Um Auskunft wird gebeten
Eine längst überfällige Reform des Datenschutzrechtes bestünde in der Auskunftspflicht der Unternehmen über die von ihnen gesammelten Daten
Für den deutschen Bundesdatenschutzbeauftragten Peter Schaar wäre die Europäische Verfassung begrüßenswert, legt sie doch, anders als beispielsweise das Grundgesetz, den Schutz persönlicher Daten als explizit gesetzlich verbrieftes Recht fest. Gleiches gilt für das Auskunftsrecht des Einzelnen.
Artikel II-68 Schutz personenbezogener Daten
(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.
Schon der Absatz 2 enthält im ersten Satz jedoch mit der Formulierung "sonstige gesetzlich geregelt legitime Grundlagen" eine nicht zu vernachlässigende Einschränkung in Bezug auf den Schutz persönlicher Daten. Weder ist die Art der gesetzlichen Grundlage festgeschrieben, noch ist hier eine Begrenzung für diese Grundlagen zu finden. Auch wenn das Wort "legitim" auf den ersten Blick beruhigend wirkt, so muss man nur an die Sicherheitsgesetze, die präventive Telefonüberwachung und andere in den letzten Jahren verabschiedete Eingriffsmöglichkeiten denken, um sich vorstellen zu können, dass "legitim" hier ein sehr dehnbarer Begriff ist. Satz 2, der das Auskunftsrecht des Betroffenen regelt, weist jedoch auf ein ganz anderes, prinzipielles Problem des Datenschutzes hin: nämlich auf die Tatsache, dass die Benachrichtigung eine Hol-, aber keine Bringschuld ist.
Um das grundsätzliche Dilemma zu erklären, sei hier einmal auf die jüngsten Vorfälle in den USA verwiesen: Private Auskunfteien bemerkten, dass Tausende Datensätze kompromittiert worden waren. Ein Datendiebstahl fand natürlich nicht zwangsläufig statt, da die Daten weiterhin vorhanden waren, doch das Kopieren persönlicher Daten zur Erlangung eines persönlichen Vorteils durch Nichtberechtigte kann für den Betroffenen fatale Folgen haben. Die Crux bestand darin, dass die Auskunfteien lediglich in einem Bundesstaat verpflichtet waren, den Betroffenen mitzuteilen, was passiert war. Ein Umstand, der mittlerweile durch ein in den gesamten USA geltendes Gesetz korrigiert wurde. Hier wird, zumindest bei (potentiell) kompromittierten Daten eine Bringschuld der Unternehmen etabliert, der Betroffene muss nicht selbst Auskunft darüber erwirken, ob seine Daten von Unbefugten erlangt wurden.
Im Allgemeinen ist dies jedoch umgekehrt. Das deutsche Datenschutzrecht gibt dem Betroffenen ein Auskunftsrecht, von dem er Gebrauch machen kann, wobei jedoch ein wichtiger Aspekt außer Acht gelassen wird: Um Auskunft zu erlangen, ob und welche Daten gespeichert wurden und sie gegebenenfalls zu korrigieren oder löschen zu lassen, muss zunächst das Wissen über den Datenspeicherer vorhanden sein. Einfach ausgedrückt: Was nutzt das Auskunftsrecht, wenn man nicht weiß, welche Firma die eigenen Daten besitzt? Alle Firmen in Deutschland anzuschreiben, dürfte da (nicht nur finanziell) zu einer Sisyphusaufgabe werden, zumal sich Datenbestände schnell ändern, neue hinzukommen etc.
