path: root/pages/datenbrief.md

title: Datenbrief
date: 2010-01-25 21:08:00 
updated: 2010-05-05 21:05:52 
author: frankro
tags: datenschutz, datenbrief, informationelle selbstbestimmung

Der Datenbrief ist eine Forderung des Chaos Computer Clubs (CCC), um die informationelle Selbstverteidigung des Bürgers zu stärken und die Anhäufung von personenbezogenen Daten möglichst unattraktiv zu machen. Er bietet die Chance, die Verarbeitung eigener persönlicher Daten besser zu überblicken und zu kontrollieren.

<!-- TEASER_END -->

Der CCC fordert den Gesetzgeber auf, den Datenschutz für den Einzelnen
zu verbessern. Als eine wichtige Maßnahme sehen wir die Einführung eines
"Datenbriefes": Wenn eine Firma, Behörde oder Institution
personenbezogene Daten über jemanden erhebt, speichert oder übermittelt,
muß der Betroffene regelmäßig über die über ihn gespeicherten Daten
informiert werden. Das betrifft auch Daten, die über ihn beispielsweise
durch "Anreicherung" mit anderen Datenquellen erzeugt werden, also
Profile, Scoring-Werte, Annahmen über Vorlieben, interne
Kundenklassenzuordnungen usw. Natürlich sind diese Daten zum Teil
hochdynamischer Natur, das ändert jedoch nichts daran, daß der
Betroffene ein Recht auf regelmäßigen kostenlosen Einblick hat.\
\
Das Ziel des Datenbriefes ist es, für jeden Bürger transparent zu
machen, wer die eigenen Daten verarbeitet. Der Bürger oder Verbraucher
wird zukünftig bewußter mit seinen Daten umgehen, wenn er erstmal einen
Überblick bekommen hat, welche Daten über ihn gespeichert sind. Das
Recht des Betroffenen auf Auskunft hat dabei Vorrang vor etwaigen
Geschäfts- oder Behördengeheimnissen der speichernden und verarbeitenden
Firmen. Persönlichkeitsrechte Dritter müssen selbstverständlich gewahrt
werden.\
\
Nach dem Bundesdatenschutzgesetz (BDSG) ist eine natürliche Person
"Betroffener", wenn über sie Einzelangaben über persönliche oder
sachliche Verhältnisse erhoben oder verarbeitet werden (§ 3 I BDSG).
Zwar hat ein Betroffener nach BDSG ein Recht auf Auskunft (§§ 19, 34
BDSG), jedoch muß er dazu erstmal ahnen, wer über ihn Daten gespeichert
hat und wer die tatsächlich verantwortliche Stelle ist. Außerdem muß er
gegenüber der verantwortlichen Stelle nachweisen, daß er die tatsächlich
betroffene Person ist. Dies kann relativ einfach durch eine Kopie des
Personalausweises erfolgen, einige Unternehmen fordern sogar eine
Identifikation mittels des PostIdent-Verfahrens.\
\
Wir fordern eine Paradigma-Umkehr der bisherigen Praxis, wo der Bürger
als Bittsteller gegenüber der speichernden Stelle auftritt. Die für eine
Datenverarbeitung verantwortliche Stelle soll sich durch den Datenbrief
wieder ihrer Verantwortung bewußt werden. Der Zugang zum Datenbrief muß
auch dann ermöglicht werden, wenn beispielsweise keine postalische
Adresse zum jeweiligen Datengeber verzeichnet ist. Die Übersicht über
die gespeicherten Daten und ihre Verwendungsergebnisse muß dann mit den
gleichen Zugangsdaten möglich sein, wie der sonstige Zugang zum Dienst
oder Service.\
\
Versendet das Unternehmen oder die Behörde im Laufe des Jahres Briefpost
an den Datengeber, kann der Datenbrief beigelegt werden. Der Mehraufwand
sollte dazu führen, daß das jeweilige Unternehmen kritisch prüft, ob
eine längerfristige Datenspeicherung sinnvoll und notwendig ist. Der
bürokratische Aufwand ist jedoch durchaus vertretbar, da in der Regel
ohnehin für Reklame, amtliche Mitteilungen, Rechnungen,
Vertragsänderungen oder andere Korrespondenzen Briefe versandt werden:
Der Datenbrief liegt dann anbei. Da gerade im elektronischen
Rechtsverkehr oft nur eine E-Mail-Adresse vorhanden ist, kann ein
solcher Datenbrief natürlich auch elektronisch, beispielsweise in Form
einer Anleitung zum Abruf der Daten, versandt werden.\
\
Mit der Verpflichtung zum Versenden des Datenbriefes soll ein Umdenken
sowohl bei Behörden und Firmen als auch beim Bürger einsetzen. Firmen
werden genauer prüfen, ob und wie lange Daten wirklich erforderlich
sind. Da auch die Rechtsgrundlage der Speicherung und Übermittlung sowie
eine einfache Widerspruchsmöglichkeit enthalten sein muß, wird sich der
Verantwortliche einmal mehr Gedanken machen, ob die Datensammlung
überhaupt legal, zumindest aber, ob sie notwendig ist. Da persönliche
Daten über Menschen und deren heutige oder prognostizierte Kaufkraft und
Kreditwürdigkeit einen kommerziellen Wert haben und zum Handelsgut
geworden sind, müssen Strafen drohen. Firmen, die es unterlassen, die
Verbraucher zu informieren, sollen durch harte Strafen nachhaltig
abschreckt werden, damit die angestrebte Transparenz erreicht wird.\
\
Die Übersicht gibt dem Betroffenen die Möglichkeit, die Richtigkeit der
Daten zu überprüfen und gegebenenfalls eine Korrektur und einen
Widerspruch zu veranlassen. Jeder kann nach Erhalt des Datenbriefes
entscheiden, der Speicherung der Daten weiterhin stillschweigend
zuzustimmen oder ihr zu widersprechen. Dazu soll der Auskunft zwingend
ein Widerspruchs- sowie Korrekturformular beiliegen. Fehlerhafte Daten
können eine Ursache von für den Verbraucher nachteiligen
Vertragsentscheidungen sein (beispielsweise negative Schufa-Auskunft,
Scoring-Werte).\
\
Es ist an der Zeit, die Asymmetrie zwischen Bürgern, deren persönliche
Daten oft ohne ihr Wissen verarbeitet werden, und Firmen oder Behörden,
die solche großen Sammlungen anlegen, weiterverarbeiten oder verkaufen,
zu beenden. Nur mündige Menschen können sich frei entscheiden, wem sie
ihre Daten anvertrauen, und dabei Unternehmen bevorzugen, die möglichst
wenige Daten speichern. Ein Gesetz, das den Datenbrief verpflichtend
macht und bei Mißachtung deftige Strafen androht, ist längst überfällig.

