Bereichsbild

DAFTA 2017

DAFTA 1996-2016

 

40. Datenschutzfachtagung (DAFTA) und 35. RDV-Forum

Leitthema: "Vom BDSG zur Datenschutz-Grundverordnung - Der Countdown läuft!"
Wann 16.11.2016 um 09:00 bis
18.11.2016 um 14:00
Wo Maternushaus in Köln
Termin übernehmen vCal
iCal

Erfahrungsaustausch von betrieblichen und behördlichen Datenschutzbeauftragten mit den Repräsentanten von Gesetzgebung und Verwaltung führt nicht nur in jedem Jahr zu konstruktiven und fruchtbaren Diskussionen, sondern auch zu einer Fortentwicklung des Datenschutzbewusstseins in den Betrieben, der Verwaltung und der Öffentlichkeit. Die DAFTA bietet neben Plenumsvorträgen und Podiumsdiskussionen auch Fachforen und Workshops.

 

Themen der Fachforen werden u.a. sein:

  • Kundendatenschutz nach DS-GVO - Zurück in die Zukunft?
  • IT-Sicherheit nach DS-GVO
  • Datenschutz-Management System: Von der Accountability zur Zertifizierung - IDW PS 980, die DS-GVO und die Praxis?
  • Änderung für den Datenschutz im öffentlichen Bereich unter der DS-GVO - Vorhaben gesetzgeberischer Ergänzungen auf Bundes- und Landesebene
  • Vom BDSG zur DS-GVO: Der Umgang mit Datenpannen

 

35. RDV-Forum am 16.11.2016

40. DAFTA vom 17.-18.11.2016

40. DAFTA - Jubiläum

Wir feiern unser 40. Jubiläum, feiern Sie mit und nehmen Sie teil. 

 

 

>> Details aus dem Programm entnehmen Sie bitte hier.


Weitere Informationen über diesen Termin…

39. Datenschutzfachtagung (DAFTA) und 34. RDV-Forum

DAFTA 2015 und RDV-Forum 2015 "Wirtschaft 4.0 - Datenschutz 4.0?"
Wann 18.11.2015 um 09:00 bis
20.11.2015 um 14:00
Wo Maternushaus in Köln
Termin übernehmen vCal
iCal

Erfahrungsaustausch von betrieblichen und behördlichen Datenschutzbeauftragten mit den Repräsentanten von Gesetzgebung und Verwaltung führt nicht nur in jedem Jahr zu konstruktiven und fruchtbaren Diskussionen, sondern auch zu einer Fortentwicklung des Datenschutzbewusstseins in den Betrieben, der Verwaltung und der Öffentlichkeit. Die DAFTA bietet neben Plenumsvorträgen und Podiumsdiskussionen auch Fachforen und Workshops.

 

34. RDV-Forum am 18.11.2015

39. DAFTA vom 19.-20.11.2015

 

>> Hier finden Sie das aktuelle Programm der diesjährigen DAFTA sowie auf der Startseite in den News.

38. DAFTA und 33. RDV-Forum

Smarte Technologien hätten in den zurückliegenden Jahren in zahlreichen Alltagsbereichen Einzug gehalten, so Prof. Dr. Rolf Schwartmann, Vorstandsvorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn, anlässlich der Eröffnung der 38. Datenschutzfachtagung (DAFTA) in Köln. Exemplarisch sei hier etwa das Auto zu nennen, das sich von einem reinen Fortbewegungsmittel zu einem kleinen fahrenden Rechenzentrum gewandelt habe. Die zunehmende maschinelle „Intelligenz“ stelle hohe Anforderungen an Nutzer und Datenschützer, welche die stattfindenden Datenverarbeitungen nachvollziehen wollen.

 

Dr. Linda Nierling, Institut für Technikfolgenabschätzung und Systemanalyse (ITAS), Karlsruhe, beschreibt die stetig wachsende Bedeutung moderner Informations- und Kommunikationstechnik für die Arbeitswelt. Immer größere Bereiche des Denkens und Analysierens in Arbeitsprozessen würden heute durch Software abgedeckt. Diese „Automatisierung des Geistes“ beruhe vor allem auf der Tendenz, das Arbeits- und Wirtschaftsleben immer weiter zu rationalisieren. Festzustellen sei zudem, dass der moderne Arbeitnehmer als „E-Nomade“ zunehmend mobil und zeitlich entgrenzt arbeite. Infolge der Digitalisierung seien außerdem auch neue Arbeitsformen entstanden, wie das sog. Crowdworking, d.h. die Auslagerung von Wertschöpfungsaktivitäten von Unternehmen über das Internet. Bei dieser neuen Arbeitsform werden Arbeitspakete in kleine Einheiten zerlegt und über webbasierte Plattformen an Microjobber vergeben. Anwendungsbereiche seien hier z.B. Übersetzungsarbeiten, Design- und Programmieraufgaben. Diese smarte neue Arbeitswelt biete den Arbeitnehmern neue Freiheiten, indem sie ihre Arbeitstätigkeit flexibel gestalten können. Damit einher gingen allerdings auch gestiegene Anforderungen und Belastungen, z.B. durch stetig neue Qualifikationsanforderungen sowie den zunehmenden Druck, permanent erreichbar zu sein. Auch stellten sich neue gesellschaftspolitische Herausforderungen, so dass es einer globalen Regulierung von Arbeitsbedingungen und diese beeinflussende smarten Technologien bedürfe, so Nierling.

 

Das Thema smarte Technologien aus Sicht des Gesetzgebers beleuchtete Dr. Günter Krings, Parlamentarischer Staatssekretär im Bundesinnenministerium (BMI). Ebenso wie bei „Big Data“ handele es sich auch bei den „smarten Technologien“ um einen schillernden Begriff. Weder seien diese Techniken daher pauschal zu verurteilen noch gutzuheißen, sondern es komme entscheidend auf den konkreten Verwendungszusammenhang an. Die Möglichkeit, einen geeigneten Rechtsrahmen zu schaffen, biete aus Sicht des BMI die geplante europäische Datenschutz-Grundverordnung, wobei wichtige Instrumente insbesondere der risikobasierte Ansatz, die Stärkung des Konzepts der Pseudonymisierung und die Schaffung einer intelligenten Profiling-Regelung seien. Möglicherweise würden aber nicht alle genannten Instrumente noch vollumfänglich in der Grundverordnung implementiert, so Krings. Dafür sei der politische Druck, schnell fertig zu werden, zu hoch.

 

Mit dem Recht auf Vergessenwerden und dem diesbezüglichen EuGH-Urteil gegen den Suchmaschinenbetreiber Google befasste sich die ehemalige Bundesministerin der Justiz Sabine Leutheusser-Schnarrenberger. Nach dieser Entscheidung können Betroffene von Online-Inhalten nicht nur gegen den Content-Anbieter, sondern auch gegen einen Suchmaschinenbetreiber vorgehen, der lediglich die leichte Auffindbarkeit der beanstandeten Informationen ermöglicht. Nicht jede Information, selbst wenn sie richtig sei, solle für immer ohne Weiteres allgemein abrufbar bleiben, so der EuGH. Diese Entscheidung halte sie im Ausgangspunkt für richtig, so Leutheusser-Schnarrenberger. Als Mitglied des Expertenbeirates zum Recht auf Vergessen bei Google unterstütze sie die Erstellung von Empfehlungen zur Umsetzung der Gerichtsentscheidung durch das Unternehmen. Fraglich sei insbesondere, ob der Suchmaschinenbetreiber künftig selbst über entsprechende Löschungsanträge entscheide oder ob ein speziell hierfür eingerichtetes Gremium diese Aufgabe übernehmen soll.

 

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Andrea Voßhoff bezeichnete die DAFTA als „ein Muss“ für alle, die sich im Bereich des Datenschutzes bewegen. Ihr erstes Jahr im Amt sei erst durch den Besuch der Tagung komplett. In ihrem Vortrag widmete sie sich dem sog. „Smart Life“ als Herausforderung für die Datenschutzaufsicht. Den schillernden Begriff des Smart Life konturierte sie dahingehend, dass es sich um den Umgang mit digitalen technischen Hilfsmitteln handele, die den Alltag vereinfachen. Sie sieht die Kernaufgabe der Datenschutzaufsicht einerseits in einer flächendeckenden Beratung und Information der Betroffenen, andererseits in der Bearbeitung konkreter Bürgereingaben. Die einwilligungsbasierte Verarbeitung personenbezogener Daten könne dem Recht auf informationelle Selbstbestimmung nur dann zur Geltung verhelfen, wenn die Betroffenen ausreichend für datenschutzrechtlichen Fragen sensibilisiert sind. Für Paternalismus sei dabei kein Platz. Voßhoff wünscht sich zwischen Datenschutzaufsicht und Daten verarbeitender Wirtschaft einen Dialog auf Augenhöhe, insbesondere vor dem Hintergrund der innerkorporativen Selbstregulierung durch betriebliche Datenschutzbeauftragte. Die Datenschützer bezeichnete sie dabei als „Verfassungsschützer im besten Sinne“. Der Datenschutz sei kein Vehikel für Technikfeindlichkeit, aber der einzelne Bürger dürfe auch nicht zur „Daten-Mine“ herabgestuft werden, die nach Belieben ausgebeutet werden darf.

 

Die Vorträge mündeten in einer Podiumsdiskussion, welche von Prof. Dr. Joachim Jahn, Wirtschaftsredakteur der Frankfurter Allgemeinen Zeitung, moderiert wurde und an der neben den Referenten auch Herr Benjamin Rüdiger, stellv. Konzerndatenschutzbeauftragter der RWE, teilnahm. Hier wurden noch einmal die Schwierigkeiten bei der informierten Einwilligung und der Zweckbestimmung der Datenverarbeitung hervorgehoben. Die schiere Masse an Daten, die bei der Nutzung smarter Geräte anfalle, lasse sich nur dann rechtskonform verarbeiten, wenn alle Untergliederungen des Unternehmens, von der IT-Abteilung bis zum Vertrieb, entsprechend geschult und sensibilisiert sind. Gleichwohl sei der einzelne Betroffene seinerseits in der Verantwortung, seitenlange Datenschutzbestimmungen nicht einfach wegzuklicken.

37. DAFTA und 32. RDV-Forum

Für die Menge der Daten, die wir permanent in die digitale Umlaufbahn jagen, fehle uns jegliches Vorstellungsvermögen, so Prof. Dr. Rolf Schwartmann, Vorstandsvorsitzender der GDD. Allein die NSA sammle jede Sekunde so viele Informationen wie die Stasi in 40 Jahren. Die Berücksichtigung von Menge, Komplexität und Vielfalt der Informationen sei eine Herausforderung, die man unter dem Stichwort Big Data zusammenfasse. Die Entwicklung ziele auf eine Auswertung von Daten durch Maschinen, denn der Mensch sei überfordert mit dem Umgang mit Zahlen in der Potenz hoch 18. Für den Bürger gelte es, Bewusstsein für die Gefahren zu entwickeln,  die in der Nutzung des Internets steckten. Auf Seiten der Wirtschaft sei ein verantwortungsvoller Einsatz von Internetdiensten gefragt, so Schwartmann. Der Staat schließlich habe die Aufgabe, Parameter für den Umgang mit Netzdiensten und hier insbesondere die rechtlichen Parameter abzustecken.

Zur Bedeutung des Datenschutzes für eine freiheitliche Gesellschaft äußerte sich Prof. Dr. Johannes Masing, Richter am Bundesverfassungsgericht, und warf die Frage auf, ob es nicht durchaus sinnvoll für eine Gesellschaft sei, wenn alles über den Einzelnen bekannt sei und nur die Nutzung der vorhandenen Informationen reguliert werde. Insofern wies Masing darauf hin, dass nach der Konzeption des Bundesverfassungsgerichts schon Wissen Macht sei und bereits mit dem Ansammeln von Daten Gefahren für den Betroffenen einhergingen, nämlich der Manipulierbarkeit, Erpressbarkeit sowie des Verlusts der menschlichen Würde. Freiheit bedeute die Entfaltung des Selbst in der Zeit, wozu auch die Möglichkeit gehöre sich selbst neu zu erfinden. Die Dokumentation menschlichen Verhaltens hemme aber die Selbstentfaltung. Gerade weil auch Grenzüberschreitungen zur Selbstentfaltung gehörten, sei ein „Recht auf Vergessen“ bezogen auf die Freiheit des Einzelnen essentiell. 

Festzustellen sei allerdings leider auch, dass die Rechtsordnungen den praktischen Herausforderungen des Datenschutzes vielfach hinterherliefen, so Masing weiter. Eine besondere Herausforderung für die Datenschutzverantwortlichen in den Unternehmen stelle aus seiner Sicht insofern die zunehmend globalisierte Datenverarbeitung dar, fehle es doch außerhalb der europäischen Ebene an internationalen Standards zum Datenschutz. Notwendig für einen effektiven Schutz personenbezogener Daten seien aus seiner Sicht starke internationale Aufsichtsbehörden, die einen einheitlichen Rechtsrahmen zu Grunde legten. Das Kochen „nationaler Süppchen“ halte er hingegen für kontraproduktiv.

Das Recht auf Datenschutz sei jedoch nicht absolut, fuhr Masing fort. Vielmehr müssten die unternehmerischen Interessen der datenverarbeitenden Unternehmen und das Recht des Betroffenen auf informationelle Selbstbestimmung  in einen angemessenen Ausgleich gebracht werden. Hierbei handele es sich auch um eine Gestaltungsaufgabe des Gesetzgebers, die sehr auf die unterschiedlichen Gefährdungslagen abstellen müsse. Während etwa die Datennutzung zu Werbezwecken relativ geringe Gefahren für den Betroffenen aufweise, könnte die Verwendung persönlicher Daten im Zusammenhang mit Kreditentscheidungen oder Stellenbesetzungen erhebliche Konsequenzen für diesen haben.

Als „9/11“ für den Datenschutz bezeichnete der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar die Enthüllungen im Zusammenhang mit NSA, Prism und Tempora. Niemand könne mehr von einer Nichtüberwachung ausgehen und er halte es für richtig, wenn im Zusammenhang mit den bekannt gewordenen Programmen der US-Amerikaner die Strukturen sowie das Routing im Internet überdacht würden. Da den Einzelnen entsprechende Selbstschutzmaßnahmen vielfach überforderten, habe insofern das Thema „Privacy bei Default“ besondere Bedeutung. So müsse etwa die Verschlüsselung personenbezogener Informationen durch die anbietenden Dienstleister zum Standard werden.

Zugleich machten die Entwicklungen deutlich, so Schaar weiter, dass in Zeiten internationaler Datenverarbeitungen der Territorialansatz der bisher vorhandenen Steuerungsmechanismen ins Leere laufe. Erforderlich seien internationale Abkommen, internationale Mindeststandards und gegenseitiges Verständnis für national gewachsene Datenschutzkulturen. Er sei aber skeptisch, ob dies gelingen könne. Es erscheine schwer vorstellbar, dass die USA deutsche Datenschutzprinzipien akzeptierten. Auch im Hinblick auf eine Signalwirkung in Richtung der Vereinigten Staaten halte er es für wichtig, dass eine europäische Datenschutzgrundverordnung noch in dieser Legislaturperiode des Europaparlaments verabschiedet werde.

Peter Welchering, Journalist, referierte zu den Möglichkeiten, Methoden und Risiken von Big Data-Anwendungen. Die Grundidee, auf denen Data Warehouses, Business Intelligence Anwendungen etc. basierten, sei letztlich nicht neu, sondern lasse sich vielmehr auf die Entwicklung der Rasterfahndung in den 70er Jahren zurückführen. Bei der genannten Fahndungsmethode habe man mit dem Ziel, die Gruppe der zu überprüfenden Personen zu reduzieren, Personen aus Datenbanken ausgefiltert, indem man diese nach Eigenschaften durchsucht habe, von denen man unterstellte, dass sie auch auf die gesuchten Personen zutrafen, z.B. barzahlende Stromkunden.

Auch wenn Big Data-Auswertungen an sich also keine neue Thematik seien, sei allerdings festzustellen, dass sich die Qualität derartiger Analysemöglichkeiten durchaus verändert habe. Neuerungen ergäben sich insbesondere unter folgenden Gesichtspunkten:

 

>>           Detailgrad der Vorhersagen

>>           größere Datenbasis

>>           erhöhte Verarbeitungsgeschwindigkeit

>>           Einbeziehung unstrukturierter Daten

>>           Summe der Verhaltenskriterien

>>           prädiktive Fehlerberechnung

 

Anwendungsfälle für Big Data in der Privatwirtschaft seien etwa Kreditwürdigkeitsberechnungen mittels Facebook und Twitter oder die Risikofaktorenberechnung von Lebensversicherern. Die Firma Vodafone nutze entsprechende Analyseverfahren, um herauszufinden, welche der vorhandenen Kunden potenziell unzufrieden sind und von einem Vertragswechsel abgehalten werden sollten.

Aus seiner Sicht lägen die Gefahren von Big Data-Anwendungen einerseits in der Public-Private-Partnership von Unternehmen und Behörden, anderseits im Risiko der Ausprägung einer Überwachungsgesellschaft. Auch bestehe die Gefahr, dass Analyse-Algorithmen entwickelt würden, deren Wirkungen auf die Gesellschaft nicht mehr in einem öffentlichen Diskurs reflektiert werden. Welchering betonte, dass es sehr wichtig sei, dass im Big Data-Bereich errechnete Wahrscheinlichkeitswerte nicht mit Fakten gleichgesetzt werden dürften.

Wie auch schon die Vorredner Prof. Dr. Masing und Schaar sprachen sich auch die Unternehmensvertreter in der Runde, Dr. Claus Ulmer, Deutsche Telekom AG, und Dr. Dirk Bornemann, Microsoft Deutschland GmbH, im Grundsatz für die Schaffung des geplanten neuen europäischen Rechtsrahmens für den Datenschutz aus. Die geplante Harmonisierung sei sinnvoll, erleichtere sie doch die Entwicklung internationaler Geschäftsmodelle und schaffe Rechtssicherheit. Sowohl Ulmer als auch Bornemann bestätigten zudem, dass die Enthüllungen von Edward Snowden die Kundschaft der von ihnen vertretenen Unternehmen verunsichert hätten. Viele Kunden bevorzugten eine Verarbeitung in Deutschland, so Ulmer. Begrüßt wurde prinzipiell auch die Einführung einer Mitteilungspflicht der Unternehmen bei sog. Cyberattacken. Dabei dürfe aber nicht über das Ziel hinausgeschossen werden. Es bedürfe einer klaren Festlegung, welche Vorfälle genau zu melden seien und es dürfe kein unverhältnismäßiger Arbeitsaufwand für die betroffenen Unternehmen entstehen.

Bezogen auf die Big Data-Diskussion wies Bornemann darauf hin, dass alleine die Verarbeitung großer Mengen an Informationen nicht per se brisant sein müsse. Gefährdungen für den Betroffen ergäben sich vielmehr vor allem dann, wenn Daten aus verschiedenen Kontexten zusammengeführt und damit zweckentfremdet würden.

Zu den Initiativen der Bundesregierung zur Fortentwicklung des Datenschutzes und der Datensicherheit äußerte sich Ministerialdirektor und Leiter der Verfassungs- und Verwaltungsabteilung des BMI Hans-Heinrich von Knobloch. Vorgesehen sei u.a. die Aufnahme der Absicht zur Schaffung eines IT-Sicherheitsgesetzes in den Koalitionsvertrag sowie die Verhandlung eines „No Spy“-Abkommens mit den USA. Die Aussetzung des Safe Harbor Abkommens werde abgelehnt, allerdings solle dieses überarbeitet werden.

36. DAFTA und 31. RDV-Forum

Bei den derzeitigen Verhandlungen über den Entwurf der EU-Kommission für eine Datenschutz-Grundverordnung muss die Selbstkontrolle der Wirtschaft durch betriebliche Datenschutzbeauftragte stärker ausgebaut werden. Dies ist der Tenor der 36. Datenschutzfachtagung (DAFTA), die als größte Datenschutzkonferenz von der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) alljährlich ausgerichtet wird.

Der Verordnungsentwurf der EU-Kommission vom Januar diesen Jahres sieht vor, dass ein Datenschutzbeauftragter in der Regel erst von Unternehmen bestellt werden muss, die mehr als 250 Beschäftigte haben, während das Bundesdatenschutzgesetz derzeit eine Bestellpflicht bereits bei 10 mit der personenbezogenen Datenverarbeitung Beschäftigten vorsieht. Der betriebliche Datenschutzbeauftragte ist der Transformationsriemen des BDSG für die Implementierung des Datenschutzes im Unternehmen, so Prof. Dr. Rolf Schwartmann, neu gewählter Vorstandsvorsitzender der GDD. Der Verordnungsentwurf enthalte zu wenig Incentives für die betriebliche Selbstkontrolle. Für ein effektives und unbürokratisches Datenschutzmanagement sei es schädlich, wenn vor Inbetriebnahme eines Datenverarbeitungssystems eine Datenschutzfolgenabschätzung erst durch eine staatliche Behörde vorgenommen werden müsse.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Ulrich Lepper, sieht ebenfalls in der EU-Datenschutz-Grundverordnung einen konzeptionellen Fehler für das Datenschutzmanagement. Die Aufsichtsbehörden für den Datenschutz hätten keine ausreichenden Ressourcen, um die gesamte Wirtschaft bei der Planung der Datenverarbeitung zu prüfen. Hier sei das gegenwärtige Modell der Vorabkontrolle durch den Datenschutzbeauftragten mit Konsultationsrecht der Aufsichtsbehörde deutlich effektiver.

Dr. Rainer Stenzel, Bundeministerium des Innern, Leiter der Projektgruppe Reform des Datenschutzes in Deutschland und Europa, stellt die deutsche Position im europäischen Rat zum Entwurf einer Datenschutz-Grundverordnung dar. Er spricht sich für ein risikoorientiertes und insbesondere hinsichtlich der Verantwortlichkeiten an die Realitäten angepasstes Datenschutzrecht aus. Für die Risikobewertung sei dabei nicht nur die Anzahl der mit der Datenverarbeitung befassten Mitarbeiter relevant. Entscheidend sei vielmehr die Sensibilität der Datenverarbeitung. Dies gelte auch für die Anforderungen an die Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Dieser dürfe nicht an einer Grenze geopfert werden, nach der nur noch ein verschwindend geringer Teil der Unternehmen zur betrieblichen Selbstkontrolle verpflichtet sei. Anbieter von Applikationen müssten verpflichtet werden, diese bereits in datenschutzfreundlichen Grundeinstellungen anzubieten. Die Verantwortung dürfe in diesen Fällen nicht auf die Nutzer der Anwendungen abgewälzt werden.

