BT-Drucks.
13/7385 vom 09.04.1997 - Gesetzentwurf der
Bundesregierung
Amtliche Begründung zum Informations- und
Kommunikationsdienste-Gesetz (IuKDG)
Zu
Artikel 2 (Gesetz über den Datenschutz bei Telediensten)
Ausgangslage
Bei Telediensten können personenbezogene Daten in
vielfältiger Weise anfallen, beliebig kombiniert, verändert oder ausgewertet
werden; Erhebung, Verarbeitung und Nutzung personenbezogener Daten findet nicht
nur in einer Datenverarbeitungsanlage, sondern im Netz mit vielen Beteiligten
und ohne hinreichende Kontrollmöglichkeiten des Nutzers statt.
Ziel des Gesetzes
Ziel des Gesetzes ist es, eine verläßliche
Grundlage für die Gewährleistung des Datenschutzes im Bereich der Teledienste
zu bieten und einen Ausgleich zwischen dem Wunsch nach freiem Wettbewerb,
berechtigten Nutzerbedürfnissen und öffentlichen Ordnungsinteressen zu
schaffen.
Notwendigkeit eines neuen Gesetzes
Die Bestimmungen des Teledienstedatenschutzgesetzes
knüpfen an das vorhandene Instrumentarium des Datenschutzrechts an.
Ausgangspunkt für die Regelungen ist das verfassungsrechtlich verbürgte Recht
auf informationelle Selbstbestimmung. Das traditionelle Datenschutzkonzept wird
ergänzt, soweit die Risiken der neuen Teledienste dies erforderlich machen.
Dabei berücksichtigen die gesetzlichen Regelungen die erweiterten Möglichkeiten
moderner Informations- und Kommunikationstechnik.
Die gesetzlichen Bestimmungen im einzelnen
Zu § 1 (Geltungsbereich)
Zu Absatz 1
Das Teledienstedatenschutzgesetz gilt für alle
Teledienste im Sinne des Teledienstegesetzes (Artikel 1 IuKDG).
Der Begriff "Übermittlung" beinhaltet
die Vermittlung und Übertragung der Inhalte, die durch die Teledienste ermöglicht
werden. Die Übermittlung erfolgt mittels Telekommunikation im Sinne von § 3
Nr. 16 Telekommunikationsgesetz.
Zu Absatz 2
Die Vorschrift stellt klar, daß die allgemeinen
datenschutzrechtlichen Vorschriften für die Verarbeitung personenbezogener
Daten gelten, soweit das Teledienstedatenschutzgesetz keine besondere Regelung
trifft. Das Teledienstedatenschutzgesetz gilt auch für personenbezogene Daten,
die nicht in Dateien im Sinne von § 3 Abs. 2 Bundesdatenschutzgesetz
verarbeitet oder genutzt werden.
Das Fernmeldegeheimnis (§ 85
Telekommunikationsgesetz) wird nicht berührt. Inhalte der Telekommunikation und
ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem
Telekommunikationsvorgang beteiligt ist, unterliegen dem Fernmeldegeheimnis. Zur
weiteren Absicherung des Fernmeldegeheimnisses trifft das
Teledienstedatenschutzgesetz in § 4 Abs. 2 Nr. 3 eine Regelung zu technischen
und organisatorischen Maßnahmen der Datensicherung.
Zu § 2 (Begriffsbestimmungen)
Die Vorschrift definiert die Begriffe "Diensteanbieter"
und "Nutzer".
Der Begriff des "Diensteanbieters" erfaßt
die wesentlichen Handlungsformen. Diese Grundfunktionen können jeweils getrennt
vorkommen, aber auch in der Person eines Anbieters zusammenfallen. Die
Vorschrift unterscheidet entsprechend Artikel 1 § 2 Abs. 2 Informations- und
Kommunikationsdienste-Gesetz nicht nach der Art der Tätigkeit, die der
Diensteanbieter ausübt; es ist daher unerheblich, ob er nur gelegentlich und
privat oder geschäftsmäßig, also mit gewisser Nachhaltigkeit, auftritt.
