Rechtliche Regelungen zum Selbst- bzw. Eigendatenschutz

Transkript

1 Rechtliche Regelungen zum Selbst- bzw. Eigendatenschutz Dr. Alexander Dix, LL.M. Landesbeauftragter für den Datenschutz und für das Recht auf Akteneinsicht Vortrag bei der Stiftungstagung der Alcatel SEL Stiftung Technik für Nutzer 15./16. Mai 2003 Stuttgart

2 Übersicht Selbstdatenschutz als Kern der informationellen Selbstbestimmung Europarecht TK-Recht Telemedien-Recht Grenzen, Hindernisse und Bedrohungen Bedingungen Links

3 Selbstdatenschutz als Kern der informationellen Selbstbestimmung Volkszählungsurteil Das Grundrecht gewährleistet...die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. (1. Leitsatz) Weitergehend Art. 11 der ischen Verfassung: Jeder hat das Recht, über die Preisgabe und Verwendung seiner persönlichen Daten selbst zu bestimmen, auf Auskunft über die Speicherung seiner persönlichen Daten und auf Einsicht in Akten und sonstige amtliche Unterlagen, soweit sie ihn betreffen und Rechte Dritter nicht entgegenstehen.

4 Selbstdatenschutz vs. staatliche Überfürsorge? Hat das herkömmliche Konzept des Datenschutzes zu sehr auf staatliche Vor- und Fürsorge gesetzt? Wird aus diesem Grund nur selten von Individualrechten Gebrauch gemacht? Sollte Selbstdatenschutz Vorrang vor staatlichem Datenschutz haben?

5 Europarecht (I) Europäische Grundrechte-Charta (Art. 8) Jede Person hat das Recht auf Schutz der sie betreffenden Daten. (durch wen?) Recht auf gute Verwaltung umfasst insbesondere das Recht auf Zugang zu den sie betreffenden Akten... (Art. 41) Auskunfts- und Berichtigungsansprüche

6 Europarecht (II) Richtlinie 95/46/EWG (Allgemeine Datenschutz-Richtlinie) Richtlinie 2002/58/EG v über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutz-Richtlinie für elektronische Kommunikation)

7 Beispiel 1: Europarecht (III) Cookie-Klausel der Kommunikationsrichtlinie (2002/58/EG) Art. 5 III Einsatz und Nutzung (Auslesen) von Cookies nur nach vorheriger Information und Hinweis auf das Ablehnungsrecht Darüberhinaus (trotz Ablehnung) nur zur Durchführung oder Erleichterung der Nachrichtenübertragung oder soweit unbedingt erforderlich zur Erbringung eines Dienstes (Session Cookies)

8 Europarecht (IV) Beispiel 2: Andere Standortdaten als Verkehrsdaten (Art.9) = Lokalisierungsdaten, die nicht zur Herstellung der Verbindung erforderlich sind (genauer als Funkzelle), wohl aber für Dienste mit Zusatznutzen ( location based services ), dürfen nur anonymisiert oder mit Einwilligung des Kunden verarbeitet werden. Die Einwilligung setzt detaillierte Informationen voraus. Verarbeitung von Standortdaten muss zeitweise (während normaler Telekommunikation) einfach und gebührenfrei untersagt werden können.

9 TK-Recht (I) Optionen des Selbstschutzes in der TDSV: elektronische Einwilligung u. Widerruf ( 4) Zweckentfremdung von Bestandsdaten für Marketingzwecke nur mit Einwilligung (über 28 BDSG hinaus) aber: Einschränkung dieser Option droht Zweckentfremdung von Verbindungsdaten zur bedarfsgerechten Gestaltung des TK-Dienstes nur mit Einwilligung des A- bzw. B- Teilnehmers (bisher nicht zu Marketing-Zwecken; Daten anderer Betroffener sind zu anonymisieren)

