Auf dem Weg zu einem umfassenderen Datenschutz in Europa einschließlich Biometrie eine europäische Perspektive

Transkript

1 12. Konferenz Biometrics Institute, Australien Sydney, 26. Mai 2011 Auf dem Weg zu einem umfassenderen Datenschutz in Europa einschließlich Biometrie eine europäische Perspektive Peter Hustinx Europäischer Datenschutzbeauftragter Videobotschaft Hallo, ich heiße Peter Hustinx und ich bin der europäische Datenschutzbeauftragte. Dank dieser Technologie kann ich einen Beitrag zu Ihrer Konferenz leisten, obwohl es mir heute leider nicht möglich ist, persönlich an Ihrer Diskussion über Biometrie und Schutz der Privatsphäre teilzunehmen. Lassen Sie mich zunächst kurz ein paar Worte zu meiner Funktion sagen. Meine Aufgabe besteht darin, sicherzustellen, dass die Europäische Kommission und andere Organe und Einrichtungen der EU bei der Verarbeitung personenbezogener Daten die Datenschutzvorschriften einhalten, ferner, sie im Hinblick auf neue Rechtsvorschriften und politische Maßnahmen zu beraten, die sich auf den Schutz personenbezogener Daten auswirken könnten, und mit den nationalen Aufsichtsbehörden in allen Mitgliedstaaten zusammenzuarbeiten mit dem Ziel, die Einheitlichkeit des Datenschutzes in der EU zu verbessern. Dies schließt auch die Nutzung der Biometrie in der Praxis mit ein. Wir haben die Arbeit des Biometrics Institute aus der Ferne verfolgt. Insbesondere sind wir uns der Vorreiterrolle, die das Institut bei der Ausarbeitung von Verhaltensregeln für den Datenschutz mit bezug auf biometrische Anwendungen gespielt hat, bewusst. Solche Verhaltensregeln an sich reichen natürlich noch nicht aus, denn sie müssen auch in verantwortungsbewusste praktische Vorgehensweisen umgesetzt werden, und sich auf eine

2 wirksame Gesetzgebung stützen können. Letztendlich dreht sich alles um die Einhaltung guter Grundsätze, die in die Praxis umgesetzt werden müssen. Die Notwendigkeit eines wirksameren Schutzes ist auch einer der Schwerpunkte der derzeitigen Überprüfung der rechtlichen Rahmenvorgaben der EU für den Datenschutz. Das Hauptinstrument dieses EU-Rechtsrahmens die Datenschutzrichtlinie aus dem Jahr 1995 bedarf mittlerweile einer gewissen Überarbeitung. Zum Zeitpunkt ihrer Verabschiedung war das Internet noch weitgehend unsichtbar und auf jeden Fall von seiner heutigen hoch dynamischen Realität weit entfernt. In erster Linie sollen mit der Überprüfung daher die Herausforderungen der neuen Informationstechnologien und der Globalisierung bewältigt werden. Ein zweiter wichtiger Faktor lautet, dass der Schutz personenbezogener Daten jetzt ausdrücklich als Grundrecht anerkannt wird, der nicht nur für die Einrichtungen und Organe der EU, sondern auch für die Mitgliedstaaten rechtsverbindlich ist, wenn sie im Anwendungsbereich des EU-Rechts handeln. Gleichzeitig erleben wir, dass unsere Gesellschaften immer stärker von der ständigen und weitverbreiteten Nutzung der Informations- und Kommunikationstechnologien abhängig werden. Dies hat zur Folge, dass auch der Datenschutz immer mehr an Bedeutung gewinnt und wir seine fortgesetzte Wirksamkeit gewährleisten müssen, was ein Grundrecht aller Bürger in einer im Wandel befindlichen Welt darstellt. Ein dritter Faktor ist, dass der Datenschutz mittlerweile zu einem so maßgeblichen Faktor für andere wichtige Politikbereiche geworden ist, dass er in gewisser Weise als entscheidend für den Erfolg dieser anderen Politiken betrachtet werden kann. Daher ist es für die verschiedenen Interessengruppen auch so wichtig, diese Frage richtig anzupacken. Datenschutz gilt als Voraussetzung für das Vertrauen der Bürger in elektronische Gesundheitsdienste (e-health), elektronische Behördendienste (e-government) und elektronischen Geschäftsverkehr (e-commerce) sowie für das gegenseitige Vertrauen zwischen den Mitgliedstaaten, wenn sie sensible Daten austauschen. All diese Gründe haben zu einem geschärften Bewusstsein und erhöhter politischer Sensibilität für die Notwendigkeit eines besseren und wirksameren Datenschutzes geführt. Die zuständige Vizepräsidentin der Europäischen Kommission hat dieses Thema zu einer ihrer Top-Prioritäten gemacht. Dies hat ebenfalls zu einem dynamischen Umfeld beigetragen. 2