Der Begriff des "Nutzers" ist weit gefaßt,
um die Schutzfunktionen des Gesetzes bereits im vorvertraglichen Bereich greifen
zu lassen.
Zu § 3 (Grundsätze für die Verarbeitung
personenbezogener Daten)
Zu Absatz 1
§ 3 Abs. 1 enthält die Befugnisnorm für die
Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Diensteanbieter.
Sie entspricht den in § 4 Abs. 1 Bundesdatenschutzgesetz festgelegten
Voraussetzungen, bezieht aber auch die Erhebung in die Geltung des
Gesetzesvorbehalts mit ein. Letzteres entspricht den Vorgaben der EG-Richtlinie
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
und zum freien Datenverkehr vom 23. November 1995, die bis 1998 in nationales
Recht umzusetzen ist.
Zu Absatz 2
Diese Bestimmung ist Ausdruck des Grundsatzes der
Zweckbindung. Daten über den Nutzer dürfen grundsätzlich nur für die
Erbringung von Informations- und Kommunikationsdiensten verwendet werden. Eine
Verwendung von Nutzerdaten für andere Zwecke ist nur zulässig, wenn ein Gesetz
oder eine andere Rechtsvorschrift diese Verwendung erlauben oder der Nutzer
eingewilligt hat.
Zu Absatz 3
Durch diese Vorschrift soll verhindert werden, daß
die Nutzung von Telediensten von einer Einwilligung des Nutzers in eine
Verarbeitung oder Nutzung seiner Daten für andere Zwecke abhängig gemacht
wird.
Zu Absatz 4
Diese Regelung verankert die Grundsätze des
Systemdatenschutzes und der Datenvermeidung. Bereits durch die Gestaltung der
Systemstrukturen, in denen personenbezogene Daten erhoben und verarbeitet werden
können, soll die Erhebung und Verwendung personenbezogener Daten vermieden und
die Selbstbestimmung der Nutzer sichergestellt werden. Dies kann durch
dateneinsparende Organisation der Übermittlung, der Abrechnung und Bezahlung
sowie der Abschottung von Verarbeitungsbereichen unterstützt werden.
Normadressat ist der einzelne Diensteanbieter. Er
soll das Angebot seiner Teledienste an dem Ziel ausrichten, keine oder
jedenfalls so wenige personenbezogene Daten wie möglich zu erheben und zu
verarbeiten. Dieser Grundsatz des Systemdatenschutzes findet seine Ausprägung
in § 4 Abs. 1 mit der Ermöglichung der Inanspruchnahme von Telediensten in
anonymer oder pseudonymer Form.
Zu Absatz 5
Der Nutzer ist vor der Erhebung umfassend zu
unterrichten. Nur so kann der Nutzer sich einen umfassenden Überblick über die
Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten verschaffen.
Zeitpunkt, Umfang und Form der Unterrichtung ergeben sich dabei aus den
besonderen Risiken der Datenverarbeitung im Netz. Der Nutzer ist daher über
Art, Umfang, Ort und Zweck der Verarbeitung seiner personenbezogenen Daten zu
unterrichten; die Unterrichtung ist zu protokollieren und sie muß vom
Diensteanbieter so abgelegt werden, daß der Nutzer sich jederzeit über den
Inhalt der Unterrichtung informieren kann. Ein Verzicht auf die Unterrichtung
ist möglich, darf aber nicht als Einwilligung in eine Verarbeitung im Sinne der
Absätze 1 und 2 gedeutet werden.
Es wird klargestellt, daß sich die
Unterrichtungspflicht auch auf automatisierte Verfahren bezieht, die eine
Erhebung, Verarbeitung oder Nutzung ermöglichen (z. B. durch Speichern
einzelner Nutzungsdaten auf der Festplatte des vom Nutzer benutzten PC), bei
denen der Personenbezug aber erst zu einem späteren Zeitpunkt hergestellt
werden kann.
Zu Absatz 6
Der Nutzer kann seine erteilte Einwilligung
jederzeit widerrufen. Darauf ist der Nutzer hinzuweisen. Die jederzeitige
Abrufbarkeit muß entsprechend Absatz 5 Satz 3 gewährleistet sein.