*Welche Informationen soll der Datenbrief enthalten?\
*Grundsätzlich sollen alle gespeicherten Daten des Betroffenen enthalten
sein. Der Datenbrief muß außerdem in jeden Fall enthalten, ob und welche
Daten an eine dritte Stelle übermittelt wurden. Diese Übermittlung muß
begründet werden. Dazu gehört die Auskunft, woher die Daten stammen und
zu welchem Zweck sie aufbewahrt werden.

*Wie oft soll der Datenbrief versendet werden?\
*Die Benachrichtigung sollte unmittelbar nach Beginn der Erhebung, der
Verarbeitung oder des Empfangs übermittelter Daten erfolgen. Dies könnte
zum Beispiel im Rahmen einer Auftragsbestätigung, mit der Lieferung
einer bestellten Ware oder als einzelne Mitteilung erfolgen. Danach soll
jährlich informiert werden.

*Werden durch den Datenbrief nicht bestimmte Daten erst notwendig zu
erheben, etwa die Postadresse?*\
Nein, auf keinen Fall soll der Datenbrief als Einladung verstanden
werden, noch mehr Daten zu erheben. Der Betroffene muß natürlich nur auf
dem Weg informiert werden, auf dem er ohnehin erreichbar ist. Auch
können nicht aktiv genutzte Daten, die beispielsweise nur aufgrund
gesetzlicher Pflichten gespeichert, aber nicht weitergegeben, verwendet
oder weiterverarbeitet werden, in den Archiven bleiben. Sie sollen nicht
per Datenbrief verschickt werden.

*Wird das nicht ein bürokratisches Monster? Wer soll das
kontrollieren?*\
Die verantwortlichen Stellen werden durch das Bundesdatenschutzgesetz
zum Versand des Datenbriefes verpflichtet. Der Geschäftsführer einer
Firma ist persönlich für die Einhaltung der Informationspflicht haftbar.
Für kleine Unternehmen ist kein Datenbrief vorgesehen, es soll also eine
untere Grenze der Firmengröße definiert werden, ab der ein Datenbrief zu
verschicken ist.\
Der Bürger kann jederzeit die Aufsichtsbehörden informieren, wenn er den
Verdacht hat, daß eine Stelle ihrer Auskunftspflicht nicht nachkommt.

Die Bundesländer müssen dafür sorgen, daß es einen einheitlichen
Ansprechpartner für solche Beschwerden gibt, denn die bisherige
Ausstattung der Datenschutzbehörden ist nicht ausreichend. So wird es
den Betroffenen erleichtert, sich gegen Mißbrauch ihrer Daten zu wehren.

*Wie sieht es beim CCC mit dem Datenbrief aus? Ihr speichert doch auch
Mitgliederdaten.*\
Der Chaos Computer Club e. V. versendet seit Jahren eine Übersicht im
Rahmen der Einladung zur Mitgliederversammlung.

Der CCC bittet darum, Kommentare und Vorschläge zum Datenbrief an
datenbrief(at)ccc.de zu senden.