1 Einleitung

Was verboten, aber technisch möglich ist, muss mühsam im Ein-zelfall verhindert werden. Was aber technisch nicht möglich ist, muss nicht einmal verboten werden.1

Angesichts der heutigen Rolle der Informations- und Kommu-nikationstechnik für die Verarbeitung personenbezogener Da-ten wird bereits seit vielen Jahren das Konzept des technischen Datenschutzes diskutiert.2 Dieses stellt nicht die rechtliche Be-wertung einzelner Datenverarbeitungen in den Mittelpunkt, sondern geht davon aus, dass moderner Datenschutz nur zu ver-wirklichen ist, wenn die Technik so gestaltet wird, dass die au-tomatisierte Datenverarbeitung auch in automatisierter Weise rechtskonform abläuft.3 Stichwörter wie „datenschutzfreundli-che Technik“,4 „datenschutzfreundliche Voreinstellungen“5 und „Datensparsamkeit“ gehören ebenso in diesen Bereich wie Kon-zepte zur Transparenz der Datenverarbeitungsverfahren und zur technischen Unterstützung der Ausübung von Betroffenenrech-ten. In der sich abzeichnenden Welt der allgegenwärtigen Daten-verarbeitung und des Internet der Dinge ist Datenschutz ohne technischen und damit automatisierten Datenschutz aufgrund der unüberschaubaren Vielzahl der Datenverarbeitungsvorgän-

1 Roßnagel, in: Roßnagel, Handbuch Datenschutzrecht, München 2003, Kap 3.4, Rn. 47.

2 Siehe nur als Bsp. Hassemer, DuD 1995, 449; Roßnagel, DuD 1999, 255; Bizer, DuD 2007, 725; Scholz, in: Simitis, BDSG, 7. Aufl., § 3a, Rn. 9 ff.

3 Roßnagel, Datenschutz in einem informatisierten Alltag, Berlin 2007, 175.4 Im Englischen auch häufig: „Privacy enhancing Technologies (PETs)“. 5 Im Sinne eines „Opt-in“ bzgl. der Verarbeitung personenbezogener Daten.

ge kaum noch denkbar.6 Aber auch im heutigen globalen Inter-net sind nationale Rechtsregeln ohne die internationale Etablie-rung datenschutzfreundlicher Technikstandards nur noch sehr eingeschränkt durchsetzbar. Das Recht muss also die Technik konkret regulieren, um seine normativen Forderungen durchzu-setzen. Rechtstechnisch stehen hier Gebote, Verbote und Sank-tionen, aber auch Anreize bezüglich des Einsatzes datenschutz-freundlicher Technik zur Verfügung.

Im folgenden Beitrag wird die Rolle beleuchtet, die die EU-Kommission dem technischen Datenschutz in ihrem Vor-schlag für eine „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Daten-schutz-Grundverordnung)“ vom 25.1.20127 beimisst und wie hier das den Datenschutz betreffende Technikrecht rechtstechnisch umgesetzt wird. Die Frage lautet dabei, ob der Verordnungsent-wurf gegenüber der derzeitigen Rechtslage mehr Vor- oder mehr Nachteile mit sich bringt und ob mit der EU-weiten Vereinheit-lichung der dringend notwendige Sprung zu einem Datenschutz durch Technik gelingt, der auf der Höhe der technischen Ent-wicklung steht und ihr sogar vorangeht, anstatt ihr lediglich hin-terher zu hinken.

2 Die Ausgangslage

Das Konzept des technischen Datenschutzes hat bereits Eingang in die Datenschutzregularien gefunden. Um den Verordnungs-entwurf mit dieser Ausgangslage vergleichen zu können, werden daher zunächst die entsprechenden Regelungen in der Europäi-schen Datenschutzrichtlinie, dem Bundesdatenschutzgesetz und den deutschen Landesdatenschutzgesetzen dargestellt.8

Die Richtlinie 95/46/EG enthält mit Art. 17 nur eine einzige Vorschrift, die sich explizit mit dem technischen Datenschutz be-schäftigt. Hier werden technische und organisatorische Maßnah-men zum Schutz personenbezogener Daten gegen Zerstörung, Verlust, unberechtigte Änderung, Weitergabe und unberech-

6 Roßnagel (Fn. 1), Rn. 46.7 KOM (2012) 11 endg.8 Zu diesem Abschnitt insb. Hornung, ZD 2011, 51.

Philipp Richter

Wissenschaftlicher Mitarbeiter der „Projektgruppe verfassungs-verträgliche Technikgestaltung“ (provet) an der Universität Kassel. Er betreut dort das Forschungsprojekt „Internet Privacy“ (BMBF) E-Mail: prichter@uni-kassel.de