Zu Absatz 7
Eine Verarbeitung personenbezogener Daten ist auch
mit Einwilligung des Nutzers (vgl. Absätze 1 und 2) zulässig. Der Einwilligung
des Betroffenen kommt im Rahmen der alltäglichen Nutzung von Telediensten eine
erhebliche praktische Bedeutung zu. Für eine wirksame Einwilligung ist nach §
4 Abs. 2 Bundesdatenschutzgesetz allerdings prinzipiell Schriftform
erforderlich. Dieses Schutzerfordernis soll für den Bereich der Teledienste
grundsätzlich beibehalten werden; schriftlich erklärte Einwilligungen sollen
weiterhin möglich sein. Daneben soll aber auch die elektronische Einwilligung
ermöglicht werden.
Wegen der besonderen Risiken, denen elektronische
Erklärungen mangels Verkörperung (keine Schriftform) und mangels biometrischer
Kennzeichen (keine eigenhändige Unterschrift) ausgesetzt sind, bedürfen sie
besonderer Verfahren, die ihre Wirksamkeit sicherstellen.
Zu Nummer 1
Diese Voraussetzung soll den Schutz der Nutzer vor
einer übereilten Einwilligung sicherstellen. Dieser Schutz ist in Anbetracht
der besonderen technikspezifischen Gefahren, nämlich der Anwendung eines flüchtigen
Mediums (Bildschirm) und des Handelns durch einfachen Knopfdruck oder Mausklick,
das nicht zwischen wichtigen und unwichtigen Handlungen unterscheidet, von
Bedeutung. In diesem Sinne autorisiert ist eine Einwilligung zum Beispiel durch
eine bestätigende Wiederholung des Übermittlungsbefehls, während gleichzeitig
die Einwilligungserklärung mindestens auszugsweise auf dem Bildschirm
dargestellt wird. Sie verpflichtet den Diensteanbieter zu entsprechenden Maßnahmen
nur, soweit seine Einflußnahmemöglichkeit reicht. Für die vom Nutzer
eingesetzte Technik ist er nicht verantwortlich.
Zu Nummern 2 und 3
Zum Nachweis von Authentizität und Urheberschaft
der Einwilligung ist als geeignetes technisches Verfahren die Verwendung von
digitalen Signaturen denkbar, die die Voraussetzung von Artikel 3 des
Informations- und Kommunikationsdienste-Gesetzes erfüllt. Die Vorschrift ist
aber bewußt auch für die Anwendung anderer geeigneter technischer Verfahren
offen, soweit die Authentizität und Urheberschaft entsprechend sichergestellt
sind.
Zu Nummern 4 und 5
Diese Anforderungen dienen der Transparenz der vom
Nutzer erlaubten Datenverarbeitung seiner personenbezogenen Daten. Sie schafft
Akzeptanz für die Anwendung elektronischer Einwilligungen und sichert zugleich
das informationelle Selbstbestimmungsrecht des Nutzers, der nachprüfen kann,
wann, wem und in welchem Umfang er eine Einwilligung in die Verarbeitung seiner
personenbezogenen Daten erteilt hat.
Zu § 4 (Datenschutzrechtliche Pflichten des
Diensteanbieters)
Die Vorschrift konkretisiert im einzelnen die in §
3 aufgestellten datenschutzrechtlichen Grundsätze.
Zu Absatz 1
Absatz 1 konkretisiert das Ziel der Datenvermeidung
(vgl. § 3 Abs. 4): Diensteanbieter haben im Rahmen der technischen Möglichkeiten
den Nutzern anonymes oder pseudonymes Handeln zu ermöglichen. Das Gebot der
Datenvermeidung gilt für den gesamten Nutzungsvorgang. Welche technischen Möglichkeiten
dabei in Betracht kommen, ist von einer generellen, objektiven Sichtweise abhängig.
