openPetition wird europäisch. Wenn Sie uns bei der Übersetzung der Plattform von Deutsch nach Deutsch helfen wollen, schreiben Sie uns.
close

Kurzlink

  • Beschluss des Petitionsausschuss des Deutschen Bundestags

    18-11-15 15:06 Uhr

    Pet 1-17-06-298-053603

    Datenschutz
    Der Deutsche Bundestag hat die Petition am 02.07.2015 abschließend beraten und
    beschlossen:

    Das Petitionsverfahren abzuschließen, weil dem Anliegen nicht entsprochen werden
    konnte. Begründung

    Mit der Petition wird eine gesetzliche Regelung gefordert, mit der Hersteller von
    Software verpflichtet werden, grundsätzlich die Daten, die im Hintergrund an den
    Hersteller oder an andere Zielsysteme gesendet werden sollen, zuvor auf dem
    Bildschirm anzuzeigen. Bevor die jeweiligen Daten übermittelt werden, müsse stets
    eine Bestätigung des Nutzers erfolgen.
    Zur Begründung des Anliegens wird im Wesentlichen ausgeführt, es sei intransparent,
    welche Daten im Hintergrund einer Software gesammelt würden. Die Implementierung
    einer Bestätigungsfunktion sei notwendig, um die Transparenz zu erhöhen, auch wenn
    der Hersteller versichere, keine personenbezogenen Daten zu erheben. Dies könne
    erst nachvollzogen werden, wenn eine Information über die erhobenen Daten erfolge.
    Hinsichtlich der weiteren Einzelheiten zu dem Vorbringen wird auf die eingereichten
    Unterlagen verwiesen.
    Zu der auf der Internetseite des Deutschen Bundestages veröffentlichten Eingabe
    liegen 295 Mitzeichnungen und 13 Diskussionsbeiträge vor. Es wird um Verständnis
    gebeten, dass nicht auf alle der vorgetragenen Aspekte im Einzelnen eingegangen
    werden kann.
    Der Petitionsausschuss hat der Bundesregierung Gelegenheit gegeben, ihre Ansicht
    zu der Eingabe darzulegen. Das Ergebnis der parlamentarischen Prüfung lässt sich
    unter Einbeziehung der seitens der Bundesregierung angeführten Aspekte wie folgt
    zusammenfassen:
    Der Petitionsausschuss stellt zunächst fest, dass die datenschutzrechtlichen
    Vorschriften gemäß § 1 Abs. 1 Bundesdatenschutzgesetz (BDSG) dem Schutz des

    Einzelnen davor dienen, durch den Umgang mit seinen personenbezogenen Daten in
    seinem Persönlichkeitsrecht beeinträchtigt zu werden. Werden keine
    personenbezogenen Daten erhoben, verarbeitet oder genutzt, so findet das BDSG
    keine Anwendung.
    Paragraf 4 Abs. 1 BDSG sieht vor, dass die Erhebung, Verarbeitung und Nutzung
    personenbezogener Daten nur zulässig sind, wenn es eine rechtliche Grundlage gibt
    oder die betroffene Person eingewilligt hat.
    Als rechtliche Grundlage kommen vorliegend § 28 Abs. 1 Satz 1 Nr. 1 und 2 BDSG in
    Betracht. Danach ist das Erheben, Speichern, Verändern oder Übermitteln
    personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener
    Geschäftszwecke zulässig,
    1. wenn es für die Begründung, Durchführung oder Beendigung eines
    rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem
    Betroffenen erforderlich ist, oder
    2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle
    erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige
    Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung
    überwiegt.
    Zwar hat die verantwortliche Stelle bei Vorliegen dieser Voraussetzungen das Recht,
    die Daten ohne Einwilligung der betroffenen Person zu verwenden. Dennoch werden
    die Daten nicht ohne deren Kenntnis erhoben oder verarbeitet. Das BDSG enthält in
    § 4 Abs. 2 Satz 1 den Grundsatz der Direkterhebung. Danach sind personenbezogene
    Daten grundsätzlich beim Betroffenen zu erheben. Eine Erhebung beim Betroffenen
    setzt gemäß § 4 Abs. 3 Satz 1 BDSG voraus, dass dieser, sofern er nicht bereits auf
    andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über deren
    Identität, die Zweckbestimmung der Verarbeitung oder Nutzung und die Kategorien
    von Empfängern, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit
    der Übermittlung an diese rechnen musste, informiert wird. Wird der Betroffene nicht
    ordnungsgemäß informiert, so ist die Datenerhebung oder -verarbeitung unbefugt.
    Dies stellt eine Ordnungswidrigkeit dar.
    Der Ausschuss weist darauf hin, dass die Voraussetzungen des § 28 Abs. 1 Satz 1
    Nr. 1 und 2 BDSG eng auszulegen sind. Dient § 28 Abs. 1 Satz 1 Nr. 1 BDSG als
    Rechtsgrundlage, so ist es nicht der verantwortlichen Stelle überlassen, Art und
    Umfang der verarbeiteten Daten ausschließlich nach ihren Informationswünschen