Philipp Richter

Datenschutz durch Technik und die Grundverordnung der EU-Kommission

„Technischer Datenschutz“ wird angesichts der immer noch wachsenden normativen Kraft technischer Standards in der automatisierten Datenverarbeitung ein immer wichtigeres Konzept zur Umsetzung der Ziele des Datenschutzes. Die von der EU-Kommission vorgeschlagene Datenschutz-Grundverordnung würde den Datenschutz in Europa für die nahe und mittelfristige Zukunft weitgehend verbindlich vereinheitlichen. Der folgende Beitrag widmet sich daher der Frage, welches Gewicht die Verordnung dem Datenschutz durch Technik beimisst und ob sie ihn in effektiver Weise auf der Höhe der Zeit regelt.

576 DuD Datenschutz und Datensicherheit 8 | 2012

SCHWERPUNKT

tigten Zugang unter Beachtung des Standes der Technik gefor-dert. Die Maßnahmen sollen gemäß Art. 17 von den für die Ver-arbeitung Verantwortlichen ergriffen werden, also den Anwen-dern von Datenverarbeitungsverfahren, nicht von den Herstel-lern. Weitere Regelungen zum technischen Datenschutz finden sich in 95/46/EG nicht.

In § 3a Satz 1 BDSG findet sich der Grundsatz der Datenver-meidung und Datensparsamkeit, der sowohl bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten als auch bei der Auswahl und Gestaltung von Datenverarbeitungssyste-men zu beachten ist. Der Grundsatz der Datenvermeidung und Datensparsamkeit fordert eine Vorsorge zur Minimierung der Ri-siken für die informationelle Selbstbestimmung. Einmal erhobe-ne Daten können unter den Umständen der modernen Datenver-arbeitung kaum noch kontrolliert werden. Datenvermeidung und Datensparsamkeit werden damit teilweise zur einzigen Möglich-keit, um Datenschutz überhaupt noch zu gewährleisten.9 Die Da-tensparsamkeit dient nicht wie das Erforderlichkeitsprinzip der Begrenzung von Grundrechtseingriffen im Einzelfall, sondern leistet Vorsorge, indem sie eine Gestaltung von Datenverarbei-tungssystemen verlangt, bei der möglichst wenige personenbezo-gene Daten erhoben, verarbeitet und genutzt werden.10 § 3a Satz 2 BDSG konkretisiert das Prinzip durch die Konzepte der Ano-nymisierung und Pseudonymisierung. Da § 3a BDSG allerdings als reine Zielvorgabe ausgestaltet ist, führt ein Verstoß gegen § 3a BDSG nicht automatisch zur Unzulässigkeit der Datenverarbei-tung im Einzelfall.11 Eine Sanktion bei Verstoß gegen die Norm sieht das Bundesdatenschutzgesetz nicht vor.

In § 9 BDSG und der dazugehörigen Anlage wird von den ver-antwortlichen Stellen und ihren Auftragsverarbeitern verlangt, technische und organisatorische Maßnahmen zu treffen, um die Einhaltung der Vorschriften des Bundesdatenschutzgesetzes ab-zusichern. Diese sind insbesondere Zutrittskontrolle, Zugangs-kontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrol-le, Auftragskontrolle, Verfügbarkeitskontrolle und getrennte Ver-arbeitung zu unterschiedlichen Zwecken. Auch wenn die Vermu-tung nahe liegt, § 9 BDSG nebst Anlage sei historisch eine Um-setzung von Art. 17 95/46/EG, war die Vorschrift in ähnlicher Form bereits 1990 im Bundesdatenschutzgesetz enthalten12 und konnte so im Gegenteil ihrerseits als Vorbild für den Richtlinie-nentwurf dienen.

§ 9a BDSG enthält außerdem die Ankündigung eines Daten-schutzauditgesetzes zur Begutachtung und Zertifizierung daten-schutzfreundlicher Systeme und Programme bei den Anbietern, das aber bisher auf Bundesebene nicht umgesetzt wurde.13

In einigen Landesdatenschutzgesetzen finden sich über die auch hier teils normierten technischen und organisatorischen Maßnahmen hinaus Regelungen über Datenschutzauditverfah-ren. So enthält § 4 Abs. 2 Satz 2 LDSG Schleswig-Holstein die Grundlage für das in Deutschland weithin bekannte Zertifizie-rungsverfahren des ULD, dessen Anforderungen inzwischen in das „European Privacy Seal“ eingeflossen sind.14 Auch hier ist also eine Wirkung eines innovativen Konzepts zum technischen

9 Roßnagel, in: Eifert/Hoffmann-Riem, Innovation, Recht und öffentliche Kommunikation, Innovation und Recht IV, Berlin 2011, 43 f.

