Der Datenschutz soll das Grundrecht auf informationelle Selbstbestimmung
schützen. Dieses Recht gewährleistet "die Befugnis des Einzelnen,
grundsätzlich selbst über die Preisgabe und Verwendung seiner
persönlichen Daten zu bestimmen" (BVerfGE 65, 1 (43)). Im Bereich
der Telekommunikation wird dieses Recht durch das Grundrecht auf kommunikative
Selbstbestimmung und das Fernmeldegeheimnis ergänzt. Eingriffe in
diese Rechte sind zwar prinzipiell möglich, jedoch nur durch und auf
der Grundlage bereichsspezifischer gesetzlicher Regelungen, die die Anforderungen
an die Datenverarbeitung jeweils bezogen auf ihren konkreten Zweck näher
präzisieren.
Die bestehenden Datenschutzgesetze versuchen diese Ziele durch ein Konzept
zu verwirklichen, das sich an
- der Datei personenbezogener Daten, die
- von einer verantwortlichen datenverarbeitenden Stelle
- in einer Datenverarbeitungsanlage verarbeitet oder zu einer solchen übermittelt
wird, orientiert und rein normativ mit
- einem Verbot mit Erlaubnisvorbehalt für gesetzlich zugelassene oder
vereinbarte Zwecke und
- dessen zentraler Kontrolle umzusetzen versucht.
Dieses in den siebziger Jahren am Paradigma der zentralen Datenvereinbarung
entwickelte Konzept wird durch die Datenschutzregelungen des Multimedia-Gesetzes
in Hinblick auf die besonderen Risiken der dabei verwendeten Technologien
bereichsspezifisch fortgeschrieben. Dabei berücksichtigen die gesetzlichen
Regelungen, daß in Multimedia-Anwendungen, die für einen Online-Zugriff
oder -Abruf bereitgehalten und übermittelt werden,
- personenbezogene Informationen von einem Medium in ein anderes überführt
und inhaltlich beliebig kombiniert, verändert oder erzeugt,
- die Datenverarbeitung nicht nur in einer Datenverarbeitungsanlage, sondern
im Netz
- von vielen Beteiligten, aber ohne einen hierfür verantwortlichen
Betreiber und
- ohne durchgreifende zentrale Kontrollmöglichkeiten verarbeitet werden
können.
Das traditionelle Datenschutzkonzept wird durch die Vorschriften dieses
Teils durch Konzepte des Selbst-Datenschutzes und des System-Datenschutzes
ergänzt, die durch technische Strukturvorgaben sowie technische und
organisatorische Gestaltungsanforderungen zu gewährleisten sind.
Der Selbst-Datenschutz soll dem Betroffenen ermöglichen, seine Selbstbestimmung
dadurch zu sichern, daß er durch eigene Maßnahmen die ihm erwünschte
Verarbeitung seiner Daten ermöglicht und unzulässige Datenverarbeitung
verhindert. Selbst-Datenschutz kann durch technische und organisatorische
Verfahren verbessert werden, die den Teilnehmern anonymes oder pseudonymes
Handelns oder verschlüsselte Datenübertragungen ermöglichen.
Mit dem technologischen Konzept öffentlicher Schlüsselsysteme
können diese Anforderungen gewährleistet werden.
System-Datenschutz soll durch die Gestaltung der Systemstrukturen, in denen
personenbezogene Daten erhoben und verarbeitet werden, einer unzulässigen
Datenverarbeitung vorbeugen und die Selbstbestimmung der Betroffenen sicherstellen.
Er kann durch dateneinsparende Organisation der Übermittlung, der
Abrechnung und Bezahlung sowie der Abschottung von Verarbeitungsbereichen
unterstützt werden.
(1) Der Anwendungsbereich der Datenschutzregelung erfaßt nach
Absatz 1 Multimedia-Angebote, die den Teilnehmern online - wie sich aus
dem Begriff Übermitteln ergibt - zur Verfügung stehen unabhängig
von der Art des in der technischen Einrichtung, auf dem das Angebot bereitgehalten
wird, angewendeten Speichermediums. Die Datenschutzregelung findet also
keine Anwendung auf Multimedia-Angebote, die ohne einen Übermittlungsvorgang
von einer technischen Einrichtung in Anspruch genommen werden (Offline-Angebote).
