Bundestagsrede 28.09.2006

Silke Stokar, Unternehmensinformationspflicht bei Datenpannen

Silke Stokar von Neuforn (BÜNDNIS 90/DIE GRÜNEN):

Deutschland war nach dem grundlegenden Volkszählungsurteil des Bundesverfassungsgerichts lange Jahre Vorreiter in Sachen Datenschutz. Einiges davon ist bis heute geblieben. Denken wir nur an die unabhängige Rolle des Bundesdatenschutzbeauftragten. Wir haben hier Standards gesetzt für die europäische Rechtsentwicklung.

Allerdings ist unser Datenschutzrecht vielfach schlicht in die Jahre gekommen. So nimmt unser Gesetz noch nicht hinreichend auf, dass eine immer größere Gefahr für das Recht auf informationelle Selbstbestimmung gerade auch von nichtöffentlichen Stellen ausgeht.

National und international steigt die Zahl der so genannten Identitätsdiebstähle. Die Fälle von Kreditkartenbetrug durch die missbräuchliche Verwendung von Identifizierungsdaten nehmen immer größere Ausmaße an. Durch das so genannte Pishing im Online-Banking entsteht pro Jahr ein grob geschätzter Schaden von 4,5 Millionen Euro. Wir wollen sicherstellen, dass Angriffe auf die IT-Systeme von Unternehmen, die mit personenbezogenen Daten arbeiten, umgehend an die Kunden gemeldet werden müssen. Wir brauchen hier mehr Transparenz, wir müssen die Schutzrechte der Betroffenen stärken und Anreize setzen auf mehr präventive Datensicherheit in den Unternehmen. Der Markt allein wird dies nicht regeln. Das deutsche Datenschutzrecht ist hier nicht mehr auf der Höhe der technischen und wirtschaftlichen Entwicklung. Die Benachrichtigungspflichten des § 20 BDSG sowie die damit eng zusammenhängenden Berichtigungsansprüche in § 35 des Bundesdatenschutzgesetzes beinhalten zu viele Ausnahmetatbestände. Obwohl mit der Novelle des Gesetzes nunmehr in § 7 ein eigenständiger Schadensersatzanspruch des Betroffenen besteht, greift auch dieser zu kurz. Die Beweispflicht für Sorgfaltspflichtverletzungen liegt bei dem Betroffenen. Es ist an der Zeit, diesen Umstand zu ändern. Ich sage das ganz offen: Es wäre das Beste, nicht am bestehenden Gesetz herumzuflicken, sondern die weit gediehenen Vorarbeiten für ein völlig neues Datenschutzgesetz aufzugreifen. Ich hoffe sehr auf ein Signal des Bundesinnenministers, hier entschlossen voran zu gehen.

Andere Länder sind beim Schutz der Konsumenten schon weiter. Das gilt in bestimmten Fällen sogar für einzelne Bundesstaaten der USA. Da reibt man sich verwundert die Augen. Während wir etwa bei der Behandlung der Flugdaten europäischer Passagiere oder beim Geldtransfer riesige Probleme mit den Vereinigten Staaten haben, ist Arnold Schwarzenegger hier Wolfgang Schäuble voraus.

Der so genannte Security Breach Information Act des US-Bundesstaats Kalifornien gilt dort bereits seit dem 1. Juli 2003. Wer als Unternehmen geschäftliche Kontakte zu Bürgern dieses Bundesstaats unterhält, muss seine Kunden über Datenschutzpannen sofort informieren. Ist die vertrauliche Behandlung personenbezogener Daten nicht mehr gewährleistet, muss das Unternehmen reagieren, sonst kann es sich sogar schadensersatzpflichtig machen. Diese gesetzliche Neuregelung hat für andere US-Bundesstaaten bereits eine Vorbildfunktion übernommen. In der Praxis haben diese Gesetzeswerke dazu geführt, dass Informationen über solche Verletzungen mehr und mehr öffentlich bekannt gemacht werden.

Wir haben einen Antrag im Bundestag eingebracht, der die Grundgedanken der US-Regelungen aufgreift. Auch bei uns sollen zum Schutz der Verbraucherinnen und Verbraucher hier tätige Unternehmen zu einer umfassenden Bekanntmachung von Datenschutzpannen verpflichtet werden. Wir fordern, dass Unternehmen bei fahrlässigem Umgang mit personenbezogenen Daten ihrer Kunden zivilrechtlich Schadensersatz leisten müssen. Diese Verletzungen ihrer Sorgfaltspflicht gilt für die Erhebung, Speicherung und Verwertung personenbezogener Daten der betroffenen Personen. Mit einer bloßen Verpflichtung allein ist es aber nicht getan. Das Gesetz sollte - nach einer Übergangsphase - den Datenschutzaufsichtsbehörden auch die Möglichkeit geben, Ordnungswidrigkeitenverfahren für besonders renitente Unternehmen zu verhängen, die grob fahrlässig ihre Schutzpflichten verletzen und ihren Transparenzverpflichtungen nicht nachkommen.

Wir sind davon überzeugt, dass wir hier auch einen wirksamen Beitrag zu Kriminalitätsbekämpfung leisten können, weil mehr Sorgfalt und Transparenz bei den Unternehmen den kriminellen Nutznießern von zu niedrigen Sicherheitsstandards das Handwerk legt. Die Menschen müssen wissen, wann die Gefahr besteht, dass mit ihren Daten Missbrauch getrieben werden kann. Ich erinnere auch hier an die USA, wo solche staatlichen Sanktionen durch die Handels- und Wettbewerbsbehörde Federal Trade Commission, die Federal Communications Commission oder die Bankenaufsicht verhängt werden können.

Ich hoffe, die Regierungsfraktionen zeigen sich in den Fachausschüssen offen für die Debatte dieses neuen Ansatzes. Die Innovation in der Informationsgesellschaft muss einhergehen mit der Modernisierung des Datenschutzrechtes.

 

153195