|
Stellungnahme zum "Gesamtkonzept für den Datenschutz in der Europäischen Union" Im Rahmen des Diskussionsprozesses für die Novelle der Richtlinie zum Datenschutz in Europa hat auch Aktion Freiheit statt Angst e.V. eigene Vorschläge gemacht.
Die Dokumente im Wortlaut als .pdf in
Verkürzter Auszug:
Wir möchten im folgenden zu einigen Punkten in Ihrem Konzept Anmerkungen machen, die uns besonders wichtig erscheinen.
Bedeutung der EU Richtlinie zum Datenschutz Die EU Richtlinie zum Datenschutz hat bereits eine wichtige Rolle bei der Schaffung eines gemeinsamen europäischen Mindeststandards beim Datenschutz gespielt. Dies gilt auch künftig. Genauso wird es weiterhin Staaten in Europa geben, die bei bestimmten Themen aus nationalen Besonderheiten erweiterte Datenschutzstandards für erforderlich halten. Das soll die Richtlinie auch weiter ermöglichen, keinesfalls soll sie eine Obergrenze des Datenschutzes in Europa definieren. Nur dann können, inspiriert aus lokalen Notwendigkeiten, neue Ideen ausprobiert werden und in eine weitere nachfolgende europäische Regelung einfliessen.
Recht auf Vergessen im Netz Für eine Stärkung der Interessen und Rechte der Verbraucher unterstützen wir alle Maßnahmen, die im Internet ein "Recht auf Vergessen" ermöglichen und fördern.
Dazu gehören:
- Keine Weitergabe/Verkauf von Kundendaten
- Löschung der Daten nach Ende einer Geschäftsbeziehung
- Automatische Löschung von personenbezogenen Verkehrsdaten (IP Adressen, Cookies, ...) sobald sie für technische Zwecke nicht mehr benötigt werden
- Keine Verknüpfung von Daten aus unterschiedlichen Geschäftsbeziehungen (s. Anmerkungen zum Thema strikte Zweckbindung)
- Untersuchung neuer technischer Möglichkeiten für "temporäre Daten" (automatische Löschung nach vorgegebener TTL, Zugang zu Daten nur über Zeitschlüssel)
Keine stillschweigende Zustimmung zur Datenspeicherung In dem von Ihnen vorgelegten Entwurf wird leider das Opt-Out Verfahren propagiert. Damit wird der Betroffene in der Regel nicht vorher gefragt ob seine Daten gespeichert werden dürfen. Er muss von sich aus aktiv werden, wenn er dies nicht wünscht.
Hier ist in jedem Fall eine Änderung notwendig. Nur ein Opt-In Verfahren kann gewährleisten, dass personenbezogene Daten nur mit dem wirklichen Einverständnis des Betroffenen gespeichert werden.
In diesem Zusammenhang möchten wir auch unterstreichen, dass besonderes Augenmerk auf die Freiwilligkeit der Einwilligung zur Speicherung von Kundendaten zu legen ist. Wie in dem Konzept genannt (S.9), sehen auch wir hier große Unterschiede in den Regelungen der europäischen Staaten, die in Richtung zu einer "Gewährleistung der Einwilligung ohne Zwang und in voller Kenntnis der Sachlage" zu vereinheitlichen sind. Eine entsprechende Regelung muss in jedem Fall auch Sanktionsmöglichkeiten bei Verstößen dagegen vorsehen.
Auf der anderen Seite muss es auch eine umfassende Informationspflicht der speichernden Stellen über die gespeicherten Daten und den jeweiligen Verwendungszweck geben, die kostenfrei und für jedermann verständlich zur Verfügung steht.
Strikte Zweckbindung Die Verarbeitung personenbezogener Daten erfordert stets einen wohldefinierten Zweck. Dieser Zweck ist vor der ersten Erfassung der Daten festzulegen und dem Betroffenen bekannt zu machen. Nur dann kann der Betroffene seine Einwilligung "in Kenntnis der Sachlage" (s.o.) geben. Die gespeicherten Daten dürfen nur zu diesem(!) vereinbarten Zweck verarbeitet werden. Sie dürfen insbesondere nicht mit anderen Daten verknüpft werden, die zu einem anderen Zweck erfasst wurden.
