Von Peter Schaar
Immer wieder wird – insbesondere seitens der Wirtschaft – das hohe Lied der Selbstregulierung gesungen. Besonders lautstark wird für Selbstregulierung geworben, wenn sich abzeichnet, dass der Gesetzgeber verbindliche Regeln setzen oder bestehende Vorschriften verschärfen will. So konnte es eigentlich nicht verwundern, dass die am 25. Januar 2012 von der Europäischen Kommission vorgelegten Vorschläge zur Reform des Europäischen Datenschutzrechts die Debatte über Ansätze zur Selbstregulierung beim Datenschutz angefacht haben. Auch die Bundesregierung schreibt der Selbstregulierung eine bedeutendere Rolle zu.
Auch beim Datenschutz hat der Gesetzgeber wiederholt nach Versprechen der Wirtschaft, bestimmte Probleme mittels Selbstregulierung zu lösen, auf angekündigte gesetzliche Vorgaben verzichtet. Mit ernüchternden Ergebnissen.
Zur Erinnerung: Das Bundesdatenschutzgesetz hat bereits vor zwölf Jahren das Instrument der Selbstregulierung zur Förderung des Datenschutzes eingeführt. Mit Umsetzung der EG-Datenschutzrichtlinie 95/46/EG wurde in § 38a BDSG eine Vorschrift aufgenommen, die es Wirtschaftsverbänden ermöglicht, der zuständigen Aufsichtsbehörde Verhaltensregeln (Codes of Conduct) vorzulegen. Damit verband der Gesetzgeber die Vorstellung, dass sich die Wirtschaft interne Regeln gibt, die die notwendigerweise abstrakt gehaltenen Vorschriften des Bundesdatenschutzgesetzes konkretisieren. Die datenschutzrechtlichen Regelungen sollten auf diesem Weg besser zu handhaben sein. Verhaltensregeln sollten den verantwortlichen Stellen durch Standardisierung die Anwendung des Datenschutzrechts erleichtern, den Betroffenen mehr Klarheit bei der Wahrnehmung ihrer Rechte schaffen und die Tätigkeit der Aufsichtsbehörden vereinfachen.
Dieser Ansatz hat sich in der Praxis bislang aber nicht wirklich bewährt. Abgesehen von einem Sonderfall für die Presse (§ 41 Abs. 1 BDSG) ist es erst im Jahre 2012 erstmalig gelungen, mit dem Code of Conduct der Versicherungswirtschaft eine Selbstregulierung nach § 38a BDSG auf den Weg zu bringen, und selbst hier ist noch nicht sicher, ob diese Selbstregulierung praktische Bedeutung entfalten wird.
Weitere Versuche, Verhaltensregeln zu etablieren, blieben bislang erfolglos. Zwei prominente Beispiele seien genannt: Der so genannte Geodaten-Kodex des Branchenverbandes BITKOM und die geplante Selbstregulierung für soziale Netzwerke.
Der Geodaten-Kodex sollte einen datenschutzgerechten Umgang mit „Panoramadiensten“ (wie z. B. Google Street View oder Bing Street Side) sicherstellen, um die vom Bundesrat geforderten gesetzlichen Regeln für diese Dienste zu vermeiden. Das Bundesministerium des Innern hatte am 20. September 2010 angekündigt, der Branchenverband BITKOM werde einen Geodaten-Kodex erarbeiten und diesen nach § 38a BDSG mit den Datenschutzaufsichtsbehörden abstimmen. Auf jeden Fall sollte – so das Bundesinnenministerium – der Gesetzgeber eine so genannte rote Linie definieren, die beim Umgang mit personenbezogenen Daten im Internet nicht überschritten werden dürfe. Im Ergebnis gab es weder eine anerkannte Selbstregulierung noch das „Rote-Linie-Gesetz“. BITKOM legte zwar mit dem Geodaten-Kodex Verhaltensregeln vor, die aber nach Auffassung der Datenschutzaufsichtsbehörden den gesetzlich vorgesehenen Standard unterschreiten und sogar hinter der vom Marktführer Google für seine Dienst „Street View“ zugesagten Schutzmechanismen zurückbleibt. Der Geodaten-Kodex wurde schließlich am 1. März 2011 in Kraft gesetzt, ohne ihn den Aufsichtsbehörden vorzulegen. Selbst für diesen bescheidenen Kodex dauerte es noch etwa eineinhalb Jahre, bis die formalen und organisatorischen Voraussetzungen zu seiner Umsetzung geschaffen waren. Immerhin in einem Punkt war die Ankündigung zur Selbstregulierung erfolgreich: Weder das vom Bundesrat geforderte umfassende Gesetzgebungsverfahren noch das vom Bundesministerium des Innern angekündigte Rote-Linien-Gesetz wurden weiter verfolgt.