In Anlehnung an die Begriffsbestimmung des BW LMedienG, sind Angebote auf
Abruf solche, die "von einem Speicher selbsttätig an jeden Beliebigen
übermittelt werden, der sie mit nachrichtentechnischen Mitteln angewählt
hat, unabhängig davon, ob die Übermittlung alsbald oder zu einem
geeigneten späteren Zeitpunkt vorgenommen wird" (§ 1 Absatz
3 BW LMedienG). Hingegen werden Abgebote auf Zugriff "in raschem Wechsel
so verbreitet (..), daß jedermann jederzeit oder zu einem beliebigen
Zeitpunkt innerhalb eines bestimmten Zeitrahmens jede einzelne Information
auswählen und sofort oder mit einer Wartezeit sichtbar oder hörbar
machen kann" (§ 1 Absatz 3 Nr. 2 BW LMedienG).
(2) Absatz 2 konkretisiert den Grundsatz bereichsspezifischer Regelung
nach § 1 Absatz 4 BDSG. Soweit die Vorschriften dieses Teils keine
gesonderten Datenschutzregelungen enthält, finden die Datenschutzvorschriften
des Telekommunikationsrecht oder das allgemeine Datenschutzrecht des Bundes
und der Länder Anwendung. Unter dieser Voraussetzung gelten jedoch
die Datenschutzvorschriften des Telekommunikationsrecht (§ 10 PTRegG
i.V.m. TDSV/UDSV bzw. § 86 E-TKG i.V.m. E-TDSV) nur, soweit im Rahmen
von Multimedia-Anwendungen auch Telekommunikationsdienstleistungen erbracht
werden. Auf die Betreiber (§ 2 Nr. 2) finden die Datenschutzvorschriften
des Telekommunikationsrecht also nur Anwendung, soweit das Datenschutzrecht
dieses Multimediagesetzes keine abweichenden Regelungen enthält. Auf
die Anbieter (§ 2 Nr. 4) findet das allgemeine Datenschutzrecht Anwendung,
soweit sie personenbezogene Daten ihrer Kunden (§ 2 Nr. 6) erheben
und verarbeiten und dieses Gesetz keine abweichenden Regelungen enthält
(so § 8).
§ 2 enthält die für die Datenschutzregelung dieses Gesetzes
maßgeblichen Begriffsbestimmungen, soweit sie sich nicht aus den
Begriffsbestimmungen subsidiärer Datenschutzregelungen wie dem des
Telekommunikationsrechts und des allgemeinen Datenschutzrechts des BDSG
ergeben.
Nach Nr. 1 ist eine Multimedia-Anwendung der Oberbegriff für das Bereithalten,
Übermitteln und Nutzen von multimedialen Angeboten. Übermitteln
ist in § 3 Absatz 5 Nr. 3 und Nutzen in § 3 Absatz 6 BDSG definiert.
Für eine Multimedia-Anwendung im Sinne des Gesetzes ist es nicht erforderlich,
daß das Angebot mit Hilfe jeder der genannten medialen Formen gestaltet
ist. Ausreichend ist, wenn das Angebot zumindest aus einem Medium in Verbindung
mit der Einflußmöglichkeit des Teilnehmers (Interaktion) besteht.
Das Medium Bild umfaßt neben Standbilder auch Bewegtbilder und Videopräsentationen.
Zu den Tondaten zählt auch die Sprachkommunikation. Das Tatbestandsmerkmal
der anderen Daten hat Auffangfunktion.
Mit der Definition des Betreibers (Nr. 2) und der von ihm betriebenen technischen
Multimedia-Einrichtung (Nr. 3) wird die Verantwortlichkeit für datenschutzrechtliche
und technische Gestaltungspflichten festgelegt. "Technische Einrichtung"
und "Bereithalten" sind als entwicklungsoffene Begriffsbestimmungen
zu verstehen, die die weitere technischen Entwicklung aufnehmen, ihr aber
nicht entgegenstehen sollen.
Das Angebot eines Anbieters (Nr. 4) muß multimedial im Sinne der
Begriffsbestimmung der Nr. 1 gestaltet sein. Nicht erforderlich ist, daß
der Inhalt des Angebots selbst multimedial ist. Beispielsweise muß
der elektronische Katalog im Teleshopping ein mutimedial gestaltetes Angebot
sein. Jedoch müssen die dort präsentierten Waren oder Dienstleistungen
nicht ebenfalls multimedial sein.
Die Unterscheidung nach Teilnehmer (Nr. 5) und Kunde (Nr. 6) rechtfertigt
sich aus den unterschiedlichen Rollen entwedre als Teilnehmer an einem
Multimedia-Angebot interaktiv teilzunehmen oder aber veranlaßt durch
ein derartiges Angebot als Kunde gegenüber dem Anbieter aufzutreten.