Auch bei einer Firmenübernahme fließen die Kundendaten in das Vermögen des neuen Eigentümers, so dass sie dann dem jeweiligen Datenschutzrecht des Landes unterliegen, in dem der Eigentümer seinen Firmensitz hat. Ob dann also Daten im Sinne des amerikanischen, deutschen, französischen etc. Datenschutzrechtes verwandt werden, kann man nur erfahren, wenn man regelmäßig verfolgt, wer welche Firma übernommen hat, welche Firmen fusionierten usw. usf. Bei Firmenkooperationen zu Zwecken von Kundenbindungsprogrammen muss ein Austausch der Daten untereinander zwangsläufig stattfinden, sonst wäre ja das Punktesammeln o.ä. firmenübergreifend nicht möglich. Kommt eine neue Firma hinzu, so erhält auch sie die maßgeblichen Daten - oft ohne dass dies an die Öffentlichkeit dringt.
Das Recht auf Korrektur von Daten ist ohne Auskunftspflicht nicht effektiv
Doch nur dann, wenn dieses Wissen vorhanden ist, kann auch das Auskunftsrecht greifen und der Betroffene rechtzeitig eine Änderung oder Löschung der eigenen Daten verlangen. In Bezug auf Auskunfteien beispielsweise ist es für die Betroffenen nicht selten existenzentscheidend, ob die Daten sowohl korrekt als auch aktuell sind. Ein negativer Eintrag kann verhindern, dass der gewünschte und notwendige Kredit gewährt wird, dass man ein Handy erwerben kann, dass der Mietvertrag zustande kommt... Das Recht auf Korrektur fälschlich erhobener oder nicht mehr aktueller Daten ist somit zwar gesetzlich verbrieft, letztendlich jedoch in der heutigen Form nur bedingt nützlich.
Eine Änderung des Auskunftsrechtes des Betroffenen zu einer Auskunftspflicht seitens der datensammelnden Unternehmen bzw. Behörden wäre ein Teil einer Datenschutzreform, die den aktuellen Umständen angemessen wäre. Ähnlich eines Kontoauszuges würde dem Betroffenen in regelmäßigen Abständen mitgeteilt, welche Daten über ihn gespeichert sind, danach tritt eine Frist in Kraft, in der der Betroffene die Möglichkeit hat, die Daten zu ändern oder die Löschung zu verlangen. Erst dann dürfen diese wieder weitergegeben und -verwandt werden, um zu vermeiden, dass die oben beschriebenen nachteiligen Effekte eintreten. Bei einer erstmaligen Speicherung wäre der Betroffene ebenso zu unterrichten wie bei einer Firmenübernahme, einem neuen Kooperationspartner beim Kundenbindungsprogramm oder einer sonstigen Änderung, die sich auf Veränderungen bezüglich der Speicherung, Weitergabe und Verwendungen der Daten bezieht.
Eine solche Änderung würde selbstverständlich den Unmut der Firmen heraufbeschwören, für die sie erhöhte Kosten und mehr Arbeitsaufwand bedeutet. Zur Zeit dürften die Anfragen, die sich auf das Auskunftsrecht nach dem Datenschutzgesetz eher in Grenzen halten, was erklärt, warum manche Firmen mit einer solchen Anfrage nichts anfangen können und im positivsten Falle mit einem "Könnten Sie erläutern, welche Daten genau Sie meinen?" antworten. Doch auch für Unternehmen sind aktuelle Daten bares Geld - veraltete Datenbestände führen zu Mehrarbeit, zu Rückläufern, ggf. zu Klagen, wenn falsche Daten weitergegeben wurden, die zu negativen Effekten führten. Auch Unternehmen müssten daher, trotz des erhöhten Aufwandes, eine solche Regelung begrüßen.
Für den von Datenspeicherung Betroffenen (also jeden) wäre sie auf jeden Fall ein Schritt zu mehr Transparenz und zu einer Möglichkeit, von seinem Korrektur- und Löschrecht in Bezug auf persönliche Daten wirklich Gebrauch zu machen. Dass durch einen solchen Datenauszug dann auch das Bewusstsein für Daten und Datenschutz steigen würde, dürfte logisch sein. Daher wäre dies ein wichtiger Teil einer Datenschutzreform, die längst überfällig ist.