Frau Gabriela Krader, LL.M., Konzerndatenschutzbeauftragte der Deutsche Post DHL, Bonn, wies darauf hin, dass durch die in dem Entwurf der Datenschutz-Grundverordnung vorgesehene Möglichkeit der Befristung der Bestellung des Datenschutzbeauftragten auf zwei Jahre die Etablierung eines kontinuierlichen und damit effektiven Datenschutzmanagements gefährdet werde.

32. DAFTA und 27. RDV-Forum

Eine Zusammenfassung der DAFTA aus dem Jahre 2008

32. DAFTA am 20. und 21. November 2008 in Köln

War Datenschutz in den Augen einiger noch vor kurzem ein „Exotenfach“, so hat er inzwischen - freilich mitbedingt durch die zuletzt ge­häuften Datenschutzskandale - Konjunktur be­kommen. Diesen Rückenwind gilt es nunmehr da­zu zu nutzen, das Datenschutzrecht in sinnvoller Weise zu modernisieren und den betrieblichen Datenschutz angemessen zu stärken. Dass es die­ser und weiterer Schritte bedarf, um in Deutschland eine zeitgemäße Informationskultur aufzubauen, war ein wesentliches Ergebnis der 32. Datenschutzfachtagung (DAFTA), die vom 20. - 21. November 2008 unter der Leitung von Prof. Peter Gola (Vorstands­vorsitzender der GDD) in Köln stattfand.

Unter dem Leitthema „Neue Informationskultur - Neuer Datenschutz“ diskutierten der erste Bundesbeauftragte für den Datenschutz, Prof. Dr. Hans-Peter Bull, und der amtierende Bundesbeauftragte, Peter Schaar, gemeinsam mit dem bis vor kurzem beim Bundesverfassungsgericht für Datenschutzfragen zuständigen Richter Prof. Dr. Wolfgang Hoffmann-Riem und dem Abteilungsleiter im Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz Dr. Christian Grugel die aktuelle Situation des Datenschutzes und seine Perspektiven.

Nach Prof. Dr. Bull wäre es wünschenswert, dass ein zukunftsträchtiges Informationsrecht nicht le­dig­lich auf rechtlichen Schlussfolgerungen, sondern stärker auf sozialethischen, kulturellen Voraussetzungen aufbaut. Prof. Dr. Hoffmann-Riem erläuterte vor diesem Hintergrund die Bedeutung datenschutzrechtlicher Vorschriften und ihre Aus­legung durch das Bundesverfassungsgericht. Neben bestimmten rechtlichen Beschränkungen bei der Verarbeitung personenbezogener Daten hielt er insbesondere auch einen effektiven Selbst­datenschutz für unentbehrlich. Auch die mit der Informationstechnik weniger vertrauten Nutzer müssten in die Lage versetzt werden, ihre Da­ten wirksam zu schützen.

Dr. Christian Grugel verdeutlichte die Position sei­nes Ministeriums zur Umsetzung der anlässlich des Datenschutzgipfels vom September 2008 beim Bundesminister des Innern gefundenen Er­geb­nisse. Ein entsprechender Referentenentwurf liege bereits vor und solle bereits Anfang Dezember vom Kabinett verabschiedet werden, damit das Gesetzgebungsverfahren noch in dieser Legislaturperiode abgeschlossen werden könne. Um die Auswirkungen auf die Werbewirtschaft so ge­ring wie möglich zu halten, werde derzeit noch ge­prüft, in welchen Fällen auf die ausdrückliche Einwilligung der Betroffenen verzichtet werden könne.

Konfrontiert mit der Meinung, dass der aktuelle Entwurf eines Datenschutzauditgesetzes keinen angemessenen Beitrag zur Schaffung einer Datenschutzkultur darstelle, vertrat der Bundesbeauftragte für den Datenschutz, Peter Schaar, die Auffassung, dass man den Rückenwind, den der Datenschutz aktuell in der Politik genieße, unbedingt jetzt nutzen sollte, auch wenn einzelne der vorgesehenen Regelungen noch nicht optimal sei­en. Im Rahmen der Diskussion wurde zum Teil allerdings eine übereilte Vorgehensweise bei der Schaffung neuer Datenschutzregelungen konstatiert.

Dass der Datenschutz zwar derzeit Konjunktur hat, es aber gerade in turbulenten Zeiten für den Datenschutz darauf ankommt, den Überblick zu bewahren und auf ausgewogene gesetzliche Regelungen zu achten, verdeutlichte ein angesichts der aktuellen Gesetzentwürfe eigens angesetztes DAFTA-Sonderforum, das von der stellvertretenden Vorstandsvorsitzenden der GDD, Dr. Astrid Breinlinger, moderiert wurde, und an dem neben dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit auch die FDP-Bun-destagsabgeordnete Gisela Piltz sowie der Präsident des Deutschen Dialogmarketing Verbandes, Dieter Weng, teilnahmen.

In ihrem Schlusswort zur DAFTA, das nachfolgend in seinem Wortlaut wiedergeben wird, mahnte Dr. Breinlinger ein besonnenes und von Sachverstand geleitetes Vorgehen der Politik auf dem Weg zu einem neuen Datenschutzrecht an. Nicht alles an dem bis­herigen Datenschutzrecht sei veraltet und unbrauchbar. Ferner sei darauf zu achten, dass die Notwendigkeit der Stärkung der betrieblichen Da­tenschutzkontrolle nicht wieder ins Hintertreffen gerate.

 

Sehr geehrte Damen und Herren, das Motto der diesjährigen DAFTA hieß ‚Neue Informationskultur - Neuer Datenschutz’.

Wahrscheinlich sind wir uns einig: Wir haben we­der das eine noch das andere. Bestenfalls sind wir auf dem Weg dahin und versuchen mühsam, uns zu orientieren.

Was wollen wir haben? Einen wehrhaften Datenschutz? Ja sicher, angesichts verschärfter Sicherheitsgesetze brauchen wir den Datenschutz als Verteidigung unserer Grundrechte nicht nur auf informationelle Selbstbestimmung, sondern auch der weitest möglichen Freiheit von Überwachung, der Möglichkeit unverstellter echter Selbstdarstellung und des Vertrauens darauf, dass diese Möglichkeiten erhalten bleiben.

Datenschutz schützt tatsächlich sowohl die individuelle persönliche Freiheit in vielen Ausprägungen wie auch die entsprechende gesellschaftliche Verfasstheit, in der sowohl Individuelles als auch Kollektives seinen Platz hat, Privatsphäre und Kom­mu­nikation. Hier haben uns die Beiträge von Prof. Bull und Prof. Hoffmann-Riem wesentliche
- wenn auch sicher nicht immer leicht verdauli-
che - Erkenntnisse gebracht.

Eine neue Informationskultur schenkt uns niemand, wir müssen sie wohl selbst schaffen; am ehesten dürfte sie sich jedoch aus dem tatsächlichen Leben und den Wünschen und Ansprüchen der Menschen herausbilden, mit allen Schwierigkeiten, die aus der Unterschiedlichkeit neben- und miteinander lebender Kulturen entstehen - ich denke hier an politische und regionale Unterschiede genauso wie an den Unterschied Jung gegenüber Alt. So betrachtet könnte es noch ein langer Weg sein.

Den Datenschutz gibt es höchstens in der Vorstellungswelt einer kleinen Gruppe von Menschen. Von daher bin ich eher misstrauisch, wenn in Um­fragen das Vertrauen in den Datenschutz abgefragt wird. In den steigenden Prozentzahlen derer, die kein Vertrauen in den Datenschutz haben, kommt die allgemeine Unsicherheit in krisenhaften Zeiten mindestens ebenso zum Ausdruck wie Ohnmachtsgefühle gegenüber der immer unbeherrschbarer werdenden und allgegenwärtigen Technik.

Wir brauchen eine neue Informationskultur, vor allem aber wirksame Maßnahmen, wenn wir eindämmen wollen, was immer mehr um sich greift: Kostenrisiko-Analyse gesetzwidrigen Handelns statt Befolgung geltenden Rechts, Datenschutz zum Billigtarif, aber eben auch populistisches For­dern von zunächst gut aussehenden Gesetzesänderungen, die vor allem den Vorteil haben, dass sie keine öffentlichen Gelder kosten – zumindest nicht sofort –, statt konsequenter Verfolgung von Gesetzesverstößen und angemessener Ausstattung der Aufsichtsinstanzen.

Und dann - oder auch parallel - können wir an das Nächste auf dem Weg zur neuen Informationskultur denken: Ein Datenschutzrecht, das
- ne­ben den weiterhin gültigen - neue Antworten ent­hält auf neue Technologien und auf sich aus ihrer Anwendung ergebende Risiken sowie die zunehmende globale Vernetzung.

Nicht alles an unserem Datenschutzrecht ist veraltet und unbrauchbar, wie uns Parlamentarier, die vor wenigen Monaten Datenschutz noch als ‚Exotenfach’ verstanden haben, zur Zeit weismachen wollen. Mich wundert es überhaupt nicht, dass die­se Politiker ein Verbot jeglicher Datenweitergabe ohne Einwilligung forderten - sie hatten sich gerade erst darüber aufklären lassen müssen, dass das BDSG die werbliche Nutzung einer Adresse auch ohne Einwilligung erlaubt.

Notwendig ist es, tatsächlich Antworten zu finden auf die Fragen, die z.B. gerade im Bereich der Ge­winnung und Nutzung von Daten über moderne Methoden auftreten, wie das Loggen und Aus­werten von Nutzerverhalten im Internet zu späteren Werbe- bzw. Steuerungszwecken. Ich spreche von ‚Phorm’, ‚Nebuad’, ‚Google Mail’ etc. In einigen Gesprächen mit Teilnehmern an die­ser DAFTA wurde mir bestätigt, dass Ihre Arbeit als Datenschutzbeauftragte einen wichtigen, wenn auch weniger spektakulären An­teil an der Schaffung von Datenschutzbewusstsein und Datenschutzkultur hat. Insoweit hat das The­ma ‚Datenschutz’ nicht nur allgemein, sondern auch in den Unternehmen selbst eine unerwartete Konjunktur bekommen. Und das nicht nur, weil bekannte Unternehmen in eine Datenschutzkrise gekommen sind. Das chinesische Wort für Krise setzt sich aus zwei Schriftzeichen zusammen - das eine bedeutet ‚Gefahr’ und das andere ‚Gelegenheit’. Nutzen Sie sie, bevor die Politik wieder wichtigere andere Themen vorzieht.”

 

27. RDV-Forum am 19. November 2008 in Köln

Das von Prof. Peter Gola (Vorstandsvorsitzender der GDD sowie RDV-Schriftleitung) moderierte  27. RDV-Forum stand unter dem Leitthema „Neuerungen im Datenschutzrecht - Weniger Überwachung, mehr Selbstbestimmung?“.

Einen Schwerpunkt der Veranstaltung bildete die Diskussion um die Notwendigkeit bzw. die möglichen Inhalte eines Arbeitnehmerdatenschutzgesetzes. Diesbezüglich schlug Prof. Dr. Gregor Thüsing (Institutsdirektor, Institut für Arbeitsrecht und Recht der Sozialen Sicherheit, Universität Bonn) zunächst eine klärende Bestandsaufnahme bezüglich wichtiger Regelungsgegenstände vor. Prof. Dr. Peter Wedde (Professor für Arbeitsrecht, Datenschutzrecht und Recht der Informationsgesellschaft, Fachhochschule Frankfurt/Main) und Michael Rahe (wissenschaftlicher Mitarbeiter von Silke Stokar von Neuforn, MdB, Bündnis 90/Die Grünen) befürworteten die Schaffung eines eigenständigen Arbeitnehmerdatenschutzgesetzes aus Gründen einer besseren Übersichtlichkeit und zur Schaffung von Rechtsklarheit. Die nachfolgende Abstimmung unter den Teilnehmern zeigte allerdings, dass ein eigenständiges Gesetz zum Schutz personenbezogener Beschäftigtendaten mehrheitlich für entbehrlich gehalten wird.

Die Interpretation des neuen Grundrechts auf Ver­traulichkeit und Integrität informationstechnischer Systeme im Hinblick auf das Arbeitsverhältnis, die Kontrolle des dienstlichen Telefon- und
E-Mail-Verkehrs, Bewertungsportale im Internet, Einwilligungsklauseln im Lichte des BDSG und des UWG sowie aktuelle Entwicklungen im Datenschutz bei der Europäischen Kommission waren wei­tere Themenschwerpunkte des 27. RDV-Fo­rums. 

24. DAFTA und 19. RDV-Forum

24. DAFTA am 23. und 24. November 2000 in Köln

Datenschutz und Datensicherheit sind Grundpfeiler für eine demokratisch verantwortbare Informationsgesellschaft und zudem wichtige Wegbereiter für E-Commerce, E-Business und E-Government. Das waren wesentliche Ergebnisse der 24. Datenschutzfachtagung am 23. und 24. November 2000 in Köln. Auf dem E-Commerce ruht die Hoffnung, dass er weltweit zu einem maßgeblichen Wirtschaftsfaktor wird. In den Unternehmen entwickelt sich das Internet bereits zunehmend vom schlichten Informationsmedium zur Kommunikationsplattform für geschäftliche Aktivitäten. Die 24. DAFTA verdeutlichte, dass der E-Commerce nur auf die gewünschte breite Akzeptanz stoßen wird, wenn die Persönlichkeitsrechte der Online-Nutzer angemessen geschützt sind und ein technisch und rechtlich sicherer Informationsaustausch gewährleistet ist. Darüber hinaus gab die diesjährige DAFTA Aufschluss über Stand und Inhalte der bevorstehenden BDSG-Novelle.

Umfassende Modernisierung des Datenschutzrechts

Im Anschluss an die Eröffnungsrede des Vorstandsvorsitzenden der GDD, Bernd Hentschel, verdeutlichte Jörg Tauss, MdB sowie Beauftragter für neue Medien und stellvertretender forschungspolitischer Sprecher der SPD-Bundestagsfraktion, den Umstand, dass E-Business mehr bedeutet als ein moderner Versandhandel. Es entstünden völlig neue Wertschöpfungsketten auch durch die zunehmende Vernetzung im B2B-Bereich. Aus Gründen der Kundenakzeptanz werde sich der Datenschutz zumindest mittelfristig als Wettbewerbsvorteil oder bei Nichtbeachtung als Wettbewerbsnach­teil erweisen. Notwendig sei eine neue Politik zum Schutz der Privatsphäre. Ohne einen verbesserten Persönlichkeitsschutz könne es eine demokratisch verantwortbare Informationsgesellschaft nicht geben. Mit der Umsetzung der ersten Stufe zur Novellierung des BDSG werde eigentlich erst so richtig deutlich, wie notwendig ein zweiter Schritt sei. Die zweite Stufe, mit der eine umfassende Modernisierung des deutschen Datenschutzrechts angestrebt werde, sei bereits im Juni des Jahres initiiert worden. Im Hinblick auf die notwendigen Inhalte der geplanten Datenschutzreform, die insbesondere auch den Aspekt des Datenschutzes durch Tech­nikgestaltung be­in­hal­ten solle, habe das Bundesministerium des Innern Gutachtenaufträge an drei renommierte Wissenschaftler vergeben. Seitens der Fraktionen von SPD und Bündnis 90/Die Grünen sei ein Begleitausschuss gegründet worden, der im Rahmen eines sogenannten E-Democracy-Projekts eine möglichst breite Beteiligung am Gesetzgebungsprozess fördern wolle.

Sicherheit in der Informationsgesellschaft als Voraussetzung für E-Government und E‑Commerce

Brigitte Zypries, Staatssekretärin im Bundesministerium des Innern, stellte anlässlich der 24. DAFTA die aktuellen Initiativen der Bundesregierung zum E-Government (www.staat-modern.de) und zur Sicherheit im Internet (www.sicherheit-im-internet.de) vor. Am 18. September 2000 habe der Bundeskanzler anlässlich der Expo in Hannover die Kampagne „E-Government - Bund-Online 2005“ gestartet, der das Motto zugrunde liege „Die Da­ten sollen laufen nicht die Bürger“ (vgl. www.bund.de). Ziel des Projektes sei eine moderne verbesserte Servicequalität der Verwaltung. Bis zum Jahr 2005 sollen, so Zypries, alle Geschäftsprozesse so umgestaltet werden, dass die geeigneten Dienstleistungen der Bundesverwaltung online angeboten werden können. Naturgemäß könne die elektronische Verwaltung nur auf die notwendige Akzeptanz stoßen, wenn sie von einem wirksamen Datenschutz- und Sicherheitskonzept begleitet sei. Angesichts der zunehmenden Bedrohungen durch Hackerangriffe habe der Bundesinnenminister im Februar des Jahres eine Task Force „Sicheres Internet“ eingesetzt, deren Zielsetzung die Erarbeitung von Vorschlägen für die Verbesserung der Sicherheit im Internet sei. Inzwischen seien zwei Maßnahmekataloge zur sog. Grundsicherheit entwickelt, mit der Wirtschaft erörtert und auf den Internet-Seiten des BSI veröffentlicht worden.

Datenschutz als Qualitätsfaktor für E‑Commerce

Der Bundesbeauftragte für den Datenschutz, Dr. Joachim Jacob, stellte zu Beginn seines Vortrages fest, dass das tatsächliche Verhalten wesentlicher Gruppen im Markt und im Marketing sowie die Negativberichterstattung in den Medien wenig geeignet seien, Vertrauen in den fairen Umgang mit personenbezogenen Daten zu wecken und zu festigen. Zwar sei das Internet insgesamt nicht so schlecht, wie sein Bild in den Medien. Allerdings gäbe es durchaus Anhaltspunkte dafür, dass es mit der Sicherheit im Internet nicht sehr weit her sei, dass mit Datenmissbrauch gerechnet werden müsse und dass viele Akteure den Aufwand scheuten, den man als verantwortlicher Treuhänder für den Schutz von Daten der Kunden und Klienten aufbringen müsse. Die Privatsphäre werde im Internet nicht nur von Hackern bedroht. Vielmehr sei das Datensammeln als Gewerbe weit verbreitet, wobei es vielfach auch um die Gewinnung aussagefähiger Profile gehe. Demgegenüber reichten die vorhandenen Selbstschutzmöglichkeiten der Nutzer nicht aus, um jenes Vertrauen zu schaffen, mit dem sie unbesorgt ihre wirklichen Wünsche offenbaren und ihr Geld zu Markte tragen würden. Deshalb sei es zur Entwicklung des E-Commerce sehr hilfreich, wenn hier der Eindruck von Seriosität und Zuverlässigkeit erweckt werde und wenn die Anbieter die potenziellen Kunden davon überzeugen könnten, dass sie mit deren Geld, deren Wünschen und auch mit deren Daten so sorgfältig umgingen, wie man es von einem fairen Geschäftspartner erwarte. Nach Auffassung des Bundesbeauftragten stellten sich die Lage und das der Allgemeinheit darüber vermittelte Bild aktuell aber noch anders dar. Der Personalisierung und dem One-to-One-Marketing liege zum Teil offenbar die Maxime zu Grunde, dem Kunden auf ihn zugeschnittene Angebote zu machen, ohne dass er sich dessen allzu deutlich bewusst werde. In diesem Zusammenhang hob der Bundesbeauftragte hervor, dass in den USA „Marketing by Permission“ die zur Zeit erfolgreichste Marketing-Strategie sei. Der Kunde, der mitentscheiden könne, wie er beworben werden wolle, fühle sich bestätigt und selbstbestimmt. Diese Strategie sei datenschutzfreundlich und die deutschen Werbefirmen sollten sie daher in ihre Konzeptionen mit einbinden. Vor diesem Hintergrund werde deutlich, dass Datenschutz als Qualitätsfaktor für E-Commerce bisher nicht, zumindest bei weitem nicht in dem Maße, wie es für eine positive Entwicklung des Marktes notwendig wäre, genutzt werde. Das Vertrauen in die Fairness der Anbieter im E-Commerce könne u.a. durch eine eigene Datenschutz-Erklärung des Anbieters auf seiner Website gefördert werden, wenn in der Folge auch die Einhaltung der Datenschutzrichtlinien gewährleistet sei. Derzeit, so Jacob, sei wohl das Verwenden eines Gütesiegels für geprüfte Qualität im E-Commerce noch am ehesten geeignet, das bislang fehlende Vertrauen zu schaffen. Dabei müs­se der Datenschutz eines der maßgeblichen Qua­litätsmerkmale sein. Im Interesse des Kunden müsse eine glaubwürdige und vertrauensbildende Erklärungsform vorliegen, die gleichzeitig auch einen einheitlichen Bewertungsmaßstab bei der Prüfung widerspiegele. Dies leiste ein Datenschutzsiegel auf der Basis eines Datenschutzaudits, das - untermauert durch gesetzliche Rahmenbedingungen - anhand von definierten Kriterien und Verfahren die Datenschutzkonzepte und deren praktische Umsetzung bei den Unternehmen prüfe, wobei praktische Umsetzung sowohl die organisatorischen als auch die technischen Maßnahmen meine. Was den Bereich der Datensicherheit angehe, so könne ergänzend auf die Zertifizierung des BSI zurückgegriffen werden. Möglich sei auch, ein solches BSI-Zertifikat als fakultatives Element des Datenschutzaudits zu integrieren. Abschließend betonte der Bundesbeauftragte, dass im virtuellen Markt nicht länger nur das Warenangebot und der Preis ausschlaggebend seien, sondern auch und vor allem der Qualitätsfaktor Datenschutz.