10 Roßnagel (Fn. 9), 44.11 Gola/Schomerus, BDSG, 10. Aufl., § 3a, Rn. 2.12 Ernestus, in: Simitis, BDSG, 7. Aufl., § 9, Rn. 1.13 Zur inhaltlichen Umsetzung dieser Programmnorm Roßnagel, Datenschut-

zaudit, Braunschweig/Wiesbaden, 2000, 140 ff.14 Bock, DuD 2007, 410; Meissner, DuD 2008, 526.

Datenschutz von der mitgliedstaatlichen zur EU-Ebene zu ver-zeichnen. § 4 Abs. 2 Satz 1 LDSG Schleswig-Holstein enthält das Gebot an die Landesverwaltung, vorrangig auditierte Produk-te einzusetzen. Entsprechende Vorschriften finden sich in § 7b Abs. 1 und 2 des bremischen Datenschutzgesetzes. § 11c des bran-denburgischen Datenschutzgesetzes kündigt eine Regelung an. § 4 Abs. 2 Satz 2 des nordrhein-westfälischen Datenschutzgeset-zes enthält wiederum das Gebot, auditierten Produkten den Vor-rang zu geben, ohne dass hier ein eigenes Auditverfahren gere-gelt wäre.

3 Modernisierungsvorschläge

Die breiter angelegten deutschen Modernisierungskonzepte für das Datenschutzrecht aus dem zurückliegenden Jahrzehnt ent-halten eine Vielzahl von Vorschlägen für das technische Daten-schutzrecht der Zukunft.

So bestehen Forderungen, Pflichten einzuführen, die anony-me und pseudonyme Nutzung von Datenverarbeitungsverfah-ren15 und in elektronischen Umgebungen die elektronische Aus-übung von Betroffenenrechten zu ermöglichen.16

Die Zertifizierung datenschutzfreundlicher Hard- und Soft-ware auf Herstellerebene soll dadurch gefördert werden, dass ei-nerseits öffentliche Stellen allgemein verpflichtet werden,17 zer-tifizierte Produkte einzusetzen, andererseits Anreize für priva-te Stellen in Form von werbewirksamen Prüfsiegeln geschaffen werden.18 Vorgeschlagen wird außerdem, eine Risikoanalyse und ein Sicherheitskonzept bezüglich der informationellen Selbstbe-stimmung vor Freigabe von Datenverarbeitungsanlagen zu ver-langen.19

Überdies wird zur Steigerung der Techniktransparenz vorge-schlagen, die Nutzung von Open-Source-Software für bestimmte Bereiche vorzugeben20 und proprietäre Software durch die Kon-trollstellen zu prüfen.21

Datenvermeidung und Datensparsamkeit sollen anstatt der bloßen Zielvorgabe in § 3a BDSG zu einer sanktionierbaren An-forderung werden.22 Die Anlage zu § 9 BDSG soll anhand der Schutzziele der IT-Sicherheit Verfügbarkeit, Vertraulichkeit, Integ-rität, Transparenz und Nichtverkettbarkeit23 modernisiert und um das Schutzziel Intervenierbarkeit erweitert werden, das die tech-nische Gestaltung der Ausübung von Betroffenenrechten bein-halten soll.24

Um informationelle Selbstbestimmung in Form der Einwilli-gung auch angesichts der zukünftigen Flut von Datenverarbei-tungen überhaupt noch zumutbar zu ermöglichen, wird über-dies vorgeschlagen, den Betroffenen zu ermöglichen, die Einwil-ligung in generalisierter Form auf ihre Geräte zu übertragen. Die-se könnten nach den Nutzerpräferenzen konfiguriert werden und

15 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, Ber-lin 2001, 148; Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Ein modernes Datenschutzrecht für das 21. Jahrhundert, Stuttgart 2010, 10.