Der Diensteanbieter soll aber nicht zu jedem möglichen technischen Angebot
verpflichtet sein. Die Zumutbarkeit des Angebots setzt deshalb eine Grenze, bei
der z. B. Größe und Leistungsfähigkeit des Diensteanbieters berücksichtigt
werden können. Bestimmte technische Verfahren werden im Hinblick auf die
weitere technische Entwicklung nicht vorgeschrieben. Denkbar ist z. B. das
Angebot an den Nutzer, Teledienste mit vorbezahlten Wertkarten oder Chipkarten
in Anspruch nehmen zu können. In jedem Fall ist der Nutzer entsprechend zu
unterrichten.
Für das Erfordernis der Anonymität ist die
faktische Anonymität im Sinne von § 3 Abs. 7, 2. Alternative
Bundesdatenschutzgesetz ausreichend.
Pseudonymes Handeln ermöglicht nicht anonymes,
sondern quasi-anonymes Handeln. Ein Pseudonym kann ein Name oder eine
Kurzbezeichnung sein, die aus sich heraus die Identität des Nutzers nicht
preisgeben, aber über eine Referenzliste beim Diensteanbieter mit der Identität
des Nutzers zusammengeführt werden können.
Zu Absatz 2
Dieser Absatz konkretisiert die in § 3 festgelegten
Grundsätze des Systemdatenschutzes und der Datenvermeidung. Der Diensteanbieter
ist verpflichtet, durch entsprechende technische und organisatorische Maßnahmen
die praktische Umsetzung dieser Grundsätze sicherzustellen.
Zu Nummer 1
Durch die Anforderung nach Nummer 1 wird der
Diensteanbieter verpflichtet, die technischen und organisatorischen Maßnahmen
zu treffen, damit der Nutzer jederzeit seine Kommunikationsbeziehung abbrechen
kann.
Zu Nummer 2
Der Diensteanbieter ist verpflichtet, die
technischen und organisatorischen Vorkehrungen zu treffen, damit die
personenbezogenen Daten über die Inanspruchnahme von Telediensten unmittelbar
gelöscht werden. Die Anforderung nach Nummer 2 flankiert das rechtliche Löschungsgebot
nach § 6 hinsichtlich der Nutzungs- und Abrechnungsdaten.
Zu Nummer 3
Der Diensteanbieter hat durch technische und
organisatorische Maßnahmen sicherzustellen, daß der Nutzer Teledienste in
Anspruch nehmen kann, ohne daß Dritte davon Kenntnis nehmen können. Auf diese
Weise wird das Fernmeldegeheimnis im Bereich der Teledienste zusätzlich
abgesichert.
Zu Nummer 4
Nummer 4 statuiert ein technisch und organisatorisch
zu gewährleistendes Trennungsgebot. Mit dieser Regelung soll verhindert werden,
daß der Diensteanbieter personenbezogene Daten über die Inanspruchnahme von
verschiedenen Telediensten zusammenführt und auf diese Weise personenbezogene
Nutzerprofile entstehen. Dem Interesse der Diensteanbieter an einer Zusammenführung
der Daten für Abrechnungszwecke wird Rechnung getragen.
Zu Absatz 3
Zweck des Absatzes 3 ist es, dem Nutzer Transparenz
über die Weiterschaltung zu einem weiteren Diensteanbieter zu ermöglichen.
Ohne eine derartige Vorschrift können weder das Auskunftsrecht des Nutzers noch
eine datenschutzrechtliche Kontrolle wirksam wahrgenommen werden.
Zu Absatz 4
Die Regelung ermöglicht einen Kompromiß zwischen
dem Interesse des Nutzers an weitgehender Anonymität seines
Konsumentenverhaltens und dem berechtigten wirtschaftlichen Interesse des
Diensteanbieters, die Inanspruchnahme der Teledienste auszuwerten. Aus diesem
Grund sind Nutzungsprofile der Nutzer pseudonym möglich.
Satz 2 soll eine Umgehung des Satzes 1
verhindern.