Novellierung des BDSG

Regierungsdirektor Daniel Christians, Referatsleiter Datenschutzrecht im Bundesministerium des Innern, gab anlässlich der 24. DAFTA einen Überblick über die mit der BDSG-Novelle einhergehenden wesentlichen Änderungen. Dabei ging er zunächst auf die Erweiterung des Anwendungsbereichs ein, die u.a. darauf beruhe, dass in teilweiser Abkehr vom Dateibegriff zukünftig jede automatisierte Verarbeitung personenbezogener Daten den Anwendungsbereich eröffne. Auch die Datenerhebung unterliege zukünftig dem Verbot mit Erlaubnisvorbehalt. Hinsichtlich der Kontrollkompetenzen der Datenschutzaufsichtsbehörden wies Christians auf die Möglichkeit der anlassfreien Kontrolle, die Berechtigung zur Unterrichtung von Betroffenen und Gewerbeaufsichtsbehörden bei (schwer­wie­gen­den) Verstößen, das neu eingeräumte Strafantragsrecht sowie auf die Genehmigung von Vertragsklauseln und verbindlichen Verhaltensregeln im Zusammenhang mit dem Drittlandtransfer hin. Der Umstand, dass den betrieblichen Datenschutzbeauftragten neue Aufgaben zukämen, gehe Hand in Hand mit einer Dezentralisierung der Datenschutzkontrolle. Im Fall der Bestellung eines betrieblichen Datenschutzbeauftragten erhalte die­ser die meldepflichtigen Angaben und er sei für die Durchführung der Vorabkontrolle bei besonders risikoreichen automatisierten personenbezogenen Verarbeitungen zuständig. Hiermit sei auch eine von den Ländern angestrebte Entlastung der ansonsten zuständigen Aufsichtsbehörden verbunden. Auf Antrag habe der Datenschutzbeauftragte die meldepflichtigen Angaben jedermann in geeigneter Weise verfügbar zu machen. Dabei habe man bewusst mit der „Ver­fügbarmachung in geeigneter Weise“ eine offene Formulierung gewählt. Der Begriff „je­der­mann“ sei hingegen wörtlich zu verstehen. Im Rahmen der Vorabkontrolle der materiellen Zulässigkeit einer besonders risikoreichen automatisierten Verarbeitung, habe sich der Datenschutzbeauftragte im Zweifel an die für ihn zuständige Aufsichtsbehörde zu wenden. Dies solle möglichst in Koordination mit der Geschäftsleitung geschehen. In diesem Zusammenhang schloss Christians ein Haftungsdurchgriff auf den betrieblichen Datenschutzbeauftragten für den Fall aus, dass dieser die Kontaktaufnahme mit der Aufsichtsbehörde auf Wunsch der Geschäftsleitung unterlässt.

Nach Auskunft von Christians sind die Inhalte des neuen BDSG inzwischen weitgehend unstreitig. Der Bundesrat habe in seiner Stellungnahme zu dem Regierungsentwurf 18 Änderungsanträge - zum Teil Prüfbitten - gestellt und eine allgemeine Vorbemerkung gemacht. Dabei gehe es weitgehend nur um redaktionelle Änderungen. Allerdings habe die Bundesregierung in ihrer Gegenäußerung zu der Bundesratsstellungnahme zum Ausdruck gebracht, dass sie dem Wunsch der Länder, auf eine gesetzliche Regelung zum Datenschutzaudit gänzlich zu verzichten, nicht nachkommen werde. Nach Auffassung der Bundesregierung gehe mit einem gesetzlich geregelten Datenschutzaudit nicht zwingend eine Entwertung der Stellung des betrieblichen Datenschutzbeauftragten einher. Viel­mehr könne die deklaratorische Vorschrift im BDSG gewissermaßen als Initialzündung einen Wettbewerbsanreiz auslösen, der der Qualität des Datenschutzes zu Gute komme. Der Bundesrat, so Christians, habe signalisiert, dass er - unabhängig von der Berücksichtigung seiner Stellungnahme - die notwendige Zustimmung im Gesetzgebungsverfahren erteilen werde. Am 27. Oktober habe die erste Lesung im Bundestag stattgefunden. Damit sei zwei Jahre nach Ablauf der Frist zur Umsetzung der EG-Datenschutzrichtlinie das parlamentarische Verfahren in Gang gekommen und es bestünde nunmehr die berechtigte Hoffnung, dass die erste Stufe der BDSG-Novellierung im ersten Quartal 2001 abgeschlossen werden könne. Christians gestand allerdings ein, dass man die Umsetzung der Richtlinie gewissermaßen mit einer zusätzlichen Verkomplizierung des BDSG erkauft habe.

 

19. RDV-Forum am 22. November 2000 in Köln

Das 19. RDV-Forum stand unter dem Leitthema „Der Datenschutzbeauftragte im neuen Datenschutz“. Mit Blick auf die BDSG-Novellierung auf Grundlage der EG-Datenschutzrichtlinie wurden Stellung und Aufgaben des Datenschutzbeauftragten neu beleuchtet. Themenschwerpunkte der von Prof. Peter Gola (GDD-Vorstand, RDV-Schriftleitung) moderierten Veranstaltung betrafen die Zusammenarbeit mit den Datenschutzaufsichtsbehörden, die neue Aufgabe der Vorabkontrolle, die Beteilung im Datenschutzaudit-Verfahren und das öffentliche Verfahrensverzeichnis.

Prof. Dr. Alfred Büllesbach (Konzernbeauftragter für den Datenschutz, DaimlerChrysler AG) führte in die Konzeption und Funktion des Datenschutzbeauftragten vor dem Hintergrund der EG-Richtlinie und der Novellierung des BDSG ein. Die vielfältigen Anforderungen der Telekommunikation, der Tele- und Medienservices, des globalisierten Datenverkehrs sowie die Konvergenz der technologischen und standardisierten Entwicklung verlangten einen umsichtigen, kenntnisreichen und hochqualifizierten Datenschutzbeauftragten. Die Konzeption der BDSG-Novelle ebenso wie die Konzeption in der EG-Datenschutzrichtlinie sähen den Datenschutzbeauftragten als qualifizierten Berater, Gestalter und Kontrolleur. Diese Rolle verlange durchsetzungsstarke und sich Anerkennung verschaffende Beauftragte, die nachhaltig ihre Aufgaben erfüllten. Unverzichtbar sei, dass die direkte Berichterstattung des Datenschutzbeauftragten an die Geschäftsleitung auch tatsächlich umgesetzt werde, um so dem Datenschutzbeauftragten auf Leitungsebene Zugang und Akzeptanz zu verschaffen.

Dr. Helmut Bäumler (Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein) widmete seien Beitrag dem Thema „Zusammenarbeit des betrieblichen Datenschutzbeauftragten mit den Aufsichtsbehörden in einem gewandelten Datenschutz“. Der Referent sprach sich für innovative gesetzgeberische Ansätze in der modernen Informationsgesellschaft aus. Wenn ein Unternehmen seine Datenverarbeitung oder Teile davon auditieren lasse und anschließend mit dem erworbenen Audit Werbung mache, dann sei damit implizit auch anerkannt, dass der Datenschutz etwas sei, was Eindruck auf die Kunden mache. Der Datenschutz müsse vom Image der Belastung, vom Standortnachteil zu einem zählbaren Vorteil mutieren. Das Datenschutzaudit sei nur ein Beispiel, wie ein moderner Datenschutz aussehen könne. Freiwillige Selbstverpflichtungen, Codes of Conduct, Zielvereinbarungen und Gütesiegel für IT-Produkte könnten weitere Elemente einer geänderten Philosophie sein. In deren Mittelpunkt stehe verstärkt marktwirtschaftliches Denken und eine positive Sichtweise des Datenschutzes. Für Aufsichtsbehörden und Datenschutzbeauftragte gelte es, diese positive Gestaltung des Datenschutzes im Interesse der Bürgerinnen und Bürger in den Vordergrund zu stellen.

Thomas Königshofen (Konzerndatenschutzbeauftragter, Deutsche Telekom AG) beantwortete die Frage „Das Datenschutzaudit: Fluch oder Segen für betriebliche Datenschutzbeauftragte?“ mit der in Juristenkreisen gängigen Formulierung „Es kommt darauf an“. Es sei ein durchaus überlegungswerter Ansatz zur effektiven Steigerung der Durchsetzung des informationellen Selbstbestimmungsrechts, das Prinzip der Pönalisierung gesellschaftlich unerwünschten Verhaltens durch das Angebot der Belohnung von gesellschaftlich erwünschtem Verhalten zu ergänzen. Das Datenschutzaudit könne sich hier als wirksames Instrument herausstellen. Nachfolgend stellte der Referent einige Eckpunkte einer gesetzlichen Regelung zum Datenschutzaudit zur Diskussion. In einem Gesetz bzw. in einer Verordnung solle nur das absolut nach rechtsstaatlichen Grundsätzen notwendige geregelt werden. Nicht gesetzlich geregelt, sondern von der Wirtschaft entwickelt (und staatlich lediglich genehmigt) werden sollten seiner Auffassung nach:

  • die - ggf. branchenspezifischen - Anforderungen an Datenschutzkonzepte und die Anforderungen im Hinblick auf die Bescheinigung der Datenschutzaufsichtsbehörden über die besondere Datenschutzfreundlichkeit;
  • die weiteren Anforderungen an die Qualifikation der Auditoren und die Voraussetzung zum Nachweis der Fachkunde,
  • die Anforderungen an das Auditierungsverfahren durch die externen Auditoren,
  • sonstige Vorhaben zum innerbetrieblichen Aufbau - oder Ablauforganisation des Datenschutzes.

Von der Wirtschaft entwickelte sonstige Verfahren der Selbstregulierung einschließlich der Vergabe von Gütesiegeln würden durch eine derartige gesetzliche Regelung nicht behindert.

Rechtsanwalt Christoph Klug (stellvertretender Geschäftsführer der GDD, RDV-Schriftleitung) gab eine grundlegende Einführung in die neue Aufgabe der datenschutzrechtlichen Vorabkontrolle. In Umsetzung der EG-Datenschutzrichtlinie sehe das neue BDSG eine Vorabüberprüfung der materiellen Rechtmäßigkeit von automatisierten Verarbeitungen vor, die im Hinblick auf das Persönlichkeitsrecht besonders gefahrenträchtig seien. Zunächst müsse im Rahmen einer Bestandsaufnahme festgestellt werden, im Hinblick auf welche Verarbeitungen eine Vorabkontrolle durchzuführen sei. Damit keine sensiblen Datenverarbeitungen aus dem Raster der Vorabkontrolle herausfielen, sei zwangsläufig eine  Übersicht aller geplanten personenbezogenen automatisierten Verarbeitungen nötig. In einem zweiten Schritt gehe es dann um die eigentliche Prüfung der materiellen Zulässigkeit der als kontrollbedürftig befundenen Datenverarbeitungen. Der hierfür zuständige Datenschutzbeauftragte treffe seine Entscheidung dabei nach pflichtgemäßen Ermessen. Im Zweifelsfall solle er sich in Abstimmung mit der Geschäftsleitung an die zuständige Aufsichtsbehörde wenden. Als Ergebnis der Vorabkontrolle könne neben der datenschutzrechtlichen Zulässigkeit oder Unzulässigkeit auch die Feststellung stehen, dass die beabsichtigte Verarbeitung im Anschluss an weitere technisch-organisatorische Maßnahmen zulässig sei.

Heinz Rösser (Datenschutzbeauftragter der Coca Cola Erfrischungsgetränke AG) erläuterte die Erstellung des öffentlichen Verfahrensverzeichnisses in seinem Unternehmen. Dabei informierte er insbesondere über die Einbindung der Anwender in die Erstellung des in Lotus-Notes erstellten und gepflegten Verzeichnisses. Für die Hardwareerfassung seien die notwendigen Standortdaten und die allgemein übliche Bezeichnung des Mikrocomputers zu erfassen (z. B. Laptop). Die kompletten Gerätedaten würden in einer separaten Lotus-Notes-Datenbank geführt. Erfasst würden nur Mikrocomputer und keine Terminals. In das Verzeichnis aufgenommen würden alle in der Verantwortung der jeweiligen Abteilung betriebenen Computer, auf denen sich personenbezogene Daten befinden könnten.

Nachfolgend referierte Prof. Dr. Hansjürgen Garstka (Der Berliner Datenschutzbeauftragte) über den Datenexport ins Ausland und ggf. einhergehende Genehmigungspflichten in Bezug auf die Verwendung von Vertragsklauseln bzw. verbindlichen Unternehmensregelungen (Codes of Conduct).

Dabei verdeutlichte er u.a. den Umstand, dass nach neuem Recht deutsche Aufsichtsbehörden auch für die korrekte Anwendung mitgliedstaatlichen Datenschutzrechts zuständig sein können. Hier müsse ggf. auf internationale Amtshilfe zurückgegriffen werden.

Die Diskussion erbrachte u.a. das Ergebnis, dass die Fälle der Vorabkontrolle durch Ausnahmeregelungen sachgerecht eingegrenzt worden sind. Im Hinblick auf die Zweifelsfallregelung im Rahmen der Vorabkontrolle wurde festgestellt, dass sich der Datenschutzbeauftragte möglichst nur in Abstimmung mit der Geschäftsleitung an die Aufsichtsbehörde wenden soll. Insbesondere in dem Fall, wo die Konsultation der Aufsichtsbehörde auf Verlangen der vom Datenschutzbeauftragten ordnungsgemäß unterrichteten Geschäftsleitung unterbleibt, dürfe ein Haftungsdurchgriff auf den Datenschutzbeauftragten selbst ausgeschlossen sein. Hinsichtlich des öffentlichen Verfahrensverzeichnisses wurde festgestellt, dass dieses auf Antrag grds. tatsächlich „Jedermann“ - also nicht nur dem Betroffenen - in geeigneter Weise zugänglich gemacht werden muss.

28. DAFTA und 23. RDV-Forum

28. DAFTA am 18. und 19. November 2004 in Köln

Unter dem Leitthema „Orwell’s 1984 - 20 Jahre danach” veranstaltete die GDD am 18. und 19. November 2004 in Köln ihre 28. Datenschutzfachtagung (DAFTA).

Der langjährige Vorstandsvorsitzende der GDD, Bernd Hentschel, eröffnete die Veranstaltung mit einer kritischen Würdigung der Entwicklung staatlicher Informationsgewinnung und -verarbeitung. Während sich die betriebliche Selbstkontrolle auf Seiten der Wirtschaft als wirksames Korrektiv erwiesen habe, sei auf Seiten des Staates eine Tendenz zur „totalen Ausleuchtung“ des Einzelnen zu konstatieren. Der Gesetzgeber versuche offenbar gar nicht mehr, den Begehrlichkeiten der Exekutive mäßigend entgegenzutreten, vielmehr würden die Befugnisse scheinbar auf Zuruf den Wünschen der Behörden angepasst. Aktuelle Beispiele hierfür seien etwa die Regelungen des neuen Schwarzarbeitsbekämpfungsgesetzes, der Online-Zugriff des Fiskus auf Bankkonten sowie das Statusfeststellungsverfahren im Bereich der Sozialversicherung.

Herausforderungen für den ersten Europäischen Datenschutzbeauftragten

Der erste Europäische Datenschutzbeauftragte, Peter Hustinx, informierte das DAFTA-Plenum über sein Amt und die damit verbundenen Herausforderungen. Zu den Hauptaufgaben der Institution des Europäischen Datenschutzbeauftragten zähle zum einen die Kontrolle der Einhaltung der EG-Verordnung Nr. 45/2001 („Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“) durch die Organe und Einrichtungen der Gemeinschaft. Zudem berate er die genannten Stellen in allen Fragen, die die Verarbeitung personenbezogener Daten betreffen. Nachdem die Einrichtung seiner Behörde nunmehr im Wesentlichen abgeschlossen sei, er insbesondere über ein entsprechendes Budget, Personal und eine Homepage verfüge (www.edps.eu.int), lägen seine Ziele für die Zukunft vor allem in der Schaffung einer Datenschutzkultur auf europäischer Ebene, im Aufbau eines Netzwerkes als Basis für die Ausfüllung seiner Beratungsverpflichtung sowie in der Gewährleistung der Informationsfreiheit auf EU-Ebene.

Darüber hinaus bezog Hustinx Stellung zu der auf EU-Ebene geführten Diskussion zur sog. Vorratsdatenspeicherung durch Telekommunikations- und Internetprovider. Zwar stelle die Verbesserung der grenzüberschreitenden Strafverfolgung ein wichtiges Anliegen dar, jedoch dürfe die Privatsphäre der Nutzer nicht unverhältnismäßig beschnitten werden.

Technik, Terror, Transparenz - Stimmen Orwell’s Visionen?

Dr. Thilo Weichert (Leiter des Unabhängigen Landeszentrums für Datenschutz, Kiel) griff in seinem Vortrag das Leitthema der 28. DAFTA auf und analysierte, ob und inwiefern sich die Visionen Orwell´s realisiert haben.

Die staatlichen Reaktionen auf die Ereignisse vom 11. September 2001 brächten einen neuen Überwachungsschub für die gesamte Bevölkerung. Unter dem Gesichtspunkt der Terrorbekämpfung könne nahezu jede beliebige Verschärfung der Überwachung durchgesetzt werden. Die Grundsätze der Logik und der Verhältnismäßigkeit staatlichen Handelns seien scheinbar weitgehend außer Kraft gesetzt. Bedenklich sei insbesondere die Tendenz, Überwachungsinstrumente hoffähig zu machen, die nicht mehr an konkrete Straftaten oder Gefahren anknüpfen, sondern flächendeckend auf die gesamte Gesellschaft zielen und wirken. In vielen Bereichen sei die präventive administrative Erfassung legaler Tätigkeiten bereits heute gang und gäbe.

Ein Paradigmenwechsel vom Rechtsstaat zum Sicherheits- und Schutzstaat sei jedoch von der freiheitlichen Konzeption des Grundgesetzes nicht gedeckt. Ein alle Freiheitsrechte überstrahlendes „Grundrecht auf Sicherheit“, wie es einige Rechtsprofessoren konstruieren wollten, sei der deutschen Verfassung nicht zu entnehmen. Staatliche Überwachung und Repression dürften nach wie vor nur als ultima ratio im konkreten Einzelfall erfolgen. Eine nüchterne Analyse müsse darüber hinaus zu dem Ergebnis führen, dass mit den gewaltigen Massen an Datenschrott, der bei einer anlasslosen Überwachung anfalle, kein wesentlicher Sicherheitsgewinn erzielt werden könne. Sämt­liche bisherige Fahndungserfolge gegen Ter­roristen und Terrorismusverdächtige seien durch klassische polizeiliche Ermittlungsarbeit, d.h. angeknüpft an konkrete verdächtige Sachverhalte bzw. Personen, erzielt worden.

Nach alledem, so Dr. Weichert, benötige eine sachgerechte Sicherheitspolitik weniger eine ständige Ausdehnung der Überwachungsmechanismen als vielmehr ein Höchstmaß an Transparenz und Kommunikation.

Überwachung des Bürgers durch Staat und Wirtschaft - Welche Perspektiven hat der Datenschutz?

Anhand einer Vielzahl von Beispielen verdeutlichte der Bundesbeauftragte für den Datenschutz, Peter Schaar, die Grenzen rechtsstaatlicher Datenverarbeitung.

Die organisierte Kriminalität und der Terrorismus ließen den Ruf nach zusätzlichen staatlichen Datenerhebungs-, Datenverarbeitungs- und Datennut­zungsbefugnissen immer lauter werden. Dabei stünden den Sicherheitsbehörden schon seit längerem mannigfaltige Möglichkeiten zur Verfügung. So belege etwa die stetig steigende Zahl der Telefonüberwachungen nach der Strafprozessordnung, dass bestimmte technikorientierte Überwachungsmaßnahmen immer stärker zum Einsatz kämen. Die diesbezüglich veröffentlichten Zahlen zeugten von der Notwendigkeit, die Befugnisse zur Telefonüberwachung mit dem Ziel zu reformieren, den Erfordernissen der Verhältnismäßigkeit und Effektivität wieder verstärkt Geltung zu verschaffen. Eine Verwendung von Daten über die Nutzung öffentlicher Telekommunikationsnetze sei in Deutschland bisher nur zulässig, wenn ein konkreter Verdacht für eine Straftat von erheblicher Be­deu­tung vorliege. Der EU-Mi­nis­ter­rat, so Schaar, berate aber derzeit über einen Vorschlag, wonach alle Anbieter von Te­le­kommu­ni­ka­tions- und Internetdiensten zur pauschalen Speicherung von Verkehrsdaten für einen Zeitraum von mindestens einem Jahr verpflichtet werden sollen. Er hoffe, dass die Bundesregierung dies verhindern werde.

Bedenklich, so Schaar, sei auch, dass neben den Sicherheitsbehörden immer mehr sonstige staatliche Stellen Zugang zu unterschiedlichsten Daten erhielten. So seien nach dem 11. September 2001 Regelungen geschaffen worden, um eine erleichterte Kontrolle von kriminellen und terroristischen Geldflüssen zu ermöglichen. Danach seien alle Kreditinstitute verpflichtet worden, eine besondere Datei zu führen, aus der Kontoinformationen verdeckt abgerufen werden können. Vor dem Hintergrund der Abwehr terroristischer Gefahren sei dieses Verfahren weitgehend akzeptiert worden. Als kritisch sehe er es aber an, wenn durch das „Gesetz zur Förderung der Steuerehrlichkeit“ ab dem 1. April 2005 nunmehr einer unüberschaubaren Vielzahl von Behörden Zugang zu den betreffenden Daten ermöglicht werde.