16 Roßnagel/Pfitzmann/Garstka (Fn. 15), 170.17 Roßnagel/Pfitzmann/Garstka (Fn. 15), 147.18 Datenschutzbeauftragte (Fn. 15), 7 f. und 27; Roßnagel/Pfitzmann/Garstka

(Fn. 15), 143 ff.19 Datenschutzbeauftragte ( Fn. 15), 19; Roßnagel/Pfitzmann/Garstka ( Fn. 15), 132.20 Roßnagel/Pfitzmann/Garstka ( Fn.15), 156.21 Roßnagel/Pfitzmann/Garstka (Fn.15), 90.22 Datenschutzbeauftragte ( Fn. 15), 9 f.23 Siehe zu diesen Bedner/Ackermann, DuD 2010, 323.24 Datenschutzbeauftragte ( Fn. 15), 19.

DuD Datenschutz und Datensicherheit 8 | 2012 577

SCHWERPUNKT

Dienste anhand dieser Präferenzen auswählen.25 Hierzu müssten die Dienste standardisierte Informations- und Kommunikations-schnittstellen bieten.

4 Datenschutz durch Technik im Verordnungsentwurf

In Erwägungsgrund 61 des Entwurfs für die Datenschutz-Grund-verordnung werden „geeignete technische und organisatorische Maßnahmen sowohl bei der Konzipierung der Verarbeitungs-vorgänge als auch zum Zeitpunkt der Verarbeitung“ für erfor-derlich erklärt, um die Anforderungen der Verordnung zu erfül-len. Die Maßnahmen sollen „insbesondere dem Grundsatz des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protecti-on by default) Genüge tun.“ Der Datenschutz durch Technik soll also nach Erwägungsgrund 61 als Grundsatz gelten und schein-bar („Konzipierung der Verarbeitungsvorgänge“) auf Herstelle-rebene ansetzen.

Gemäß Erwägungsgrund 66 sollten außerdem die für die Ver-arbeitung Verantwortlichen und ihre Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnah-men zu deren Eindämmung unter Beachtung des Standes der Technik und der dabei anfallenden Kosten ergreifen. Dieses Kon-zept von Risikoanalyse und Schutzkonzept setzt also von vornhe-rein ausdrücklich erst auf Ebene der Anwender an und lässt die Hersteller von Datenverarbeitungsystemen außen vor.

Im Folgenden wird die Konkretisierung des Grundsatzes „Da-tenschutz durch Technik“ in den einzelnen Normen des Entwurfs nachvollzogen.

4.1 Transparenz der Technik

Art. 11 und 14 des Verordnungsentwurfs enthalten Regelungen darüber, wie und inwiefern Betroffene über die Datenverarbei-tung zu informieren sind.

Art. 11 legt dabei fest, dass Informationen in nachvollziehbarer, leicht zugänglicher und für jedermann verständlicher Weise zur Verfügung gestellt werden sollen. Art. 14 legt fest, welche Infor-mationen den Betroffenen zu geben sind. Informationen über die technischen Datenverarbeitungsverfahren werden nicht genannt, weder in Form von abstrakten Beschreibungen der Systeme noch in Form von Quelltexten. Die Technik bleibt intransparent.

4.2 Elektronische Ausübung von Betroffenenrechten

In den Art. 12 und 15 des Verordnungsentwurfs finden sich Rege-lungen über die elektronische Ausübung von Betroffenenrechten.

Art. 12 Abs. 1 Satz 3 legt hierzu fest, dass im Fall automati-sierter Verarbeitung der für die Verarbeitung Verantwortliche ei-ne elektronische Beantragung der in den Art. 13 (Information von Empfängern) und 15-19 (Auskunft, Berichtigung, Löschung, Übertragung, Widerspruch) enthaltenen Rechte zu ermöglichen hat. Art. 12 Abs. 2 Satz 4 und Art. 15 Abs. 2 Satz 2 legen fest, dass Information und Auskunft in elektronischer Form zu geben sind, wenn sie elektronisch beantragt werden.

25 Roßnagel (Fn. 3), 179.

Art. 12 Abs. 6 räumt der Kommission das Recht ein, Standard-vorlagen und Standardverfahren für die elektronische Form der Mitteilungen nach Abs. 2 festzulegen. Art. 15 Abs. 4 enthält Ähn-liches für das Auskunftsrecht, ohne die elektronische Auskunfts-erteilung nach Abs. 2 gesondert zu nennen. Hier fragt sich, ob die Kommission auch die elektronische Form für das Auskunftsrecht nach Art. 12 Abs. 6 festlegen kann oder ob hierfür Art. 15 Abs. 4 anzuwenden wäre. Beide Normen liegen nahe, sind aber jeweils nicht eindeutig.

4.3 Recht auf Datenübertragbarkeit

Art. 18 des Entwurfs erweitert die im Datenschutzrecht üblichen Betroffenenrechte um das Recht auf Datenübertragbarkeit.