Die Unterscheidung zwischen Teilnehmer und Kunde ist in Hinblick auf das
in § 4 Absatz 3 Nr. 5 und Nr. 6 vorgesehenen "Trennungsmodell"
von Bedeutung. Wer also in einem elektronischen Katalog im Teleshopping
blättert oder an einem multimedial angebotenen Englisch-Kurs teilnimmt,
ist Teilnehmer. Wer jedoch beim Anbieter eine im Katalog angebotene Ware
bestellt, ist Kunde. Um "Kunde" im Sinne der Begriffsbestimmung
zu sein, genügen auch vorvertragliche Beziehung.
Die Definition des Netzbetreibers in Nr. 7 ist an § 3 Nr. 15 E-TKG
angelehnt. Dieses Gesetz betrifft Netzbetreiber nur durch die Regelung
über die Datenschutzkontrolle.
(1) Absatz 1 enthält den für das Datenschutzrecht charakteristischen
Vorbehalt für die Erhebung und Verarbeitung personenbezogener Daten.
Voraussetzung einer zulässigen Verarbeitung ist eine ausreichend bestimmte
gesetzliche Grundlage oder die Einwilligung des Betroffenen.
(2) Nach § 1 Absatz 2 dieses Gesetzes richten sich die Anforderungen
an eine wirksame datenschutzrechtliche Einwilligung nach § 4 Absatz
2 BDSG. Über die dort vorgesehene Schriftform hinaus ermöglicht
Absatz 2, daß die Einwilligung auch elektronisch erteilt werden kann.
Wegen der besonderen Risiken, denen elektronische Erklärungen mangels
Verkörperung (Schriftform) und biometrischer Kennzeichen (eigenhändige
Unterschrift) ausgesetzt sind, bedürfen sie technischer Sicherungen
zum Nachweis ihrer Authentizität und Urheberschaft. Als geeignetes
technisches Verfahren bietet sich hier das Konzept der digitalen Signatur
an. Jedoch ist die Vorschrift auch für die Anwendung anderer geeigneter
technischer Verfahren offen, soweit sie nur die genannten Funktionen erfüllen
können. Die Vorschrift erfüllt die in Art. 17 Absatz 1 der EG-Datenschutzrichtlinie
(95/46/EG) für Netzkommunikation aufgestellten Anforderungen.
Die dritte Anforderungen dient dem Schutz der Betroffenen vor einer übereilt
elektronisch erteilten Einwilligung. Dieser Schutz ist in Anbetracht der
besonderen technikspezifischen Gefahren nämlich der Anwendung eines
flüchtigen Mediums (Bildschirm) und das Handeln durch einfachen Knopfdruck
oder Mausklick, das nicht zwischen wichtigen und unwichtigen Handlungen
unterscheidet, von Bedeutung. Eine entsprechende Regelung findt sich auch
in anderen Datenschutzvorschriften des Telekommunikations- und Medienrechts
(§ 12 Absatz 5 Satz 4 TDSV, § 12 Absatz 6 Satz 4 E-TDSV [Stand:
5. Januar 1996], § 10 Absatz 8 Nr. 2 Btx-StV, § 85 Nr. 3 BW LMedienG).
In diesem Sinne autorisiert ist eine Einwilligung bspw. durch eine bestätigende
Wiederholung des Übermittlungsbefehls während gleichzeitig die
Einwilligungserklärung mindestens auszugsweise auf dem Bildschirm
dargestellt wird.
(1) Absatz 1 enthält zwei Zielvorgaben für die Gestaltung
und Auswahl der technischen Einrichtungen, die für die Inanspruchnahme
von Multimedia-Angeboten erforderlich sind, nämlich die der Dateneinsparung
und die der Gewährleistung eines hohen Datenschutzniveaus. Dateneinsparung
bedeutet, daß das Erheben und Verarbeiten personenbezogener Daten
auf ein Minimum beschränkt wird. Beide Vorgaben sind Optimierungsgebote,
die zum Teil durch die folgenden Absätze konkretisiert werden. Durch
welche konkreten technischen und organisatorischen Verfahren diese Ziele
im einzelnen erreicht werden, bleibt den Betreibern und Herstellern und
damit dem Wettbewerb überlassen. Die Zielvorgaben dienen auch als
materielle Kriterien für das in § 11 vorgesehene Datenschutz-Audit.