Daneben, so Schaar, nähmen auch die Bedürfnisse der Wirtschaft nach Datengewinnung, vor allem im Bereich des Risikomanagements, immer weiter zu. Kritisch sei etwa die Entwicklung mittels sog. „Scoringverfahren“ die Kreditwürdigkeit weitgehend unabhängig vom tatsächlichen Verhalten des Betroffenen zu beurteilen. Soweit der Bereich sog. „Kundenkarten“ betroffen sei, müsse man von der Wirtschaft verlangen, dass sie für die erforderliche Transparenz sorge und die Betroffenen verständlich und umfassend über Umfang und Zwecke der Datenverarbeitung informiere. Hinsichtlich des Ein­sat­zes von Genomanalysen in der Privatwirtschaft etwa im Rahmen der Feststellung von Kindschaftsverhältnissen, beim Abschluss einer Lebens- oder Krankenversicherung oder bei Einstellungen und Kündigungen im Arbeitsleben sah der Bundesbeauftragte gesetzgeberischen Handlungs­be­darf. Unterstützt würde die Tendenz zu immer weiterreichenden Datenerhebungen darüber hinaus durch die technologische Entwicklung, deren Tempo sich keineswegs verlangsamt habe. So könnten Videokameras mittlerweile durch die Verknüpfung mit biometrischen Verfahren und elektronischer Bildauswertung zur gezielten Verfolgung einer Person und zur Erstellung von Bewegungsprofilen genutzt werden. Zu denken sei auch an die ständige Weiterentwicklung von Systemen zur Aufenthaltsfeststellung, Chipkarten (§ 6c BDSG), cookies und web-bugs, „E.T.-Software“ sowie an die ebenfalls stark in der öffentlichen Diskussion stehende RFID-Technologie.

Es sei nur verständlich, dass angesichts der Terroranschläge, der Stagnation der Wirtschaft und des Umbaus der Sozialsysteme technische Kontrollen, Datenabgleiche, Online-Abfragen und Scoringsysteme als Ersatz für verlorene Sicherheiten angesehen würden. Der Wirtschaft sei aber zuzumuten, gewisse Risiken zu Gunsten eines fairen und gleichberechtigten Umgangs mit ihren Kunden hinzunehmen. Auf staatlicher Seite sei zu berücksichtigen, dass natürlich nicht auf jegliche Kontrolle individuellen Verhaltens verzichtet werden könne. Es müsse sich aber stets um eine auf das erforderliche Maß beschränkte und für das Individuum transparente Kontrolle handeln.

GDD-Datenschutz-Award 2004

Die Hamburg-Mannheimer Versicherung ist Preisträger des Datenschutz-Awards 2004, der anlässlich der 28. Datenschutzfachtagung (DAFTA) der GDD am 19. November vergeben wurde. Mit dem Datenschutz-Award werden Unternehmen und Be­hör­den ausgezeichnet, die Beispielhaftes für den Datenschutz geleistet haben. Grundlage der Vergabe bildet die Mehrheitsentscheidung der DAFTA-Teil­neh­mer.

Im Jahr 2004 wurde der Award für die beste Vorgehensweise zur Schaffung von Datenschutz-Awareness bei der Unternehmensführung vergeben. Der Datenschutzbeauftragte der Hamburg-Mannheimer Versicherungsgesellschaften, Rainhard Degener, stellte zunächst heraus, dass angesichts der harten wirtschaftlichen Umfeldbedingungen zum Teil wenig Platz für den Datenschutz im Bewusstsein von Unternehmensführungen vorhanden sei. Zusammen mit dem Betriebsrat und Kollegen aus der Versicherungsbranche sei es ihm jedoch gelungen, den Vorstand von der Notwendigkeit einer Privacy Policy zu überzeugen. In dieser Privacy Policy bekenne sich der Vorstand klar zur Einhaltung der gesetzlichen Datenschutzvorschriften. Die Datenschutzpolitik seines Hauses sei in drei Detaillierungsebenen strukturiert, die von Leitlinien über ein Datenschutzkonzept bis hin zu konkreten Maßnahmen reichten. Die Policy, die intern publiziert und beworben worden sei, nutze der betriebliche Datenschutzbeauftragte bei jeder sich bietenden Gelegenheit zur Durchsetzung von Datenschutzmaßnahmen und nehme damit den Vorstand beim Wort.

Auch die anderen Bewerber um den GDD-Da­ten­schutz-Award 2004 gaben hilfreiche Anregungen, wie Awareness für den Datenschutz bei der Unternehmensführung erreicht werden kann. Weitere Auszeichnungen gingen deshalb an: Günther Otten (Gothaer Finanzholding AG), Jürgen Heck (Datenschutz-Kompetenzzentrum Dortmund) und Lutz Neundorf (ABB-Konzern).

 

23. RDV-Forum am 17. November 2004 in Köln

Unter der Leitung von Prof. Peter Gola (RDV-Schriftleitung) fand am 17. November 2004 in Köln das 23. RDV-Forum statt. Unter dem Leitthema „Der digitalisierte Mitarbeiter“ wurden die neuen rechtlichen und technologischen Entwicklungen auf dem Gebiet der Arbeitnehmerdatenverarbeitung vorgestellt und die datenschutzrechtlichen Konsequenzen erörtert. Prof. Dr. Dr. h. c. Spiros Simitis (Johann Wolfgang Goethe-Universität, Frankfurt, Vorsitzender „Nationaler Ethikrat”) skizzierte europäische Entwicklungen im Bereich des Arbeitnehmerdatenschutzes. Dabei informierte der Referent in gewohnt eloquenter Weise über Aktivitäten der EU-Kommission, die auf die Erarbeitung einer Europäischen Richtlinie zum Arbeitnehmerdatenschutz ausgerichtet gewesen sei. Derzeit, so der Referent, sei die Verwirklichung einer derartigen Richtlinie, die insbesondere in bestimmten Bereichen des Arbeitnehmerdatenschutzes für mehr Rechtssicherheit sorgen könnte, auf Grund von personellen Veränderungen in der zuständigen Generaldirektion eher zweifelhaft.

Nachfolgend berichtete Prof. Dr. Friedhelm Rost (Vorsitzender Richter am Bundesarbeitsgericht) über die aktuelle Rechtsprechung des BAG zum Arbeitnehmerdatenschutz. Dabei standen der Einsatz neuer Technologien und die damit ermöglichte Überwachung von Arbeitnehmern im Vordergrund. Die Zulässigkeit und Grenzen der Über­wa­chung wurden am Beispiel der Videoüberwachung skizziert. Nach einem BAG-Urteil vom 27. März 2003 (RDV 2003, 293) kann die Überwachung eines konkret verdächtigen Arbeitnehmers mittels Videotechnik als ultima ratio zulässig sein. Grenzen, so der Referent, habe das BAG dem Videoeinsatz am Arbeitsplatz jedoch durch seinen Beschluss vom 29. Juni 2004 (RDV 2005, 21) gesetzt, in dem es die intensive Videoüberwachung eines Postverteilungszentrums als unverhältnismäßig erachtete. Weitere BAG-Ent­schei­dungen betrafen die Mitbestimmung beim Einsatz von Arbeitnehmern in einem Kundenbetrieb mit biometrischen Zugangskontrollen (RDV 2004, 122) sowie die Weitergabe von Arbeitnehmerdaten an Dritte (RDV 2004, 24). Rechtsanwalt Christoph Klug (RDV-Schriftleitung) zeigte die Konsequenzen des BDSG 2001 für die betriebliche Videoüberwachung auf. Dabei vertrat er die Auffassung, dass die Transparenzpflichten des BDSG einer verdeckten Videoüberwachung nicht zwingend entgegen stehen.

Prof. Peter Gola (RDV-Schriftleitung) referierte über den Einsatz der betrieblichen Kommunikationstechnik durch Betriebsrat und Gewerkschaften. Anhand der einschlägigen BAG-Rechtspre­chung (RDV 2004, 76 sowie 171) verdeutlichte er, dass der Betriebsrat einen Anspruch auf die Nutzung des Intranets und des Internets haben kann. Dabei seien aber die Nutzungsmöglichkeiten auf die betriebsverfassungsrechtlichen Aufgaben beschränkt.

Weitere Referate beschäftigten sich mit der Funktionsweise des Mitarbeiterportals der Ford Werke AG (Christina Suilmann, Datenschutzbeauftragte der Ford Werke sowie Alicia Alvares, Personalabteilung der Ford Werke), dem Einsatz von Record-Management (Bernd Ehret, Leiter Corp. HR Administration der SAP AG) sowie dem Skill-Ma­na­ge­ment zur Unterstützung der dispositiven Aufgaben des Personalwesens (Klaus Hess, TBS beim DGB NRW). Anhand dieser Praxisbeispiele wurde deutlich, dass derartige Projekte durch Datenschutzmaßnahmen flankiert sein müssen, was vielfach einen erheblichen Handlungsbedarf auslöst. 

32. DAFTA und 27. RDV-Forum

Eine Zusammenfassung der DAFTA aus dem Jahre 2008

32. DAFTA am 20. und 21. November 2008 in Köln

War Datenschutz in den Augen einiger noch vor kurzem ein „Exotenfach“, so hat er inzwischen - freilich mitbedingt durch die zuletzt ge­häuften Datenschutzskandale - Konjunktur be­kommen. Diesen Rückenwind gilt es nunmehr da­zu zu nutzen, das Datenschutzrecht in sinnvoller Weise zu modernisieren und den betrieblichen Datenschutz angemessen zu stärken. Dass es die­ser und weiterer Schritte bedarf, um in Deutschland eine zeitgemäße Informationskultur aufzubauen, war ein wesentliches Ergebnis der 32. Datenschutzfachtagung (DAFTA), die vom 20. - 21. November 2008 unter der Leitung von Prof. Peter Gola (Vorstands­vorsitzender der GDD) in Köln stattfand.

Unter dem Leitthema „Neue Informationskultur - Neuer Datenschutz“ diskutierten der erste Bundesbeauftragte für den Datenschutz, Prof. Dr. Hans-Peter Bull, und der amtierende Bundesbeauftragte, Peter Schaar, gemeinsam mit dem bis vor kurzem beim Bundesverfassungsgericht für Datenschutzfragen zuständigen Richter Prof. Dr. Wolfgang Hoffmann-Riem und dem Abteilungsleiter im Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz Dr. Christian Grugel die aktuelle Situation des Datenschutzes und seine Perspektiven.

Nach Prof. Dr. Bull wäre es wünschenswert, dass ein zukunftsträchtiges Informationsrecht nicht le­dig­lich auf rechtlichen Schlussfolgerungen, sondern stärker auf sozialethischen, kulturellen Voraussetzungen aufbaut. Prof. Dr. Hoffmann-Riem erläuterte vor diesem Hintergrund die Bedeutung datenschutzrechtlicher Vorschriften und ihre Aus­legung durch das Bundesverfassungsgericht. Neben bestimmten rechtlichen Beschränkungen bei der Verarbeitung personenbezogener Daten hielt er insbesondere auch einen effektiven Selbst­datenschutz für unentbehrlich. Auch die mit der Informationstechnik weniger vertrauten Nutzer müssten in die Lage versetzt werden, ihre Da­ten wirksam zu schützen.

Dr. Christian Grugel verdeutlichte die Position sei­nes Ministeriums zur Umsetzung der anlässlich des Datenschutzgipfels vom September 2008 beim Bundesminister des Innern gefundenen Er­geb­nisse. Ein entsprechender Referentenentwurf liege bereits vor und solle bereits Anfang Dezember vom Kabinett verabschiedet werden, damit das Gesetzgebungsverfahren noch in dieser Legislaturperiode abgeschlossen werden könne. Um die Auswirkungen auf die Werbewirtschaft so ge­ring wie möglich zu halten, werde derzeit noch ge­prüft, in welchen Fällen auf die ausdrückliche Einwilligung der Betroffenen verzichtet werden könne.

Konfrontiert mit der Meinung, dass der aktuelle Entwurf eines Datenschutzauditgesetzes keinen angemessenen Beitrag zur Schaffung einer Datenschutzkultur darstelle, vertrat der Bundesbeauftragte für den Datenschutz, Peter Schaar, die Auffassung, dass man den Rückenwind, den der Datenschutz aktuell in der Politik genieße, unbedingt jetzt nutzen sollte, auch wenn einzelne der vorgesehenen Regelungen noch nicht optimal sei­en. Im Rahmen der Diskussion wurde zum Teil allerdings eine übereilte Vorgehensweise bei der Schaffung neuer Datenschutzregelungen konstatiert.

Dass der Datenschutz zwar derzeit Konjunktur hat, es aber gerade in turbulenten Zeiten für den Datenschutz darauf ankommt, den Überblick zu bewahren und auf ausgewogene gesetzliche Regelungen zu achten, verdeutlichte ein angesichts der aktuellen Gesetzentwürfe eigens angesetztes DAFTA-Sonderforum, das von der stellvertretenden Vorstandsvorsitzenden der GDD, Dr. Astrid Breinlinger, moderiert wurde, und an dem neben dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit auch die FDP-Bun-destagsabgeordnete Gisela Piltz sowie der Präsident des Deutschen Dialogmarketing Verbandes, Dieter Weng, teilnahmen.

In ihrem Schlusswort zur DAFTA, das nachfolgend in seinem Wortlaut wiedergeben wird, mahnte Dr. Breinlinger ein besonnenes und von Sachverstand geleitetes Vorgehen der Politik auf dem Weg zu einem neuen Datenschutzrecht an. Nicht alles an dem bis­herigen Datenschutzrecht sei veraltet und unbrauchbar. Ferner sei darauf zu achten, dass die Notwendigkeit der Stärkung der betrieblichen Da­tenschutzkontrolle nicht wieder ins Hintertreffen gerate.

 

“Sehr geehrte Damen und Herren, das Motto der diesjährigen DAFTA hieß ‚Neue Informationskultur - Neuer Datenschutz’.

Wahrscheinlich sind wir uns einig: Wir haben we­der das eine noch das andere. Bestenfalls sind wir auf dem Weg dahin und versuchen mühsam, uns zu orientieren.

Was wollen wir haben? Einen wehrhaften Datenschutz? Ja sicher, angesichts verschärfter Sicherheitsgesetze brauchen wir den Datenschutz als Verteidigung unserer Grundrechte nicht nur auf informationelle Selbstbestimmung, sondern auch der weitest möglichen Freiheit von Überwachung, der Möglichkeit unverstellter echter Selbstdarstellung und des Vertrauens darauf, dass diese Möglichkeiten erhalten bleiben.

Datenschutz schützt tatsächlich sowohl die individuelle persönliche Freiheit in vielen Ausprägungen wie auch die entsprechende gesellschaftliche Verfasstheit, in der sowohl Individuelles als auch Kollektives seinen Platz hat, Privatsphäre und Kom­mu­nikation. Hier haben uns die Beiträge von Prof. Bull und Prof. Hoffmann-Riem wesentliche
- wenn auch sicher nicht immer leicht verdauli-
che - Erkenntnisse gebracht.

Eine neue Informationskultur schenkt uns niemand, wir müssen sie wohl selbst schaffen; am ehesten dürfte sie sich jedoch aus dem tatsächlichen Leben und den Wünschen und Ansprüchen der Menschen herausbilden, mit allen Schwierigkeiten, die aus der Unterschiedlichkeit neben- und miteinander lebender Kulturen entstehen - ich denke hier an politische und regionale Unterschiede genauso wie an den Unterschied Jung gegenüber Alt. So betrachtet könnte es noch ein langer Weg sein.

Den Datenschutz gibt es höchstens in der Vorstellungswelt einer kleinen Gruppe von Menschen. Von daher bin ich eher misstrauisch, wenn in Um­fragen das Vertrauen in den Datenschutz abgefragt wird. In den steigenden Prozentzahlen derer, die kein Vertrauen in den Datenschutz haben, kommt die allgemeine Unsicherheit in krisenhaften Zeiten mindestens ebenso zum Ausdruck wie Ohnmachtsgefühle gegenüber der immer unbeherrschbarer werdenden und allgegenwärtigen Technik.

Wir brauchen eine neue Informationskultur, vor allem aber wirksame Maßnahmen, wenn wir eindämmen wollen, was immer mehr um sich greift: Kostenrisiko-Analyse gesetzwidrigen Handelns statt Befolgung geltenden Rechts, Datenschutz zum Billigtarif, aber eben auch populistisches For­dern von zunächst gut aussehenden Gesetzesänderungen, die vor allem den Vorteil haben, dass sie keine öffentlichen Gelder kosten – zumindest nicht sofort –, statt konsequenter Verfolgung von Gesetzesverstößen und angemessener Ausstattung der Aufsichtsinstanzen.

Und dann - oder auch parallel - können wir an das Nächste auf dem Weg zur neuen Informationskultur denken: Ein Datenschutzrecht, das
- ne­ben den weiterhin gültigen - neue Antworten ent­hält auf neue Technologien und auf sich aus ihrer Anwendung ergebende Risiken sowie die zunehmende globale Vernetzung.

Nicht alles an unserem Datenschutzrecht ist veraltet und unbrauchbar, wie uns Parlamentarier, die vor wenigen Monaten Datenschutz noch als ‚Exotenfach’ verstanden haben, zur Zeit weismachen wollen. Mich wundert es überhaupt nicht, dass die­se Politiker ein Verbot jeglicher Datenweitergabe ohne Einwilligung forderten - sie hatten sich gerade erst darüber aufklären lassen müssen, dass das BDSG die werbliche Nutzung einer Adresse auch ohne Einwilligung erlaubt.

Notwendig ist es, tatsächlich Antworten zu finden auf die Fragen, die z.B. gerade im Bereich der Ge­winnung und Nutzung von Daten über moderne Methoden auftreten, wie das Loggen und Aus­werten von Nutzerverhalten im Internet zu späteren Werbe- bzw. Steuerungszwecken. Ich spreche von ‚Phorm’, ‚Nebuad’, ‚Google Mail’ etc. In einigen Gesprächen mit Teilnehmern an die­ser DAFTA wurde mir bestätigt, dass Ihre Arbeit als Datenschutzbeauftragte einen wichtigen, wenn auch weniger spektakulären An­teil an der Schaffung von Datenschutzbewusstsein und Datenschutzkultur hat. Insoweit hat das The­ma ‚Datenschutz’ nicht nur allgemein, sondern auch in den Unternehmen selbst eine unerwartete Konjunktur bekommen. Und das nicht nur, weil bekannte Unternehmen in eine Datenschutzkrise gekommen sind. Das chinesische Wort für Krise setzt sich aus zwei Schriftzeichen zusammen - das eine bedeutet ‚Gefahr’ und das andere ‚Gelegenheit’. Nutzen Sie sie, bevor die Politik wieder wichtigere andere Themen vorzieht.”

 

27. RDV-Forum am 19. November 2008 in Köln

Das von Prof. Peter Gola (Vorstandsvorsitzender der GDD sowie RDV-Schriftleitung) moderierte
27. RDV-Forum stand unter dem Leitthema „Neuerungen im Datenschutzrecht - Weniger Überwachung, mehr Selbstbestimmung?“.

Einen Schwerpunkt der Veranstaltung bildete die Diskussion um die Notwendigkeit bzw. die möglichen Inhalte eines Arbeitnehmerdatenschutzgesetzes. Diesbezüglich schlug Prof. Dr. Gregor Thüsing (Institutsdirektor, Institut für Arbeitsrecht und Recht der Sozialen Sicherheit, Universität Bonn) zunächst eine klärende Bestandsaufnahme bezüglich wichtiger Regelungsgegenstände vor. Prof. Dr. Peter Wedde (Professor für Arbeitsrecht, Datenschutzrecht und Recht der Informationsgesellschaft, Fachhochschule Frankfurt/Main) und Michael Rahe (wissenschaftlicher Mitarbeiter von Silke Stokar von Neuforn, MdB, Bündnis 90/Die Grünen) befürworteten die Schaffung eines eigenständigen Arbeitnehmerdatenschutzgesetzes aus Gründen einer besseren Übersichtlichkeit und zur Schaffung von Rechtsklarheit. Die nachfolgende Abstimmung unter den Teilnehmern zeigte allerdings, dass ein eigenständiges Gesetz zum Schutz personenbezogener Beschäftigtendaten mehrheitlich für entbehrlich gehalten wird.

Die Interpretation des neuen Grundrechts auf Ver­traulichkeit und Integrität informationstechnischer Systeme im Hinblick auf das Arbeitsverhältnis, die Kontrolle des dienstlichen Telefon- und E-Mail-Verkehrs, Bewertungsportale im Internet, Einwilligungsklauseln im Lichte des BDSG und des UWG sowie aktuelle Entwicklungen im Datenschutz bei der Europäischen Kommission waren wei­tere Themenschwerpunkte des 27. RDV-Fo­rums. 

30. DAFTA und 25. RDV-Forum

Eine Zusammenfassung der DAFTA aus dem Jahre 2006

30. DAFTA am 16. und 17. November 2006 in Köln

Über die Zukunftsfähigkeit des Datenschutzes in Zeiten erhöhter Sicherheitsanforderungen und einer sich rasant entwickelnden Informationstechnologie diskutierten Politiker sowie Datenschutzexperten aus Wissenschaft und Wirtschaft anlässlich der 30. Datenschutzfachtagung (DAFTA), die unter dem Titel „Datenschutz in einer sich wandelnden Welt“ vom 16. bis 17. November 2006 in Köln stattfand.

Stärkung des Datenschutzbewusstseins

Der Vorstandsvorsitzende der GDD, Prof. Peter Gola, nahm das Leitthema der Veranstaltung zum Anlass, darauf hinzuweisen, dass sich der Stand des Datenschutzes in den nahezu dreißig Jahren, die das Bundesdatenschutzgesetz nunmehr bestehe, keineswegs verbessert habe. Die Politik messe dem Datenschutz nur unzureichende Bedeutung zu. Dies belege auch die Aussage der Bundesjustizministerin Brigitte Zypries anlässlich des diesjährigen Juristentags, wonach der Datenschutz es „derzeit nicht leicht habe“. Eine Kehrtwende, so Gola, könne nur über eine Stärkung des Datenschutzbewusstseins bei den politischen Entscheidungsträgern erreicht werden.

Datenschutz in der Wertediskussion

Nach Einschätzung von Prof. Dr. Dr. Wolfgang Ockenfels (Universität Trier, Lehrstuhl für Christliche Sozialwissenschaften) bahnt sich in Deutschland eine neue Wertediskussion an. Neun von zehn befragten Eliten sagten, politische Entscheidungen müssten stärker mit Werten begründet werden. Der Schutz der Privatsphäre sei bereits in den zehn Geboten angelegt. Diese enthielten zwar kein explizites Datenschutzgebot, aber implizit finde sich doch die Forderung: „Schütze Dein und Deines Nächsten Privatleben vor Eingriffen.“ Im Zeitalter der Informationsgesellschaft lasse sich dieses Gebot durchaus im Sinne des Datenschutzes und des Rechts auf informationelle Selbstbestimmung interpretieren. Die personal verstandene Würde eines jeden Menschen einschließlich seiner individuellen Freiheit und Selbstbestimmung sei heute stärkstes Argument für den Persönlichkeits- und Datenschutz.

