Mit diesem Satz ergänzte Constanze Kurz vom CCC die Forderung nach einer Entschädigungspflicht bei Datenschutzverletzungen.
Geht es nach Hackern und Datenschützern, sollten Unternehmen bei „Datenverlusten“ künftig den Betroffenen einen Schadensersatz in Höhe von ein- oder zweihundert Euro zahlen müssen. (Quelle: Heise.de).
Weiter forderte Kurz, dass Unternehmen verpflichtet werden sollen, einen Datenbrief an Betroffene zu verschicken. In dem Brief soll der Betroffene über die Nutzung und Weitergabe der personenbezogenen Daten in Kenntnis gesetzt werden. Damit soll der Betroffene die Möglichkeit haben, Kontrolle über die Nutzung auszuüben und ggf. der Nutzung zu widersprechen.
Unternehmen könnten die Pflicht zu Datenbriefe als Eingriff in ihre Berufsfreiheit verstehen. Die Pflicht zum Versand eines Datenbriefs hat dabei nicht nur berufsregelnde Tendenz, wie stets vom BVerfG gefordert, sondern regelt den Umgang mit Datensätzen. Daher liegt ein Eingriff in die Berufsausübungsfreiheit vor. Gerechtfertigt ist der Eingriff wenn er verhältnismäßig ist. An der Geeignetheit eines Datenbriefs als Kontrollmöglichkeit des Betroffenen ist nichts auszusetzen. Anders bei der Erforderlichkeit. Erforderlich ist der Eingriff, wenn der Zweck nicht durch ein anderes Mittel erreicht werden kann, das den Grundrechtsträger weniger belastet (BVerfGE 30, 292). An dieser Stelle kann man sich schon fragen, ob der Datenbrief, der regelmäßig Kosten verursachen wird, die einzige Lösung ist, die Kontrollmöglichkeit des Betroffenen zu ermöglichen. Denkbar wäre bspw., dass Unternehmen die Nutzung von personenbezogenen Daten an ihre Aufsichtsbehörde melden und diese Betroffene auf Wunsch in Kenntnis setzt. Daneben ist fraglich, ob der Datenbrief das BDSG wirklich verbessert oder nur nach dem Motto „doppelt hält besser“ nachbessert.
Hier gibt es noch einigen Diskussionsbedarf. Abzuwarten bleibt, wie sich die Politik dazu äußert.