Am 13./14. März 2013 tagte die 85. Konferenz der Datenschutzbeauftragten des Bundes und der Länder in Bremerhaven.
Die Datenschutzkonferenz ist ein freiwilliger Zusammenschluss der Datenschutzbeauftragten in den einzelnen Bundesländern sowie des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Die Konferenz findet zweimal jährlich unter dem wechselnden Vorsitz eines Datenschutzbeauftragten statt und bietet den Datenschutzbeauftragten ein Arbeitsforum, um sich in spezialisierten Arbeitskreisen über aktuelle Probleme und Fälle auszutauschen sowie Stellungnahmen und Entschließungen zu datenschutzrechtlichen Themen anzunehmen.
Auf der 85. Konferenz wurden u.a. die folgenden Entschließungen angenommen:
Soziale Netzwerke brauchen Leitplanken
Die Datenschutzbeauftragten des Bundes und der Länder bezweifeln in ihrer Entschließung zu sozialen Netzwerken, dass die in der Privatwirtschaft angekündigte Selbstregulierung den für soziale Netzwerke erforderlichen Standard ausreichend gewährleisten kann. Angesicht der zunehmenden Bedeutung sozialer Netzwerke haben die Datenschutzbeauftragten somit eine Orientierungshilfe erarbeitet. Diese soll die Betreiber sozialer Netzwerke sowie die öffentlichen und privaten Stellen, die soziale Netzwerke nutzen, bei der datenschutzgerechten Gestaltung und Nutzung der Angebote unterstützen. Die umfangreiche Orientierungshilfe behandelt hierbei eine Reihe von Themen, die sich auch auf andere Internetangebote übertragen lassen (z.B. Einholung der Einwilligung, Zweckbindung, anonyme und pseudonyme Nutzung, Trennungsprinzip, Transparenz und Kontrolle, Integrität und Authentizität, Betroffenenrechte). Interessant sind auch die Ausführungen der Datenschutzkonferenz zur Anwendbarkeit deutschen Datenschutzrechtes auf Diensteanbieter im EU-Ausland. Hier soll es neben der Frage des Rückgriffs auf im Inland belegene “Mittel” (etwa der Nutzung von Cookies oder Java Script) insbesondere auch darauf ankommen, ob sich die Angebote explizit oder implizit an die Betroffenen in Deutschland richten.
Pseudonymisierung von Krebsregisterdaten verbessern
Die Daten über individuelle Fälle von Krebserkrankungen werden in Deutschland in pseudonymisierter Form in Krebsregistern gespeichert, um diese der epidemiologischen Forschung zur Verfügung zu stellen. Die Datenschutzbeauftragten des Bundes und der Länder vertreten in ihrer Entschließung zur Pseudonymisierung von Krebsregisterdaten die Auffassung, dass das hierzu vor 20 Jahren entwickelte Verfahren der Verwendung von Kontrollnummern zur Speicherung und zum Abgleich der Daten untereinander den erforderlichen Schutz der sensitiven Daten nicht mehr ausreichend gewährleisten kann. Die Datenschutzkonferenz empfiehlt somit eine koordinierte Umstellung aller Verfahren, in denen entsprechende Kontrollnummern zum Einsatz kommen. Hierzu hat der Arbeitskreis “Technische und organisatorische Datenschutzfragen” der Konferenz einen entsprechenden Anforderungskatalog entworfen, der der Entschließung als Anlage beigefügt ist. Dieser enthält Mindestanforderungen an die technische Ausgestaltung des Verfahrens zur Bildung von Kontrollnummern zum Zwecke der Pseudonymisierung von Daten über individuelle Fälle von Krebserkrankungen.
Europa muss den Datenschutz stärken
In ihrer Entschließung zum Datenschutz in Europa warnt die Datenschutzkonferenz vor einer Absenkung des Datenschutzniveaus im Rahmen der beabsichtigten Reform des europäischen Datenschutzrechtes [Bitte lesen Sie hierzu die Blog-Beiträge von Stefan Schuppert: Der Albrecht-Entwurf für die neue Datenschutz-Verordnung und Aktuelles zum Entwurf der EU-Datenschutzverordnung]. Insbesondere betonen die Datenschutzbeauftragten des Bundes und der Länder die Notwendigkeit, die wesentlichen Grundpfeiler des Datenschutzes auch in der neuen Datenschutz-Grundverordnung zu erhalten und auszubauen. Hierzu zählt die Datenschutzkonferenz u.a. den unterschiedslosen Schutz aller Daten, die einer natürlichen Person zugeordnet werden können (einschließlich von pseudonymen Daten und IP-Adressen), die ausdrückliche Erteilung von eindeutigen, freiwilligen und informierten Einwilligungen, den Erhalt der Zweckbindung als zentralen Baustein zur Gewährleistung der Transparenz und Vorhersehbarkeit der Datenverarbeitung, die Beschränkung der Profilbildung sowie die Stärkung der Eigenverantwortung der betrieblichen Datenschutzbeauftragten. Auch lehnen die Datenschutzbeauftragten die Herausnahme von bestimmten Datenkategorien und Berufs- und Unternehmensgruppen aus dem Anwendungsbereich der Datenschutz-Grundverordnung ausdrücklich ab, um grundrechtsfreie Räume zu verhindern.
Datenschutz auch in einer transatlantischen Freihandelszone gewährleisten
Vor dem Hintergrund der angekündigten Verhandlungen zwischen der Europäischen Union und der Regierung der Vereinigten Staaten über eine transatlantische Freihandelszone drängen die Datenschutzbeauftragten des Bundes und der Länder in ihrer Entschließung darauf hin, in den Verhandlungen auch die unterschiedlichen datenschutzrechtlichen Rahmenbedingungen zum Thema zu machen. Insbesondere sieht die Datenschutzkonferenz die EU Kommission in der Pflicht, im Rahmen der angestrebten transatlantischen Wirtschaftsunion dafür Sorge zu tragen, dass die Grundrechtsgewährleistungen ausreichend sichergestellt werden, und die Chance zu ergreifen, international eine Erhöhung des Datenschutzniveaus zu bewirken.