Wie in Teil A gezeigt sind die derzeitigen Datenschutzkonzepte nicht in der Lage die Risiken, die sich für personenbezogene Daten aus den neuen Technologien ergeben zu kontrollieren. Im nun nachfolgenden Teil sollen Vorschläge gemacht werden, diese Defizite auszugleichen. Die Verbesserungen sollten darauf beruhen, dass die öffentliche Aufmerksamkeit und die Wirksamkeit der Datenschutzgesetze erhöht wird. Dies geschieht durch strukturelle Änderungen im Gesetz und der Stellung der Kommunikation in der Verfassung. Da man eine Kontrolle der Gefährdungen nicht erreichen kann, ohne die Betroffenen einzubeziehen müssen der Selbstdatenschutz und die Betroffenenrechte gestärkt werden.
„Datenschutz ist Grundrechtsschutz“ und der Schutz den die Grundrechte vermitteln, aber auch der ihnen selbst zukommen soll, muss sich an der jeweiligen Gefährdungslage orientieren.
Mit der zunehmenden Digitalisierung verwischen die Unterschiede zwischen der Online- und der Offlinewelt zunehmend. Das ist schon jetzt mit dem Vorhandensein „digitaler Identitäten“ zu beobachten und wird sich mit dem „Ubiquitous Computing“ noch weiter ausbreiten.
Kommunikation wird in jeder Form, an jedem Ort und vor allem in jeder „Verarbeitungsweise“ ein immer größerer und wohl bald bestimmender Faktor eines jeden Lebens und jeder Lebensäußerung sein, die immer und überall Spuren hinterlassen wird.
Ein umfassendes, jede analoge wie digitale freie Kommunikation garantierendes Grundrecht wäre daher eine denkbare Möglichkeit diesem wichtiger werdenden Bereich des Lebens in der Verfassung adäquat zu repräsentieren.[121]
Zwar ergäbe sich auch dieses Grundrecht aus den bisherigen Grundrechten auf Kommunikation. Doch genießen die in der Verfassung explizit beschriebenen Grundrechte einen sehr hohen Stellenwert. Sie ist nicht nur Ausdruck, sondern auch Fundament der Gesellschaft und damit auch der „Informationsgesellschaft“.
Will man also eine weit reichende Akzeptanz der „Informationsgesellschaft“ erreichen, so sollte man dieser auch den dafür angemessenen Platz in der Verfassung geben. Auch die zunehmende Verwischung zwischen öffentlich und privat was die Kommunikation angeht, lässt eine Stärkung aller Kommunikationsfreiheiten inhaltlich wie formal durch explizite Herausstellung angeraten sein.
Im Rahmen dieser Umstellung sollte auch eine einheitliche Bezeichnung für den Umgang mit den Daten gefunden werden. Dafür böte sich in Anlehnung an die Europäische Datenschutzrichtlinie „Verarbeitung“ an. Eine weitere Aufsplittung erscheint künstlich und wird auch der gleichen Anfälligkeit der Daten unter den verschiedenen Verwendungen nicht gerecht.[122]
Gem. § 1 III BDSG ist das BDSG subsidiär zu anderen Rechtsvorschriften des Bundes, wenn diese ebenfalls auf personenbezogene Daten anwendbar sind, auch wenn der Regelungsbereich und die Regelungstiefe der vorrangigen Vorschrift hinter die des BDSG zurücktritt[123]. Gem. § 4 I BDSG ist zudem die Datenverarbeitung aus jeder anderen Vorschrift zulässig[124]. Dies sind meist landesrechtliche Vorschriften. Zudem tritt sie auch hinter zeitlich frühere Rechtsvorschriften zurück[125]
Im Moment gibt es deshalb hunderte Gesetze und Verordnungen, die das Datenschutzrecht regeln. Der Auftrag an und der Versuch durch den Gesetzgeber, „den Verwendungszweck bereichsspezifisch und präzise“[126] bestimmen zu lassen, um ein bereichsspezifisches Datenschutzrecht mit größerer Normenklarheit zu erreichen, schlug in eine Normenflut und Unsicherheit ungekannten Ausmaßes um.