3 Gleichzeitig stellen wir ein zunehmendes internationales Bewusstsein fest. Auch die OECD beschäftigt sich derzeit mit der Überarbeitung ihrer Datenschutzrichtlinien, und sogar die USA haben Interesse an der Vorlage einer Bill of Rights für den Schutz des Persönlichkeitsbereichs online bekundet. All dies bietet eine große Chance, um die Wirksamkeit und Praxistauglichkeit des Datenschutzes in der Informationsgesellschaft von 2015, 2020 und darüber hinaus zu erhöhen. Was können wir also erwarten? In der EU wird eine klare Betonung eines umfassenderen Konzepts zu beobachten sein, was bedeutet, dass alle Bereiche der EU-Politik, einschließlich von Bereichen wie Polizei und Justiz, abgedeckt werden sollen. Dies wird zu einem stärker horizontal ausgerichteten Ansatz führen, bei dem es keine Abgrenzungen zwischen Politikbereichen gibt, die der Realität nicht gerecht werden. Zweitens ist zu betonen, dass es hier nicht darum geht, den Datenschutz neu zu erfinden. Er existiert bereits und ist jetzt als Grundrecht anerkannt. Vielmehr gilt es, die Wirksamkeit des Datenschutzes in der Praxis zu erhöhen. Dies beinhaltet eine Verbesserung der Um- und Durchsetzung der Grundsätze des Datenschutzes und der Gewährleistung der Rechte der von der Verarbeitung Betroffenen. Einige formale Anforderungen werden wahrscheinlich vereinfacht oder abgeschafft, wenn sie für einen wirksamen Datenschutz nicht mehr erforderlich sind. Ein weiterer Punkt in diesem Zusammenhang ist die Notwendigkeit einer stärkeren EUweiten Harmonisierung der Regelungen auf diesem Gebiet. Die derzeitigen Unterschiede zwischen den jeweiligen nationalen Vorschriften sogar innerhalb des Anwendungsbereichs der Richtlinie sind einem wirksamen Datenschutz wenig dienlich, ja sie sind geradezu kontraproduktiv. Mit anderen Worten, eine stärkere Vereinheitlichung in allen Mitgliedstaaten ist unerlässlich. Drittens erfordert ein wirksamerer Datenschutz auch eine Stärkung der Rolle der drei wichtigen Akteure in diesem Bereich: die Rolle der von der Verarbeitung betroffenen Person, die Rolle der für die Datenverarbeitung verantwortlichen Organisation sowie die Rolle der Aufsichtsbehörde. Die von der Verarbeitung betroffenen Personen sollten ihre bereits bestehenden Rechte leichter wahrnehmen können und einige zusätzliche Rechte erhalten, um gegebenenfalls ihre Interessen schützen zu können. Dies gilt insbesondere in Online- Umgebungen, im Zusammenhang mit sozialen Netzwerken und anderen Online-Diensten. 3

4 Die für die Datenverarbeitung Verantwortlichen sind heute zwar für die Einhaltung der Datenschutzvorschriften verantwortlich; in der Praxis führt dies aber häufig zu Pro-forma- Regelungen und zur Verantwortlichkeit am Ende, wenn es bereits zu Problemen gekommen ist. Stattdessen sollte man die für die Datenverarbeitung Verantwortlichen verpflichten, aktiver zu werden und alle notwendigen Maßnahmen zu ergreifen, um die Einhaltung der Datenschutzvorschriften zu gewährleisten. Dieser sogenannte Rechenschaftsgrundsatz verlangt von den für die Datenverarbeitung Verantwortlichen den Nachweis, dass sie alle geeigneten Maßnahmen umgesetzt haben, um die Einhaltung des Datenschutzes sicherzustellen. Das Konzept Privacy by Design ( eingebauter Datenschutz ) würde dem gleichen Ansatz folgen: Die für die Datenverarbeitung Verantwortlichen sollten nachweisen können, dass bei der Konzeption ihrer Systeme den Erfordernissen des Schutzes des Persönlichkeitsbereichs durch geeignete Maßnahmen Rechnung getragen wurde. Zudem wäre es von Interesse, Datenschutzfolgeabschätzungen oder regelmäßige Überprüfungen für Fälle zu verlangen, die mit besonderen Risiken verbunden sind. Weitere Vorschläge beinhalten unter anderem Zertifizierungen für Produkte und Dienste, die den Persönlichkeitsbereich gefährden könnten, um eine angemessene Umsetzung des Privacy-by-Design -Konzepts sicherzustellen. Dies gilt natürlich auch für biometrische Anwendungen, insbesondere im Zusammenhang mit großen Systemen. Unabhängige Aufsichtsbehörden sollten mit ausreichenden Mitteln und mehr Durchsetzungsbefugnissen ausgestattet werden, die in allen Mitgliedstaaten einheitlich sein sollten. Außerdem sollten sie berechtigt sein, diese Befugnisse strategischer und auch selektiver einzusetzen, z. B. bei erheblichen Risiken oder systematischem Fehlverhalten. Zugleich müssen wir weitere Möglichkeiten der privaten oder kollektiven Durchsetzung bereitstellen. Ein Rechtsrahmen, der alle genannten Aspekte berücksichtigt, wäre weit besser geeignet, die Herausforderungen des technologischen Wandels und der Globalisierung zu bewältigen. Die zunehmende Internationalisierung würde idealerweise einen globalen Konsens über Datenschutzgrundsätze und -standards erfordern. Obwohl dieser globale Konsens derzeit in der Praxis Gestalt annimmt, ist er noch alles andere als ausgereift. 4

5 Daher ist es auch wichtig, den Anwendungsbereich des nationalen und regionalen Rechts klar festzulegen und Möglichkeiten der Interoperabilität zu entwickeln, und zwar nicht nur für die technischen Merkmale, sondern auch für die rechtlichen Mechanismen zum Schutz unserer Bürger, unabhängig davon, wo sie leben, arbeiten, sich ausruhen oder wohin auch immer auf der Welt sie reisen, während ihre Daten irgendwo gespeichert sein können, sofern diese Daten sicher und gut geschützt sind. Ich hoffe, dass diese Anmerkungen für Ihre Arbeit hilfreich sind, und wünsche Ihnen einen erfolgreichen Konferenzverlauf. Vielen Dank für Ihre Aufmerksamkeit. 5