Benutzer:Privacyfrank/Ulmer Resolution
Beim 25jährigen Jubiläum der Ulmer Akademie für Datenschutz und IT-Sicherheit (udis) am 5. und 6. Oktober 2012 wurde die Ulmer Resolution zum aktuellen Entwurf der EU-Datenschutzverordnung[1] (EU-DSGVo-E[2]) von den Teilnehmern der Konferenz am 6. Oktober ohne Gegenstimmen und absolut-mehrheitlich verabschiedet[3].
Hintergrund
Die Teilnehmer der Konferenz sehen eine akute Gefahr für die Rechte der Bürger im Allgemeinen und eine regressive Entwicklung der Datenschutzpraxis in Unternehmen im Speziellen für den Fall, dass der aktuelle Entwurf der europäischen Datenschutz-Grundverordnung (EU-DSGVo-E) als Verordnung verabschiedet wird und damit (nach einer Übergangsfrist) das derzeit gültige Bundesdatenschutzgesetz (BDSG) in Deutschland ablösen wird.
Während der Konferenz hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar darauf hingewiesen (5.10.2012), dass zunehmend datenverarbeitende Unternehmen Einfluss auf die europäische Datenschutz-Gesetzgebung nehmen - ein Eindruck, zu dem auch Jürgen Geuter von der datenschutzkritischen Spackeria gekommen ist (Podiumsdiskussion am 6.10.2012). Dies hat der Konferenzleiter Prof. Gerhard Kongehl, wissenschaftlicher Leiter der Ulmer Akademie für Datenschutz und IT-Sicherheit, zum Anlass genommen, zur Verabschiedung einer gemeinsamen Resolution aller Konferenzteilnehmer aufzurufen.
Veröffentlichter Text
- Ulmer Resolution zum aktuellen Entwurf der EU-Datenschutzverordnung
- Seit 25 Jahren werden in Ulm Datenschutzbeauftragte ausgebildet. Die Dozenten der gemeinnützigen Ulmer Akademie für Datenschutz und IT-Sicherheit (udis) haben in dieser Zeit die Datenschutzpraxis in Deutschland maßgeblich mitgestaltet. Die mehr als 100 Teilnehmer der udis Konferenz zum 25jährigen Jubiläum stellen fest:
- Aufgrund der Allgegenwärtigkeit von personenbezogener Datenverarbeitung und ihres inzwischen kulturstiftenden Stellenwerts für die moderne Gesellschaft bedarf es einer breiten Sensibilisierung aller Bürger zum Thema Datenschutz zur langfristigen Wahrung ihrer Interessen in einer Kultur, die zunehmend auf Datenverarbeitung gründet.
- Deshalb fordern wir, statt einer bedingten Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten eine generelle Pflicht zur Bestellung eines Datenschutzbeauftragten im Betrieb. Diese generelle Pflicht betrifft alle nichtöffentlichen Stellen, sofern sie nicht eine Ausnahme von dieser Pflicht begründen können.
- Das Bestell- bzw. Ausnahmekriterium an der Mitarbeiterzahl der datenverarbeitenden Stelle festzumachen, ist in keiner Weise sinnvoll. Stattdessen ist eine Bewertung über die Anzahl der von einer Datenverarbeitung Betroffenen und der Sensibilität der Daten unter Berücksichtigung des Verarbeitungskontextes (zentrale Großdatenbanken oder Einzelverarbeitung) weitaus zielführender.
- Wird durch Betrachtung der genannten Faktoren keine Ausnahme von der Bestellpflicht begründet, sollte die Bestellung eines Datenschutzbeauftragten der zuständigen Datenschutz-Aufsichtsbehörde verpflichtend gemeldet werden. Eine solche Meldepflicht der Bestellung würde eine wesentliche Transparenzsteigerung zur momentanen Situation darstellen.
- Nach der Bestellung des Datenschutzbeauftragten muss dessen Unabhängigkeit und Weisungsfreiheit, wie auch seine allgemeine Rechtsstellung gesichert sein.
- Der Datenschutzbeauftragte vor Ort kann, im Gegensatz zu zentralen Strukturen, die Informationsgesellschaft von heute auf eigenverantwortliche und unbürokratische Weise zu einer Kultur der Informationsgerechtigkeit begleiten und stellt dabei aus unserer Sicht auch die volkswirtschaftlich interessanteste Perspektive dar.
- gez: Die Teilnehmer der udis Konferenz
- zum 25jährigen Jubiläum der Ulmer Datenschutzausbildung
- Ulm, am 6. Oktober 2012
Kommentar zur Resolution
Abs. 1 stellt eine kurze Präambel dar, die die folgenden Absätze in einen Kontext stellt.