Der Begriff der technischen Einrichtungen beschränkt sich nicht nur
auf die technischen Multimedia-Einrichtungen im Sinne von § 2 Nr.
1, sondern schließt auch die Endgeräte und Anwendungsprogramme
der Teilnehmer wie beispielsweise die Set-Top-Box oder Darstellungsprogramme
mit ein.
(2) Absatz 2 konkretisiert das Ziel der Dateneinsparung, in dem es den
Betreiber verpflichtet, den Teilnehmern anonymes oder pseudonymes Handeln
zu ermöglichen. Dies gilt sowohl für die Inanspruchnahme von
Angeboten als auch für ihre Bezahlung. Anonymität kann beispielsweise
durch die Verwendung vorbezahlter Wertkarten erreicht werden. Das Gebot
ist auch im Zusammenhang mit § 7 Absatz 1 zusehen, wonach im Regelfall
nicht der Anbieter, sondern lediglich der Betreiber mit dem Teilnehmer
Leistungen abrechnet.
Für die Definition von Anonymität kann auf die Begriffsdefinition
der faktischen Anonymität nach § 3 Absatz 7 BDSG zurückgegriffen
werden. Pseudonymes Handeln (§ 2 Nr. 7) kann durch das Konzept der
digitalen Signatur ermöglicht werden, indem das den Schlüsselinhaber
bestätigende Zertifikat auf ein Pseudonym ausgestellt wird. Die Voraussetzungen
hierfür werden in §§ 9 Absätze 2 und 7, 11 Absatz 2
und 21 Absatz 2 des Zweiten Teils [Voraussetzungen des elektronischen Rechtsverkehrs]
geregelt.
(3) Die nach Absatz 3 geforderten technischen und organisatorischen Anforderungen
präzisieren die Ziele der Dateneinsparung und eines hohen Datenschutzniveaus.
Die Verpflichtung der Betreiber nach Nr. 1 zur Abrechnung von Leistungen
nach Entgelt oder Zeiteinheiten vermeidet überflüssige personenbezogene
Daten über die Inanspruchnahme bestimmter Angebote.
Durch die Anforderung nach Nr. 2 wird die Kommunikationsfähigkeit
des Teilnehmers insofern gewahrt, als er Kommunikationsbeziehungen jederzeit
und folgenlos abbrechen können muß.
Die Anforderung nach Nr. 3 flankiert das rechtliche Löschungsgebot
nach § 6 Absatz 2 durch technische und organisatorische Anforderungen.
Nr. 4 soll die Teilnehmer gegen unzulässige Kenntnisnahme der von
ihnen in Anspruch genommenen Leistungen schützen. Die Regelung gewährleistet
neben dem Datenschutz auch den Schutz des Fernmeldegeheimnisses.
Nr. 5 statuiert für die Fälle, in denen der Betreiber eigene
Angebote auf seiner technischen Multimedia-Einrichtung bereithält
und übermittelt, ein technisch und organisatorisch zu gewährleistendes
Trennungsgebot. Mit dieser Regelung soll verhindert werden, daß der
Betreiber personenbezogene Daten über die Inanspruchnahme von Angeboten
mit späteren Kundendaten, die er als Anbieter erhält, zusammenführt
(und umgekehrt) und auf diese Weise personenbezogene Kundenprofile entstehen,
die Auskunft über seine erfüllten und unerfüllten Wünsche
geben könnten.
Das in Nr. 6 vorgesehene Trennungsgebot gilt für den Fall, daß
der Teilnehmer gegenüber dem Betreiber in eine Übermittlung seiner
Daten an den Anbieter eingewilligt hat. In diesem Fall hat der Betreiber
Teilnehmer- und Kundendaten getrennt zu verarbeiten und nur soweit es für
die Übermittlung erforderlich ist, zu übermitteln.
(4) Absatz 4 stellt klar, daß die Betreiber im Sinne dieses Gesetzes
betriebliche Datenschutzbeauftragte bestellten müssen. Ohne diesen
Absatz könnte der über die Formulierung des § 1 Absatz 2
E-TDSV [vom 15. Januar 1996] enthaltene Ausschluß des § 36 BDSG
für Anbieter von Telekommunikationsdienstleistungen zur Rechtsunsicherheit
über die Bestellung betrieblicher Datenschutzbeauftragter führen,
auch wenn § 36 BDSG als gesetzliche Regelung aus verfassungsrechtlichen
Gründen Vorrang vor den Bestimmungen einer Rechtsverordnung wie der
TDSV genießt.
