betrifft (z. B. im Rahmen von
AGB), so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher
Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen
Sachverhalten klar zu unterscheiden ist (Artikel 7 Absatz 2 DSGVO). Die Einwilligung
sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den
konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die
betroffene Person mit der Verarbeitung einverstanden ist. Daraus folgt insbesondere,
dass die betroffene Person ihre Einwilligung im Wege des sogenannten „Opt-in“, also
aktiv, erklärt. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer
Internetseite, aber auch z. B. durch die Auswahl technischer Einstellungen für
Online-Dienste geschehen.
Stillschweigen, bereits angekreuzte Kästchen in Formularen oder beim Besuch einer
Internetseite (sogenanntes „Opt-Out“) oder Untätigkeit der betroffenen Person stellen
hingegen nach dem Erwägungsgrund 32 der DSGVO keine wirksame Einwilligung dar.
Es fehlt insofern an der Unmissverständlichkeit der Willensbekundung.
Die betroffene Person hat auch das Recht, ihre Einwilligung jederzeit zu widerrufen
(Artikel 7 Absatz 3 Satz 1 DSGVO).
Weiterhin macht der Ausschuss darauf aufmerksam, dass die Datenverarbeitung
durch den für sie Verantwortlichen datenschutzfreundlich gestaltet werden soll. So
muss der Verantwortliche, wenn er seine Datenverarbeitung standardmäßig durch
technische Voreinstellungen einrichtet, geeignete technische und organisatorische
Maßnahmen treffen, die sicherstellen, dass durch diese Voreinstellungen
grundsätzlich nur personenbezogene Daten verarbeitet werden, deren Verarbeitung
für den jeweiligen bestimmten Verarbeitungszweck auch erforderlich ist (Artikel 25
Absatz 2 Satz 1 DSGVO).
Dass einmal festgelegte bzw. vom Betroffenen schon modifizierte technische
Voreinstellungen erneut vom Verantwortlichen überprüft bzw. geändert werden
müssen, ist insbesondere damit zu erklären, dass sich Umstände der
Datenverarbeitung seitens des Verantwortlichen ändern können und dann auch die
technischen Voreinstellungen an diese neuen Umstände angepasst werden müssen.
Eine erneute Modifizierung der Voreinstellungen durch den Betroffenen kann aber
auch aus anderen Gründen notwendig sein, z. B. wenn die ursprüngliche Modifizierung
durch den Betroffenen nicht im System des Online-Dienstes gespeichert wurde. Auch
wenn eine Datenverarbeitung auf einer Einwilligung des Betroffenen beruht, kann es
notwendig sein, diese Einwilligung zu erneuern. Dies ist z. B. der Fall, wenn sich
einzelne Umstände der Datenverarbeitung durch den Online-Dienst ändern.
Grundsätzlich ist nämlich für jede einzelne Datenverarbeitung zu einem bestimmten
Zweck eine eigene Einwilligung einzuholen (Artikel 6 Absatz 1 lit. a) DSGVO).
Liegt keine Rechtsgrundlage vor, die die Datenverarbeitung personenbezogener
Daten erlaubt, ist diese nicht rechtmäßig. Der für die Datenverarbeitung
Verantwortliche verstößt gegen das Datenschutzrecht, was rechtliche Folgen nach
sich ziehen kann. So kann eine Datenschutzaufsichtsbehörde bei einem Verstoß
gegen Bestimmungen der DSGVO etwa eine rechtswidrige Datenverarbeitung
unterbinden oder die Löschung personenbezogener Daten erwirken (siehe Artikel 58
Absatz 2 DSGVO).
Eine betroffene Person kann sich ihrerseits an die unabhängigen
Datenschutzaufsichtsbehörden wenden, wenn sie der Ansicht ist, dass die
Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO
verstößt (vgl. Artikel 77 Absatz 1 DSGVO).
Zudem steht den unabhängigen Datenschutzaufsichtsbehörden nach
Artikel 83 DSGVO die Befugnis zu, Bußgelder zu verhängen. So sind für bestimmte
Rechtsverstöße Bußgelder bis zu vier Prozent des Jahresumsatzes eines
Unternehmens bzw. 20 Mio. Euro zulässig.
Vor diesem Hintergrund empfiehlt der Petitionsausschuss nach umfassender Prüfung
der Sach- und Rechtslage angesichts der oben dargestellten datenschutzrechtlichen
Regelungen, das Petitionsverfahren abzuschließen, weil dem Anliegen teilweise
entsprochen worden ist.
Der von der Fraktion der AfD gestellte Antrag, die Petition dem Europäischen
Parlament zuzuleiten, ist mehrheitlich abgelehnt worden.
Der von der Fraktion von BÜNDNIS 90/DIE GRÜNEN gestellte Antrag, die Petition der
Bundesregierung - dem Bundesministerium des Innern, für Bau und Heimat - zur
Erwägung zu überweisen und sie den Fraktionen des Deutschen Bundestages zur
Kenntnis zu geben, ist ebenfalls mehrheitlich abgelehnt worden.
Begründung (PDF)