10 TK-Recht (II) Wahlrecht bei der Speicherung von Abrechnungsdaten: Normalfall: Zielrufnummern werden gekürzt um die letzten 3 Ziffern höchstens 6 Monate nach Rechnungsversand gespeichert Davon abweichend entweder Anspruch auf vollständige Speicherung oder Löschung bei Rechnungsversand Folge der Löschung: Carrier wird von der Nachweispflicht frei, wenn er den Kunden darauf hingewiesen hat ( 16 Abs.2 TKV)

11 TK-Recht (III) Rufnummern-Anzeige Permanente oder fallweise Unterdrückungsmöglichkeit muss auf einfache Weise und unentgeltlich angeboten werden, soweit technisch möglich (Vollzugsdefizit?) Wer nicht ins Telefonbuch will, dessen Nummer wird beim Angerufenen stets unterdrückt

12 TK-Recht (IV) Kundenverzeichnisse Generelles opt-in (keine Zwangseinträge) Beschränkung des Umfangs der veröffentlichten Daten Beschränkung auf gedruckte oder elektronische Verzeichnisse Kennzeichnung im Kundenverzeichnis ( -Reiter)

13 TK-Recht (V) Auskunftserteilung opt-out bei der Rufnummer opt-in bei darüber hinausgehenden Daten, selbst wenn sie veröffentlicht sind! Kennzeichnung im Kundenverzeichnis ( ) Verbot der Invert-Suche (praktisch durchsetzbar?)

14 Verschlüsselungsoptionen (I) 8 Abs.3 TKÜV verpflichtet zur Offenlegung des Verschlüsselungsverfahrens bei Abhörmaßnahmen aber: nur TK-Diensteanbieter, nicht Privatnutzer (private Ende-zu-Ende-Verschlüsselung nicht tangiert)

15 Verschlüsselungsoptionen (II) Die Bedeutung von Verschlüsselungsoptionen für den Selbstschutz nimmt zu Beispiele: Schutz der privaten Kommunikation am Arbeitsplatz (soweit zugelassen) Schutz des Mediennutzers bei Electronic Copyright /Digital Rights Management Systems (ECMS, DRM) Schutz des Endgerätenutzers bei Modellen wie TCPA/NGSCB Versuche, Verschlüsselung zu verbieten oder zu kriminalisieren, sind wenig erfolgversprechend

16 Datensparsamkeit und Optionen zur anonymen oder pseudonymen Nutzung Im TK-Recht ist zwar Datensparsamkeit, aber keine Option zur anonymen oder pseudonymen Nutzung vorgeschrieben ( 3 Abs.4 TDSV). Im Recht der Telemedien ist Datensparsamkeit und Option zur anonymen oder pseudonymen Nutzung vorgeschrieben ( 3a BDSG, 4 Abs.6 TDDSG).

17 Vertraulichkeit der Telekommunikation und Mediennutzung Für Telekommunikationsdienste gilt (allerdings mit zunehmenden Durchbrechungen) das verfassungsrechtliche und einfachgesetzliche TK- Geheimnis (Art. 10 GG, 85 TKG). Sein Schutzbereich umfasst auch Randdaten. Für Telemedien-Dienste gilt das TK-Geheimnis nicht in gleicher Weise. Ein Mediennutzungsgeheimnis muss noch geschaffen werden. Aber: technisch muss der Anbieter eines Telemedien-Dienstes schon jetzt sicher stellen, dass solche Dienste gegen Kenntnisnahme Dritter geschützt in Anspruch genommen werden können ( 4 Abs.4 Nr.3 TDDSG).