(5) Zweck des Absatzes 5 ist es, dem Teilnehmer Transparenz über die
Weiterschaltung seiner Verbindungsdaten von einem Betreiber zu einem anderen
zu ermöglichen. Ohne eine derartige Transparenz können weder
das Auskunftsrecht noch die Befugnisse der Überwachungsbehörde
sinnvoll wahrgenommen werden.
(1) § 5 bindet die Erhebung, Verarbeitung und Nutzung der Bestandsdaten
über die Bereitstellung und Übermittlung von Multimedia-Angeboten
durch den Betreiber an die Grundsätze der Erforderlichkeit und der
Zweckbindung. Die Verarbeitung von Bestandsdaten eines Kunden durch einen
Anbieter richtet sich nach dem allgemeinen Datenschutzrecht.
(2) Absatz 2 läßt eine Nutzung und Übermittlung der Bestandsdaten
für andere Zwecke als den nach Absatz 1 vorgesehenen nur mit Einwilligung
des Teilnehmers zu. Die Vorschrift ist damit enger als die des Telekommunikationsrechts
(vgl. bspw. § 4 Absatz 2 TDSV, § 4 Absatz 1 und 2 E-TDSV). Die
EG-Datenschutzrichtlinie 95/46/EG, Art. 7 f, steht dieser Regelung nicht
entgegen, denn die in Absatz 2 angeführten Verarbeitungszwecke sind
nicht zur Erfüllung des Vertrages zwischen Betreiber und Teilnehmer
erforderlich und können damit gegenüber den Rechten der betroffenen
Teilnehmer keine überwiegenden berechtigten Interessen darstellen,
zumal der Betreiber die Einwilligung des Betroffenen regelmäßig
einholen kann.
(1) Absatz 1 enthält eine Legaldefinition der Verbindungsdaten,
die definitionsgemäß personenbezogene Daten (vgl. § 3 Absatz
1 BDSG) sind, und bindet ihre Verarbeitung an den Zweck der Übermittlung
und das Erforderlichkeitsprinzip. Der Betreiber benötigt Verbindungsdaten
nur zur Übermittlung von Angeboten.
Für den Fall, daß ein Betreiber gleichzeitig auch eigene Angebote
bereithält und übermittelt, sind die technischen und organisatorischen
Vorkehrungen der Abschottung und Trennung nach § 4 Absatz 3 Nr. 5
zu beachten.
(2) Nach Absatz 2 sind die Verbindungsdaten nach Ende der jeweiligen Verbindung
zu löschen. Soweit sie zu Abrechnungszwecken erforderlich sind, gelten
die Vorschriften des § 7. Personenbezogene Daten über Suchschritte,
die in Hinblick auf das Teilnehmerverhalten und Konsumentenwünsche
von Bedeutung sind, sind in jedem Fall nach Abbruch oder Beendigung der
Verbindung unmittelbar zu löschen. Die Regelungen werden durch die
Betreiberpflicht nach § 4 Absatz 3 Nr. 2 und 3 flankiert.
(3) Absatz 3 schließt jede Übermittlung von Verbindungsdaten
an Anbieter oder andere Dritte aus. Dies gilt auch für den Fall, daß
der Betreiber eigene Angebote bereithält und an Teilnehmer übermittelt,
denn im Sinne des Gesetzes verarbeiten Betreiber und Anbieter personenbezogene
Daten zu unterschiedlichen Zwecken und sind damit jeweils datenverarbeitende
Stellen zwischen denen personenbezogene Daten übermittelt werden.
Jedoch dürfen einem Anbieter Verbindungsdaten anonymisiert zu Zwecken
seiner Marktforschung übermittelt werden.
(1) Absatz 1 gewährleistet ein hohes Datenschutzniveau indem der
Betreiber von Gesetzes wegen das Inkasso für den Anbieter betreibt.
Auf diese Weise ist gewährleistet, daß der Anbieter keine Verbindungsdaten
verarbeiten muß, wohl aber seinem Interesse am Einzug seiner Forderungen
entsprochen werden kann. Eine personenbezogene Abrechnung erübrigt
sich, wenn der Betreiber eine anonyme Inanspruchnahme und Abrechnung nach
§ 4 Absatz 1 und 2 ermöglicht.