Fortschreitende Erosion des Datenschutzes

Das Mitglied des Nationalen Ethikrates Prof. Dr. Dr. Spiros Simitis warnte vor der Annahme, die gegenwärtig vorhandenen Konzepte seien ausreichend, um einen effektiven Datenschutz auch in Zukunft gewährleisten zu können. Es bedürfe einer grundlegenden Neuregelung des Datenschutzrechts, wobei neben einer Zusammenführung von BDSG und bereichsspezifischen Datenschutzvorschriften insbesondere eine radikale Beschränkung des Zugangs zu personenbezogenen Daten sowie im Hinblick auf die ständig fortschreitende technologische Entwicklung eine Beschränkung der Geltungsdauer gesetzlicher Regelungen erforderlich seien. Der Umstand, dass der Bundesrat nunmehr entgegen ursprünglich gemachter Zusagen die partielle Freigabe der Mautdaten fordere, mache deutlich, dass es in derartigen Fällen eines gesetzlich geregelten Informationsverzichts bedürfe.

Die Erosion des Datenschutzes habe Mitte der 80er Jahre begonnen. Seitdem gebe es immer neue Höhepunkte:

  • die Vorratsdatenspeicherung als Vorstufe zu einer beliebigen Datenverarbeitung,
  • die Nutzung der datenschutzrechtlichen Einwilligung als Möglichkeit, gesetzliche Verarbeitungsregeln zu umgehen (z.B. Kundenkarten),
  • die unaufhaltsame Expansion der Datenverarbeitung durch Dezentralisierung sowie Wegfall von Papierdokumenten und durch eine zunehmend ubiquitäre Verarbeitung,
  • der Einsatz von Datawarehouse- und Dataminingverfahren in den Unternehmen.

In dem Maß, in dem nicht öffentliche Stellen ihre Verarbeitung ausweiteten, ließen sie auch Begehrlichkeiten des Staates wachsen.

Im Hinblick auf bereichsspezifische Regelungen wies Simitis darauf hin, dass der Bundesrat die Auffassung vertreten habe, das Fernmeldegeheimnis finde im Hinblick auf die bei der Internetnutzung anfallenden Daten keine Anwendung. Der Entwurf zur Antiterrordatei sei von verfassungsrechtlich gebotener Normenklarheit noch weit entfernt. Ferner sei es bedauerlich, dass auf europäischer Ebene bislang keine allgemeinen Regelungen zum Datenschutz im Rahmen der 3. Säule geschaffen worden seien.

Mit Blick auf die Zukunft des Datenschutzes vertrat Simitis die Auffassung, dass eine Diskussion auf nationaler Ebene nicht genüge. Vielmehr müssten gleichartige Regelungen auf internationaler Ebene angestrebt werden.

Verbraucherschutz durch Rahmenbedingungen und Selbstregulierung

Die Abteilungsleiterin im Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz Dr. Regina Wollersheim stellte fest, dass neben dem Staat in erster Linie die Unternehmen zu den Datensammlern des 21. Jahrhunderts gehörten. Digitaler Verbraucherschutz gehöre zu moderner Wirtschaftspolitik und ebne als vertrauensbildende Maßnahme den Weg für Innovation und Wachstum. Insgesamt seien im Verbraucherschutz Transparenz, Wahlfreiheit und Schutz vor Missbrauch unerlässlich.

Aus den Entwicklungen ergäben sich insbesondere folgende Handlungsfelder:

  • Datenschutz bei RFID-Chips,
  • Kundenkarten,
  • mehr Transparenz beim Scoring,
  • Bekämpfung von Spam-Mails und
  • Sicherheit beim elektronischen Geschäftsverkehr.

Verbraucherschutz und wirtschaftliche Innovation, so die Referentin, seien nicht etwa Gegensätze, sondern gehörten eng zusammen. Politik und Verwaltung seien bemüht, die Entwicklung durch das Setzen von Rahmenbedingungen voranzubringen. Einen anderen Teil müsse die Wirtschaft z.B. durch Selbstregulierung beitragen.

Im Rahmen der nachfolgenden Diskussion zeigte sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Peter Schaar, „hin- und hergerissen“ zwischen dem Hinweis auf eine Erosion des Datenschutzes einerseits und den ebenfalls aufgezeigten Ansätzen für zukunftsgerichteten Datenschutz andererseits. Zukunftsfähiger Datenschutz müsse an der Förderung des Datenschutzbewusstseins ansetzen. Dem Einzelnen müsse deutlich gemacht werden, dass Datenschutzfragen zunehmend auch Relevanz für ihn persönlich erhielten, wie etwa dann, wenn seine Kreditanfrage wegen eines schlechten Scorewertes abgelehnt oder das Darlehen nur zu schlechteren Konditionen gewährt werde. Ein stärkeres Datenschutzbewusstsein, so Schaar, sei dabei vor allem über einen Bündnisschluss mit Verbraucherschutz und Wirtschaft zu erzielen.

Auf die verschiedentlich geäußerte Kritik an der Disponibilität von Persönlichkeitsrechten über weitreichende Einwilligungserklärungen reagierte Dr. Wollersheim mit dem Hinweis, dass man Entscheidungen von mündigen Verbrauchern akzeptieren müsse.

Angesichts der aktuellen Sicherheitsbedürfnisse und der immensen Potenziale moderner Datenverarbeitung sowie der damit verbundenen Herausforderungen an die informationelle Selbstbestimmung sei eine grundlegend neue Wertediskussion zu führen, konstatierte die stellvertretende Vorsitzende der GDD Dr. Astrid Breinlinger. Aus Sicht der GDD gehe es mit Blick auf eine zunehmende Verlagerung staatlicher Aufgaben auf Unternehmen (z.B. durch die Vorratsdatenspeicherung) darum, den Datenschutz zu verteidigen und unangemessene Belastungen zu vermeiden.

Anlässlich der 30. DAFTA wurde erstmals der GDD-Wissenschaftspreis verliehen, mit dem herausragende wissenschaftliche Arbeiten auf den Gebieten Datenschutz und Datensicherheit ausgezeichnet werden. Der mit der Verleihung verbundene Geldpreis soll auch zukünftig insbesondere der Förderung von Nachwuchswissenschaftlern dienen. Die GDD fungiert mithin als Schalt­stelle zwischen Wissenschaft und Datenschutzpraxis.

Der erste GDD-Wissenschaftspreis ging an Dr. Jörg Hladjk für seine juristische Dissertation „Online-Profiling und Datenschutz - Eine Untersuchung am Beispiel der Automobilindustrie“. In sei­ner Arbeit beschäftigt sich Hladjk mit dem Da­ten­schutzrecht bei der kundenindividuellen Massenproduktion. Gerade die Individualisierung der Massenproduktion führt zu einer detaillierten Erhe­bung von Kundendaten verbunden mit einer umfassenden Profilerstellung. Wesentliches Ge­stal­tungselement der Individualisierung stelle die Einwilligung des Kunden in die Datenverarbeitung dar.

25. RDV-Forum am 15. November 2006 in Köln

Unter der Leitung von Prof. Peter Gola (RDV-Schriftleitung) fand am 15. November 2006 in Köln das 25. RDV-Forum unter dem Leitthema „Ethics in Business - Datenschutz in der Unternehmenspolitik“ statt. Dem Leitthema entsprechend wurden verschiedene Aspekte des Kunden- und Arbeitnehmerdatenschutzes auch unter wirtschaftsethischen Gesichtspunkten behandelt.

Mit Blick auf den Kundendatenschutz stellte Dr. Ivo Geis (Rechtsanwalt, Hamburg) fest, dass der Datenschutz des BDSG für Kundenprofile und mobile Speichersysteme durch das Transparenz- und Einwilligungskonzept realisiert sei. Im Hinblick auf die Internetkommunikation bestehe aus seiner Sicht hinsichtlich der Verarbeitung von Nutzerdaten zu Kundenprofilen keine Alternative zur Einwilligung.

Dr. Astrid Breinlinger (Rechtsanwältin, Freiburg und GDD-Vorstandsmitglied) erörterte Whistle­blowing-Regelungen im Compliance-Management. Hierbei zeigte sie auf, dass es nach Auffassung der Aufsichtsbehörden der Einhaltung von Datenschutzprinzipien bedarf, um ethisch zweifelhafte Praktiken im Unternehmen durch die Gestaltung von Hinweisgebersystemen zu vermeiden.

Verschiedene Vorträge beschäftigten sich mit weiteren Aspekten der Ethik und des Datenschutzes im Arbeitsrecht. Dietrich Boewer (Rechtsanwalt, Köln) gab einen Überblick über die diesbezügliche Gesetzgebung und Rechtsprechung und richtete den Fokus auf die Verwendung allgemeiner Geschäftsbedingungen, die Arbeitsvertragsgestaltung sowie das neue Allgemeine Gleichbehandlungsgesetz (AGG). Prof. Peter Gola (RDV-Schriftleitung, Vorstandsvorsitzender der GDD) erörterte mit Blick auf das AGG, ob und inwieweit der Datenschutzbeauftragte als Beschwerdestelle im Sinne des AGG fungieren kann. Aus seiner Sicht erscheint es nicht abwegig, dem betrieblichen Datenschutzbeauftragten über die ihm sowieso zugeschriebene Funktion der Datenschutzkontroll- und -beschwerdestelle hinausgehend auch die Aufgabe der Kontrolle von Verstößen gegen das AGG zu übertragen.

Rechtsanwalt Christoph Klug (stellv. Geschäftsführer der GDD) zeigte die Konsequenzen der im Jahre 2006 erfolgten BDSG-Änderungen für betriebliche Datenschutzbeauftragte auf. Der Vortrag von Thomas Zerdick (Europäische Kommission) verdeutlichte insofern, dass die EU-Kom-
mission sich gegebenenfalls veranlasst sehen wird, die BDSG-Neuregelungen zur Lockerung der Pflicht zur Bestellung betrieblicher Datenschutzbeauftragter bei gleichzeitiger Lockerung der Meldepflicht auf eine Richtlinienkonformität hin zu überprüfen. 

20. DAFTA und 13. RDV-Forum

Rückblick auf die 20. DAFTA am 30. und 31. Oktober 1996 in Köln

Datenschutz nach 20 Jahren BDSG

Ende 1976 wurde nicht nur das erste Bundesdatenschutzgesetz (BDSG) im Deutschen Bundestag verabschiedet, sondern auch die Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) als gemeinnütziger Verein gegründet. Anläßlich der 20. Datenschutzfachtagung (DAFTA) der GDD, die unter dem Leitthema „Datenschutz nach 20 Jahren BDSG“ stand, gab der Vorstandsvorsitzende der GDD, Herr Bernd Hentschel, zunächst einen Überblick über die Entwicklung der Gesellschaft für Datenschutz und Datensicherung e.V. und zeigte zugleich die Perspektiven auf, die insbesondere hinsichtlich der Novellierung des Bundesdatenschutzgesetzes auf Grundlage der EG-Datenschutzrichtlinie von seiten des Veranstalters gefordert werden.

Herr Hentschel würdigte eingangs die tragenden Leitlinien des Bundesdatenschutzgesetzes (BDSG). Das vor 20 Jahren verabschiedete BDSG sei eines der wenigen vorzeigbaren Gesetzeswerke, das sich die liberalen Grundprinzipien für den privatwirtschaftlichen Bereich, nämlich soviel Eigeninitiative wie möglich und soviel Staat wie unbedingt nötig, zu eigen gemacht habe. Versinnbildlicht sei das Bundesdatenschutzgesetz als tragende Dach- oder Brückenkonstruktion zur Sicherstellung des Persönlichkeitsschutzes vorstellbar. Man könne den Architekten, Konstrukteuren und Baumeistern aus heutiger Sicht bestätigen, daß dieses Gesetz solide konstruiert und dem technologischen Wandel von der zentralen über die dezentrale bis hin zur vernetzten Informations- und Kommunikationsverarbeitung standgehalten habe. Das BDSG habe maßgeblichen Anteil daran, daß man heute Datenschutz und Datensicherheit auf dem Weg zur Dienstleistungs- und Informationsgesellschaft als Qualitäts- und Wettbewerbsfaktor einbringen könne. Das BDSG habe zugleich die GDD erst ermöglicht und der DAFTA als öffentliche Plattform, Prüfstand und Diskussionsforum zu ihrer heutigen Bedeutung verholfen.

In seinem Rückblick richtete Herr Hentschel eine Dankadresse an alle Weggefährten, Förderer, Unterstützer und Mitarbeiter der GDD, die sich um den betrieblichen und behördlichen Datenschutz sowie um das BDSG verdient gemacht haben. Er erinnerte gleichzeitig an die „Architekten und Baumeister“, die maßgeblichen Anteil an der Erarbeitung des BDSG hatten, welches bislang nur einmal novelliert werden mußte. Dabei rief er namentlich Vertreter der Legislative, Exekutive und Judikative in Erinnerung, die sich um die Erarbeitung und Novellierung des BDSG verdient gemacht haben. Des weiteren hob Herr Hentschel die bisherigen Bundesbeauftragten für den Datenschutz sowie führende Repräsentanten aus dem Bereich des Datenschutzes im nicht-öffentlichen und öffentlichen Bereich hervor.

Der GDD komme in der Frage des Datenschutzes eine Wächterfunktion zu. Sie trete als Selbsthilfeorganisation von Wirtschaft und Verwaltung für einen sinnvollen, wirtschaftlich vertretbaren und technisch realisierbaren Datenschutz ein. Bereits im Rahmen der ersten BDSG-Novellierung habe die GDD dazu beigetragen, die Selbstkontrolle und damit den betrieblichen Datenschutzbeauftragten zu stärken.

Der Vorstandsvorsitzende der GDD kam zu dem Ergebnis, daß sich die Konstruktion des deutschen Datenschutzrechts auch in der Differenzierung zwischen nicht-öffentlichem und öffentlichem Bereich bewährt habe. Die positiven Erfahrungen mit einer dezentralen Datenschutzkontrolle sollten auch in die anderen EU-Länder exportiert werden. Bürokratisierungstendenzen im Datenschutz sei, so Hentschel, entschieden entgegenzutreten. Die GDD werde weiterhin neben dem Prinzip der Selbstkontrolle auch für die Grundsätze der Angemessenheit und der Verhältnismäßigkeit eintreten.

20 Jahre Bundesdatenschutzgesetz - Vom Stiefkind zum Exportmodell

Der Staatssekretär im Bundesministerium des Innern, Herr Dr. Eckart Werthebach, skizzierte in seinem Vortrag eingangs die Entwicklungen des BDSG. Er erinnerte, daß das BDSG trotz anfänglicher Berührungsängste von der Wirtschaft rasch angenommen und in die Praxis umgesetzt worden sei. Er dankte der GDD und ihren Repräsentanten für ihr zukunftsweisendes Engagement um die Einführung und Fortentwicklung des Datenschutzes in Wirtschaft und Verwaltung. Die GDD habe durch zahlreiche Fortbildungsveranstaltungen für das BDSG geworben und maßgeblich dazu beigetragen, daß die Anwender ihre Datenverarbeitung zügig den Anforderungen dieses neuen Gesetzes anpassen konnten. Die Entwicklungen des Datenschutzrechts seien vor allem auch durch die jährlichen Fachtagungen gefördert worden.

Herr Werthebach hob die bundesdeutsche Beteiligung bei der Erarbeitung der EU-Datenschutz-richtlinie in Brüssel hervor. Bei den Verhandlungen sei es, so Herr Dr. Werthebach, gelungen, den hohen Standard des BDSG zu wahren, die Regelungsdichte der vorgesehenen Vorschriften zu reduzieren und die Harmonisierung auf das zu beschränken, was zwingend für die Verwirklichung des Binnenmarktes notwendig schien. Eine Reihe von Prinzipien deutscher Rechtstradition spiegele sich in der Richtlinie wieder, so der Grundsatz des Verbots mit Erlaubnisvorbehalt (Artikel 7), das Medienprivileg (Artikel 9), vor allem aber die Institution des betrieblichen Datenschutzbeauftragten (Artikel 18), die das deutsche System der datenschutzrechtlichen Selbstkontrolle garantiere. Das BDSG sei insoweit erfolgreich in die Richtlinie „exportiert“ worden. Insgesamt habe die deutsche Delegation, vor allem auch die Repräsentanten der deutschen Wirtschaft, in Brüssel wichtige Überzeugungsarbeit geleistet für die Erhaltung bewährter und gewachsener Strukturen in den Mitgliedsstaaten und gegen einen überzogenen Bürokratismus. Abschließend erläuterte Herr Werthebach, die Umsetzung der EU-Richtlinie bedeute eine Weiterentwicklung des BDSG, sie erfordere aber keine Änderung der wesentlichen Strukturprinzipien des Gesetztes. Das differenzierende Kontrollsystem bleibe mitsamt den bestehenden Kompetenzregelungen erhalten. Allein der betriebliche Datenschutzbeauftragte werde noch stärker in den Vordergrund des neuen BDSG rücken.

Der BfD: 20 Jahre Anwalt für den Datenschutz

Der Bundesbeauftragte für den Datenschutz (BfD), Herr Dr. Jacob, skizzierte in seinem Vortrag die Entwicklungen der Rahmenbedingungen im Laufe von 20 Jahren Datenschutzkontrolle und verband dies mit einem Ausblick auf die Fragestellungen, die in Zukunft zu behandeln und zu lösen sein werden. Er gratulierte eingangs der GDD für ihr erfolgreiches Wirken über zwei Jahrzehnte hinweg, das ein wesentlicher Punkt für die Verhandlungen in Brüssel gewesen sei, damit das deutsche Modell in die Richtlinie aufgenommen und der mit einem zentralen Melderegister verbundene bürokratische Aufwand verringert werden konnte. Bis zur Endphase der Verabschiedung habe es in Brüssel Widerstände gegen das System der dezentralen Selbstkontrolle gegeben. Deshalb sei es um so erfreulicher, daß andere Mitgliedsstaaten nun Überlegungen anstellten, diese Prinzipien zu übernehmen.

Herr Dr. Jacob wies darauf hin, daß durch die technischen Entwicklungen für den einzelnen Bürger weitere Gefahrenpotentiale aus dem nicht-öffentlichen Bereich entstanden seien, so z.B. im Zusammenhang mit Videoüberwachung, Chipkarten, Multimedia etc.. Andererseits eröffne die moderne Technik aber auch die Möglichkeit dem neuen Grundsatz der Datensparsamkeit durch Anonymisierungsverfahren Rechnung zu tragen. Der Entwurf des sogenannten Multimediagesetzes (IuKDG), welcher den vorgenannten Grundsatz beinhaltet, nutze in lobenswerter Weise die Chancen, die die technische Entwicklung biete. Der Entwurf sehe überdies eine klare Zweckbindungsregelung vor, wonach die geänderte Nutzung die Einbindung, zumindest aber eine Widerspruchsmöglichkeit des Betroffenen erfordere. Gleichwohl müsse angesichts der fortschreitenden Entwicklungen auch in Zukunft der Schutz der Privatheit des Einzelnen auch im nicht-öffentlichen Bereich im Auge behalten werden.

Datenschutz als Qualitäts- und Wettbewerbsfaktor

Die Einhaltung datenschutzrechtlicher Vorschriften ist nach Auffassung des Datenschutzbeauftragten des Daimler-Benz-Konzerns, Prof. Dr. Alfred Büllesbach, nicht nur gesetzliche Obliegenheit, sondern zugleich Qualitäts- und Wettbewerbsfaktor. Diese Aussage belegte Herr Prof. Dr. Büllesbach anhand des Umstandes, daß Datenschutz für Kunden und Verbraucher zunehmend relevanter wird. Herr Prof. Dr. Büllesbach führte sodann zahlreiche Kriterien an, die für die wachsende Bedeutung von Datenschutz maßgeblich seien. Einhergehende Risikopotentiale stellten sich für Unternehmen als neue Herausforderungen dar. Datenschutz müsse zum positiv besetzten Markenzeichen eines Unternehmens gehören. IT-Sicherheit und Datenschutzanforderungen müßten zu einem integrativen Bestandteil des Qualitätsmanagements werden. Die Kontrolle des hierzu notwendigen Datenschutzqualitätskonzepts obliege dem betrieblichen Datenschutzbeauftragten. Vor dem Hintergrund der vorerwähnten Entwicklungen und im Hinblick auf die erforderliche Akzeptanz durch Kunden und Verbraucher, habe sich Datenschutz vom zulässigen Wettbewerbshindernis zu einem regelrechten Qualitäts- und Wettbewerbsfaktor entwickelt. Schließlich betonte Herr Prof. Dr. Büllesbach das hohe Eigeninteresse der Wirtschaft, den Datenschutz in ihr Qualitätsmanagement einzubinden. Anderenfalls werde der Staat diesen Bereich langfristig restriktiv regulieren.

 

13. RDV-Forum am 29. Oktober 1996 in Köln

Das Maternushaus in Köln war auch dieses Jahr wieder Tagungsort des alljährlich im Vorfeld der DAFTA stattfindenden RDV-Forums. Das 13. Forum der von der GDD mitherausgegebenen RDV stand unter dem Leitthema „Tele-Datenschutz in der Praxis“. Nach der Begrüßung durch Herrn Prof. Peter Gola (Schriftleitung RDV) stand das Programm der Vormittagsveranstaltung ganz im Zeichen von Teledienste- und Telekommunikationsdatenschutz. Herr Stefan Engel-Flechsig (Regierungsdirektor, Referat Multimedia - Rechtliche Rahmenbedingungen, Bundesministerium für Bildung, Wissenschaft, Forschung und Technologie) führte in die datenschutzrechtlichen Vorschriften des neuen Informations- und Kommunikationsdienste-Gesetzes (IuKDG) ein. Er verdeutlichte dabei u.a. die gesetzgeberische Intention des Artikelgesetzes, dessen systematische Einordnung und den Geltungsbereich. Überdies ging Herr Engel-Flechsig auf einzelne Regelungstatbestände und insbesondere auch auf die allgemeinen Grundsätze des IuKDG ein. Zusammenfassend erklärte der Regierungsdirektor, durch das IuKDG würden neue Wege beschritten, die der Entwicklung im Bereich der neuen Informations- und Kommunikationstechnologien Rechnung tragen würden.