18 Telemedien-Recht (I) Optionen des Selbstschutzes wie im TK-Recht (das dem moderneren Telemedienrecht inzwischen angepasst wurde): Datensparsamkeit in 3a BDSG elektronische Einwilligung u. Widerruf ( 4 Abs.2 u.3 TDDSG; 18 Abs.2 u.3 MDStV) Zweckentfremdung von Bestandsdaten für Marketingzwecke nur mit Einwilligung (opt in) Zweckentfremdung von Nutzungsdaten für Werbezwecke durch Anbieter nur in pseudonymisierter Form mit Widerspruchsrecht des Betroffenen (opt out) Zweckentfremdung von Nutzungsdaten für Werbezwecke durch Dritte nur in anonymisierter Form

19 Telemedien-Recht (II) Speicherfrist für Abrechnungsdaten wie im TK-Recht höchstens 6 Monate Problem in der Praxis: Sind IP-Adressen personenbezogen? (+) für die Abrechnung erforderlich? (-) zur Datensicherung erforderlich? (-) Die letzten beiden Fragen hat das RP Darmstadt für T-Online bejaht.

20 Telemedien-Recht (III) Über das TK-Recht hinausgehend eröffnete das Telemedien-Recht erstmals die Selbstschutzoption des anonymen u. pseudonymen Handelns ( 4 Abs.6 TDDSG; 18 Abs.6 MDStV im Rahmen des technisch Möglichen und Zumutbaren) Nutzer sind darüber zu informieren Erste Entsprechungen im allgemeinen Datenschutzrecht (z.b. 11b BbgDSG) 2. Stufe der BDSG-Modernisierung

21 Wertungswidersprüche Das geltende Recht enthält zahlreiche Wertungswidersprüche in seinen Selbstschutz-Regelungen, insbes.: Pflicht zum Angebot anonymer/pseudonymer Nutzungsmöglichkeiten nur im Telemedienrecht (nicht im TK-Recht) Zweckentfremdung von Verbindungs- und Nutzungsdaten für Werbezwecke uneinheitlich geregelt Statt diese Widersprüche abzubauen, erzeugt die TKG-Novelle 2003 neue.

22 Grenzen, Hindernisse und Bedrohungen des Selbstdatenschutzes Scheinbarer Selbstschutz (z.b. elektr. Patientenkarte) Intransparenz des geltenden Rechts Zunehmende Identifikationszwänge (z.b. bei prepaid-simcards) und Aushöhlung des Telekommunikationsgeheimnisses Überfürsorge des Staates Ausschluss von Selbstschutzoptionen

23 Intransparenz des geltenden Rechts Die unterschiedlichen Regelungsebenen TK-Recht Telemedien-Recht BDSG enthalten divergente Selbstschutzoptionen und müssen vereinheitlicht werden.

24 Zunehmende Identifikationzwänge und Aushöhlung des TK- Geheimnisses Identifikationszwang beim Kauf von prepaid-simcards (vertragslosen Handys) vereitelt anonymen Zugang zum Mobilfunk PINs und PUKs sollen künftig ohne richterliche Anordnung dem StA offengelegt werden

25 Überfürsorge des Staates Beispiel: Entwurf der BReg. für ein Dialer-Schutz-Gesetz (BR-Drs. 248/03) Vollständige Zielrufnummernspeicherung ohne Einflussmöglichkeit des A-Teilnehmers (weder opt-in noch opt-out), obwohl sensitive Datenbestände oder Informationsdienste mit geringer Missbrauchsgefahr (Wettervorhersage) betroffen sein können, preiswerte Call-by-call-Anbieter 0190-Nummern nutzen und DSL-Kunden nicht von Dialern bedroht sind.

26 Ausschluss von Selbstschutzoptionen UrheberrechtsG-Novelle 2003 ( 95a): Umgehung technischer Schutzmaßnahmen ist strafbar, d.h. Cookies mit dieser Funktion dürfen nicht abgeschaltet werden (entgegen dem Telemedienrecht!) Verbot und/oder Kriminalisierung von Verschlüsselung und ihrer kritischen Diskussion (Digital Millenium Copyright Act/Michigan Penal Code)

27 Bedingungen des Selbstdatenschutzes 1. Alternativen, Optionen 2. Information 3. Keine Freizeichnung der Datenverarbeiter 4. Förderung der Selbstschutzkompetenz 5. Infrastrukturverantwortung, Vorsorge: Systemdatenschutz

28 Links