(2) Der Betreiber darf nach Absatz 2 Verbindungsdaten nur insoweit verarbeiten
als es für die Abrechnung seiner eigenen Leistung, nämlich die
Inanspruchnahme seiner technischen Einrichtung, sowie der Angebote erforderlich
ist. Die für die Abrechnung erforderlichen Daten sind im Sinne des
Gesetzes die Abrechnungsdaten.
(3) Nach Absatz 3 ist eine Übermittlung von Abrechnungsdaten an Dritte
unzulässig. Aus Gründen der gerechten Risikoverteilung des Entgelteinzuges
darf der Betreiber jedoch Abrechnungsdaten übermitteln, wenn die Forderung
durch den Teilnehmer auch nach Mahnung nicht beglichen wird.
(4) Absatz 4 fordert, daß die Abrechnungsdaten nicht länger
gespeichert werden als für die Abrechnung erforderlich ist. Abrechnungsdaten
sind nach Erlöschen der Forderung zu löschen.
(5) Zweck der Vorschrift des Absatzes 5 Satz 1 ist es, die Erstellung von
Teilnehmerprofilen aus den Abrechungsdaten zu verhindern. Diese Anforderung
gilt nicht, wenn der Teilnehmer einen Einzelentgeltnachweis verlangt. Für
die Erteilung der Einwilligung von Teilnehmern in Haushalten, Behörden
und Betrieben in die Erstellung eines Einzelentgeltnachweises sind die
Bestimmungen des Telekommunikationsrechts nach § 1 Absatz 2 zu beachten
(§ 6 Absatz 9 TDSV bzw. § 6 Absatz 7 E-TDSV).
(1) Durch die Vorschrift soll erreicht werden, daß die Anbieter
ihren Kunden (§ 2 Nr. 6), die im Anschluß an ein multimediales
Angebot mit ihnen in eine Rechtsbeziehung getreten sind, anonyme oder pseudonyme
Bestellungen und Bezahlungen ermöglichen. Zu denken ist beispielsweise
an vorbezahlte Warenbestellungen, deren Auslieferung über Dritte erfolgt.
Der Anbieter kennt den Wareninhalt, aber nicht den Kunden, der Dritte den
Kunden, aber nicht den Inhalt der Ware. Da derartige Konzepte noch nicht
verbreitet sind, steht die Anforderung unter dem Vorbehalt der Zumutbarkeit.
Sie kann insbesondere für die Begutachtung im Rahmen eines Datenschutz-Audits
(§ 12) Bedeutung erlangen.
(2) Die Regelung des Absatzes 2 ermöglicht einen praktischen Kompromiß
zwischen dem Interesse des Kunden an weitgehender Anonymität seines
Konsumentenverhaltens und dem berechtigten wirtschaftlichen Interesse des
Anbieters, die Inanspruchnahme seiner Waren oder Dienstleistungen auszuwerten.
Aus diesem Grund sind Nutzungsprofile der Kunden pseudonym möglich.
Pseudonyme im Sinne des Gesetzes sind personenbeziehbare Daten. Satz 2
soll eine Umgehung des Satzes 1 verhindern.
§ 9 stellt sicher, daß der Teilnehmer über das nach § 1 Absatz 2 datenschutzrechtlich jeweils geltende Auskunftsrecht hinaus, die über ihn oder sein Pseudonym gespeicherten Daten kostenlos und elektronisch einsehen kann. Die Gewährleistung dieses Einsichtsrechts erübrigt sich, wenn die Inanspruchnahme von Angeboten anonym - beispielsweise mit Hilfe von vorbezahlten Wertkarten - ermöglicht wird (§ 4 Absatz 2).
Der Anwendungsbereich der Vorschrift gilt für die Verarbeitung
personenbezogener Daten durch Betreiber (Absatz 2) und Netzbetreiber (Absatz
3).
(1) Ein verfassungsrechtlich gebotenes Prinzip des Datenschutzes ist die
Kontrolle der Verarbeitung personenbezogener Daten durch unabhängige
Stellen. Die Notwendigkeit einer unabhängigen Kontrolle hat das Bundesverfassungsgericht
in seiner Volkszählungsentscheidung betont: "Wegen der für
den Bürger bestehenden Undurchsichtigkeit der Speicherung und Verwendung
von Daten unter den Bedingungen der automatischen Datenverarbeitung und
auch im Interesse eines vorgezogenen Rechtsschutzes ist die Beteiligung
unabhängiger Datenschutzbeauftragter von erheblicher Bedeutung für
einen effektiven Schutz des Rechts auf informationelle Selbstbestimmung"
(BVerfGE 65, 1 (46)). Auch Art. 28 Absatz 1 EG-Datenschutzrichtlinie sieht
ausdrücklich öffentliche Kontrollstellen vor, die ihre Überwachungsaufgaben
in "völliger Unabhängigkeit" wahrnehmen sollen.
