0
Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

Einfach, flexibel und praxistauglich. Der technisch-organisatorische Datenschutz der Zukunft

Häufig ist zu hören, dass Datenschutz ohnehin nicht beachtet werde und wenn dies einmal geschehe, behindere er nur die dringend benötigte Innovation. Diesem Klischee tritt die 83. Konferenz der Datenschutzbeauftragten des Bundes und der Länder entgegen. Sie fordern EU-weit ein einfaches, flexibles und praxistaugliches Recht. ilex erklärt die Hintergründe.




Gliederung


1. Technisch-organisatorischer Datenschutz

Seit Wochen diskutiert Europa über den Datenschutz. Hintergrund ist v.a. der Entwurf der Datenschutzgrundverordnung. Die deutschen Aufsichtsbehörden begrüßen die Entwürfe, fordern teilweise aber Nachbesserungen. Gleichwohl haben sie aber auch gegenüber der zuständigen EU-Kommissarin betont, dass Datenschutz für Unternehmen passend und für Verbraucher schützend sein soll.

Hierzu heißt es in einer Entschließung der 83. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 21./22. März 2012 in Potsdam:

Über die bereits in dem Verordnungsentwurf vorgeschlagenen Modernisierungen hinaus hält die Konferenz weitere Schritte für erforderlich, die sie etwa in ihrem Eckpunktepapier für ein modernes Datenschutzrecht vom 18. März 2010 vorgeschlagen hat: […]

• einfache, flexible und praxistaugliche Regelungen zum technisch-organisatorischen Datenschutz, welche vor allem die Grundsätze der Vertraulichkeit, der Integrität, der Verfügbarkeit, der Nichtverkettbarkeit, der Transparenz und der Intervenierbarkeit anerkennen und ausgestalten.

2. Rückschlüsse für die künftige Aufsichtspraxis

Unternehmen, die schon einmal einen Blick in das Bundesdatenschutzgesetz gewagt haben, entdecken meist sehr schnell den § 9 BDSG. Dort heißt es:

Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Gelegentlich finden sie auch die Anlage zu dieser Vorschrift, der das vorstehende mit Begriffen, wie Zugangskontrolle oder Zutrittskontrolle “konkretisiert”.

Das Problem zahlreicher Unternehmen besteht darin, dass diese Begriffe “Aller-Welts-Formulierungen” sind, die der Auslegung bedürfen. Rechtsunsicherheit macht sich breit. Je komplexer und gefahrträchtiger die Datenverarbeitungen eines Unternehmen sind, desto eher empfiehlt es sich vorab auf eine Aufsichtsbehörde zuzugehen und die eigenen Maßnahmen mit offenem Visier abzustimmen.

Hierbei muss niemand fürchten, dass eine Aufsichtsbehörde das eigene Geschäftsmodell gänzlich verbietet. Vielmehr haben die deutschen Behörden geäußert, dass der sog. technisch-organisatorische Datenschutz v.a. drei Kriterien erfüllen soll: Einfach, flexibel, praxistauglich.

Hier ist den Behörden zuzustimmen. § 9 BDSG ist eine Norm, die auf die unternehmerischen Belange der Betroffenen ebenso viel Rücksicht nimmt wie auf die Rechte der Betroffenen. Nicht umsonst heißt es in § 9 Satz 2 BDSG: Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Dieser Verhältnismäßigkeitsgrundsatz ist im Einzelfall – gemeinsam mit der Behörde und durchaus auf Augenhöhe anzuwenden.

3. Fazit

Die deutschen Aufsichtsbehörden haben durchaus strenge Forderungen an die EU gestellt. Sie wollen über den bisherigen Entwurf hinaus, weitere Verbesserungen erwirken. Gleichwohl verlieren sie – zumindest in der Gemeinschaft aller Behörden – nicht den Blick für die Belange für die verantwortlichen Stellen. Hier sollten Unternehmen sich durchaus trauen, die Behörden beim Wort zu nehmen.

Autor

Dr. Ulrich Schulte am Hülse

Publikationen:

Veröffentlichungsliste Dr. Schulte am Hülse (PDF)

Auswahl (Sonderdrucke als PDF)

Das Abgreifen von Zugangsdaten zum Online-Banking, in: MMR 7/2016, S. 435-440.

Umfang des Auskunftsanspruches gegen die Schufa-Scorewerte, in: NJW 17/2014, S. 1235-1239

Der Anscheinsbeweis bei missbräuchlicher Bargeldabhebung an Geldautomaten mit Karte und Geheimzahl, in: NJW 18/2012, S. 1262-1266.

Das Abgreifen von Bankzugangsdaten im Online-Banking, in: MMR, 2010, S. 84-90.

Weitere Sonderdrucke auf Anfrage

ilex Rechtsanwälte – Berlin & Potsdam Yorckstraße 17, 14467 Potsdam Hohenzollerndamm 123, 14199 Berlin

Telefon +49 331 9793750
Telefax +49 331 97937520

E-Mail: schulte@ilex-recht.de
Internet: ilex-bankrecht.de

Verwandte Themen

Zurück

Sie haben Fragen? Gleich Kontakt aufnehmen!

Medienpräsenz

Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
ilex Rechtsanwälte hat 4,99 von 5 Sternen 84 Bewertungen auf ProvenExpert.com