18.11.2015, 16:06
Pet 1-17-06-298-053603
Datenschutz
Der Deutsche Bundestag hat die Petition am 02.07.2015 abschließend beraten und
beschlossen:
Das Petitionsverfahren abzuschließen, weil dem Anliegen nicht entsprochen werden
konnte. Begründung
Mit der Petition wird eine gesetzliche Regelung gefordert, mit der Hersteller von
Software verpflichtet werden, grundsätzlich die Daten, die im Hintergrund an den
Hersteller oder an andere Zielsysteme gesendet werden sollen, zuvor auf dem
Bildschirm anzuzeigen. Bevor die jeweiligen Daten übermittelt werden, müsse stets
eine Bestätigung des Nutzers erfolgen.
Zur Begründung des Anliegens wird im Wesentlichen ausgeführt, es sei intransparent,
welche Daten im Hintergrund einer Software gesammelt würden. Die Implementierung
einer Bestätigungsfunktion sei notwendig, um die Transparenz zu erhöhen, auch wenn
der Hersteller versichere, keine personenbezogenen Daten zu erheben. Dies könne
erst nachvollzogen werden, wenn eine Information über die erhobenen Daten erfolge.
Hinsichtlich der weiteren Einzelheiten zu dem Vorbringen wird auf die eingereichten
Unterlagen verwiesen.
Zu der auf der Internetseite des Deutschen Bundestages veröffentlichten Eingabe
liegen 295 Mitzeichnungen und 13 Diskussionsbeiträge vor. Es wird um Verständnis
gebeten, dass nicht auf alle der vorgetragenen Aspekte im Einzelnen eingegangen
werden kann.
Der Petitionsausschuss hat der Bundesregierung Gelegenheit gegeben, ihre Ansicht
zu der Eingabe darzulegen. Das Ergebnis der parlamentarischen Prüfung lässt sich
unter Einbeziehung der seitens der Bundesregierung angeführten Aspekte wie folgt
zusammenfassen:
Der Petitionsausschuss stellt zunächst fest, dass die datenschutzrechtlichen
Vorschriften gemäß § 1 Abs. 1 Bundesdatenschutzgesetz (BDSG) dem Schutz des
Einzelnen davor dienen, durch den Umgang mit seinen personenbezogenen Daten in
seinem Persönlichkeitsrecht beeinträchtigt zu werden. Werden keine
personenbezogenen Daten erhoben, verarbeitet oder genutzt, so findet das BDSG
keine Anwendung.
Paragraf 4 Abs. 1 BDSG sieht vor, dass die Erhebung, Verarbeitung und Nutzung
personenbezogener Daten nur zulässig sind, wenn es eine rechtliche Grundlage gibt
oder die betroffene Person eingewilligt hat.
Als rechtliche Grundlage kommen vorliegend § 28 Abs. 1 Satz 1 Nr. 1 und 2 BDSG in
Betracht. Danach ist das Erheben, Speichern, Verändern oder Übermitteln
personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener
Geschäftszwecke zulässig,
1. wenn es für die Begründung, Durchführung oder Beendigung eines
rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem
Betroffenen erforderlich ist, oder
2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle
erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige
Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung
überwiegt.
Zwar hat die verantwortliche Stelle bei Vorliegen dieser Voraussetzungen das Recht,
die Daten ohne Einwilligung der betroffenen Person zu verwenden. Dennoch werden
die Daten nicht ohne deren Kenntnis erhoben oder verarbeitet. Das BDSG enthält in
§ 4 Abs. 2 Satz 1 den Grundsatz der Direkterhebung. Danach sind personenbezogene
Daten grundsätzlich beim Betroffenen zu erheben. Eine Erhebung beim Betroffenen
setzt gemäß § 4 Abs. 3 Satz 1 BDSG voraus, dass dieser, sofern er nicht bereits auf
andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über deren
Identität, die Zweckbestimmung der Verarbeitung oder Nutzung und die Kategorien
von Empfängern, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit
der Übermittlung an diese rechnen musste, informiert wird. Wird der Betroffene nicht
ordnungsgemäß informiert, so ist die Datenerhebung oder -verarbeitung unbefugt.
Dies stellt eine Ordnungswidrigkeit dar.
Der Ausschuss weist darauf hin, dass die Voraussetzungen des § 28 Abs. 1 Satz 1
Nr. 1 und 2 BDSG eng auszulegen sind. Dient § 28 Abs. 1 Satz 1 Nr. 1 BDSG als
Rechtsgrundlage, so ist es nicht der verantwortlichen Stelle überlassen, Art und
Umfang der verarbeiteten Daten ausschließlich nach ihren Informationswünschen
festzulegen; sie ist vielmehr verpflichtet, lediglich auf die objektiv für die Erfüllung des
jeweils abgeschlossenen Vertrages benötigten Daten zurückzugreifen. Berechtigte
Interessen i. S. d. § 28 Abs. 1 Satz 1 Nr. 2 BDSG müssen eigene Belange der
verantwortlichen Stelle sein, die mit der konkret beabsichtigten Verwendung
zusammenhängen. Zudem ist entscheidend, dass die Verwendung auch tatsächlich
erforderlich ist zur Wahrung der berechtigten Interessen der verantwortlichen Stelle,
d. h. es darf keine, mildere, zumutbare Alternative geben. Schließlich enthält das
Gesetz eine Abwägungsklausel, nach der die verantwortliche Stelle prüfen muss, ob
Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an
dem Ausschluss der Verarbeitung oder Nutzung überwiegt.