Angesichts der verfassungsrechtlichen Bedeutung des Datenschutzes zum einen
und der Bedeutung eines hohen Datenschutzniveaus für eine breite Akzeptanz
von Multimedia-Anwendungen zum anderen, ist es erforderlich, daß
die Datenschutzkontrolle effektiv, kompetent und von Amts wegen von einer
unabhängigen Instanz wahrgenommen wird.
Die Institution des betrieblichen Datenschutzbeauftragten wird durch die
Vereinheitlichung der öffentlichen Datenschutzkontrolle nicht berührt.
Sie dient dem Zweck der innerbetrieblichen Selbstkontrolle, um eine ständige
Einhaltung der Datenschutzanforderungen sicherzustellen.
(2) Um das berechtigte Anliegen einer einheitlichen öffentlichen Datenschutzkontrolle
der Telekommunikation umzusetzen, bietet es sich an, die Aufgabe der Datenschutzkontrolle
dem Bundesbeauftragten für den Datenschutz zu übertragen, der
sie bisher schon anstelle der Aufsichtsbehörden nach § 38 BDSG
für den Bereich der Deutschen Bundespost, der Telekom, soweit sie
ein Monopol besitzt (vgl § 2 Absatz 1 Satz 2 BDSG), wahrgenommen hat
und weiterhin nach § 88 Absatz 4 E-TKG für die Erbringung der
Telekommunikation erbringen soll.
Der Bundesbeauftragte für den Datenschutz verfügt also bereits
über die erforderliche Sach- und Fachkunde für den Datenschutz
im Bereich der Telekommunikation. Zudem würde eine Beauftragung des
Bundesbeauftragten für den Datenschutz eine Zersplitterung der Zuständigkeit
für die Datenschutzkontrolle auf verschiedene Institutionen vermeiden,
zumal es im Wesen der Telekommunikation begründet liegt, daß
personenbezogene Daten bundesweit über die Ländergrenzen hinweg
übermittelt werden. Schließlich müßte sich der Teilnehmer
bei einer überregionalen Übermittlung nur an eine zuständige
Kontrollbehörde wenden, während nach noch geltendem Recht zahlreiche
Behörden örtlich zuständig sind.
Andererseits stößt eine vollständige Übertragung der
Aufgabe der Datenschutzkontrolle an den Bundesbeauftragten für den
Datenschutz jedoch an verfassungsrechtliche Grenzen. Der Bundesbeauftragte
für den Datenschutz ist eine selbständige Bundesoberbehörde
nach Art. 87 Absatz 3 Satz 1 GG, deren Einrichtung dem Bund nur möglich
ist, wenn er auch die Gesetzgebungskompetenz besitzt. Entsprechendes gilt
auch für die Übertragung von weiteren Aufgaben an diese Behörde.
Der Bund besitzt die Gesetzgebungskompetenz für die Telekommunikation
(Art 73 Nr. 7 GG) sowie die Wirtschaft (Art. 74 Nr. 11 GG), zu denen der
Datenschutz jeweils Annexkompetenz ist. Die Materie des Schutzes personenbezogener
Daten, die beim dem Betreiber von technischen Multimedia-Einrichtungen
anfallen, unterliegen jedenfalls insoweit der Gesetzgebungskompetenz des
Bundes als diese den Materien der Telekommunikation und der Wirtschaft
zugeschrieben werden können.
Der Bund kann jedoch die ihm nach dieser Vorschrift zustehende Verwaltungskompetenz
ohne Zustimmung des Bundesrates nur für solche Aufgaben ausüben,
"die der Sache nach für das ganze Bundesgebiet von einer Oberbehörde
ohne Mittel- und Unterbau und ohne Inanspruchnahme von Verwaltungsbehörden
der Länder - außer für reine Amtshilfe - wahrgenommen werden
können" (BVerfGE 14, 197, 211). Eine Zuständigkeit des Bundesbeauftragten
für den Datenschutz würde jedoch Verwaltungskompetenzen der Länder
verdrängen, da diese bereits heute die Datenschutzaufsicht über
die öffentlichen Stellen ihres Landes ausüben. Aus diesem Grund
nimmt der Absatz 2 Satz 3 die Betreiber von der Datenschutzaufsicht aus,
die Stellen eines Landes sind.
