Tagungsbericht: GDD-Winterworkshop 2014

04.02.2014

Andreas Jaspers startete das Vortragsprogramm mit dem Thema „Datenschutz im Programm der neuen Bundesregierung“. Der Koalitionsvertrag von CDU/CSU und SPD enthält gleich mehrere IT- und datenschutzrechtliche Bezüge, wird jedoch nur selten konkret. Das IT-Sicherheitsgesetz befindet sich in Planung und soll die Betreiber kritischer Infrastrukturen zur Meldung erheblicher IT-Sicherheitsvorfälle an das BSI verpflichten. Wie eine europäische Cybersicherheitsstrategie und technologische Souveränität zu gewährleisten sind, wird sich hingegen erst noch zeigen müssen. Ebenso ist unklar, welche genauen Konsequenzen aus der NSA-Affäre zu ziehen sind, welches Schicksal die Stiftung Datenschutz ereilen wird und ob ein nationaler Vorstoß auf dem Gebiet des Beschäftigtendatenschutzes auch ohne ein Zuwarten auf die europäische Datenschutzreform sinnvoll ist. Lediglich hinsichtlich der Vorratsdatenspeicherung scheint das weitere Vorgehen festgelegt. Ein entsprechender Gesetzentwurf wird die Rechtsprechung des Bundesverfassungsgerichts und des Europäischen Gerichtshofs berücksichtigen.

Prof. Dr. Gregor Thüsing referierte zu Fragen der „Compliance und internal Investigation“. Unternehmen haben ein berechtigtes Interesse daran, Regelverstöße Ihrer Mitarbeiter aufzuklären. Wie weit geht aber die Auskunftspflicht im Hinblick auf eigenes oder fremdes Fehlverhalten? Zugleich gilt es, zu klären, inwieweit der Betriebsrat bei internen Ermittlungsmaßnahmen zu beteiligen ist und ob der Arbeitnehmer einen Anwalt zu Rate ziehen kann. Problematisch ist vor allem das Erheben von Daten sämtlicher Beschäftigter, da sich eine Maßnahme nach § 32 Abs. I S. 2 BDSG auf einen konkreten Verdächtigen beziehen muss.

Dr. Claus-Dieter Ulmer widmete sich dem „Connected Car“. Das vernetzte Fahrzeug generiert Datenströme, die für vielfältige Anwendungen benutzt werden können. Der Fahrer, die Werkstatt, das Unternehmen bei Dienstwagen oder Telekommunikationsanbieter sind in der Lage, einen Mehrwert aus den gewonnenen Daten zu erzeugen. Dabei kommt es jedoch vor allem darauf an, dass alle erfassten Daten ausschließlich zweckbezogen verwertet werden, ein geeignetes Sicherheitskonzept zugrunde gelegt wird und eine für den Nutzer transparente Datenverarbeitung stattfindet. Privacy by Design wird in Zukunft bei sämtlichen kommerziellen Angeboten eine gewichtige Rolle spielen.

Danach ergriff Andreas Jaspers erneut das Wort und berichtete „Aktuelles zur EU-DS-GVO“. Mit dem Ende der Legislaturperiode im Europäischen Parlament ist das Vorhaben einer Datenschutz-Grundverordnung nicht vom Tisch. Die Verordnung wird weite Teile des Datenschutzrechts auf Bund- und Länderebene ersetzen. Insbesondere das Recht des Datenschutzbeauftragten und des Beschäftigtendatenschutzes bedarf deswegen auf europäischer Ebene der Fortentwicklung.

Prof. Peter Gola beleuchtete den „Datenschutz von Personal- und Kundendaten bei Verkauf des Unternehmens“. Veränderungen in der Unternehmensstruktur können sowohl mit als auch ohne Änderung der verantwortlichen datenverarbeitenden Stelle einhergehen. Beim Share-Deal, also der Übertragung von (ggf. sämtlichen) Unternehmensanteilen, findet keine Übermittlung der Unternehmensdaten statt. In Rechtsnachfolgefällen (etwa der Verschmelzung nach dem Umwandlungsgesetz) ändert sich zwar die verantwortliche Stelle, doch es fehlt auch hier an einer Übermittlung. Lediglich beim Asset-Deal, also dem Verkauf einzelner Unternehmensbestandteile, werden Daten an den jeweiligen Erwerber übermittelt. Schon während der Due-Diligence-Phase ist auf die Wahrung der Vertraulichkeit durch geeignete Maßnahmen hinzuwirken.

Dr. Stephan Pötters kümmerte sich um „Bewertungsportale und Abwehrrechte Betroffener“. Die Spick-mich-Entscheidung des BGH von 2009 ist wegweisend für die Behandlung von Bewertungsportalen in Deutschland. Im Hinblick auf den Stellenwert der Meinungsäußerungsfreiheit hat der BGH eine besondere Auslegung des § 29 BDSG vorgenommen und das Vorgehen des Lehrerbewertungsportals für zulässig erachtet. Nichtsdestotrotz muss die Stigmatisierung Betroffener verhindert werden. Als Beseitigungs- und Unterlassungsanspruch kommt vor allem die Allzweckwaffe § 1004 BGB in Betracht, das Verhältnis der BGB-Vorschriften zu denen der Löschung nach § 35 BDSG ist allerdings weiterhin unklar.

