46. DAFTA und das 41. RDV - Forum - wir freuen uns auf spannende Themen und natürlich auf Sie!

Themen:

• Aktuelle Entwicklungen im Datenschutz
• Die EU-Datenstrategie oder Europäische Datenstrategie - Rechtsakte und ihre Auswirkungen auf Datenschutz und Datenschutzaufsicht
• Vertrauen und digitale Signaturen: Die unbekannten IT-Sicherheitsstrukturen des Web
• Gesetzeskonforme Webseiten-Datenschutzerklärung - zwischen Anspruch, Theorie und Praxis
• Auskunftsrecht, Schadenersatz
• IT-Produkte aus Sicht der Aufsichtsbehörde - von der Kritik zur Warnung
• Entwicklung der Kommunen im Bereich Digitalisierung
• "Spezialforum" (nur online): Gesundheitsdatenschutz - Digitalisierung um jeden Preis?​

Das Programm finden Sie unter u.s. Link und hier als Direktdownload. 

Zur Anmeldung

Das Programm der 45. Datenschutzfachtagung (DAFTA) und des 40. RDV-Forums 2021 ist veröffentlicht (siehe externer Link). 

Stand 30.08.2021: Das RDV-Forum und die DAFTA werden dieses Jahr ausschließlich online stattfinden. 

Fortbildungsveranstaltung gem. Art. 38 Abs. 2 DS-GVO/§§ 5, 6, 38 BDSG

>> Das PDF-Programm können Sie hier downloaden

Erfahrungsaustausch von betrieblichen und behördlichen Datenschutzbeauftragten mit den Repräsentanten von Gesetzgebung und Verwaltung führt nicht nur in jedem Jahr zu konstruktiven und fruchtbaren Diskussionen, sondern auch zu einer Fortentwicklung des Datenschutzbewusstseins in den Betrieben, der Verwaltung und der Öffentlichkeit. Die DAFTA bietet neben Plenumsvorträgen und Podiumsdiskussionen auch Fachforen und Workshops.

Die diesjährige Veranstaltung wird ausschließlich online stattfinden. 

>> Das Programm der DAFTA 2020 können Sie hier downloaden.

Erfahrungsaustausch von betrieblichen und behördlichen Datenschutzbeauftragten mit den Repräsentanten von Gesetzgebung und Verwaltung führt nicht nur in jedem Jahr zu konstruktiven und fruchtbaren Diskussionen, sondern auch zu einer Fortentwicklung des Datenschutzbewusstseins in den Betrieben, der Verwaltung und der Öffentlichkeit. Die DAFTA bietet neben Plenumsvorträgen und Podiumsdiskussionen auch Fachforen und Workshops.

Themen der Fachforen werden u.a. sein:

• Kundendatenschutz nach DS-GVO - Zurück in die Zukunft?
• IT-Sicherheit nach DS-GVO
• Datenschutz-Management System: Von der Accountability zur Zertifizierung - IDW PS 980, die DS-GVO und die Praxis?
• Änderung für den Datenschutz im öffentlichen Bereich unter der DS-GVO - Vorhaben gesetzgeberischer Ergänzungen auf Bundes- und Landesebene
• Vom BDSG zur DS-GVO: Der Umgang mit Datenpannen

35. RDV-Forum am 16.11.2016

40. DAFTA vom 17.-18.11.2016

Wir feiern unser 40. Jubiläum, feiern Sie mit und nehmen Sie teil. 

>> Details aus dem Programm entnehmen Sie bitte hier.

Erfahrungsaustausch von betrieblichen und behördlichen Datenschutzbeauftragten mit den Repräsentanten von Gesetzgebung und Verwaltung führt nicht nur in jedem Jahr zu konstruktiven und fruchtbaren Diskussionen, sondern auch zu einer Fortentwicklung des Datenschutzbewusstseins in den Betrieben, der Verwaltung und der Öffentlichkeit. Die DAFTA bietet neben Plenumsvorträgen und Podiumsdiskussionen auch Fachforen und Workshops.

34. RDV-Forum am 18.11.2015

39. DAFTA vom 19.-20.11.2015

>> Hier finden Sie das aktuelle Programm der diesjährigen DAFTA sowie auf der Startseite in den News.

Smarte Technologien hätten in den zurückliegenden Jahren in zahlreichen Alltagsbereichen Einzug gehalten, so Prof. Dr. Rolf Schwartmann, Vorstandsvorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn, anlässlich der Eröffnung der 38. Datenschutzfachtagung (DAFTA) in Köln. Exemplarisch sei hier etwa das Auto zu nennen, das sich von einem reinen Fortbewegungsmittel zu einem kleinen fahrenden Rechenzentrum gewandelt habe. Die zunehmende maschinelle „Intelligenz“ stelle hohe Anforderungen an Nutzer und Datenschützer, welche die stattfindenden Datenverarbeitungen nachvollziehen wollen.