Data Mining Aufgrund unserer Position zur strikten Zweckbindung sind wir auch der Meinung, dass eine Verwendung personenbezogener Daten in Data Mining Verfahren unzulässig sein muss. Wie die deutschen Datenschutzbeauftragten von Bund und Ländern bereits im März 2000 festgestellt haben2), dürfen personenbezogene Daten in keinem Fall nach anderen Kriterien und mit anderen Datenbeständen verknüpft werden als bei ihrer Speicherung vereinbart. In ihrer Entschließung stellten sie damals fest: "Nach dem grundrechtlichen Gebot der Zweckbindung dürfen personenbezogene Daten nur im Rahmen der gesetzlich zugelassenen Zwecke oder der gegenseitigen Vereinbarungen verwendet werden. Eine personenbezogene Speicherung in einem allgemein verwendbaren Data Warehouse entfernt sich vom ursprünglichen Verwendungszweck und stellt eine Speicherung auf Vorrat ohne Zweckbindung dar."
Dies gilt insbesondere für Kundendaten in der Privatwirtschaft aber auch genauso für die Daten die von staatlichen Stellen verarbeitet werden. Über diesen Grundsatz ist ebenfalls europaweit Einverständnis herzustellen und eine entsprechende Regelung im europaischen Datenschutzrecht zu verankern.
Keine unterschiedliche Behandlung von Polizeidaten (europol, eurojust) In Kapitel 2.3 weisen Sie richtig darauf hin, dass die Datenschutzvorschriften der einzelnen europäischen Staaten in der polizeilichen und justiziellen Zusammenarbeit stark voneinander abweichen. Darüber hinaus haben auch die bereits bestehenden europäischen Regelungen bisher versäumt Druck zu einer Verbesserung des Datenschutzes zu machen. Durch den Lissabon-Vertrag besteht nun dazu eine Möglichkeit.
Deshalb sind jetzt folgende Aufgaben vordringlich:
- Die Inhalte aus dem Rahmenbeschluss 2008/977/JI 3) müssen auch für die Datenverarbeitung innerhalb der einzelnen Ländern gelten, nicht nur für den Datenaustausch.
- Die vereinbarten Inhalte sind über die bestehenden Mindeststandards hinaus zu entwickeln. Insbesondere muss auch bei der Arbeit der Polzei- und Justizbehörden das Zweckbindungsprinzip (s.o.) gelten.
- Es muss eine strikte Trennung zwischen den Daten der verschiedenen Betroffenengruppen (Straftäter, Verdächtige, Zeugen, Opfer) gewährleistet werden, so dass deren Daten nur zu den jeweils vereinbarten, eng begrenzten Zwecken genutzt werden dürfen.
- Auch für die Aufbewahrung von Polizeidaten sind einheitliche Speicherfristen festzulegen.
- Eine Kontrolle der Einhaltung der Datenschutzbestimmung auch dieser Daten durch den europäischen und die jeweiligen Länder-Datenschutzbeauftragten versteht sich von selbst.
Darüber hinaus ist im Rahmen einer europäischen Richtlinie zur Informationsfreiheit zu garantieren, dass der Bürger auch über das Handeln der Polizei- und Sicherheitsbehörden Informationen erhalten kann. Engstirnige Ausnahmeregelungen wie im deutschen Informationsfreiheitsgesetz dürfen sich auf europäischer Ebene nicht wiederholen.
Durch den Lissabon-Vertrag sind nun auf dem Sicherheitsektor gemeinsame europäische Regelungen möglich. Deshalb möchten wir fordern, die "sektorspezifischen EU-Vorschriften für die polizeiliche und justizielle Zusammenarbeit in Strafsachen" nicht(!) "langfristig" sondern möglichst zügig an die neue europäische Datenschutzregelung anzupassen (S.17).