Abs. 2 gibt die Perspektive der Konferenzteilnehmer wieder und enthält die Feststellung, dass die Gesellschaft ein Aufklärungsdefizit hat, das im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten steht. Konkret wird zur...
- ...Sensibilisierung aller Bürger zum Thema Datenschutz
aufgerufen. Der Hintergrund ist hierbei, dass grosse Teile der Bevölkerung nicht wissen, wie moderne Datenverarbeitung ihre personenbezogenen Daten sammeln, auswerten und wirtschaftlich verwerten kann.
Abs. 3:
- ...statt einer bedingten Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten...
Dieser Satz nimmt Bezug auf die aktuelle Situation, in der ein betrieblicher Datenschutzbeauftragter (DSB) nur ab einer gewissen Anzahl von Mitarbeitern bestellt werden muss. Hierbei bleibt unberücksichtigt, inwiefern das Unternehmen überhaupt personenbezogene Daten verarbeitet. Beispielsweise besteht datenschutzrechtlich bei gleicher Mitarbeiterzahl ein wesentlicher Unterschied zwischen einem reinen Handwerks- oder Produktionsbetrieb auf der einen Seite, und einem auf Adresshandel spezialisierten Betrieb auf der anderen Seite. Auch ein selbständiger Adresshändler kann heute an seinem PC ganze Rechenzentren bedienen, die Daten von vielen Millionen Betroffenen verarbeiten.
So könnte ein professioneller Adressenhändler beispielsweise viele kleine Firmen gründen, um keinen Datenschutzbeauftragten bestellen zu müssen. Dies gilt insbesondere dann, wenn diese Mitarbeitergrenze von derzeit zehn (10) Mitarbeitern (lt. BDSG) auf 250 Mitarbeiter durch die EU Datenschutz-Grundverordnung (EU-DSGVo-E) angehoben wird.
Im Gegensatz zu den Anfängen der Datenschutzgesetze dürfte es heute kaum noch Betriebe geben, die gänzlich ohne Datenverarbeitung auskommen. Hierbei werden zumindest Kunden- und Mitarbeiterdaten im Betrieb inzwischen flächendeckend verarbeitet, sofern nicht noch sensible Daten (bspw. Kontodaten oder sogar Gesundheitsdaten) verarbeitet werden. Deshalb schlagen die Experten auf der Konferenz vor, dieser Entwicklung Rechnung zu tragen und von Bedingungen der DSB-Bestellpflicht abzusehen und statt dessen...
- ...eine generelle Pflicht zur Bestellung eines Datenschutzbeauftragten im Betrieb
einzuführen,
- ...sofern sie [d.i. die Betriebe] nicht eine Ausnahme von dieser Pflicht begründen können.
Diese Änderung des Bestellmodus ist eine Anpassung auf die Realität der Allgegenwärtigkeit von personenbezogener Datenverarbeitung.
Abs. 4 konkretisiert diesen Vorschlag, indem alternative Bewertungskriterien vorgeschlagen werden, die sich in jahrelanger Datenschutzpraxis als relevant herausgestellt haben.
Abs. 5 skizziert weitere Verbesserungen zum aktuellen Verfahren, da aktuell die Datenschutz-Aufsichtsbehörden (AB) bei Beschwerden von Betroffenen zunächst selbst recherchieren müssen, ob beispielsweise ein Datenschutzbeauftragter von dem betreffenden Unternehmen überhaupt bestellt wurde. Da die Aktivitäten der Behörden vom Steuerzahler finanziert sind, zielt dieser Vorschlag auf eine Beschleunigung der Aufsichtsarbeit und damit auf eine Entlastung des Steuerzahlers.
Abs. 6 erinnert daran, dass die deutsche Datenschutzpraxis und die betreffende Rechtsprechung innerhalb der letzten 30 Jahre wichtige Eigenschaften eines Datenschutzbeauftragten herausgearbeitet hat, die es lohnt zu erhalten. Hierbei geht es darum, die Rechte der Betroffenen, die von einem Datenschutzbeauftragten vertreten werden, ausreichend zu schützen, indem der Datenschutzbeauftragte nicht wirtschaftliche oder persönliche Nachteile fürchten muss, wenn er für die Rechte der Betroffenen einsteht.
Abs. 7 schliesst mit einem positiven Ausblick und dem Hinweis, dass zentrale und behördliche Datenschutzkontrollorgane, wie sie von dem derzeitigen Entwurf der EU Datenschutz-Grundverordnung vorgesehen sind, volkswirtschaftlich nicht interessant sind, da damit im Vergleich zu heute wesentlich mehr Steuergelder verbraucht werden und die Bürokratie gesteigert wird.
Einzelnachweise
Weblinks
- Bundesdatenschutzgesetz vom BMJ bei juris
- Data Dealer Online Game - ein Computerspiel, das über den Handel mit personenbezogenen Daten aufklärt