Dr. Linda Nierling, Institut für Technikfolgenabschätzung und Systemanalyse (ITAS), Karlsruhe, beschreibt die stetig wachsende Bedeutung moderner Informations- und Kommunikationstechnik für die Arbeitswelt. Immer größere Bereiche des Denkens und Analysierens in Arbeitsprozessen würden heute durch Software abgedeckt. Diese „Automatisierung des Geistes“ beruhe vor allem auf der Tendenz, das Arbeits- und Wirtschaftsleben immer weiter zu rationalisieren. Festzustellen sei zudem, dass der moderne Arbeitnehmer als „E-Nomade“ zunehmend mobil und zeitlich entgrenzt arbeite. Infolge der Digitalisierung seien außerdem auch neue Arbeitsformen entstanden, wie das sog. Crowdworking, d.h. die Auslagerung von Wertschöpfungsaktivitäten von Unternehmen über das Internet. Bei dieser neuen Arbeitsform werden Arbeitspakete in kleine Einheiten zerlegt und über webbasierte Plattformen an Microjobber vergeben. Anwendungsbereiche seien hier z.B. Übersetzungsarbeiten, Design- und Programmieraufgaben. Diese smarte neue Arbeitswelt biete den Arbeitnehmern neue Freiheiten, indem sie ihre Arbeitstätigkeit flexibel gestalten können. Damit einher gingen allerdings auch gestiegene Anforderungen und Belastungen, z.B. durch stetig neue Qualifikationsanforderungen sowie den zunehmenden Druck, permanent erreichbar zu sein. Auch stellten sich neue gesellschaftspolitische Herausforderungen, so dass es einer globalen Regulierung von Arbeitsbedingungen und diese beeinflussende smarten Technologien bedürfe, so Nierling.

Das Thema smarte Technologien aus Sicht des Gesetzgebers beleuchtete Dr. Günter Krings, Parlamentarischer Staatssekretär im Bundesinnenministerium (BMI). Ebenso wie bei „Big Data“ handele es sich auch bei den „smarten Technologien“ um einen schillernden Begriff. Weder seien diese Techniken daher pauschal zu verurteilen noch gutzuheißen, sondern es komme entscheidend auf den konkreten Verwendungszusammenhang an. Die Möglichkeit, einen geeigneten Rechtsrahmen zu schaffen, biete aus Sicht des BMI die geplante europäische Datenschutz-Grundverordnung, wobei wichtige Instrumente insbesondere der risikobasierte Ansatz, die Stärkung des Konzepts der Pseudonymisierung und die Schaffung einer intelligenten Profiling-Regelung seien. Möglicherweise würden aber nicht alle genannten Instrumente noch vollumfänglich in der Grundverordnung implementiert, so Krings. Dafür sei der politische Druck, schnell fertig zu werden, zu hoch.

Mit dem Recht auf Vergessenwerden und dem diesbezüglichen EuGH-Urteil gegen den Suchmaschinenbetreiber Google befasste sich die ehemalige Bundesministerin der Justiz Sabine Leutheusser-Schnarrenberger. Nach dieser Entscheidung können Betroffene von Online-Inhalten nicht nur gegen den Content-Anbieter, sondern auch gegen einen Suchmaschinenbetreiber vorgehen, der lediglich die leichte Auffindbarkeit der beanstandeten Informationen ermöglicht. Nicht jede Information, selbst wenn sie richtig sei, solle für immer ohne Weiteres allgemein abrufbar bleiben, so der EuGH. Diese Entscheidung halte sie im Ausgangspunkt für richtig, so Leutheusser-Schnarrenberger. Als Mitglied des Expertenbeirates zum Recht auf Vergessen bei Google unterstütze sie die Erstellung von Empfehlungen zur Umsetzung der Gerichtsentscheidung durch das Unternehmen. Fraglich sei insbesondere, ob der Suchmaschinenbetreiber künftig selbst über entsprechende Löschungsanträge entscheide oder ob ein speziell hierfür eingerichtetes Gremium diese Aufgabe übernehmen soll.