Abs. 1 gewährt das Recht der Betroffenen, die sie betreffenden Daten in einem gängigen Format als Kopie zu erhalten, wenn die Daten „elektronisch in einem strukturierten gängigen elektro-nischen Format“ verarbeitet werden. Gemäß Erwägungsgrund 55 soll diese gebündelte Kopie das Auskunftsrecht der Betroffe-nen stärken.

Abs. 2 gewährt den Betroffenen das Recht, solche Daten bei einer auf Einwilligung oder Vertrag beruhenden Verarbeitung von einem Verarbeitungssystem in ein anderes zu übertragen, wiederum in einem gängigen Format. Erwägungsgrund 55 nennt als Anwendungsgebiet ausdrücklich soziale Netzwerke. Daneben könnte das Recht wohl auch zum Beispiel bezüglich der individu-ellen Konsumhistorie in Online-Shops interessant werden, wenn Nutzer auch bei einem neuen Lieblingsanbieter von Anfang an mit zutreffenden Kaufvorschlägen versorgt werden möchten. Art. 18 Abs. 2 wirkt neben den klassischen datenschutzrechtli-chen Betroffenenrechten wie ein Fremdkörper. Die Datenüber-tragbarkeit im Sinne des Abs. 2 ist nämlich keine Regelung zum technischen Datenschutz, sondern zur technischen Datenmobili-tät. Dieses Recht dient weniger dem Schutz von Persönlichkeits-rechten, als der technischen Absicherung des freien Verkehrs der Daten im Sinne von Art. 1 Abs. 1 des Verordnungsentwurfs.

In Abs. 3 behält es sich die Kommission vor, das elektronische Format und die Standards und Modalitäten der Übertragung festzulegen.

4.4 Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Formal muss Art. 23 des Verordnungsentwurfs als die zentrale Regelung für den Datenschutz durch Technik angesehen werden. Er nennt ihn ausdrücklich und enthält sowohl die Pflicht zu tech-nischen und organisatorischen Sicherungsmaßnahmen als auch den Grundsatz der Datensparsamkeit.26

Abs. 1 verlangt technische und organisatorische Maßnahmen, die sicherstellen sollen, dass die Anforderungen der Verordnung eingehalten und die Rechte der Betroffenen gewahrt werden. Die Norm entschärft aber das Versprechen aus Erwägungsgrund 61 erheblich. Sie richtet sich nur an die für die Verarbeitung Verant-wortlichen, nicht an die Hersteller von Datenverarbeitungspro-dukten und verlangt folgerichtig die Maßnahmen nicht mehr bei der Konzipierung, sondern nur noch bei der Festlegung der Ver-arbeitungsmittel und bei der Verarbeitung. Art. 26 Abs. 1 ver-

26 Hornung, ZD 2012, 103 nennt die Norm aber eine Enttäuschung, da sie an der „Oberfläche“ und Datenschutz durch Technik eine „bloße Ankündigung“ bleibe.

578 DuD Datenschutz und Datensicherheit 8 | 2012

SCHWERPUNKT

pflichtet die Verantwortlichen, die Auswahl von Auftragsverar-beitern danach auszurichten, inwiefern diese selbst technische und organisatorische Sicherungsmaßnahmen durchführen.

Art. 23 Abs. 2 Satz 1 legt fest, dass der für die Verarbeitung Verantwortliche Verfahren einzusetzen hat, die den Grundsatz der Datensparsamkeit bei der Verarbeitung umsetzen. Satz 2 ver-langt, dass die Verfahren sicherstellen, dass personenbezogene Daten nicht einer Vielzahl von natürlichen Personen zugänglich gemacht werden dürfen. Auch Abs. 2 richtet sich nicht an die Her-steller, sondern nur an die Anwender der Verfahren.

Anforderungen und Kriterien für die Maßnahmen und Ver-fahren werden nicht genannt, sondern sie können gemäß den Ab-sätzen 3 und 4 durch die Kommission erarbeitet werden. Wäh-rend „Datenschutz durch Technik“ durch die bekannten in den Absätzen 1 und 2 enthaltenen Konzepte ein kleines Stück weit konkretisiert wird, kommt „datenschutzfreundliche Voreinstel-lungen“ nur in Abs. 3 vor und wird dort nicht weiter erklärt. 27

4.5 Sicherheit der Verarbeitung

Art. 30 verlangt von Verantwortlichen und Auftragsverarbeitern eine Risikoanalyse und geeignete technische und organisatori-sche Schutzmaßnahmen gegen die von der Verarbeitung ausge-henden Risiken. Die Maßnahmen sollen personenbezogene Da-ten „vor unbeabsichtigter oder widerrechtlichen Zerstörung oder vor unbeabsichtigtem Verlust“ schützen sowie „jedwede[r] un-rechtmäßige[n] Verarbeitung, insbesondere jede[r] unbefugte[n] Offenlegung, Verbreitung beziehungsweise Einsichtnahme oder Veränderung“ verhindern.