Im Anschluß hieran stellte Herr Helmut Schadow (Regierungsdirektor, Referatsleiter Zentralabteilung Datenschutz, Bundesministerium für Post- und Telekommunikation) die Zielsetzung, den Inhalt und den Anwendungsbereich der Telekommunikationsdienstunternehmen-Datenschutzverordnung (TDSV) dar. Hierbei wurden aktuelle Fragestellungen zum Telekommunikationsdienstleistungsbereich berücksichtigt und einer Subsumtion unter die einschlägigen Regelungen des TDSV zugeführt. Herr Schadow schloß seinen Vortrag mit der Feststellung, daß die Bundesregierung aufgrund gesetzlicher Vorgabe aufgefordert bleibe, schon bald eine neue bereichsspezifische Datenschutzverordnung für den Telekommunikationssektor mit Zustimmung des Bundesrates zu erlassen. Überdies sei die Richtlinie des Europäischen Parlaments über den Schutz der Privatsphäre im Bereich der Telekommunikation in die Novellierung mit einzubeziehen.

Die Vormittagsveranstaltung schloß mit dem Referat von Herrn Rechtsanwalt Thomas Müthlein, Vorstandsmitglied der GDD, zum Thema „Neue Techniken - neue Medien - neue Verpflichtungen für den Datenschutz? - Bewertung der Gesetzesinitiativen durch die GDD e.V.“. Der Referent stellte fest, daß der Bundesgesetzgeber den durch die technische Entwicklung im Multimediabereich entstandenen Handlungsbedarf erkannt habe und nunmehr durch bereichsspezifische Neuregelungen reagiere. Nachfolgend verdeutlichte Herr Müthlein die Standpunkte und Ziele der GDD im Zusammenhang mit den verschiedenen Gesetzesinitiativen. Eine „Überfrachtung“ des BDSG durch Neuregelungen sei zu vermeiden. Das Gesetz müsse handhabbar bleiben. Darauf sei auch bei der Einarbeitung der EU-Datenschutzrichtlinie, welche auch bei der anstehenden Überarbeitung der TDSV zu berücksichtigen sei, zu achten. Des weiteren plädierte der Referent im Namen der GDD für die Aufrechterhaltung einer strengen Trennung des privatwirtschaftlichen Bereichs von dem öffentlichen Bereich auch bei Neuregelungen. Der Vortrag schloß mit der zusammenfassenden Feststellung, daß einigen der neuen Ansätze bei Bewährung durchaus Modellcharakter zukommen könne.

 

Zu Beginn der Nachmittagsveranstaltung standen die Themen „Telearbeit“ bzw. „Teleheimarbeit“ im Mittelpunkt. Sie wurden von den Referenten aus unterschiedlichen Blickwinkeln heraus abgehandelt. Während Herr Dipl.-Ing. Hans-Ulrich List (Geschäftsführer TA-Telearbeit, Gesellschaft für innovative Arbeitsformen mbH) auf die Chancen und Möglichkeiten der Telearbeit für Unternehmen einging, beleuchtete Herr Heiko Kern (Berater Datenschutz und Technologiepolitik der Deutschen Postgewerkschaft) das Thema Datenschutz bei Teleheimarbeit aus Arbeitnehmersicht.

Herr List stellte in seinem Vortrag zunächst aktuelle Anwendererfahrungen dar. Dabei wurden verschiedene Modelle von Telearbeit unter Berücksichtigung der organisatorischen und technischen Gestaltung vorgestellt. Wirtschaftliche und qualitative Vorteile der Telearbeit wurden ebenso erörtert, wie deren Potentiale.

Herr Kern stellte Gefahren und Chancen der Telearbeit vornehmlich aus Arbeitnehmersicht dar. Neben arbeitsrechtlichen Problemstellungen ging er auch auf verfassungs- und datenschutzrechtliche Problematiken ein. Nach diesem Problemaufriß stellte der Referent die von der Deutschen Postgewerkschaft (DPG) für den Abschluß eines Tarifvertrages zur Pilotierung alternierender Teleheimarbeit entwickelten Grundprinzipien vor. Zusammenfassend stellte Herr Kern fest, daß Telearbeit auf Arbeitnehmerseite ein breites Interesse finde und der begonnene Entwicklungsprozeß vorangebracht werden solle.

Als nächster Redner gab Herr Dietrich Boewer (Vorsitzender Richter am Landesarbeitsgericht Düsseldorf) Einblicke in die Konsequenzen, die die BAG-Entscheidung vom 30.08.1995 im Hinblick auf den Umgang mit Telefondaten und die Leistungsüberwachung am Telefonarbeitsplatz hat. Der Beschluß des Bundesgerichts hatte eine Betriebsvereinbarung zum Gegenstand, welche es dem Arbeitgeber erlaubt, externe Telefongespräche der Arbeitnehmer in deren Gegenwart zu Ausbildungszwecken mitzuhören. Das Gericht bestätigte die rechtliche Zulässigkeit der Betriebsvereinbarung und damit auch die grundsätzliche Zulässigkeit des Einsatzes von ACD-Telefonanlagen. Im konkreten Fall erlaubt die Betriebsvereinbarung jedoch nur das Mithören während der Probezeit. Ob darüber hinaus jedes Mithören eines geschäftlichen Telefonats mit Kenntnis und in Gegenwart des betroffenen Arbeitnehmer zulässig ist, ließ das Gericht offen.

Im Anschluß an Herrn Boewer referierte Herr Harald Eul (Leiter Datenschutz, Citicorp Deutschland AG) zum Thema Telebanking. Er zeigte detailliert die Risiken für Bank und Nutzer auf und präsentierte vielfältige Lösungsmöglichkeiten für die einzelnen Problemfelder. Die Ausweitung des PC-Banking sei, so der Referent, für die Kreditwirtschaft die nächste Herausforderung. Datenschutz sei der Schlüssel zum Erfolg, wenn es darum gehe, die Akzeptanz des Bankkunden für neue Vertriebswege zu gewinnen.

Das 13. RDV-Forum endete mit einem Vortrag von Herrn Prof. Dr. Peter Glotz (Universität München, Kommunikationswissenschaftler und Publizist, ehemaliger Bundesgeschäftsführer der SPD) zum Thema „Informationsgesellschaft 2000 (Chancen und Risiken)“. Der Vortrag des Referenten verband die rapide Entwicklung im Medien- und Kommunikationsbereich mit der gleichzeitig sich vollziehenden Wandlung gesellschaftlicher Strukturen. Prof. Dr. Glotz sieht die Politik aufgerufen, Potentiale der Innovationen freizulegen. Er befürwortete eine liberale und dezentrale Kommunikationspolitik, wies aber gleichzeitig auf die Notwendigkeit von Regulierungen hin. Schließlich appellierte der Referent an einen selbstverantwortlichen Umgang mit den technischen Neuerungen. 

21. DAFTA und 15. + 14. RDV-Forum

Rückblick auf die 21. DAFTA am 20. und 21. November 1997 in Köln “Neue Technologien - Neuer Datenschutz“

Im Mittelpunkt der 21. Datenschutzfachtagung der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) am 20. und 21. November 1997 in Köln standen die neuen Datenschutzregelungen im Bereich Multimedia sowie die Novellierung des Bundesdatenschutzgesetzes auf Grundlage der EG-Datenschutzrichtlinie.

Der Vorstandsvorsitzende der GDD, Bernd Hentschel, betonte bei der Eröffnung der 21. DAFTA den dringenden Handlungsbedarf des Gesetzgebers im Hinblick auf die Novellierung des Bundesdatenschutzgesetzes (BDSG) auf Grundlage der EG-Datenschutzrichtlinie. Mitte Oktober 1998 laufe die von der EU vorgegebene dreijährige Umsetzungsfrist ab, ohne daß bisher den Fachverbänden und der Wirtschaft ein Novellierungsentwurf vorgelegt worden sei. Die Wirtschaft müsse sich, so Hentschel, möglichst bald mit dem Regierungsentwurf auseinandersetzen können, um ihre Handlungsfähigkeit und Selbstkontrolle in Fragen des Datenschutzes zu wahren. Der GDD-Vorstands-vorsitzende forderte den Gesetzgeber aus aktuellem Anlaß auf, im Rahmen der Novellierung auch gleich die Kompetenzen der Datenschutzbeauftragten bzgl. der Kontrolle der Mitarbeitervertretung zu klären. Er bezog sich dabei auf eine Entscheidung des Bundesarbeitsgerichts vom 11. November 1997, in der eine lückenhafte Datenschutzgesetzgebung festgestellt und den betrieblichen Datenschutzbeauftragten ein Kontrollrecht gegenüber dem Betriebsrat abgesprochen worden war. Vor diesem Hintergrund forderte Hentschel die Einbettung des Betriebsrats in den Selbstkontrollmechanismus des Unternehmens, um im Tätigkeitsfeld der Mitarbeitervertretungen datenschutzfreie Zonen zu vermeiden. Mit Blick auf die Multimediagesetzgebung appellierte er an die Datenschutzveranwortlichen, die neuen Regelungen auf ihre praktische Handhabbarkeit und etwaigen Nachbesserungsbedarf zu überprüfen.

„Multimedia möglich machen - Ziele und Regelungsschwerpunkte des neuen Multimediarechts“

Der zuständige Abteilungsleiter im Bundesministerium für Bildung, Wissenschaft, Forschung und Technologie, Dr. Klaus Rupf, erläuterte die Ziele und Regelungsschwerpunkte des im August 1997 in Kraft getretenen Informations- und Kommunikationsdienstegesetzes (IuKDG), das die Rahmenbedingungen für Informations- und Kommunikationsdienste regelt. Er betonte, daß die Wirtschaftsförderung ein Hauptziel des IuKDG sei. Rechtsetzung sei als Instrument der Marktöffnung und Innovationsförderung eingesetzt worden mit dem Ziel, Grundsätze und Maßstäbe zu schaffen, die Rechts- und Planungssicherheit für Unternehmen ermöglichten. Um „Multimedia möglich zu machen“, habe der Gesetzgeber das Gesetz schlank gehalten. Man habe den dynamischen Wandel, der noch lange nicht abgeschlossen sei, nicht durch gesetzliche Regelungen behindern wollen. Vielmehr habe man behindernde rechtliche Regelungen im Wege der Deregulierung abgeschafft. Es seien allerdings bestimmte Neuregelungen zum Schutz der Nutzer und nicht zuletzt im Sinne der Wirtschaft zwingend notwendige gewesen. Ohne Regelungen zum Schutz der Nutzer, so der Referent, ließe sich auch keine Akzeptanz für neue Multimedia-Dienste erreichen, wobei dies sich wiederum negativ auf das Wirtschaftswachstum in dem betreffenden Bereich auswirken würde.

Dr. Rupf erläuterte, daß der Gesamtbereich der Informations- und Kommunikationsdienste in Übereinstimmung mit den Ländern in drei Bereiche zerlegt worden sei. Der erste Bereich betreffe die Teledienste und sei vom Bund geregelt worden. Die sogenannten Mediendienste seien im Mediendienste-Staatsvertrag der Länder geregelt. Der Rundfunkbereich sei von den Ländern im Rundfunkstaatsvertrag geregelt worden. Die Kernpunkte der Gesetzeswerke, so der Referent, seien allerdings wort- bzw. inhaltsgleich.

Das IuKDG beinhalte neues Recht im wesentlichen nur in den Artikeln 1-3. Ansonsten seien weitgehend nur Anpassungen bestehenden Rechts erfolgt. Unter das IuKDG fielen Dienste, die auf individuelle Nutzung ausgerichtet seien, insbesondere Online-Dienste. Dem Mediendienste-Staatsvertrag der Länder unterfielen hingegen an die Allgemeinheit gerichtete Dienste mit überwiegend meinungsbildendem Charakter.

Als einen besonders wesentlichen Punkt, der ein Hauptziel des Gesetzgebers betreffe, nannte Dr. Rupf die in Artikel 1 IuKDG geregelte Zugangsfreiheit. Sie ermögliche den Unternehmen einen zulassungs- und anmeldefreien Zugang und sei ein Beispiel für die Deregulierungsbestrebungen des Gesetzgebers. Inzwischen sei auch die Verantwortlichkeit von Dienste-Anbietern eingeschränkt worden. Es sei nunmehr gesetzlich festgelegt, daß der Diensteanbieter nur für eigene Inhalte und für fremde Inhalte nur im Rahmen der Zumutbarkeit verantwortlich sei. Hierdurch sei insbesondere die Frage der strafrechtlichen Verantwortlichkeit des sogenannten ACCESS-Providers geklärt.

Wegen der Gefahren durch fortschreitende Technologie und Vernetzung und mit Blick auf die bestehenden EU-Vorgaben seien Neuregelungen im Bereich des Datenschutzes erforderlich gewesen. Der Benutzer müsse darüber informiert werden, welche Daten erhoben werden. Für Zweckänderungen beim Umgang mit den Daten sei die Zustimmung des Betroffenen erforderlich. Diese könne jedoch nunmehr elektronisch erteilt werden. Im übrigen dürften nur Vertragsdaten erhoben und gespeichert werden, Nutzungsdaten seien zur Vermeidung von Datenspuren umgehend zu löschen. Weiterhin sei in Umsetzung der entsprechenden EG-Richtlinie das geistige Eigentum bei Datenbanken unter Schutz gestellt worden.

Im Hinblick auf die „Digitale Signatur“ (Artikel 3 IuKDG) sei wichtig, daß es gelungen sei, Regelungen zu schaffen, die es ermöglichten, Zertifizierungsstellen auf privater Basis zu errichten. Dies zeige, daß man möglichst viel Marktwirtschaft in das System habe einbringen wollen. Auch die Digitale Signatur sei ein Novum und stelle lediglich ein Angebot an den Nutzer dar. Der Gesetzgeber hege die Hoffnung, daß das System der Digitalen Signatur sich als sicher im Rechts- und Geschäftsverkehr erweisen werde. Dies müsse jedoch eine Erprobungsphase noch zeigen.

Zum Abschluß seines Vortrags gab Dr. Rupf einen Ausblick auf das weitere Verfahren. Er stellte fest, daß dem IuKDG Vorbildfunktion im internationalen Bereich zukommen könne. Allerdings stehe dem IuKDG die eigentliche Bewährungsprobe noch bevor. Man habe in dynamische Entwicklungen und teilweise in Neuland hinein reguliert. Dies könne man nur tun, wenn man offen sei für Streichungen, Änderungen und Nachbesserungen. Aus gutem Grund habe der Bundestag der Bundesregierung aufgegeben, die neuen Gesetze sehr sorgfältig zu evaluieren. Innerhalb der Evaluierungsfrist von 2 Jahre seien auch die Vertreter der Wirtschaft aufgerufen, ihre Anregungen und Kritik einzubringen. Man habe allerdings die Hoffnung, daß ein Fundament für neue unternehmerische Aktivitäten geschaffen worden sei. Deutschland müsse im Multimediabereich mit vorangehen und hierfür solle auch und insbesondere das IuKDG die Grundlage sein.

„Die neuen Datenschutzregelungen aus Sicht des Bundesbeauftragten“

Der Bundesbeauftragte für den Datenschutz, Dr. Joachim Jacob, stimmte mit Dr. Rupf darin überein, daß der feste Wille der Politik, den Weg in die Informationsgesellschaft zu ebnen, mit den Multimediagesetzen deutlich werde. Mit dem gesetzten Rahmen könnten sowohl Wirtschaft als auch Nutzer zufrieden sein. Gerade die Bestimmungen zum Datenschutz, so Dr. Jacob, seien gelungen. Sie gingen sogar über das hinaus, was Datenschutz-Gesetzge-bung allgemein sicherzustellen habe. Die Gebote der Zweckbindung, Datensparsamkeit und Transparenz seien wesentlich für das Vertrauen zwischen dem Nutzer und dem Anbieter und bedeuteten eine Grundlage für wirtschaftlichen Erfolg. Dr. Jacob räumte jedoch ein, daß die jetzt getroffenen Regelungen noch nicht „das letzte Wort“ sein könnten und Änderungen weiterhin möglich seien.

Im Hinblick auf die Novellierung des BDSG plädierte der Bundesbeauftragte für eine fristgerechte Umsetzung der EG-Datenschutzrichtlinie bei gleichzeitiger Modernisierung des Datenschutzrechts. Den veränderten rechtlichen, technischen und sozialen Entwicklungen sei es angemessen, über den Regelungsrahmen der Richtlinie hinaus zu gehen. In diesem Zusammenhang führte Dr. Jacob mehrere Ergänzungswünsche an. Diese betrafen beispielsweise Regelungen zum Videoeinsatz und zur Chipkartenverwendung. Auch die Möglichkeit eines Datenschutz-Audits sollte seiner Auffassung nach in die Novellierung einbezogen werden. Neuregelungen der vorgenannten Art könnten zwar mit Rücksicht auf die drängende Zeit teilweise zurückgestellt werden, sie sollten aber schon jetzt möglichst umfangreich Berücksichtigung finden.

„Stand der Novellierung des Bundesdatenschutzgesetzes“

Die für den Datenschutz zuständige Referatsleiterin im Bundesinnenministerium, Dr. Martina Weber, verdeutlichte das Bemühen ihres Hauses, die Novellierung des BDSG noch fristgerecht zu bewerkstelligen. Insbesondere die kurze Umsetzungsfrist von drei Jahren und die unterschiedlichen Interessenlagen der beteiligten Gremien hätten es bis dato nicht möglich gemacht, einen offiziellen Entwurf an die Öffentlichkeit zu tragen. Frau Dr. Weber skizzierte im einzelnen die grundlegenden Differenzen, welche die Gesetzesnovelle begleiten. Der Deutsche Bundestag habe dem Innenministerium die Marschroute vorgegeben, die Richtlinie möglichst schlank umzusetzen und sich bei Neuregelungen auf das Notwendigste zu beschränken. Innerhalb der Bundesregierung gäbe es allerdings auch Strömungen dahingehend, daß über die Vorgaben der EG-Richtlinie hinausgegangen werden solle. Angestrebt werde dabei eine weitgehende Überarbeitung des deutschen Datenschutzrechts. Zu einer solchen Novelle sei das Innenministerium jedoch bislang nicht bereit gewesen.

Trotz des verbleibenden Diskussionsbedarfs gehe man von seiten des Innenministeriums davon aus, noch im Dezember 1997 den Ländern und Verbänden einem offiziellen Entwurf zur Stellungnahme vorlegen zu können. 

 

RDV-Foren am 13. Mai und am 19. November 1997 in Köln 

15. RDV-Forum

Begleitend zur DAFTA fand am 19. November 1997 das 15. RDV-Forum im Kölner Maternushaus statt.

Das Eröffnungsreferat von Heinz Lanfermann (Staatssekretär im Bundesministerium der Justiz) beschäftigte sich mit den „Rahmenbedingungen einer liberalen Informationsgesellschaft“. Der Referent veranschaulichte die zunehmende Bedeutung von Telekommunikationsdiensten, Medien- und Telediensten für die Gesellschaft. Liberal dürfe sich aus der Sicht des Datenschutzes nur eine Informationsgesellschaft nennen, die alles in ihrer Macht stehende tue, um den größtmöglichen Grundrechtschutz im Bereich der informationellen Selbstbestimmung und des Fernmeldegeheimnisses zu gewährleisten, wobei dies zugleich in Einklang mit dem freien Fluß der Informationen gebracht werden müsse. Vor diesem Hintergrund attestierte der Referent Bund und Ländern hinsichtlich der Schaffung des Telekommunikationsgesetzes (TKG), des Teledienstedatenschutzgesetzes (TDDSG) und des Mediendienste-Staatsvertrages einen bemerkenswerten Erfolg.

Hermann R. Neus (Unternehmensbeauftragter Telekommunikation und Medien, IBM Deutschland Informationssysteme GmbH) betrachtete die neuen Regelungswerke aus einem anderen Blickwinkel, indem er die Frage „Informations- und Kommunikationsdienstegesetz und Telekommunikationsgesetz - Quo vadis?“ aufwarf. Der Referent stellte damit kritisch die Frage nach einer richtigen Weichenstellung für die Informationsgesellschaft. Bisherige Entwicklungen im nationalen und internationalen Bereich zeigten, daß sich das Internet schneller entwickele als der nationale Gesetzgeber.

Neben den sog. „Tele-Gesetzen“ stand die Datenschutzkontrolle im Mittelpunkt des 15. RDV-Forums.

Dr. Thomas Giesen (Sächsischer Datenschutzbeauftragte) untersuchte die Rechtsstellung, Aufgaben und Befugnisse der Datenschutzkontrollstellen nach Art. 28 der EG-Datenschutzrichtlinie. Hans-Hermann Schild (Vorsitzender Richter am Verwaltungsgericht Wiesbaden) widmete sich dem internen Datenschutzbeauftragten und dessen neuen Aufgaben in Betrieb und Verwaltung nach Umsetzung der EG-Datenschutzrichtlinie. Prof. Peter Gola (RDV-Schriftleitung, Vorstandsmitglied der GDD) referierte zum Verhältnis zwischen Datenschutzbeauftragtem und Betriebs- bzw. Personalrat. Dabei ging er speziell auf die gegenseitige Kontrolle und die Pflicht zur gegenseitigen Kooperation ein.

Oliver Merkle, Datenschutzbeauftragter der deutschen Telekom AG, beschäftigte sich mit dem Thema „ Datenschutzkontrolle bei Telearbeit: Probleme der Datenschutzkontrolle bei ausgelagerter DV“. Prof. Douwe Korff (international data protection consultant) behandelte die Datenschutzkontrolle im EG-Vergleich.

Abschließend referierte Prof. Dr. Dr. h.c. Spiros Simitis (J.W. Goethe-Universität, Frankfurt) zum grenzüberschreitenden Datenverkehr in und aus Europa unter Berücksichtigung der Vorgaben der EG-Datenschutzrichtlinie. 