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Andrea Voßhoff bezeichnete die DAFTA als „ein Muss“ für alle, die sich im Bereich des Datenschutzes bewegen. Ihr erstes Jahr im Amt sei erst durch den Besuch der Tagung komplett. In ihrem Vortrag widmete sie sich dem sog. „Smart Life“ als Herausforderung für die Datenschutzaufsicht. Den schillernden Begriff des Smart Life konturierte sie dahingehend, dass es sich um den Umgang mit digitalen technischen Hilfsmitteln handele, die den Alltag vereinfachen. Sie sieht die Kernaufgabe der Datenschutzaufsicht einerseits in einer flächendeckenden Beratung und Information der Betroffenen, andererseits in der Bearbeitung konkreter Bürgereingaben. Die einwilligungsbasierte Verarbeitung personenbezogener Daten könne dem Recht auf informationelle Selbstbestimmung nur dann zur Geltung verhelfen, wenn die Betroffenen ausreichend für datenschutzrechtlichen Fragen sensibilisiert sind. Für Paternalismus sei dabei kein Platz. Voßhoff wünscht sich zwischen Datenschutzaufsicht und Daten verarbeitender Wirtschaft einen Dialog auf Augenhöhe, insbesondere vor dem Hintergrund der innerkorporativen Selbstregulierung durch betriebliche Datenschutzbeauftragte. Die Datenschützer bezeichnete sie dabei als „Verfassungsschützer im besten Sinne“. Der Datenschutz sei kein Vehikel für Technikfeindlichkeit, aber der einzelne Bürger dürfe auch nicht zur „Daten-Mine“ herabgestuft werden, die nach Belieben ausgebeutet werden darf.

Die Vorträge mündeten in einer Podiumsdiskussion, welche von Prof. Dr. Joachim Jahn, Wirtschaftsredakteur der Frankfurter Allgemeinen Zeitung, moderiert wurde und an der neben den Referenten auch Herr Benjamin Rüdiger, stellv. Konzerndatenschutzbeauftragter der RWE, teilnahm. Hier wurden noch einmal die Schwierigkeiten bei der informierten Einwilligung und der Zweckbestimmung der Datenverarbeitung hervorgehoben. Die schiere Masse an Daten, die bei der Nutzung smarter Geräte anfalle, lasse sich nur dann rechtskonform verarbeiten, wenn alle Untergliederungen des Unternehmens, von der IT-Abteilung bis zum Vertrieb, entsprechend geschult und sensibilisiert sind. Gleichwohl sei der einzelne Betroffene seinerseits in der Verantwortung, seitenlange Datenschutzbestimmungen nicht einfach wegzuklicken.

Für die Menge der Daten, die wir permanent in die digitale Umlaufbahn jagen, fehle uns jegliches Vorstellungsvermögen, so Prof. Dr. Rolf Schwartmann, Vorstandsvorsitzender der GDD. Allein die NSA sammle jede Sekunde so viele Informationen wie die Stasi in 40 Jahren. Die Berücksichtigung von Menge, Komplexität und Vielfalt der Informationen sei eine Herausforderung, die man unter dem Stichwort Big Data zusammenfasse. Die Entwicklung ziele auf eine Auswertung von Daten durch Maschinen, denn der Mensch sei überfordert mit dem Umgang mit Zahlen in der Potenz hoch 18. Für den Bürger gelte es, Bewusstsein für die Gefahren zu entwickeln,  die in der Nutzung des Internets steckten. Auf Seiten der Wirtschaft sei ein verantwortungsvoller Einsatz von Internetdiensten gefragt, so Schwartmann. Der Staat schließlich habe die Aufgabe, Parameter für den Umgang mit Netzdiensten und hier insbesondere die rechtlichen Parameter abzustecken.

Zur Bedeutung des Datenschutzes für eine freiheitliche Gesellschaft äußerte sich Prof. Dr. Johannes Masing, Richter am Bundesverfassungsgericht, und warf die Frage auf, ob es nicht durchaus sinnvoll für eine Gesellschaft sei, wenn alles über den Einzelnen bekannt sei und nur die Nutzung der vorhandenen Informationen reguliert werde. Insofern wies Masing darauf hin, dass nach der Konzeption des Bundesverfassungsgerichts schon Wissen Macht sei und bereits mit dem Ansammeln von Daten Gefahren für den Betroffenen einhergingen, nämlich der Manipulierbarkeit, Erpressbarkeit sowie des Verlusts der menschlichen Würde. Freiheit bedeute die Entfaltung des Selbst in der Zeit, wozu auch die Möglichkeit gehöre sich selbst neu zu erfinden. Die Dokumentation menschlichen Verhaltens hemme aber die Selbstentfaltung. Gerade weil auch Grenzüberschreitungen zur Selbstentfaltung gehörten, sei ein „Recht auf Vergessen“ bezogen auf die Freiheit des Einzelnen essentiell. 