Die Kommission scheint einerseits in den Art. 23, 26 und Art. 30 Datenschutz durch Technik und Datensicherung auseinan-derhalten zu wollen. Andererseits enthält Art. 30 Abs. 2 die Ver-meidung jeder unrechtmäßigen Verarbeitung durch technische und organisatorische Maßnahmen und überschneidet sich da-her mit Art. 23 Abs. 1. Das Verhältnis der Normen zueinander bleibt unklar.

Anforderungen und Kriterien für technische und organisato-rische Maßnahmen werden, wie schon in Art. 23, nicht genannt. Ihre Festlegung verbleibt wiederum gemäß Art. 30 Abs. 3 und 4 der Kommission. Hier lohnt sich ein Blick in den gleichzeitig vor-gelegten Entwurf für eine Datenschutzrichtlinie für Polizei und Justiz,28 um den Horizont der Kommission in diesem Bereich ab-zuschätzen und vorauszuahnen, welche Art Anforderungen zu erwarten sein könnten. Im Richtlinienentwurf werden die in Art. 19 und 27 Abs. 1 verlangten technischen und organisatorischen Maßnahmen in Art. 27 Abs. 2 konkretisiert. Es finden sich: Zu-gangskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzer-kontrolle, Zugriffskontrolle, Übermittlungskontrolle, Eingabekon-trolle, Transportkontrolle, Wiederherstellung, Zuverlässigkeit und Datenintegrität. Die allermeisten dieser Anforderungen finden

27 Lang, K&R 2012, 148, meint zwar, in Abs. 2 sei der Grundsatz der daten-schutzfreundlichen Voreinstellungen ausgeführt. Dem ist aber aufgrund der For-mulierung nicht zu folgen. Die Regelung verlangt den Einsatz datensparsamer Verfahren, nicht deren Voreinstellung, die vom Nutzer im Sinne eines „Opt-in“ ver-ändert werden könnte.

28 Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürli-cher Personen bei der Verarbeitung personenbezogener Daten durch die zustän-digen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Daten-verkehr, KOM(2012) 10 endg., Brüssel, 25.1.2012.

sich, teils unter anderer Bezeichnung, inhaltsgleich schon in der Anlage zu § 9 BDSG.

4.6 Zertifizierung

Art. 39 äußert sich zur Datenschutzzertifizierung und zur Verlei-hung von Prüfsiegeln und -zeichen. Allerdings beschränkt sich die Norm auf das Versprechen, derartige Verfahren zu fördern. Eigene Anforderungen werden nicht festgelegt. Der Kommission wird jedoch in den Absätzen 2 und 3 die Option offengehalten, doch noch Anforderungen, Kriterien und Standards für Zertifi-zierungsverfahren festzulegen. Pflichten zum Einsatz auditierter Technik, wie in einzelnen Landesdatenschutzgesetzen enthalten, finden sich im Verordnungsentwurf nicht.

4.7 Haftung und Sanktionen

Abschließend wird dargestellt, inwiefern die im Verordnungsent-wurf vorhandenen Regelungen zum Datenschutz durch Technik mittels Haftungsnormen und Sanktionen gegenüber den Nor-madressaten verbindlich werden.

Art. 77 enthält eine breit gefasste Schadensersatzhaftung gegen Verantwortliche und Auftragsverarbeiter, die bei Schäden durch Verstoß gegen die Verordnung greift. Inwiefern eine Vernach-lässigung technischen Datenschutzes gegen die Verordnung ver-stößt, wird aufgrund der abstrakt gefassten Anforderungen häu-fig davon abhängen, wie diese durch die Kommission konkreti-siert werden. Die Wirksamkeit von Art. 77 als Durchsetzungs-instrument des technischen Datenschutzes wird zusätzlich da-durch in Frage gestellt, dass die anspruchsberechtigten Betrof-fenen keinen Einblick in die angewendete Technik haben wer-den und so kaum Anhaltspunkte bezüglich einer Verletzung, ge-schweige denn bezüglich ihrer prozessualen Erfolgschancen.