Zu § 5 (Bestandsdaten)
Zu Absatz 1
Absatz 1 konkretisiert die in § 3 Abs. 1
festgeschriebene Befugnis zur Erhebung und Verwendung personenbezogener Daten
unter dem Gesichtspunkt der Erforderlichkeit für sogenannte Bestandsdaten. Er
regelt, in welchem Umfang und für welche Zwecke der Diensteanbieter
personenbezogene Daten für die Bereitstellung und Vermittlung von Telediensten
erheben, verarbeiten und nutzen darf. Die Vorschrift enthält keinen Katalog der
Bestandsdaten; welche Daten zu den Bestandsdaten zu rechnen sind, ergibt sich
aus dem Zweck des jeweiligen Vertragsverhältnisses; als Bestandsdaten sind aber
in jedem Falle nur solche anzusehen, die für die Begründung, inhaltliche
Ausgestaltung oder Änderung des Vertrages über die Inanspruchnahme von
Telediensten mit dem Diensteanbieter unerläßlich sind.
Zu Absatz 2
Die Vorschrift ist Ausdruck des engen
Zweckbindungsgrundsatzes in § 3 Abs. 2. Absatz 2 läßt eine Verarbeitung und
Nutzung der Bestandsdaten für andere Zwecke als den nach Absatz 1, insbesondere
für Zwecke der Beratung, Werbung, Marktforschung oder zur bedarfsgerechten
Gestaltung technischer Einrichtungen des Diensteanbieters nur mit ausdrücklicher
Einwilligung des Nutzers zu. Die Vorschrift entspricht der in § 89 Abs. 7
Telekommunikationsgesetz vorgesehenen Einwilligung.
Zu Absatz 3
Dieser Absatz entspricht der in § 89 Abs. 6 Satz 1
Telekommunikationsgesetz vorgesehenen Regel für die Übermittlung
personenbezogener Daten zum Zwecke der Verfolgung von Straftaten und
Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit
und Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der
Verfassungsschutzbehörden des Bundes und der Länder, des
Bundesnachrichtendienstes, des Militärischen Abschirmdienstes und des
Zollkriminalamtes. Der Anwendungsbereich ist auf Bestandsdaten im Sinne von
Absatz 1 beschränkt. Die Vorschrift erlaubt dem Diensteanbieter eine zweckändernde
Nutzung der Bestandsdaten; die Befugnisse der genannten Behörden werden davon
nicht berührt.
Zu § 6 (Nutzungs- und Abrechnungsdaten)
Zu Absatz 1
Nutzungsdaten sind personenbezogene Daten, die dem
Nutzer die Nachfrage nach Telediensten ermöglichen; es handelt sich dabei um
Daten, die während der Nutzung eines Teledienstes, z. B. Interaktionen des
Nutzers mit dem Diensteanbieter, entstehen.
Abrechnungsdaten sind Daten, die für die
Abrechnung der Inanspruchnahme von Telediensten erforderlich sind.
Vom Teledienstedatenschutzgesetz nicht erfaßt
werden Verbindungsdaten im Sinne von § 5 Abs. 1 der Verordnung über den
Datenschutz für Unternehmen, die Telekommunikationsleistungen erbringen (Telekommunikationsdienstunternehmen-Datenschutzverordnung
- TDSV), d. h. Daten, die zur Bereitstellung von
Telekommunikationsdienstleistungen dienen. Nur bestimmte Verbindungsdaten dürfen
nach diesen telekommunikationsrechtlichen Vorschriften erhoben und verarbeitet
werden. Soweit bei der Inanspruchnahme von Telediensten Verbindungsdaten im
Sinne der Telekommunikationsdienstunternehmen-Datenschutzverordnung anfallen,
findet diese Anwendung.
Zu Absatz 2
Dieser Absatz schreibt Löschungspflichten für
Nutzungs- und Abrechnungsdaten vor:
Zu Nummer 1
Nutzungsdaten sind nach Ende der jeweiligen Nutzung
des Teledienstes zu löschen, soweit sie nicht zu Abrechnungszwecken
erforderlich sind.
