Die technische Entwicklung in der Datenverarbeitung schreitet nach wie vor rasant voran, eine Verlangsamung, gar ein Ende ist nicht abzusehen. Neue Geschäftsideen basieren zunehmend darauf,
dass Daten ein „normaler“ Gegenstand des Wirtschaftsverkehrs geworden sind.

Für den Staat, der die Grundrechte seiner Bürger zu schützen hat, stellen sich aufgrund der Entwicklung entsprechende Fragen: Kann der Nationalstaat oder auch die EU die globale Datenverarbeitung und das Grundrecht auf Datenschutz überhaupt noch kontrollieren? Muss nicht der Selbstdatenschutz jedes Einzelnen stärker betont werden? Wie können Grundprinzipien des Datenschutzes wie z. B. die  Transparenz der Datenverarbeitung gestärkt werden, insbesondere im Zeitalter des Internet?

Die IHK-Organisation fordert daher in ihrem Eckpunktepapier zum Datenschutz:

• Internationale Datenverarbeitung verlangt Selbstdatenschutz
  Einzelstaatliche oder auch gemeinschaftliche Rechtsdurchsetzung endet an den Grenzen
  des Staates bzw. an denen der EU. Der Schutz des informationellen Selbstbestimmungsrechts
  liegt zuerst und weitgehend bei jedem Einzelnen. Wer umfassend personenbezogene
  Daten ins Internet stellt, muss sich der Risiken bewusst sein.
• Grundsätze der Datenvermeidung und -sparsamkeit stärken
  Nicht der Aspekt einer Sammlung möglichst vieler Daten steht im Vordergrund, sondern eine Vorabdefinition dessen, was an konkreten Daten erforderlich ist für die Bewältigung einer bestimmten Aufgabe. Privacy by design muss daher ein tragender Aspekt eines modernen Datenschutzes sein.
• Transparenz der Datenverarbeitung verbessern
  Im ersten Schritt sollten die Unternehmen die Betroffenen über deren Auskunftsrecht in
  leicht verständlicher Sprache unterrichten. Die gleiche Informationspflicht sollten die Unternehmen für den Fall der Datenübermittlung erfüllen. Zur besseren Durchsetzung des Auskunftsanspruchs könnten Unternehmen technische Lösungen prüfen, mit denen jeder Betroffene Zugriff auf die über ihn gespeicherten Daten erhält. Hierbei kommt es aber darauf an, dass insbesondere kleine und mittlere Unternehmen nicht einem zu hohen Kosten- und Organisationsaufwand ausgesetzt sind.
• Kundenprofile unternehmensintern zulassen
  Verbraucher können es durchaus als angenehm empfinden, wenn ein Unternehmen ihnen
  passende Angebote unterbreitet. Den gleichwohl offenkundigen Gefahren der Profilbildung muss durch entsprechende Hinweise in den AGB zur Datenverwendung sowie zusätzlich einer eindeutigen gesetzlichen Regelung entgegengewirkt werden, dass der unternehmensinterne Datenbestand nicht zur Profilbildung durch Daten Dritter angereichert oder an Dritte übermittelt werden darf. In den Grenzen des UWG müssen zudem die Unternehmen zielgruppenorientiert ihre Kunden bewerben können.
• Geregeltes Vergessen technisch ermöglichen
  Ein digitales Verfallsdatum ist insbesondere dann sinnvoll, wenn Daten nur für einen begrenzten
  Zeitraum relevant sind. Auch wenn es keine Sicherheit dafür gibt, dass Daten, die einmal im Netz verfügbar waren, wieder gelöscht werden können, sollte eine technische Möglichkeit zur Löschung von Daten vorgesehen werden.
• Datenschutzkonzept als Selbstverpflichtung
  Die Zusammenführung des internen Verfahrensverzeichnisses, der technischorganisatorischen
  Maßnahmen, die Beschreibung datenschutzrelevanter Prozesse, Datensicherheit
  zum Schutz von Geschäfts- und Betriebsgeheimnissen sowie eine Datenschutzpolicy sind
  sinnvoll.
• Arbeit des betrieblichen Datenschutzbeauftragten effektivieren
  Die Anforderungen an die fachliche Eignung des betrieblichen Datenschutzbeauftragten
  steigen. Es mangelt aber an einem Ausbildungsprofil für diese Aufgabe. Die IHKOrganisation
  prüft zurzeit die Möglichkeiten einheitlicher Standards in Kooperation mit im
  Datenschutz anerkannten Institutionen.
• Datenschutz verbundener Unternehmen der Praxis anpassen
  Weltweit tätige Unternehmensverbünde haben häufig ihre Datenverarbeitung bei einem verbundenen Unternehmen/einer Konzerntochter konzentriert. Die hohen Hürden der Datenverarbeitung, zu denen weitere Verpflichtungen bei einem Datentransfer in Drittländer hinzukommen, erhöhen lediglich den Verwaltungsaufwand im Konzern, nicht aber den Datenschutz. Daher muss es über „binding corporate rules“ zulässig sein, diese Form der Datenverarbeitung zu praktizieren.
• Aufsicht vereinheitlichen
  Unternehmen, die in verschiedenen Bundesländern tätig sind, beklagen immer wieder unterschiedliche Auslegungen und Anforderungen der Aufsichtsbehörden. Erforderlich sind freiwillige Absprachen der Aufsichtsbehörden mit dem Ziel, das Hauptsitzprinzip zu berücksichtigen.
• Formerfordernis für die Einwilligung erleichtern
  Eine elektronische Einwilligung muss künftig durchgängig möglich sein.
• Personenbezogene Daten definieren
  Der Begriff der personenbezogenen Daten wird in den letzten Jahren immer stärker ausgeweitet.
  Daten sind nur dann personenbezogen, wenn die betroffene natürliche Person durch die speichernde Stelle mit normalen Mitteln und ohne Einschaltung Dritter bestimmbar ist.
• Keine pauschalierte Haftung
  Die deutsche Rechtstradition mit der Anforderung der Ursächlichkeit und des Eintritts eines konkreten und nachzuweisenden Schadens sollte auch im Datenschutz beibehalten werden. Punitive damages mit unkalkulierbaren Schadenssummen dürfen keinen Eingang in deutsches und europäisches Recht finden.

Details finden Sie im download "Datenschutz - DIHK-Eckpunktepapier Juni 2011"