    festzulegen; sie ist vielmehr verpflichtet, lediglich auf die objektiv für die Erfüllung des
    jeweils abgeschlossenen Vertrages benötigten Daten zurückzugreifen. Berechtigte
    Interessen i. S. d. § 28 Abs. 1 Satz 1 Nr. 2 BDSG müssen eigene Belange der
    verantwortlichen Stelle sein, die mit der konkret beabsichtigten Verwendung
    zusammenhängen. Zudem ist entscheidend, dass die Verwendung auch tatsächlich
    erforderlich ist zur Wahrung der berechtigten Interessen der verantwortlichen Stelle,
    d. h. es darf keine, mildere, zumutbare Alternative geben. Schließlich enthält das
    Gesetz eine Abwägungsklausel, nach der die verantwortliche Stelle prüfen muss, ob
    Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an
    dem Ausschluss der Verarbeitung oder Nutzung überwiegt.
    Darüber hinaus schreibt § 28 Abs. 1 Satz 2 BDSG für die Fälle des Satzes 1 vor, dass
    schon bei der Erhebung personenbezogener Daten die Zwecke, für die die Daten
    verarbeitet oder genutzt werden, konkret festgelegt werden müssen. Der
    verantwortlichen Stelle ist es folglich nicht gestattet, eine vorratsmäßige Erhebung
    personenbezogener Daten vorzunehmen, um im Nachhinein zu entscheiden, ob und
    zu welchem Zweck sie diese verwendet.
    Liegen die Voraussetzungen eines gesetzlichen Erlaubnistatbestandes nicht vor, so ist
    die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur mit der
    Einwilligung der betroffenen Person zulässig. Die Voraussetzungen einer wirksamen
    Einwilligung regelt § 4a BDSG. Nach dessen Abs. 1 ist eine Einwilligung nur wirksam,
    wenn sie auf der freien Entscheidung des Betroffenen beruht. Der Betroffene ist
    danach auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung
    sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen,
    auf die Folgen der Verweigerung der Einwilligung hinzuweisen.
    Sofern die verantwortliche Stelle — bezogen auf die konkrete Fragestellung also ein
    Hersteller von Software — personenbezogene Daten erhebt, verlangt das BDSG
    mithin sowohl, wenn dies auf der Grundlage eines gesetzlichen Erlaubnistatbestandes
    erfolgt, als auch, wenn der Betroffene zuvor seine Einwilligung erklärt hat, dass dieser
    über die zu erhebenden oder zu verwendenden Daten und den Zweck der Erhebung
    oder Verwendung vorab zu informieren ist. In beiden Konstellationen ist nach
    Auffassung des Ausschusses folglich eine hinreichende Transparenz gewährleistet.
    Ferner macht der Ausschuss darauf aufmerksam, dass dem Gesichtspunkt der
    Transparenz zudem durch das Benachrichtigungs- sowie das Auskunftsrecht des
    Betroffenen Rechnung getragen wird.

    Paragraf 33 BDSG sieht ein Benachrichtigungsrecht des Betroffenen vor, für den Fall,
    dass keine Direkterhebung erfolgt ist. Werden erstmals personenbezogene Daten
    ohne Kenntnis des Betroffenen gespeichert, so ist der Betroffene danach von der
    Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung
    oder Nutzung und der Identität der verantwortlichen Stelle zu informieren.
    Das Auskunftsrecht ist in § 34 BDSG normiert. Die verantwortliche Stelle hat dem
    Betroffenen nach § 34 Abs. 1 BDSG auf Verlangen Auskunft zu erteilen über
    1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft
    dieser Daten beziehen,
    2. den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben
    werden, und
    3. den Zweck der Speicherung.
    Hierdurch wird der Betroffene in die Lage versetzt, zu prüfen, ob die verantwortliche
    Stelle rechtmäßig Daten über ihn verarbeitet. Einzige Voraussetzung ist ein
    Auskunftsverlangen. Der Betroffene muss weder einen bestimmten Anlass noch ein
    berechtigtes Interesse darlegen. Der Betroffene ist gemäß § 34 Abs. 8 Satz 1 und
    2 BDSG berechtigt, das Auskunftsrecht einmal pro Jahr unentgeltlich geltend zu
    machen.
    Ergänzend merkt der Ausschuss an, dass § 48 Satz 1 Nr. 2 BDSG die
    Bundesregierung verpflichtet, gegenüber dem Deutschen Bundestag bis zum
    31. Dezember 2014 über die Auswirkungen der Änderungen der §§ 28 und 29 BDSG
    zu berichten. Ob sich auf der Grundlage diese Berichts eventueller Änderungsbedarf
    ergibt, bleibt abzuwarten.
    Abschließend weist der Ausschuss darauf hin, dass für die korrekte Umsetzung der
    Regelungen die jeweiligen Unternehmen Sorge zu tragen haben. Ob im jeweils
    konkreten Fall personenbezogene Daten im privatwirtschaftlichen Bereich den
    datenschutzrechtlichen Anforderungen entsprechend erhoben, verarbeitet und genutzt
    werden, unterliegt der Kontrolle durch die jeweils zuständige unabhängige
    Landesdatenschutzaufsichtsbehörde und ist durch diese zu prüfen.
    Vor diesem Hintergrund vermag der Petitionsausschuss nach umfassender Prüfung
    der Sach- und Rechtslage im Ergebnis keinen gesetzgeberischen Handlungsbedarf zu
    erkennen.
    Er empfiehlt daher, das Petitionsverfahren abzuschließen, weil dem Anliegen nicht
    entsprochen werden konnte.Begründung (pdf)