14. RDV-Forum

Im Dezember 1996 war vom Bundeskabinett der Entwurf eines Informations- und Kommunikationsdienstegesetzes (IuKDG) verabschiedet worden. Ein Inkrafttreten des Gesetzes war bereits für Juli 1997 in Aussicht genommen worden. Angesichts dieser raschen Entwicklung veranstaltete die GDD am 13. Mai 1997 im Maternushaus in Köln das 14. RDV-Forum, um insbesondere die Auswirkungen der vorgesehenen Regelungen auf Unternehmen transparent zu machen.

Regierungsdirektor Stefan Engel-Flechsig, zuständig für das Referat „Multimedia-Gesetzgebung“ im federführenden Bundesministerium für Bildung, Wissenschaft, Forschung und Technologie (BMBF), erläuterte die mit dem IuKDG verfolgte Regelungsintention und gab einen Überblick über die vorgesehenen datenschutzrechtlichen Vorschriften. Gerade im Bereich von Telediensten sei die Kundenakzeptanz wesentlich von dem Umgang mit personenbezogenen Daten abhängig. Das Teledienstedatenschutzgesetz (TDDSG) treffe im Sinne des Selbstbestimmungsrechts der Nutzer wichtige Regelungen zur Unterrichtung und zur Beauskunftung. Auch ein sachgerechter Umgang mit Bestands-, Nutzungs- und Abrechnungsdaten sei zu gewährleisten, wobei insbesondere der Gefahr der Erstellung von personenbezogenen Nutzungsprofilen vorgebeugt werden müsse. Entsprechend dem im TDDSG niedergelegten „Grundsatz des System-datenschutzes“ seien Diensteanbieter im Rahmen des Möglichen und Zumutbaren dazu verpflichtet, den Nutzern anonymes und pseudonymes Handeln zu ermöglichen.

Prof. Dr. Alexander Roßnagel (Lehrstuhl für öffentliches Recht an der Universität Kassel und wissenschaftlicher Leiter der „Projektgruppe verfassungsverträgliche Technikgestaltung - Provet“) erläuterte die Regelungen des Entwurfs eines Signaturgesetzes (SigG) als Grundlage für den elektronischen Rechtsverkehr. Der Referent begrüßte den Gesetzentwurf vor dem Hintergrund der Notwendigkeit von Rechtssicherheit in diesem Bereich. Andererseits bewertete Prof. Dr. Roßnagel den Entwurf als unnötig restriktiv hinsichtlich der vorgesehenen Zertifizierungsstruktur. Daneben sei das vorgesehene Verfahren zu rigide und die Akzeptanz digitaler Signaturen werde wegen des Fehlens einer spezifischen Haftungsregelung für Dienstleistungen der Zertifizierungsstelle gefährdet. Schließlich sei das mit dem Gesetzentwurf verfolgte Konzept insoweit bedenklich, als es in Ermangelung einer technischen Koordination eine Vielzahl technischer Lösungen und somit eine Zersplitterung des Marktes zulasse, was in der Anfangsphase den wirtschaftlichen Betrieb von Zertifizierungsstellen erschweren könne.

Thomas Königshofen (Datenschutzbeauftragter und Fachbereichsleiter Datensicherheit und Datenschutz bei der Deutschen Telekom AG) referierte zum Thema „Neue Datenschutzregelungen für die Betreiber von Telekommunikationsanlagen durch TKG/TDSV“. Nach Auffassung des Referenten ist mit der Liberalisierung des deutschen Telekommunikationsmarktes keinesfalls eine Deregulierung dieses Sektors verbunden. Vielmehr sei auch hinsichtlich der Bereiche Fernmeldegeheimnis, Datenschutz, Sicherheit und Mitwirkungspflichten bei staatlichen Aufgaben mit dem Telekommunikationsgesetz (TKG) eine vergleichsweise hohe Regelungsdichte erreicht, welche durch die noch zu schaffende Rechtsverordnung in diesem Bereich möglicherweise noch verstärkt werde. Die mit den vorgesehenen Regelungen verbundenen Kostenfolgen für Telekommunikationsdienstleister seien gegebenenfalls nochmals kritisch zu überprüfen. Jedenfalls sei eine Harmonisierung auf internationaler Ebene zu fordern.

Abschließend beschäftigte sich Dr. Joachim Rieß, zuständig für Rechtsfragen aus den Bereichen Datenschutz und IV-Sicherheit bei der debis Systemhaus GmbH, mit den Auswirkungen der neuen Regelungen auf Betriebe und Institutionen. Im Anschluß an eine nähere Eingrenzung des Adressatenkreises des IuKDG zeigte der Referent detailliert den aus den Regelungen folgenden Handlungsbedarf bei Telediensteanbietern auf.

22. DAFTA und 17. RDV-Forum

Rückblick auf die 22. DAFTA am 19. und 20. November 1998 in Köln „Datenschutz in der Globalisierung“

Unter dem Leitthema „Datenschutz in der Globalisierung“ fand am 19. und 20. November 1998 die 22. Datenschutzfachtagung der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) in Köln statt. Neben den an ein zeitgemäßes deutsches Datenschutzrecht zu stellenden Anforderungen gehörte unter anderem auch der internationale Datenschutz zu den Themenschwerpunkten. Die Fachtagung verdeutlichte insbesondere die Notwendigkeit einer Modernisierung der nationalen Datenschutzregelungen, die geltende Rechtslage bis zur vollzogenen Umsetzung der EG-Daten-schutzrichtlinie und die Voraussetzungen für einen richtlinienkonformen Datentransfer in Drittländer. Des weiteren wurde die zum 1. Januar 1998 eingerichtete Regulierungsbehörde für Telekommunikation und Post einschließlich ihrer Zuständigkeiten und Aufgaben im Bereich von Datenschutz und Datensicherheit vorgestellt.

Fortentwicklung des Datenschutzes

Der Vorstandsvorsitzende der GDD, Bernd Hentschel, betonte anläßlich seiner Eröffnungsrede, daß der durch das deutsche Datenschutzrecht gewährleistete Schutz des Persönlichkeitsrechts an neue Informationstechnologien sowie an wirtschaftliche Entwicklungen anzupassen sei.

Bei der anstehenden Novellierung solle das Bundesdatenschutzgesetz (BDSG) wieder zum „Grund-gesetz“ des deutschen Datenschutzrechts werden. Herbeizuführen sei eine Vereinfachung und Verschlankung der gesetzlichen Regelungen, wobei bereichsspezifische Vorschriften hinsichtlich ihrer Begrifflichkeiten und Regelungsansätze zu vereinheitlichen seien. Der im bereichsspezifischen Datenschutz zum Teil entstandene „Wildwuchs“ müsse aus Gründen der Rechtseinheitlichkeit und Rechtssicherheit zurückgeschnitten werden. Der Datenschutz sollte, so Hentschel, auch der fortlaufenden technologischen Entwicklung Rechnung tragen. Darüber hinaus seien Anpassungen im Datenschutzrecht auch aufgrund von wirtschaftlichen Entwicklungen angezeigt. Tendenzen zum Outsourcing, Insourcing und die Globalisierung bedürften einer datenschutzrechtlichen Beantwortung. Eine Entbürokratisierung könne dabei erreicht werden, wenn die Zulässigkeit des Datentransfers innerhalb verbundener Gesellschaften an einer besonderen Regelung, etwa einer Konzernklausel, gemessen werde.

Der GDD-Vorstandsvorsitzende betonte, daß der innerbetrieblichen Selbstkontrolle weiterhin Vorrang vor externer Staatskontrolle zukommen müsse. Dazu sei es erforderlich, daß die Stellung des betrieblichen Datenschutzbeauftragten mit der vom Bundesarbeitsgericht (BAG) als fehlend festgestellten und von der EG-Datenschutzrichtlinie geforderten Unabhängigkeit ausgestattet werde. Bei der Einbindung des Datenschutzrechts in ein auf längere Sicht geplantes Informationsgesetzbuch unter gleichzeitiger Regelung von Informationszugangsrechten sei deutlich zwischen freiheitsverpflichtetem Staat und freiheitsberechtigter Gesellschaft, d. h. zwischen öffentlicher und privater Hand zu differenzieren. Wirtschaft und Verwaltung seien aber in gleicher Weise gefordert, die Rechte des Betroffenen zu wahren.

Novellierung des BDSG gescheitert?

Der Bundesbeauftragte für den Datenschutz, Dr. Joachim Jacob, verdeutlichte anläßlich der 22. DAFTA, daß die Bundesrepublik Deutschland am 24. Oktober 1998 die dreijährige Frist zur Umsetzung der Europäischen Datenschutzrichtlinie versäumt und damit das Umsetzungsziel verfehlt habe. Da die Kommission als Hüterin der Verträge keine Zweifel daran lasse, gegen säumige Mitgliedstaaten relativ zügig Vertragsverletzungsverfahren einzuleiten, werde, wenn Deutschland nicht schnellstmöglich seinen Gemeinschaftsverpflichtungen nachkomme, ein Scheitern der Novellierung zu bejahen sein und als wenig erfreuliches Kapitel in die Geschichte des deutschen Datenschutzes eingehen.

Der Bundesbeauftragte äußerte sich kritisch zu den bisherigen gesetzgeberischen Umsetzungsversuchen. Neben verschiedenen Einzelheiten sei an dem Entwurf des Bundesinnenministeriums insbesondere zu beanstanden gewesen, daß er neue Problemfelder des Datenschutzes unberücksichtigt gelassen habe, obwohl beispielsweise im Hinblick auf Videoaufzeichnungen im nicht-öffentlichen Bereich, die Verwendung von Chipkarten, den Arbeitnehmerdatenschutz und die an Auskunfteien und Direktmarketingunternehmen zu stellenden Anforderungen eine rechtliche Klärung erforderlich sei. Die von verschiedenen Seiten geäußerte Forderung nach einer umfassenden Anpassung der Regelungen des BDSG an die heutige Informationstechnologie und an die Verhältnisse der modernen Informationsgesellschaft habe in dem Entwurf keinen Niederschlag gefunden, und auch Gespräche im Frühjahr 1998 hätten den Unterschied zwischen einem minimalistischen und einem auf Modernisierung ausgerichteten Reformansatz nur noch verdeutlicht. Das bisherige Datenschutzrecht könne allerdings nicht länger ausreichen, so Dr. Jacob, um das Recht auf informationelle Selbstbestimmung in Zukunft zu schützen und zu wahren. Notwendig sei ein neuer Datenschutz für die moderne Informationswelt.

Der Bundesbeauftragte machte darauf aufmerksam, daß die Richtlinie seit dem verpaßten Stichtag gleichwohl Auswirkungen habe. Der Europäische Gerichtshof (EuGH) habe mit dem Institut der Direktwirkung der Untätigkeit der Mitgliedstaaten entgegengewirkt und die Nichtumsetzung von Richtlinien sanktioniert. Aus dem EG-Vertrag sei herzuleiten, daß die Mitgliedstaaten den Eintritt ihrer Verpflichtungen nicht verzögern und aus ihrem vertragswidrigen Verhalten keine Vorteile ziehen könnten. Voraussetzung für eine sogenannte vorgreifende Direktwirkung sei zum einen, daß der einzelne sich auf ein in der Richtlinie ihm gegenüber hinreichend bestimmtes und unbedingt eingeräumtes Recht berufen könne, die Vorschrift mithin „self-executing“ sei. Zum anderen müsse dieses Recht im vertikalen Verhältnis des Bürgers gegenüber dem Staat gegeben sein. Auf horizontaler Ebene im Verhältnis zwischen den Bürgern entfalte die Richtlinie jedoch keine Wirkung. Eine Reihe von Regelungen der EG-Datenschutzrichtlinie erfüllten die Voraussetzungen direkter Wirkung. So gehe die Richtlinie beispielsweise von einem umfassenden Verarbeitungs- und Dateibegriff aus. Die Rechte des Einzelnen könnten daher nunmehr auch im Rahmen dieses erweiterten Anwendungsbereichs geltend gemacht werden. Außerdem sei an die Informations- und Widerspruchsrechte nach Art. 10, 11 und 14 zu erinnern. Weiterhin sei das grundsätzliche Verarbeitungsverbot sogenannter sensitiver Daten zu beachten mit der Folge, daß die Erlaubnistatbestände des BDSG teilweise keine Anwendung mehr fänden.

Im Rahmen seiner Ausführungen zum internationalen Datenschutz erläuterte Dr. Jacob die Rechtslage zum grenzüberschreitenden Datenverkehr. Durch die EG-Datenschutzrichtlinie werde ein informations- und datenschutzrechtlicher Binnenmarkt geschaffen, der die Datenübermittlung in Drittländer grundsätzlich untersage, wenn dort kein angemessenes Schutzniveau herrsche. Jedoch könnten die Mitgliedstaaten die Datenübermittlungen in solche Länder dann genehmigen, wenn die für die Datenverarbeitung Verantwortlichen ausreichende Garantien für den Schutz der Privat-sphäre, der Grundrechte und der Grundfreiheiten der betroffenen Personen bieten würden. Solche Garantien sollen sich insbesondere durch entsprechende Vertragsklauseln im Rahmen der Gestaltung der Rechtsbeziehungen mit dem für die Datenverarbeitung im Drittland Verantwortlichen ergeben können. Transferiert werden dürften die Daten in Drittländer darüber hinaus unter anderem auch dann, wenn die betroffene Person ihre Einwilligung gegeben habe oder die Datenübermittlungen aufgrund eines Vertrages zwischen den betroffenen Personen und der datenverarbeitenden Stelle erfolge. Diese Rechtslage habe heftige Reaktionen in den betroffenen Staaten, insbesondere in den USA hervorgerufen. Die amerikanische Seite lehne gesetzliche Regelungen - jedenfalls in der in Deutsch-land bekannten herkömmlichen Form allgemeiner Datenschutzgesetze - ab, da derartige Regelungen dem common law systemfremd seien. Man setze in den USA vielmehr auf Selbstregulierung der betroffenen Wirtschaftskreise. Zwischen der Europäischen Union und den USA werde zur Zeit darüber verhandelt, mit welchen inhaltlichen Grundsätzen und verfahrensrechtlichen Durchsetzungsmechanismen Selbstregulierung auf dem Gebiet des Datenschutzes zu einem angemessenen Datenschutzniveau führen könne.

Datenschutz und Datensicherheit in der Telekommunikation - Aufgaben der Regulierungsbehörde

Der Präsident der Regulierungsbehörde für Telekommunikation und Post, Klaus-Dieter Scheurle, stellte die Bundesoberbehörde einschließlich ihrer Zuständigkeiten und Aufgaben in Angelegenheiten des Datenschutzes und der Datensicherheit vor. Als maßgebliche Rechtsgrundlagen rief Scheurle den   § 85 TKG für das Fernmeldegeheimnis und den      § 89 TKG als Grundlage der bereichsspezifischen Datenschutzverordnung TDSV in Erinnerung. Einzelbestimmungen würden teilweise in Lizenzauflagen getroffen. Subsidiär gelte schließlich das BDSG. In § 91 TKG seien der Regulierungsbehörde für den gesamten 11. Teil des TKG Kontroll- und Sanktionsbefugnisse eingeräumt worden, die von Auskunftsrechten bis hin zur Betriebsuntersagung reichten. Man habe allerdings bisher sehr behutsam von diesen Befugnissen Gebrauch gemacht. Speziell im Bereich des Datenschutzes sei außerdem eine Kontrollkompetenz des Bundesbeauftragten für den Datenschutz gesetzlich geregelt worden. Zwischen dem Bundesbeauftragten und der Regulierungsbehörde finde eine regelmäßige Koordinierung - auch zur Vermeidung unnötiger Doppelbelastungen bei den Unternehmen - statt. Zu den Tätigkeiten der Regulierungsbehörde gehöre die Beantwortung von Verbraucheranfragen aus dem Bereich Fernmeldegeheimnis und Datenschutz. Darüber hinaus gehe man aber auch Beschwerden nach, um gegebenenfalls für die Herstellung eines rechtmäßigen Zustandes zu sorgen. Thematisch gehe es beispielsweise um die Beachtung von Widersprüchen gegen die Verwendung von Bestandsdaten zu Werbezwecken, die Gestaltung von Einzelverbindungsnachweisen und Kundenverzeichnisse auf CD-ROM. Im Hinblick auf die technischen Schutzmaßnahmen nach § 87 TKG machte Scheurle auf den in seinem Hause erstellten Katalog der Sicherheitsanforderungen aufmerksam. Der Katalog, der auf dem aktuellen Stand der Sicherheitstechnik gehalten werde, solle unter anderem den Unternehmen als Hilfestellung für die Erstellung eines Sicherheitskonzeptes dienen. Die Genehmigungstätigkeit der Regulierungsbehörde hinsichtlich der technischen Gestaltung der Einrichtungen zur Überwachung nach § 88 TKG konzentriere sich in erster Linie auf lizenzpflichtige Netze mit Sprachvermittlung. Die nachfolgenden Ausführungen des Präsidenten der Regulierungsbehörde enthielten den für viele Unternehmen wichtigen Hinweis, daß man hinsichtlich anderer Netze - wegen der noch nicht abgeschlossenen Diskussion um Ausnahmeregelungen - eine Implementierung von Überwachungstechnik derzeit nicht forciere. Scheurle erläuterte weiterhin den zukünftigen Ablauf des Verfahrens zur automatisierten Rufnummernauskunft für die Sicherheitsbehörden (§ 90 TKG), bei dem die Regulierungsbehörde als Mittler die Anfragen der Sicherheitsbehörden durch einen automatisierten Zugriff auf Kundendateien der Diensteanbieter beantworten soll. Abschließend verdeutlichte der Präsident der Regulierungsbehörde die Zuständigkeiten seines Hauses als „zuständige Behörde“ im Sinne des Signaturgesetzes (SigG) und der Signaturverordnung (SigV). Als sogenannte „Wurzelinstanz“ bzw. „Root“ sei die Regulierungsbehörde zuständig für die Erteilung von Genehmigungen zum Betrieb einer Zertifizierungsstelle, die Ausstellung von Signaturschlüssel-Zertifikaten sowie die Überwachung der Einhaltung des Signaturgesetzes und der Signaturverordnung.

Die erste Genehmigung zum Betrieb einer gesetzeskonformen Zertifizierungsstelle werde voraussichtlich bereits im ersten Quartal 1999 erteilt werden.

 

17. RDV-Forum am 18. November 1998 in Köln

Im Vorfeld der DAFTA fand am 18.11.1998 das 16. RDV-Forum unter dem Leitthema „Brennpunkt Arbeitnehmerdatenschutz" im Kölner Maternushaus statt.

In ihrem Eröffnungsreferat stellte Frau Renate Hornung-Draus von der Bundesvereinigung der Deutschen Arbeitgeberverbände die von der International Labor Organisation (ILO) erarbeiteten Verhaltensregeln zum Schutz personenbezogener Arbeitnehmerdaten vor. Die Referentin wies eingangs drauf hin, daß die Verhaltensregeln rechtlich nicht verbindlich seien. Allerdings könnten sie nach ihrer Zweckbestimmung als Grundlage für die Ausarbeitung von verbindlichen Rechtsvorschriften dienen. Der Anwendungsbereich der Verhaltensregeln betreffe Stellenbewerber und Arbeitnehmer sowie die manuelle und automatisierte Verarbeitung aller personenbezogenen Arbeitnehmerdaten. Frau Hornung-Draus ging detailliert auf die Gliederung, die Begriffsbestimmungen und die inhaltlichen Grundsätze des ILO-Papiers ein. Der Verarbeitungsbegriff sei sehr weit gefaßt und der Arbeitgeber habe in Bezug auf den Zweckbindungsgrundsatz sicherzustellen, daß eine vom Erhebungszweck abweichende Verarbeitung jedenfalls dann nicht erfolge, wenn dies mit dem ursprünglichen Zweck unvereinbar sei. Aus Gründen der Transparenz sei nach den Verhaltensregeln eine heimliche Überwachung von Arbeitnehmern ausgeschlossen. Neben individuellen Rechten der Arbeitnehmer seien auch kollektive Rechte geregelt. Dabei gehe es in erster Linie um sogenannte Informations- und Konsultationsrechte der Arbeitnehmervertretungen. Auf die ausdrückliche Erwähnung von Mitbestimmungsrechten habe man mit Blick auf den globalen Wirkungskreis der ILO und den Umstand, daß derartige Rechte in vielen Ländern nicht existent seien, bewußt verzichtet. Die Referentin schloß mit dem Fazit, daß zahlreiche Aspekte des ILO-Papiers sachgerecht und teilweise auch im einzelstaatlichen Recht verankert seien. Andererseits sei aus Arbeitgebersicht eine zum Teil ungerechtfertigte Bürokratie zu kritisieren. Im übrigen sei noch ungewiß, ob und ggf. wann aus dem Verhaltenskodex der ILO verbindliche Rechtsnormen entstehen könnten.

Nach der eher arbeitgeberorientierten Sichtweise seiner Vorrednerin referierte Herr Lothar Schröder, Leiter der Abteilung Technologie im Hauptvorstand der Deutschen Postgewerkschaft, zu den gewerkschaftlichen Vorstellungen für ein Arbeitnehmerdatenschutzgesetz. Der Referent wies auf die wachsenden Gefahren für die Persönlichkeitsrechte der Arbeitnehmer im Zuge der Technologieentwicklung und des Auftretens neuer Arbeitsformen hin und vertrat die Auffassung, daß die bestehenden unspezifischen gesetzlichen Bestimmungen zum Datenschutz nicht ausreichten, um dem Recht der Beschäftigten auf informationelle Selbstbestimmung angemessen Rechnung zu tragen. Vor dem Hintergrund der bereits seit einigen Jahren im Raum stehenden Forderungen nach einem Arbeitnehmerdatenschutzgesetz skizzierte der Referent die von der IG Medien und der Deutschen Postgewerkschaft unter wissenschaftlicher Mitwirkung entwickelten Gestaltungsanforderungen an eine entsprechende Gesetzesinitiative. Persönlichkeitsrechtsgefährdungen von Arbeitnehmern träten bei der Einstellung besonders stark zu Tage. Entsprechend seien hier besondere Regelungen zum Persönlichkeitsrechtsschutz erforderlich. Ebenso seien die individuellen Rechte der Beschäftigten während der Dauer des Arbeitsverhältnisses zu verbessern. Wegen seiner herausragenden Vertrauensstellung beim Schutz von Arbeitnehmerdaten sei die Stellung des betrieblichen Datenschutzbeauftragten zu stärken. Auch kollektive Rechte seien zu verbessern und zu modernisieren. Schließlich müsse es auch darum gehen, einen überbetrieblichen Schutz für Arbeitnehmerdaten zu schaffen, da sich die Arbeitnehmerdatenverarbeitung auch zunehmend vom Stammbetrieb löse.

