Das Recht der Betroffenen
Personenbezogene Daten werden verschlüsselt, um sie vor unbefugter Kenntnisnahme zu schützen, und sie werden durch Backups gesichert, um einen Verlust zu verhindern. Noch zu selten wird auch darauf geachtet, dass sie nicht manipuliert werden. Die Ziele Vertraulichkeit und Verfügbarkeit sind gut bekannt, das Schutzziel Integrität schon weniger. Über Grundsätze wie Datensparsamkeit und Datenvermeidung wissen die meisten noch viel weniger, wie die Erfahrung zeigt. Und es gibt noch weitere Datenschutzprinzipien, die viel zu wenig Beachtung finden.
Schutzgut sind natürliche Personen
Leider suggeriert der Begriff „Datenschutz“, dass es um den Schutz von Daten gehe. Vordergründig geht es tatsächlich um Daten, aber eben nur um solche, die einen Personenbezug haben. Genauer betrachtet geht es im Datenschutz also um Personen und um ihr Recht auf Privatsphäre sowie ihr Recht an den eigenen Daten. Die Personen sind die Betroffenen, wenn personenbezogene Daten missbraucht werden. Im Datenschutz sind deshalb die sogenannten Betroffenenrechte von elementarer Bedeutung. Man spricht hier auch von Intervenierbarkeit als einem Datenschutzprinzip.
Von der Auskunft bis zur Sperrung
Das Bundesdatenschutzgesetz (BDSG) enthält eine ganze Reihe von Betroffenenrechten, darunter
- das Recht auf Auskunft, welche Daten über die eigene Person gespeichert werden, zu welchem Zweck sie gespeichert werden, woher die Daten stammen und wer sie bekommen soll,
- das Recht auf Benachrichtigung, wenn Daten ohne Kenntnis des Betroffenen erhoben wurden,
- das Recht, sich an die Aufsichtsbehörde zu wenden,
- das Recht auf Berichtigung, Sperrung bzw. Löschung der Daten sowie ein Widerrufsrecht zur einmal erteilten Einwilligung zur Verarbeitung der eigenen Daten.
Entscheidend ist zudem, dass es für einen Vertragspartner nicht möglich ist, diese Betroffenenrechte zu beschneiden (§ 6 BDSG).
Teil 1 beginnt mit den Betroffenenrechten, vom Recht auf Auskunft bis zum Widerrufsrecht; außerdem geht es darum, wie sich das Datenschutzprinzip der Intervenierbarkeit praktisch umsetzen lässt. Teil 2 geht genauer auf die Dokumentationspflichten ein; Transparenz im Datenschutz erfordert zuerst eine saubere Datenschutzerklärung.Teil 3 widmet sich schließlich dem Gebot der Nichtverkettbarkeit, das sich aus der Zweckbindung einer Datenerhebung ableitet.
Betroffenenrechte in der Umsetzung
Das Datenschutzprinzip der Intervenierbarkeit („Eingreifbarkeit“) bedeutet, dass Unternehmen, die personenbezogene Daten verarbeiten, die genannten Betroffenenrechte auch in ihrer Datenverarbeitung technisch und organisatorisch berücksichtigen müssen. Es muss also Verfahren geben, mit denen sich die Betroffenenrechte umsetzen lassen.
Das kann z.B. eine Löschfunktion sein, mit der ein Kunde sein Nutzerprofil bei einem sozialen Netzwerk löschen kann (vorausgesetzt, die Löschung findet dann auch zuverlässig statt). Falls ein Dienst den aktuellen Standort des Nutzers ausmacht, kann dies eine Funktion sein, mit der sich die zuvor erlaubte Ortung wieder deaktivieren lässt. Es geht also generell um Funktionen oder Prozesse, mit denen der Betroffene aktiv in die Verarbeitung seiner Daten eingreifen kann, um sie im Extremfall ganz zu unterbinden, sofern es nicht anderslautende Rechte aufseiten des verarbeitenden Unternehmens oder der Behörde gibt.
Fazit: Privacy by Design und by Default
In der Praxis finden sich viele Beispiele, die zeigen, wie wenig allgemein auf die Betroffenenrechte und die Intervenierbarkeit geachtet wird. Für den Bereich der sozialen Netzwerke hat dies z.B. der Landesdatenschutzbeauftragte von Hessen beschrieben; er befasst sich insbesondere mit den häufigen Änderungen beim Funktionsumfang sozialer Netzwerke, dem Recht auf Auskunft für die Betroffenen und mit der Löschung der Daten aus sozialen Netzwerken.
- Teil 2 dieser Serie beschäftigt sich eingehend mit den Prinzipien Transparenz und Dokumentation.
Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.
Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de