Zu Nummer 2
Personenbezogene Daten über Suchschritte, die im
Hinblick auf das Nutzerverhalten und Konsumentenwünsche von Bedeutung sind,
sind nach Beendigung der Nutzung des Teledienstes unmittelbar zu löschen.
Abrechnungsdaten, die für die Erstellung von Einzelnachweisen erforderlich
sind, müssen spätestens nach 80 Tagen nach Versendung der Einzelabrechnung gelöscht
werden; Ausnahmen von dieser Löschungsfrist bestehen nur, wenn der Nutzer die
Entgeltforderung innerhalb dieser Frist bestritten hat oder wenn der Nutzer
seine Abrechnung nicht beglichen hat. Die vorgesehenen Speicherfristen sind
abschließend im Teledienstedatenschutzgesetz geregelt.
Zu Absatz 3
Das Gesetz geht davon aus, daß Nutzungs- und
Abrechnungsdaten aufgrund ihrer hohen Sensitivität beim jeweiligen
Diensteanbieter verbleiben. Absatz 3 schließt daher eine Übermittlung von
personenbezogenen Nutzungs- oder Abrechnungsdaten an andere Diensteanbieter oder
Dritte grundsätzlich aus. Ausnahmen gelten nur für den Diensteanbieter, der
den Zugang zur Nutzung von Telediensten vermittelt; dieser darf anderen
Diensteanbietern oder Dritten Nutzungsdaten zu Zwecken der Marktforschung dieser
Diensteanbieter in anonymisierter Form übermitteln, und er darf
Abrechnungsdaten, soweit diese für die Einziehung einer Forderung dieses
Diensteanbieters erforderlich sind, übermitteln.
Zu Absatz 4
Dem Interesse der Diensteanbieter an einer
Abrechnung durch dritte Unternehmen soll dieser Absatz Rechnung tragen. Hat der
Diensteanbieter mit einem Dritten einen Vertrag über die Abrechnung
geschlossen, so darf er diesem Dritten Abrechnungsdaten zum Zwecke der
Abrechnung übermitteln. Eine Übermittlung zu einer anderen Zweckbestimmung
oder eine weitergehende Nutzung durch den Dritten sind unzulässig. Der
Diensteanbieter hat den Dritten auf die Einhaltung des Fernmeldegeheimnisses (§
85 Telekommunikationsgesetz) zu verpflichten.
Zu Absatz 5
Mit dieser Vorschrift soll verhindert werden, daß
aufgrund der aufgeschlüsselten Abrechnung Nutzerprofile entstehen und von
Dritten (z. B. Mitbenutzer, Betriebsangehörige) eingesehen werden können. Nur
wenn der Nutzer einen Einzelentgeltnachweis verlangt, darf die Abrechnung über
die Inanspruchnahme von Telediensten aufgeschlüsselt werden.
Zu § 7 (Auskunftsrecht des Nutzers)
§ 7 stellt sicher, daß der Nutzer, über das nach
dem Bundesdatenschutzgesetz geltende Auskunftsrecht hinaus die über ihn oder
sein Pseudonym gespeicherten Daten unentgeltlich elektronisch einsehen kann.
Dies gilt in Abweichung von den hier ergänzend anwendbaren Vorschriften des
Bundesdatenschutzgesetzes, auch soweit es sich um Dateien handelt, die nur
kurzfristig im Sinne von §§ 34 Abs. 4, 33 Abs. 2 Nr. 5 Bundesdatenschutzgesetz
vorgehalten werden. Die Gewährleistung dieses Einsichtsrechts erübrigt sich,
wenn die Inanspruchnahme von Angeboten anonym - beispielsweise mit Hilfe von
vorbezahlten Wertkarten - ermöglicht wird.
Zu § 8 (Datenschutzkontrolle)
Für die Überwachung der Verarbeitung
personenbezogener Daten im nichtöffentlichen Bereich ist nach § 38
Bundesdatenschutzgesetz die Aufsichtsbehörde zuständig. Von dieser Regelung im
Bundesdatenschutzgesetz soll nicht abgewichen werden. Die Aufsichtsbehörde soll
jedoch auch ohne Anlaß tätig werden.