Karin Post-Ortmann, Referentin für Personaldatenschutz bei der Deutschen Telekom AG, widmete sich in ihrem Referat „Der Arbeitgeber als Anbieter von Telekommunikations- und Telediensten" dem Datenschutz bei moderner Kommunikation im Arbeitsverhältnis. Dabei ging die Referentin auf die Anwendbarkeit und das Zusammenspiel der Vorschriften des TKG, des TDDSG und des BDSG ein. Betriebsvereinbarungen könnten als vorrangige Rechtsvorschriften nach § 4 BDSG in sinnvoller Weise zur Lösung von Interessenkonflikten zwischen Arbeitgeber- und Arbeitnehmerinteressen bei der Verarbeitung personenbezogener Arbeitnehmerdaten beitragen.

Prof. Dr. Rainer Gerling, Datenschutzbeauftragter der Max-Planck-Gesellschaft, verdeutlichte anschließend, wie eine Betriebsvereinbarung zum betrieblichen Einsatz von Internet und E-Mail in der Praxis ausgestaltet werden kann. Der Referent ging unter anderem der Frage nach, was der Arbeitgeber über die Nutzung der Dienste protokollieren darf. Im Hinblick auf die anfallenden Datenspuren, die Protokollierung in der Firma, die rechtlichen Rahmenbedingungen, die Geheimschutzvorschriften und die Netzstrukturen der Firma bestünden aus Transparenzgründen Aufklärungspflichten gegenüber dem Beschäftigten. Hinsichtlich der Nutzung von E-Mail habe der Arbeitgeber einen Anspruch auf Herausgabe, soweit es sich um dienstliche E-Mail handele.

Im Anschluß referierte Bruno Schierbaum, Beratungsstelle für Technologiefolgen und Qualifizierung, über die Regelung der Telefonüberwachung in Call-Centern durch Betriebsvereinbarungen.

In seinem mit Spannung erwarteten Referat erläuterte Herr Dr. Friedhelm Rost, Richter am Bundesarbeitsgericht, die Entscheidungsgründe des ersten Senats zum fehlenden Kontrollrecht des Datenschutzbeauftragten in Bezug auf den Betriebsrat. Angesichts einer fehlenden gesetzlichen Regelung zum Verhältnis Datenschutzbeauftragter/Betriebs-rat und in Anbetracht der Tatsache, daß der Datenschutzbeauftragte aufgrund seiner Stellung letztlich der Arbeitgeberseite zuzurechnen sei, seien dem Senat bei seiner Entscheidung gewissermaßen die Hände gebunden gewesen. Mit der Unabhängigkeit der Betriebsräte vom Arbeitgeber sei die Kontrolle durch einen Beauftragten des Arbeitgebers nach derzeitiger Gesetzeslage als unvereinbar zu qualifizieren gewesen. Eine Änderung der Rechtslage könne sich ggf. aus einer gestärkten Rechtsstellung des Datenschutzbeauftragten ergeben. In diesem Zusammenhang führte der Bundesrichter insbesondere eine mitbestimmte Bestellung, eigene Antrags- und Weisungsrechte sowie eine erweiterte Verschwiegenheitspflicht des Datenschutzbeauftragten ins Feld. Die anschließende Diskussion verdeutlichte u. a. schwerwiegende Haftungsprobleme für den Fall, daß aus der Datenverarbeitung des Betriebsrats schwerwiegende Persönlichkeitsrechtsverletzungen resultieren.

Vor dem Hintergrund des zuvor erläuterten BAG-Beschlusses und mit Blick auf die Notwendigkeit, bei den Betriebsräten datenschutzfreie Zonen zu vermeiden, stellte Herr Karl-Hermann Böker, Böker-Beratung für arbeitnehmerorientierte Bildungs- und Beratungsarbeit, anhand eines Praxisbeispiels den Aufbau einer Datenschutzorganisation bei der Mitarbeitervertretung vor.

Zum Abschluß des 16. RDV-Forums referierte Herr Prof. Dr. Wolfgang Däubler von der Universität Bremen über den grenzüberschreitenden Austausch von Mitarbeiterdaten im Konzern. Dabei vertrat der Referent die Auffassung, daß ein datenschutzgerechtes Vertragswerk zwischen dem deutschen Arbeitgeber und dem ausländischen Unternehmen in Verbindung mit einer dazugehörigen Betriebsvereinbarung die Übermittlung von personenbezogenen Arbeitnehmerdaten ins Ausland rechtfertigen könne.

23. DAFTA und 18. RDV-Forum

23. DAFTA am 18. und 19. November 1999 in Köln

Unter dem Leitthema „Interessengerechter Datenschutz“ ging die 23. Datenschutzfachtagung der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) am 18. und 19. November 1999 in Köln der Frage nach, ob und inwieweit die von der Bundesregierung beabsichtigten Novellierungsschritte den Interessen der am Datenschutz Beteiligten ge­recht werden. Die Veranstaltung informierte über den aktuellen Novellierungsstand, zeigte die zu er­wartenden Konsequenzen für die Praxis auf und er­möglichte einen Ausblick auf die zweite Phase der BDSG-Novelle.

Der Vorstandsvorsitzende der GDD, Bernd Hentschel, betonte anlässlich der Eröffnung der 23. DAFTA die Schlüsselrolle des bewährten Prinzips der betrieblichen Selbstkontrolle bei der Schaf­­fung eines ausgewogenen Ausgleichs zwischen den Schutzinteressen der Betroffenen und dem Informations- und Datenverarbeitungsbedürfnis der verantwortlichen Stellen. Dieser Schlüsselrolle Rechnung tragend habe die GDD in ihrer Stellungnahme zu dem Referentenentwurf des Bundesministeriums des Innern vom Juli 1999 die Auf­fassung vertreten, dass ein gesetzlich geregeltes Datenschutzaudit nur insoweit sinnvoll sei, als das Selbstkontrollprinzip hierdurch nicht beeinträchtigt werde. Das Prinzip der Datenvermeidung und der Datensparsamkeit, das eine entsprechende Ge­stal­tung der Systemstrukturen bezogen auf die Vermeidung der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zum Ziel habe, werde insbesondere in der Softwarebranche erhebliches Umdenken erfordern. Im Übrigen sollten der Gesetzgeber und die öffentliche Verwaltung das Prinzip in erster Linie gegen sich wirken lassen, u.a. um die vielfältigen Speicher-, Dokumentations- und Übermittlungspflichten im Personal- und Abrechnungsbereich auf ein verträgliches Maß zurückzuführen. In diesem Zusammenhang kritisierte Hentschel auch gesetzgeberische Bestrebungen mit dem Steuerbereinigungsgesetz 1999 und Ergänzungsnormen der Abgabenordnung, ein Zugriffsrecht der Finanzverwaltung auf DV-gestützte Buchführungssysteme von Unternehmen einzuführen. Derartige Zugriffs- und Nutzungsrechte eröffneten dem Fiskus zusätzliche „trap doors“, die eine neue Orwell`sche Dimension bedeuten könnten.

Die GDD habe sich in ihrer Stellungnahme zu dem Referentenentwurf vom Juli 1999 für eine zügige Umsetzung der Vorgaben der EG-Daten­schutz­richt­linie unter angemessener Berücksichtigung von Kostengesichtspunkten eingesetzt. Erfreulicherweise sei insbesondere die Kritik an unverhältnismäßig kostenbelastenden Regelungen vom Bundesinnenministerium aufgegriffen worden.

Die Novellierung des BDSG - Umsetzung der EG-Datenschutzrichtlinie und Modernisierung des Datenschutzrechts

Ministerialrätin Dr. Martina Weber, Referatsleiterin Datenschutz im Bundesministerium des Innern, ging davon aus, dass die EU-Kommission in abseh­barer Zeit ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland aufgrund der bis­lang unterbliebenen Umsetzung der EG-Richt­linie einleiten wird. Das als innovative Neuregelung vor­gesehene gesetzliche Datenschutzaudit bedürfe eines Ausführungsgesetzes, das die Einzelheiten des Auditverfahrens regele. Das Bundesministerium des Innern sei bereits mit einem derartigen Ausführungsgesetz befasst, so dass in diesem Bereich in absehbarer Zeit Rechtssicherheit geschaffen werden könne. Der aktuelle Referentenentwurf sehe nunmehr auch dem Wortlaut nach eine völlige Unabhängigkeit der Aufsichtsbehörden vor, die nur der Rechtsaufsicht der Landesregierung oder der Obersten Landesbehörde unterliegen sollen. Seitens des Innenministeriums sei man sich durchaus darüber im Klaren, dass diese Lösung ggf. im Rahmen des Vermittlungsverfahrens im Bundesrat auf Kritik der Länder stoßen könnte.

Aufgrund der Stellungnahmen der Verbände zu dem Referentenentwurf (Stand: 6. Juli 1999) seien verschiedene Regelungen, die aus Sicht der Wirtschaft zu übermäßiger Bürokratie und Kostenbelastung führten, überarbeitet und korrigiert worden. Die Bundesregierung sei nunmehr übereingekommen, die Informationspflicht der Werbetreibenden über die Herkunft der Daten wegen vorhandener Praktikabilitätsprobleme und zusätzlicher Kosten zu streichen. Überdies sei die Kritik im Hinblick auf die notwendigen Datenübermittlungen zwischen Banken und Kreditauskunfteien aufgegriffen worden. Auch die von Wirtschaftskreisen angegangene Regelung zur Unterrichtungs- und Kennzeichnungspflicht im Fall der Inanspruchnahme von Ausnahmen von der Benachrichtigung sei modifiziert worden. Der Gesetzentwurf beschränke sich nunmehr auf das Erfordernis einer bloßen Dokumentation der Voraussetzungen, die zu einem Absehen von der Benachrichtigung führen. Weiterhin habe die Bundesregierung in Abweichung von dem Entwurfsstand Juli 1999 im Wesentlichen eine Beibehaltung der in § 35 BDSG statuierten Löschungspflichten vorgesehen. Lediglich die Regelspeicherfrist solle von bisher fünf auf vier Jahre verkürzt werden. Schwierigkeiten bereite allerdings noch die Neugestaltung des Medienprivilegs, wozu derzeit noch Gespräche auf höherer politischer Ebene mit Interessenvertretern der Medien geführt würden. Nicht aufgegriffen habe man die Kritik der Wirtschaft an dem weiten Begriff der nicht-automatisierten Datei, der zu einer vermehrten Einbeziehung von Akten in den Geltungsbereich des BDSG im nicht-öffentlichen Bereich führe.

Die Bundesregierung beabsichtige Anfang Dezember 1999 Jahres, das Bundeskabinett mit dem Gesetzentwurf zu befassen..

Abschließend gab die Referentin einen Ausblick auf die zweite Stufe der BDSG-Novelle. Die Kriterien für die beabsichtigte Generalrevision und die damit verbundene Vereinfachung und Modernisierung der gesamten Datenschutzgesetzgebung sollten aller Voraussicht nach von einer ressortübergreifenden Arbeitsgruppe entwickelt werden. Die Arbeiten sollten noch in dieser Legislaturperiode be­gon­nen und möglichst auch abgeschlossen werden. In Anlehnung an das „Eckwerte-Papier“ der SPD-Frak­tion führte die Referentin insbesondere einige in Betracht kommenden Punkte zur Verschlankung des Bundesdatenschutzgesetzes aus.

Das Zwei-Stufen-Modell der BDSG-Novellierung: Bleibt die Modernisierung des Datenschutzes auf der Strecke?

Prof. Dr. Dr. h. c. Spiros Simitis, Forschungsstelle für Datenschutz, Johann Wolfgang Goethe-Uni­ver­si­tät, Frankfurt, sprach sich eingangs seines Referats ausdrücklich für eine richtlinienkonforme Umsetzung auch und insbesondere im Hinblick auf den Dateibegriff, die Zweckbindung und die völlige Un­abhängigkeit der Kontrollstellen aus. Die Richt­linie gestatte es nicht, das bereits vorhandene Datenschutzniveau in den Einzelstaaten zu verschlech­­tern. Sie sei vielmehr ein Instrument zur Anhebung und ständigen Verbesserung des Datenschutzes. Hieraus resultierende Uneinheitlichkeiten der Datenschutzstandards in den einzelnen Mitgliedstaaten nehme die Richtlinie zu Gunsten eines verbesserten Datenschutzes in Kauf. Angesichts des bestehenden Zeitdrucks gebe es keine Alternative zu dem vorgesehenen Zwei-Stufen-Modell. Die in der Gesetzesbegründung niedergelegte Absicht, noch in dieser Legislaturperiode die zweite Phase zu vollenden, zwinge dazu, bereits jetzt mit der Erarbeitung eines neuen Datenschutzrechts zu beginnen. Im Rahmen der zweiten Phase dürfe man sich nicht nur auf eine Bereinigung des Datenschutzrechts beschränken. Die erste Aufgabe der zweiten Phase bestehe in einer Neustrukturierung gefolgt von einer Fortschreibung und Weiterentwicklung des Datenschutzes. Nachdem der bereichsspezifische Datenschutz sich in der Vergangenheit weitgehend verselbständigt habe, gelte es nunmehr, diesen konsistent mit den zentralen Grund­sätzen zum Datenschutz auszugestalten. Die zentralen Grundsätze zur Zulässigkeit der Datenverarbeitung - der Zweckbindungsgrundsatz und der Grundsatz der Datensparsamkeit beispielsweise - seien im allgemeinen Teil des BDSG zu regeln und müssten in die bereichsspezifischen Teile ausstrahlen. Auch die wesentlichen Grundsätze des Arbeitnehmerdatenschutzes und die damit einhergehende Rechtsstellung des betrieblichen Datenschutzbeauftragten sollten möglichst im allgemeinen Teil des BDSG verankert werden. Im Anschluss an den allgemeinen Teil gelte es klare Definitionen zu implementieren, die mit der Richtlinie kompatibel seien. Im Übrigen müsse aus Gründen der Nach­vollziehbarkeit für Anwender und Betroffene sparsam mit Regelungen umgegangen werden, und auch die mangelnde Lesbarkeit des jetzigen Entwurfs sei nach Möglichkeit zu beheben. Der Referent wies abschließend darauf hin, dass ein wirksamer Datenschutz in einer globalisierenden Informationsgesellschaft nur durch ein Ineinandergreifen von normativen Vorgaben und datenschutz­freundlichen Technologieansätzen zu bewerkstelligen sei.

Die Novellierung des BDSG in zwei Phasen - Bewertung und Ausblick

Ausgehend von den Regelungsansätzen der EG-Daten­schutzrichtlinie stellte der Bundesbeauftragte für den Datenschutz, Dr. Joachim Jacob, anlässlich der 23. DAFTA fest, dass die nicht-fristgerechte Umsetzung der EG-Datenschutz­richtlinie auch eine positive Seite habe. So sei es beispielsweise möglich gewesen, über die reine Richtlinienvorgabe hinaus, wichtige innovative Neuregelungen wie beispielsweise zum Datenschutzaudit, zur Videoüberwachung oder zum Chipkarteneinsatz aufzunehmen. Auch die Aufnahme des Grundsatzes der Datenvermeidung und Datensparsamkeit, der sich auf der Ebene von Technikgestaltung bereits auf den Erhebungsprozess auswirke, sei aufgrund einer damit verbundenen Initialzündung positiv zu bewerten. Anerkennenswert sei auch die Zielsetzung, noch im Laufe dieser Legislaturperiode eine umfassende Neukonzeption des Bundesdatenschutzgesetzes zu verabschieden. Zur Erreichung eines praktikableren Datenschutzrechts sei das BDSG zu verschlanken und lesbarer zu formulieren. Dane­ben bedürfe es einer Abhängigkeit der bereichsspezifischen Regelungen von der Begrifflichkeit des BDSG; bereichsspezifische Regelungen seien auf ein notwendiges Maß zu reduzieren. Weitere Zielsetzungen beträfen die materielle Stärkung der Befugnisse der Aufsichtsbehörden und langfristig eine weitere Vereinheitlichung der Regelungen für den öffentlichen und den nicht-öffentlichen Bereich. Daneben gelte es, den technischen Datenschutz durch eine Neukonzeption des § 9 und Anlage zeitgemäß auszugestalten und den Selbstschutz etwa durch die digitale Signatur und Verschlüsselungssoftware zu fördern. Auch eine Regelung der elektronischen Einwilligung sei ein wichtiger Einzelaspekt. Die Auftragsdatenverarbeitung im Bereich von Berufs- oder besonderen Amtsgeheimnissen stelle unter dem Gesichtspunkt des Abbaus recht­licher Hindernisse unter gleichzeitiger Sicherung des besonderen Schutzes eine weitere Heraus­forderung dar. Mit Regelungen zum Arbeitnehmerdatenschutz gelte es der Herausforderung der Informations- und Kommunikationsgesellschaft auf dem Gebiet des Arbeitsrechts zu begegnen. Weiterhin ermutige die Richtlinie zur Selbstregulierung - beispielsweise durch Codes of Conduct - und auch der Förderung von datenschutzfreundlicher Software komme eine zunehmend wichtige Bedeutung zu.

 

18. RDV-Forum am 17. November 1999 in Köln

Im Vorfeld der DAFTA fand am 17. November 1999 das 18. RDV-Forum unter dem Leitthema „Der Bürger im Data-Warehouse“ im Kölner Maternushaus statt. Zentrales Thema der Veranstaltung war der Datenschutz im Zusammenhang mit der werblichen Nutzung von Kundendaten.

In seinem Eröffnungsreferat „Data Mining und Data Warehousing: Kundendaten als Ware oder geschütztes Gut?“ erläuterte Dr. Bruno Baeriswyl (Datenschutzbeauftragter des Kantons Zürich) zunächst die mit der Thematik zusammenhängenden Begrifflichkeiten und Prozesse. Im Anschluss daran ging er auf das Spannungsverhältnis ein, das sich aus den teilweise durchaus unterschiedlichen Interessenlagen von Unternehmen und betroffenen Kunden ergibt. Der Referent vertrat die Auffassung, dass sich die mit dem Konzept des Data Mining und Data Warehousing einhergehenden Gefahren für die Privatsphäre der Betroffenen nur schwer­lich durch die Gesetzgebung eingrenzen lassen. Die Anonymisierung sei ein Lösungsansatz, der allerdings im Spannungsfeld zu One to One Marketing-Strategien stehe. Der Kunde müsse die Möglichkeit haben, darüber zu entscheiden, inwieweit er seine Privatsphäre für eine bestimmte geschäftliche Transaktion aufgeben wolle. In diesem Zusammenhang obliege es den Unternehmen, sich auf einen entsprechenden Datenschutzstandard zu verpflichten.

Rechtsanwalt Dietmar Wolff (Zentralverband der Deutschen Werbewirtschaft, RDV-Schriftleitung) referierte zum Thema „Datenschutz und Abwehransprüche gegenüber unerwünschter Werbung“. Der Referent gab einen Überblick über die bisherige Rechtsprechung u.a. zu Telefon-, Telefax-, E‑Mail- und Briefwerbung. Abschließend stellte er fest, dass die werberechtliche Situation in den Mitgliedstaaten der Europäischen Union bislang noch sehr unterschiedlich sei; die Verabschiedung der sogenannten Fernabsatzrichtlinie und der ISDN-Richtlinie seien allerdings erste Schritte zur Rechtsangleichung.

Prof. Peter Gola (Vorstandsmitglied der GDD e.V., RDV-Schriftleitung) thematisierte in seinem Referat den bereichsspezifischen Datenschutz gegenüber Werbung und ging hierbei insbesondere auf aktuelle gesetzgeberische Entwicklungen ein. U.a. wurden dabei die einschlägigen Vorschriften des Telekommunikationsgesetzes (TKG), des Teledienstedatenschutzgesetzes (TDDSG) und des Mediendienste-Staatsvertrages (MDSTV) behandelt. Des Weiteren verdeutlichte der Referent, dass das sogenannte Sozialdatengeheimnis und auch berufsbedingte Schweigepflichten der Verarbeitung oder Nutzung von Kundendaten im Wege stehen können. Auch Einwilligungsklauseln in „allgemeinen Geschäftsbedingungen“ hielten zum Teil einer Wirksamkeitsüberprüfung nach dem AGB-Gesetz nicht stand.

Im Anschluss an das nachfolgende Referat von Dr. Hartwig Graf von Westerholt (Rechtsanwalt, Kanzlei Boesebeck Droste, Frankfurt am Main) über „Life-Style-Daten, Konsumentenbefragung und Einwilligung“ referierte Eckart Menzler-Trott (Unternehmensberater für Call-Center, Freising) über „Call-Center und Datenschutz“. Der Referent verdeutlichte die zentrale Rolle der Auftragsdatenverarbeitung nach § 11 BDSG im Zusammenhang mit der Beauftragung externer Call-Center und ging in diesem Zusammenhang auch auf die besonderen Voraussetzungen bei externen Call-Centern von Banken ein. Weitere Ausführungen betrafen die rechtliche Zulässigkeit bzw. Unzulässigkeit der Telefonwerbung. In seinem Fazit rief der Referent zur Beachtung des Grundsatzes der Datensparsamkeit auf. Persönliche Daten sollten tunlichst vermieden, verschlüsselt oder anonymisiert werden. Aus Betroffenensicht sei es unter Umständen sinnvoll der Erhebung, Speicherung, Verarbeitung oder Nutzung von persönlichen Daten zu widersprechen.

In seinem Abschlussreferat berichtete Dr. Ulrich Sandl (Regierungsdirektor im Bundesministerium für Wirtschaft und Technologie) über die Zielsetzungen der Bundesregierung im Zusammenhang mit der Sicherheit in der Informationsgesellschaft.