Darüber hinaus schreibt § 28 Abs. 1 Satz 2 BDSG für die Fälle des Satzes 1 vor, dass
schon bei der Erhebung personenbezogener Daten die Zwecke, für die die Daten
verarbeitet oder genutzt werden, konkret festgelegt werden müssen. Der
verantwortlichen Stelle ist es folglich nicht gestattet, eine vorratsmäßige Erhebung
personenbezogener Daten vorzunehmen, um im Nachhinein zu entscheiden, ob und
zu welchem Zweck sie diese verwendet.
Liegen die Voraussetzungen eines gesetzlichen Erlaubnistatbestandes nicht vor, so ist
die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur mit der
Einwilligung der betroffenen Person zulässig. Die Voraussetzungen einer wirksamen
Einwilligung regelt § 4a BDSG. Nach dessen Abs. 1 ist eine Einwilligung nur wirksam,
wenn sie auf der freien Entscheidung des Betroffenen beruht. Der Betroffene ist
danach auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung
sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen,
auf die Folgen der Verweigerung der Einwilligung hinzuweisen.
Sofern die verantwortliche Stelle — bezogen auf die konkrete Fragestellung also ein
Hersteller von Software — personenbezogene Daten erhebt, verlangt das BDSG
mithin sowohl, wenn dies auf der Grundlage eines gesetzlichen Erlaubnistatbestandes
erfolgt, als auch, wenn der Betroffene zuvor seine Einwilligung erklärt hat, dass dieser
über die zu erhebenden oder zu verwendenden Daten und den Zweck der Erhebung
oder Verwendung vorab zu informieren ist. In beiden Konstellationen ist nach
Auffassung des Ausschusses folglich eine hinreichende Transparenz gewährleistet.
Ferner macht der Ausschuss darauf aufmerksam, dass dem Gesichtspunkt der
Transparenz zudem durch das Benachrichtigungs- sowie das Auskunftsrecht des
Betroffenen Rechnung getragen wird.
Paragraf 33 BDSG sieht ein Benachrichtigungsrecht des Betroffenen vor, für den Fall,
dass keine Direkterhebung erfolgt ist. Werden erstmals personenbezogene Daten
ohne Kenntnis des Betroffenen gespeichert, so ist der Betroffene danach von der
Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung
oder Nutzung und der Identität der verantwortlichen Stelle zu informieren.
Das Auskunftsrecht ist in § 34 BDSG normiert. Die verantwortliche Stelle hat dem
Betroffenen nach § 34 Abs. 1 BDSG auf Verlangen Auskunft zu erteilen über
1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft
dieser Daten beziehen,
2. den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben
werden, und
3. den Zweck der Speicherung.
Hierdurch wird der Betroffene in die Lage versetzt, zu prüfen, ob die verantwortliche
Stelle rechtmäßig Daten über ihn verarbeitet. Einzige Voraussetzung ist ein
Auskunftsverlangen. Der Betroffene muss weder einen bestimmten Anlass noch ein
berechtigtes Interesse darlegen. Der Betroffene ist gemäß § 34 Abs. 8 Satz 1 und
2 BDSG berechtigt, das Auskunftsrecht einmal pro Jahr unentgeltlich geltend zu
machen.
Ergänzend merkt der Ausschuss an, dass § 48 Satz 1 Nr. 2 BDSG die
Bundesregierung verpflichtet, gegenüber dem Deutschen Bundestag bis zum
31. Dezember 2014 über die Auswirkungen der Änderungen der §§ 28 und 29 BDSG
zu berichten. Ob sich auf der Grundlage diese Berichts eventueller Änderungsbedarf
ergibt, bleibt abzuwarten.
Abschließend weist der Ausschuss darauf hin, dass für die korrekte Umsetzung der
Regelungen die jeweiligen Unternehmen Sorge zu tragen haben. Ob im jeweils
konkreten Fall personenbezogene Daten im privatwirtschaftlichen Bereich den
datenschutzrechtlichen Anforderungen entsprechend erhoben, verarbeitet und genutzt
werden, unterliegt der Kontrolle durch die jeweils zuständige unabhängige
Landesdatenschutzaufsichtsbehörde und ist durch diese zu prüfen.
Vor diesem Hintergrund vermag der Petitionsausschuss nach umfassender Prüfung
der Sach- und Rechtslage im Ergebnis keinen gesetzgeberischen Handlungsbedarf zu
erkennen.
Er empfiehlt daher, das Petitionsverfahren abzuschließen, weil dem Anliegen nicht
entsprochen werden konnte.Begründung (pdf)