Wenn Datenschutz „attraktiv“ sein soll, so muss er verständlich und überschaubar sein. Daher sollte das BDSG, das grundlegende Gesetz sein, das nur in wirklichen Ausnahmefällen von anderen Regelungen ergänzt werden darf.[127]
Der Gesetzgeber hat es verabsäumt, eine „informationelle Gewaltenteilung“ einzuführen, sondern hat immer mehr spezifische Regelungen, meist auf Druck der Datenverarbeiter zugelassen.[128] Insbesondere die, nicht zu vorhersehende, Bedeutung des Datenschutzrechtes in jedem noch so „nischigen“ Rechtsbereich macht eine derartige Regelung nicht praktizierbar.
Das BDSG muss daher ein allgemeines[129] klar gefasstes Gesetz sein, das alle Grundsätze der Datenverarbeitung deutlich regelt. Sollten darüber hinaus noch bereichsspezifische Regelungen notwendig sein, so sollten sie als solche gekennzeichnet werden, um beispielsweise besonders risikoreiche Datenverarbeitungen regeln.[130]
Die bereichsspezifischen Regelungen könnten von den Interessenvertretungen mitgestaltet werden.
Bei den Anforderungen an die Verarbeitung der Daten erscheint die Trennung zwischen den Bereichen des öffentlichen und des nicht-öffentlichen Datenschutzes im BDSG der Zeit nicht mehr angemessen. Insbesondere sind die Anforderung an die Verarbeitung von Daten ohne Einwilligung des Betroffenen wegen der schwammigen Generalklauseln gem. § 28 I Nr. 2 und 3 i.V.m. § 28 II BDSG sehr niedrig.
Waren dereinst die Bedrohungen durch die staatlichen Stellen für den Datenschutz deutlich höher als heute so haben sich augenscheinlich diese Szenarien in Ihr Gegenteil verkehrt. Ein unterschiedliches Datenschutzniveau was die allgemeinen Datenschutzgrundsätze
angeht, ist nicht mehr sinnvoll[131]. In den notwendigen Fällen sind müssen entsprechende Ausnahmeregelungen getroffen werden.
Auch die europäische Datenschutzrichtlinie (DSRL) trennt nicht zwischen den beiden Bereichen.
Wenn oben von augenscheinlich die Rede ist, so ist dies richtig, denn durch immer weitergehende Zugriffsrechte, die der Staat sich sukzessive auf die unter geringeren Auflagen privat gesammelten Daten einräumt, schafft er eine Lage in der auf lange Sicht der Staat als eine große Gefährdung der informationellen Selbstbestimmung anzusehen ist. Wenn führende Politiker da zusichern, dass es in der Bundesrepublik niemals zu einer „'uneingeschränkten' Anwendung freiheitsbeschränkter Maßnahmen kommen“[132] klingt das mehr zynisch als beruhigend.
Die informationelle Selbstbestimmung als Grundrecht und als Abwehrrecht verlangt daher ebenfalls, dass die Trennung aufgehoben wird.
Die Grundrechtsbindung der Verwaltung müsste durch enge und klare Ausnahmeregeln beachtet werden.
Grundsätzlich kommt eine Übertragung des allgemeinen Persönlichkeitsrechts in allen seinen Facetten auf eine juristische Person nicht in Betracht.[133] Dennoch sollten hinsichtlich der vergleichbaren Gefährdungslage auch juristische Personen, soweit dies ihrer Natur nach möglich ist gem. Art 19 III GG, grundrechtsberechtigt sein.[134] Insbesondere hinsichtlich des Rechts am eigenen Wort und der Gegendarstellung[135] wird dies heute schon akzeptiert.[136] Sollten die Kommunikationsfreiheiten in einem neuen Grundrecht zusammengefasst werden, wie oben gefordert, ist dies ohnehin nötig. Dies gilt auch für Verbände.[137]
Die größte Gefahr in Social Network Sites für den Datenschutz ist, wie oben ausführlich erläutert, die Bildung von Persönlichkeitsprofilen mit den eingestellten personenbezogenen Daten[138].
Der Verarbeitung der Daten bis hin zur Profilbildung wird über eine Einwilligung zugestimmt, die entweder in den AGB steht oder in einer separaten Datenschutzerklärung. Diese wird durch ein Anklicken eines Kästchens, dass man von ihnen Kenntnis genommen hat in den Vertrag einbezogen.
Im Gegensatz zur Europäischen Datenschutzrichtlinie stellt das BDSG für die Einwilligung das Gebot der Schriftlichkeit gem § 126 BGB auf. § 4a I S. 3 BDSG. Das bedeutet, das eine Erklärung, die dieser Schriftform nicht...