Der Berichterstatter begann den zweiten Vortragstag mit dem Thema „Bring Your Own Device –Datenschutz- und arbeitsrechtliche Aspekte“. Mitarbeitereigene Hardware, insbesondere wenn sie Mobilgeräte für Konsumenten betrifft, bringt gleich eine ganze Reihe rechtlicher Probleme mit sich. Sofern nicht von vornherein ein restriktives Mobile Device Management genutzt wird, wird die IT-Sicherheit in die Hände des einzelnen Mitarbeiters gelegt. Die datenschutzrechtlichen Vorgaben schränken den Nutzer dabei so weit ein, dass ihm gänzlich die Lust daran vergehen kann, sein Privatgerät dienstlich zur Verfügung zu stellen.

Prof. Dr. Rolf Schwartmann referierte zum Thema „Datenschutz in der Rechtsprechung des EuGH – Aktuelle relevante Fälle“. Ausgehend von der Lindqvist-Entscheidung von 2003 hat der EuGH eine ganze Reihe datenschutzrechtlicher Entscheidungen getroffen, die sich mit der Veröffentlichung personenbezogener Daten im Internet, der Verantwortlichkeit von Suchmaschinenbetreibern, der Herausgabe personenbezogener Daten zur Urheberrechtsverfolgung und anderen Auskunftsansprüchen beschäftigten. Die zudem vom EuGH geforderte Unabhängigkeit der Datenschutzaufsichtsbehörden dürfte insbesondere für die Situation in Deutschland besondere Bedeutung erlangen.

Prof. Dr. Rainer W. Gerling stellte „Big Data und das Recht auf Vergessenwerden“ ins Verhältnis. Big-Data-Anwendungen machen große Mengen unstrukturierter und sich ständig verändernder Datenbestände nutzbar. So können fundierte Analysen, Vorhersagen und Visualisierungen vorgenommen werden. Dabei kann jedes Datum Bedeutung erlangen, auch die oftmals als harmlos eingestuften Metadaten. Diese gigantischen Datenmengen bleiben lange Zeit verfügbar. Daher ist zu überlegen, auf welche Weise ein Recht auf Vergessenwerden gewährleistet werden kann. Technische Ansätze sind bereist entworfen, jedoch äußerst umständlich in der Anwendung. Eine praktikable Lösung würde zweifelsohne das ideale Digital Rights Mangement (DRM) darstellen, wie es von der Content-Industrie so oft gefordert wurde. Daran fehlt es allerdings bislang.

Thomas Müthlein richtete sich an das Auditorium mit dem Thema „Anforderungen an Auftragnehmer nach § 11 BDSG – Vom Standard zur Zertifizierung“. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) und die GDD haben gemeinsam einen offenen Standard zur Zertifizierung von Auftragsdatenverarbeitern geschaffen, den DS-BvD-GDD-01. Die nordrhein-westfälische Datenschutzaufsicht (LDI NRW) unterstützt das Projekt. Sie ist ihrerseits gehalten, Erfahrungen auf dem Gebiet der Datenschutz-Auditierung zu gewinnen. Die besondere Herausforderung besteht darin, gesetzliche Anforderungen und Erwartungen der Auftraggeber in einen einheitlichen Standard zu überführen, der zugleich den unterschiedlichen Sicherheitsanforderungen in den einzelnen Branchen gerecht wird.

Eva Neurath vom Verlag Datakontext zeigte sich zufrieden mit dem Ablauf. „Wir haben auch in diesem Jahr für unseren Winter-Workshop einen spannenden Mix aus aktuellen Themen zusammenstellen können. Wieder hat sich das intensive Veranstaltungskonzept bewährt und in überschaubarer Runde gab es viel Zeit für den direkten Dialog und zum Networking. Neben den Fachinhalten ist ein Höhepunkt der traditionelle Abend mit Schuhplattlern, gutem Essen und interessanten Gesprächen in lockerer Atmosphäre gewesen.“ Ähnlich äußerten sich die Teilnehmer, insbesondere sei auf ein ausgewogenes Verhältnis von rechtlicher Dogmatik und Praxisbezug geachtet worden.

Der zweite Vortragstag fiel mit dem Europäischen Datenschutztag zusammen. Die GDD nahm dies zum Anlass die neue Auflage des Praxisleitfadens „Mitarbeiterdaten im Unternehmensverbund“ kostenlos auf Ihrer Homepage (www.gdd.de) zum Download bereitzustellen. Das Datum für den nächsten Winterworkshop in Garmisch-Partenkirchen steht bereits fest: Am 26. und 27. Januar 2015 wird es wieder so weit sein.

Dr. Lorenz Franck, GDD e.V.

(Foto:©Fotolia/Smileus)