Obwohl gemäß Art. 78 die Festlegung von Sanktionen für Ver-stöße gegen die Verordnung grundsätzlich den Mitgliedstaaten überlassen würde, enthält Art. 79 einen Katalog spezieller verwal-tungsrechtlicher Sanktionstatbestände, die die Aufsichtsbehör-den verhängen können. Es handelt sich um ein nach der Bußgeld-höhe gestaffeltes Sanktionssystem, das einige spezifische Tatbe-stände bezüglich des technischen Datenschutzes enthält. Bei na-türlichen Personen und Unternehmen und Organisationen mit weniger als 250.000 Beschäftigten kann gemäß Abs. 3 bei Erst-verstoß anstatt der Festsetzung eines Bußgeldes eine bloße Ver-warnung erfolgen.

Gemäß Abs. 4 a) kann eine Geldbuße bis zu 250.000 € oder in Höhe von 0,5 % des weltweiten Jahresumsatzes eines Unterneh-mens festgesetzt werden, wenn keine Vorkehrungen für elektro-nische Anträge gemäß Art. 12 Abs. 1 und 2 getroffen werden oder nicht unverzüglich im entsprechenden Format geantwortet wird.

Gemäß Abs. 5 kann eine Geldbuße bis zu 500.000 € oder 1 % des Jahresumsatzes verhängt werden, wenn gemäß Buchstabe c) keine Auskunft nach Art. 15 erteilt wird, also vermutlich auch in dem Fall, dass die Auskunft nicht in der verlangten elektro-nischen Form erfolgt oder gemäß Buchstabe d), wenn die Ko-pie oder Übertragung der Daten im Sinne von Art. 18 nicht be-reitgestellt wird.

Abs. 6 e) ermöglicht eine Geldbuße in Höhe von 1.000.000 € oder 2 % des Jahresumsatzes, wenn keine geeigneten Maßnah-men nach Art. 22, 23 und 30 angewendet werden. Ob hierdurch der in Art. 23 Abs. 2 enthaltene Grundsatz der Datensparsamkeit

DuD Datenschutz und Datensicherheit 8 | 2012 579

SCHWERPUNKT

als sanktionierbar erfasst ist, bleibt unklar. Die Sanktionsnorm greift, wenn keine Strategien festgelegt oder Maßnahmen ange-wendet werden, um die Beachtung der Datenschutzvorschriften sicherzustellen und nachzuweisen. Der Begriff „Strategien“ fin-det sich in Art. 22, „Maßnahmen“ findet sich in Art. 22, 30 und 23 Abs. 1, nicht aber in Art. 23 Abs. 2. Die Datensparsamkeit wird hier an den Begriff „Verfahren“ geknüpft. Ein Unterlassen von „Verfahren“ wird aber in Art. 79 Abs. 6 e) nicht sanktioniert. Auch die englische Version des Entwurfs unterscheidet an dieser Stelle zwischen „measures“ (Maßnahmen) in Art. 23 Abs. 1 und „mechanisms“ (Verfahren) in Abs. 2. Nur „measures“ werden in Art. 70 Abs. 6 e) genannt. Die in der Verordnung enthaltenen Er-läuterungen schweigen zu dem Thema. Es bleibt also offen, ob die Datensparsamkeit hier sanktionierbar werden sollte und nur ein textliches Versäumnis vorliegt oder ob sie bewusst aus der Sank-tionsnorm ausgespart wurde.

Auch die Anwendung von Art. 79 Abs. 6 e) wird im Übrigen erheblich von den Konkretisierungen der Kommission zu Art. 23 und 30 abhängen.

Schließlich wird gemäß Art. 79 Abs. 6 k) der Missbrauch von Datenschutzsiegeln und Zeichen mit derselben Sanktion belegt.

5 Bewertung

Zunächst ist zu bemerken, dass ein großer Anteil der in Deutsch-land diskutierten Modernisierungsvorschläge gar keinen Nieder-schlag findet. Eine Pflicht, eine weitgehend anonyme oder pseu-donyme Nutzung von Datenverarbeitungsverfahren zu ermög-lichen, wird nicht festgelegt. Eine Konkretisierung der techni-schen und organisatorischen Maßnahmen anhand der Schutz-ziele der IT-Sicherheit bleibt aus. Datenvermeidung und Daten-sparsamkeit werden nicht eindeutig sanktionierbar geregelt. Die enthaltene Pflicht zur Risikoanalyse der Verfahren geht zwar in die richtige Richtung, solange sie aber nicht zur Freigabe erfor-derlich ist, sondern lediglich bei Verstoß eine Sanktion auslöst, geht ihre Wirksamkeit ein gutes Stück weit verloren.