Weitere Feststellungen Im folgenden wollen wir einige Ihrer Forderungen/Feststellungen zusätzlich aus unserer Sicht bestätigen und hoffen, dass diese auch in die Datenschutznovelle in ausreichendem Maße Eingang finden.
- Cloud Computing
Auch wir sehen beim Cloud Computing die Gefahr, dass der Nutzer keinen Überblick darüber hat, wer in den Besitz seiner Daten kommt, was mit diesen geschieht und in welche Staaten sie transferiert werden. Europäische Anbieter solcher Dienste sind entsprechend der Datenschutzrichtlinie besonders daraufhin zu kontrollieren, welche Daten außerhalb Europas verarbeitet werden.
Auf der anderen Seite ist auch der Verbraucher auf die Gefahren hinzuweisen. In diesem Zusammenhang begrüssen wir die Absicht der "Kofinanzierung von Aufklärungsmaßnahmen zum Thema Datenschutz aus dem EU Haushalt" (S.9). In vielen unserer praxisbezogenen Workshops zu Datensicherheit und Datenschutz auf dem PC und im Internet begegnet uns eine weitverbreitete Unkenntnis der technischen Hintergründe und dadurch bedingt das Nichtbeachten von meist einfachen Möglichkeiten zu mehr Datenschutz (Cookies löschen, Virenschutz und Firewalls einrichten,...).
- Mitteilung bei einer Datenschutz-Verletzung
Es ist vorzuschreiben, dass jedes Privatunternehmen aber auch jede staatliche Stelle dazu verpflichtet wird, bei Kenntnis über eine Datenschutzverletzung den jeweils Betroffenen darüber zu informieren.
- IP-Adressen sind bestimmbare personenbezogene Daten
Selbstverständlich sind IP Adressen personenbezogene Daten, da sie über die Kundendatenbank des jeweiligen Providers zu jedem Zeitpunkt eine eindeutige Zuordnung zu einem Menschen darstellen.
- Gendaten sind sensible Daten
Auch wir sind der Ansicht, dass Gendaten sensible Daten sind und damit als besonders schützenswert anzusehen sind.
- Unabhängigkeit des Datenschutzbeauftragten
Selbstverständlich muss ein Datenschutzbeauftragter unabhängig handeln können. Für Datenschutzbeauftragte in Betrieben und bei staatlichen Stellen ist sicherzustellen, dass sie ihre Funktion unabhängig und ohne Einfluss durch den jeweiligen Arbeitgeber ausüben können.
Die Ausstattung der Datenschutzbeauftragten ist vom Betrieb oder der Dienststelle in dem Umfang zu gewährleisten, dass er/sie die notwendige Kontrolltätigkeit ausführen kann.
Links
1 Aktion Freiheit statt Angst e.V.; https://www.aktion-freiheitstattangst.org/de/articles/aktivitaeten.htm
2 Resolution of the 59. Conference of Data Protection Supervisor Bund/Länder ,March 14./15. 2000; http://www.datenschutz-mv.de/dschutz/beschlue/ent59.html
3 Framework Decision 2008/977/JI of the Council, Nov. 27. 2008 on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters (ABl. L 350 of Dec 30. 2008, p. 60)
Kategorie[26]: Verbraucher- & ArbeitnehmerInnen-Datenschutz Short-Link dieser Seite: a-fsa.de/d/1wk Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/1802-20110110-aktion-freiheit-statt-angst-macht-verbesserungsvorschlaege-fuer-datenschutz.html Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/1802-20110110-aktion-freiheit-statt-angst-macht-verbesserungsvorschlaege-fuer-datenschutz.html Tags: #Aktivitaet #Stellungnahme #Gesamtkonzept #Datenschutz #EuropaeischeUnion #AktionFsA #EU #Vorschlaege #Verbesserung Erstellt: 2011-01-12 17:47:52
Aufrufe: 10727
Kommentar abgeben
|
|