Ähnlich bei Facebook & Co.: Als sich im Jahre 2011 die öffentliche Debatte um den Datenschutz in sozialen Netzwerken zugespitzt hatte, ergriff das Bundesinnenministerium die Initiative zur Selbstregulierung dieses Bereichs. Seitdem beraten verschiedene Branchenvertreter über einen Kodex für den Datenschutz in sozialen Netzwerken. Die Arbeiten an diesen Verhaltensregeln kommen indes nur sehr langsam voran. Wesentliche Branchenvertreter haben sich daraus verabschiedet, so dass selbst bei einem erfolgreichen Abschluss der Arbeiten kaum damit zu rechnen ist, dass sich an der Praxis der Marktführer aus den USA etwas ändert.
Woran liegt es, dass das Konzept der Selbstregulierung im Datenschutz so wenig erfolgreich ist?
Dies hat aus meiner Sicht verschiedene Ursachen: In Politik und Wirtschaft ist die Vorstellung weit verbreitet, das Instrument der Selbstregulierung könne Defizite bei der Gesetzgebung ausgleichen und Regelungen zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten überflüssig machen. Hier liegt aber ein Irrtum vor. § 38a BDSG dient eben nicht dazu, neues Datenschutzrecht zu schaffen und privaten oder öffentlichen Stellen neue Befugnisse zur Datenverarbeitung zu geben. Die wesentlichen Vorgaben zum Umgang mit personenbezogenen Daten muss der Gesetzgeber festlegen. Dabei kann er auch Verfahren und Regelungsgegenstände für die Selbstregulierung bestimmen, wie dies etwa in § 38a BDSG zur Konkretisierung des Datenschutzrechts der Fall ist.
Selbstregulierung kann – sinnvoll eingesetzt – durchaus einen wichtigen Beitrag zur Verbesserung der Datenschutzpraxis leisten. Dies gilt vor allem dann, wenn die Selbstregulierung der Konkretisierung abstrakter gesetzlicher Bestimmungen dient. Denkbar sind etwa branchenspezifische Regeln, die die in dem jeweiligen Wirtschaftszweig typischerweise auftretenden Datenverarbeitungsprozesse konkret beschreiben und klare Handlungsanweisungen geben. Verhaltensregeln könnten sich auch auf bestimmte wiederkehrende Verarbeitungssituationen beziehen, für die sie den konkreten Ablauf im Rahmen der gesetzlichen Bestimmungen verbindlich festlegen, etwa im Hinblick auf die Mechanismen zur elektronischen Einwilligung oder hinsichtlich der Gestaltung von Datenschutzinformationen im Internet.
Auch wenn Verhaltensregeln keine neuen materiell-rechtlichen Befugnisse zur Verarbeitung personenbezogener Daten schaffen können, sollte es für die Anerkennung von und den Umgang mit Verhaltensregeln klare gesetzliche Rahmenbedingungen geben, sowohl im Hinblick auf die Regelungsprozesse als auch in Bezug auf mögliche Rechtsfolgen („regulierte Selbstregulierung“).
Unternehmen müssen zudem Anreize haben, Selbstregulierungsmechanismen zu etablieren und sich diesen zu unterwerfen. Solche Anreize fehlen im derzeitigen Datenschutzrecht weitgehend – sicherlich auch eine Ursache für die nur zögerliche Erarbeitung von Verhaltensregeln nach § 38a BDSG.
Unabhängig davon können Selbstregulierungs-Kodizes bereits jetzt eine Senkung des Compliance-Aufwandes bewirken: Einheitliche Standards erleichtern den Unternehmen die Anwendung der gesetzlichen Bestimmungen. Zudem wird durch klare und nachvollziehbare Standards das Vertrauen der Kunden und Nutzer gestärkt, da diese den Umgang mit ihren Daten viel leichter einschätzen können.
Auch auf EU-Ebene ist die Selbstregulierung keine Erfolgsstory, wie das Beispiel Online Behavioural Advertising zeigt: Die von der European Advertising Standards Alliance (EASA) und vom Internet Advertising Bureau Europe (IAB) vorgelegten Best-Practice-Empfehlungen wurden von den europäischen Datenschutzbehörden nicht als ausreichend angesehen.
Die in Art. 38 des Entwurfs der EU-Datenschutz-Grundverordnung enthaltene Vorschrift zur Selbstregulierung enthält zwar einige positive Ansätze, es wäre jedoch wünschenswert, die Verfahren der Anerkennung und der Kontrolle von Selbstregulierungsmechanismen unmittelbar in der Verordnung näher auszugestalten und dabei dem Europäischen Datenschutzausschuss eine stärkere Rolle zuzuweisen.