Der Bereich der Zertifizierung datenschutzfreundlicher Tech-nik wird praktisch gar nicht reguliert. Lediglich die Förderab-sicht wird bekundet, rechtliche Voraussetzungen für den Erwerb von Zertifikaten fehlen vollständig. Die Regelungen in einzelnen deutschen Landesdatenschutzgesetzen, inklusive der Pflichten zum Einsatz auditierter Technik, dürften zwar nicht durch den Anwendungsvorrang der Verordnung verlorengehen, da sie der in Art. 39 Abs. 1 des Entwurfs bekundeten Förderabsicht nicht ent-gegenstehen, sondern gerade entsprechen. Sie werden aber auch nicht aufgegriffen und EU-weit verbindlich festgeschrieben.

Die Transparenz der Technik bleibt im Stadium von Informati-onen über die erhobenen Daten stehen. Eine Pflicht zur Nutzung von Open Source oder die Prüfung von Quelltexten durch Auf-sichtsbehörden finden sich nicht.

Vorausschauende Vorschläge, wie die Delegierung der Einwil-ligung auf Software-Agenten und dementsprechend standardi-sierte Schnittstellen, fehlen ebenfalls vollständig.

Für die meisten aufgeführten Bereiche gilt natürlich, dass abzu-warten bliebe, inwiefern die Kommission durch einheitliche Re-gelungen die beschriebenen Lücken schließen würde.

Die Ermöglichung der elektronischen Ausübung von Betroffe-nenrechten wird weitgehend geregelt und um das Recht auf Da-tenübertragbarkeit erweitert. Auch in diesem Bereich werden die konkreten Standards aber maßgeblich von der Kommission ab-hängen und sind dem Entwurf nicht zu entnehmen.

Der technische Datenschutz im Entwurf setzt nicht auf Ebene der Hersteller der Technik, sondern erst auf Anwenderebene an. Dies ist deutlich zu spät, denn ist Technik einmal gestaltet, kön-nen die Anwender nur noch innerhalb der Grenzen dieser Tech-nik agieren. Datenschutz durch Technik muss sich vor allem auch an die Hersteller wenden.29 Gegenüber der Rechtslage in Deutsch-land, die mit § 3a BDSG auf Herstellerebene ansetzt, ist dies ein eindeutiger konzeptioneller Rückschritt.

Datenschutz durch Technik hängt wie eingangs dargestellt da-von ab, dass datenschutzfreundliche Standards sich in internati-onalem Maßstab durchsetzen. Insofern könnte die europaweite Vereinheitlichung durch die geplante Verordnung noch als Fort-schritt angesehen werden. Diese starke Form der Vereinheitli-chung würde allerdings einen unverhältnismäßig hohen Preis fordern. Die zentrale Stellung der Kommission bei der Festlegung von Standards dürfte mitgliedstaatliche Initiativen und Innovati-onen in hohem Maße bremsen. Neue Konzepte könnten nur inso-fern erprobt werden, als die Kommission Freiräume beließe. Sie würden aber wahrscheinlich auch in solchen vorläufigen Freiräu-men nicht erprobt, da stets eine Erledigung durch bindende Stan-dards der Kommission drohte. Vorschläge für innovative Kon-zepte zum Datenschutz durch Technik müssten in Zukunft sinn-vollerweise direkt an die Kommission gerichtet werden.

Eine Vereinheitlichung ist aber grundsätzlich auch mit einer Richtlinie zu erreichen. Bleiben die mitgliedstaatlichen Regelun-gen in bestimmten Punkten bei der Umsetzung der Richtlinie zu weit auseinander, könnten in diesen ausgewählten Bereichen die Umsetzungsspielräume verringert werden. Auf diese Weise blie-be allgemein Raum für nationale rechtliche und technische In-novationen, die dann, wie auch bisher, von unten nach oben wir-ken könnten.

6 Fazit

Zusammenfassend lässt sich sagen: Gegenüber der aktuellen Rechtslage in Deutschland ergeben sich weniger Vor- als Nach-teile. Die eigentliche Enttäuschung besteht aber darin, dass der dringend benötigte Sprung in die Zukunft des technischen Da-tenschutzes sich im Verordnungsentwurf nicht einmal in Ansät-zen ankündigt.

29 Roßnagel/Pfitzmann/Garstka (Fn. 15), 17, 25, 36.

580 DuD Datenschutz und Datensicherheit 8 | 2012

SCHWERPUNKT