Ebenfalls von den Ländern wird nach geltendem Recht die Datenschutzaufsicht
über nicht-öffentliche Stellen nach § 38 BDSG wahrgenommen.
Andererseits aber hat der Bund die Verwaltungskompetenz "Datenschutzaufsicht"
für den Bereich der Telekommunikation bereits seit langem auch ohne
Verwaltungsunterbau wahrgenommen und auch wahrnehmen können. Die Vorschrift
verfolgt daher einen Mittelweg, der sich an dem Erfordernis einer effektiven
Datenschutzaufsicht orientiert und zugleich die Notwendigkeit einer einheitlich
ausgeübten Kontrolle über eine Datenverarbeitung berücksichtigt,
die technikbedingt nicht an einen Ort gebunden ist, sondern über technische
Einrichtungen erfolgt, die an verschiedenen Standorten bestehen, möglicherweise
nicht einmal ortsgebunden sind.
Der Gesetzentwurf unterscheidet zwischen der Datenschutzaufsicht über
Betreiber, die Multimedia-Anwendungen über ein Festnetz in einem räumlich
definierten und abgeschlossenen Gebiet, und Betreibern, die Angebote über
offene Netze bereitstellen. Im ersten Fall ist die unabhängige Datenschutzbehörde
(Absatz 1) eines Landes zuständig, im zweiten Fall der Bundesbeauftragte
für den Datenschutz. Die Aufgabenübertragung an den Bundesbeauftragten
für Multimedia-Anwendungen in offenen Netzen ist gerechtfertigt, da
eine Überwachung dieser Betreiber auch mit Mitteln der Telekommunikation
(Absatz 4 Nr. 2 und 3) ohne einen Verwaltungsunterbau möglich ist.
(3) Nach entsprechenden Kriterien richtet sich auch die Datenschutzüberwachung
der Netzbetreiber (§ 2 Nr. 7). Die Verwaltungskompetenz des Bundes
erstreckt sich nicht auf örtlich zu überwachende geschlossene
Benutzergruppen oder auf Netzbetreiber, die Stellen eines Landes sind.
(4 und 5) Die Pflichten der Betreiber und Netzbetreiber und die Überwachungsbefugnisse
der Datenschutzbehörde orientieren sich an den bestehenden Pflichten
und Befugnisse unter Berücksichtung der technikspezifischen Eigenarten
und Möglichkeiten der Telekommunikation. Aus diesem Grund ist den
Datenschutzbehörden auch elektronischer Zugriff auf die Angebote und
technische Betriebseinrichtungen zu gewähren (Absatz 4 Nr. 2 und 3).
(6) Die Unterrichtung der Regulierungsbehörde über die Feststellung
von Verstößen ermöglicht dieser, zusätzliche Aufsichtsmaßnahmen
nach dem E-TKG zu ergreifen.
Funktion des Datenschutz-Audits ist es, die Ziele der Dateneinsparung
und eines hohen Datenschutzniveaus durch Stärkung der unternehmerischen
Selbstverantwortung, der Transparenz und des Wettbewerbs zu erreichen.
Erfahrungen mit dem Mittel des Audits bestehen bislang noch nicht. Lediglich
im Bereich der Umweltpolitik ist seit kurzem durch eine Verordnung der
Europäischen Gemeinschaft (EWG 1836/93 vom 29.6.1993, ABl L 168 vom
10.7.1993, 1) und ein vor kurzem erlassenes Ausführungsgesetz des
Bundes (Umweltautitgesetz vom 7.12.1995, BGBl I, 1591) ein Umwelt-Audit
Verfahren vorgesehen. Das Datenschutz-Audit könnte sich nach Auswertung
entsprechender Erfahrungen als ein geeignetes Instrument erweisen, im Wege
der Selbstregulierung und der Schaffung marktgerechter Anreize ein hohes
Datenschutzniveau sicherzustellen. Aus diesem Grund eignet sich ein Datenschutz-Audit
auch als Experimentierklausel.
Jedoch bedarf das Datenschutz-Audit einer gesetzlichen Grundlage, da sowohl
die Festlegung der Anforderungen an die Prüfung und Bewertung als
auch das Verfahren sowie die Auswahl und Zulassung der Gutachter berufsbeschränkenden
Charakter haben und damit dem verfassungsrechtlichen Vorbehalt des Gesetzes
unterliegen.