Festzustellen sei allerdings leider auch, dass die Rechtsordnungen den praktischen Herausforderungen des Datenschutzes vielfach hinterherliefen, so Masing weiter. Eine besondere Herausforderung für die Datenschutzverantwortlichen in den Unternehmen stelle aus seiner Sicht insofern die zunehmend globalisierte Datenverarbeitung dar, fehle es doch außerhalb der europäischen Ebene an internationalen Standards zum Datenschutz. Notwendig für einen effektiven Schutz personenbezogener Daten seien aus seiner Sicht starke internationale Aufsichtsbehörden, die einen einheitlichen Rechtsrahmen zu Grunde legten. Das Kochen „nationaler Süppchen“ halte er hingegen für kontraproduktiv.

Das Recht auf Datenschutz sei jedoch nicht absolut, fuhr Masing fort. Vielmehr müssten die unternehmerischen Interessen der datenverarbeitenden Unternehmen und das Recht des Betroffenen auf informationelle Selbstbestimmung  in einen angemessenen Ausgleich gebracht werden. Hierbei handele es sich auch um eine Gestaltungsaufgabe des Gesetzgebers, die sehr auf die unterschiedlichen Gefährdungslagen abstellen müsse. Während etwa die Datennutzung zu Werbezwecken relativ geringe Gefahren für den Betroffenen aufweise, könnte die Verwendung persönlicher Daten im Zusammenhang mit Kreditentscheidungen oder Stellenbesetzungen erhebliche Konsequenzen für diesen haben.

Als „9/11“ für den Datenschutz bezeichnete der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar die Enthüllungen im Zusammenhang mit NSA, Prism und Tempora. Niemand könne mehr von einer Nichtüberwachung ausgehen und er halte es für richtig, wenn im Zusammenhang mit den bekannt gewordenen Programmen der US-Amerikaner die Strukturen sowie das Routing im Internet überdacht würden. Da den Einzelnen entsprechende Selbstschutzmaßnahmen vielfach überforderten, habe insofern das Thema „Privacy bei Default“ besondere Bedeutung. So müsse etwa die Verschlüsselung personenbezogener Informationen durch die anbietenden Dienstleister zum Standard werden.

Zugleich machten die Entwicklungen deutlich, so Schaar weiter, dass in Zeiten internationaler Datenverarbeitungen der Territorialansatz der bisher vorhandenen Steuerungsmechanismen ins Leere laufe. Erforderlich seien internationale Abkommen, internationale Mindeststandards und gegenseitiges Verständnis für national gewachsene Datenschutzkulturen. Er sei aber skeptisch, ob dies gelingen könne. Es erscheine schwer vorstellbar, dass die USA deutsche Datenschutzprinzipien akzeptierten. Auch im Hinblick auf eine Signalwirkung in Richtung der Vereinigten Staaten halte er es für wichtig, dass eine europäische Datenschutzgrundverordnung noch in dieser Legislaturperiode des Europaparlaments verabschiedet werde.

Peter Welchering, Journalist, referierte zu den Möglichkeiten, Methoden und Risiken von Big Data-Anwendungen. Die Grundidee, auf denen Data Warehouses, Business Intelligence Anwendungen etc. basierten, sei letztlich nicht neu, sondern lasse sich vielmehr auf die Entwicklung der Rasterfahndung in den 70er Jahren zurückführen. Bei der genannten Fahndungsmethode habe man mit dem Ziel, die Gruppe der zu überprüfenden Personen zu reduzieren, Personen aus Datenbanken ausgefiltert, indem man diese nach Eigenschaften durchsucht habe, von denen man unterstellte, dass sie auch auf die gesuchten Personen zutrafen, z.B. barzahlende Stromkunden.

Auch wenn Big Data-Auswertungen an sich also keine neue Thematik seien, sei allerdings festzustellen, dass sich die Qualität derartiger Analysemöglichkeiten durchaus verändert habe. Neuerungen ergäben sich insbesondere unter folgenden Gesichtspunkten:

>>           Detailgrad der Vorhersagen

>>           größere Datenbasis

>>           erhöhte Verarbeitungsgeschwindigkeit

>>           Einbeziehung unstrukturierter Daten

>>           Summe der Verhaltenskriterien

>>           prädiktive Fehlerberechnung

Anwendungsfälle für Big Data in der Privatwirtschaft seien etwa Kreditwürdigkeitsberechnungen mittels Facebook und Twitter oder die Risikofaktorenberechnung von Lebensversicherern. Die Firma Vodafone nutze entsprechende Analyseverfahren, um herauszufinden, welche der vorhandenen Kunden potenziell unzufrieden sind und von einem Vertragswechsel abgehalten werden sollten.

Aus seiner Sicht lägen die Gefahren von Big Data-Anwendungen einerseits in der Public-Private-Partnership von Unternehmen und Behörden, anderseits im Risiko der Ausprägung einer Überwachungsgesellschaft. Auch bestehe die Gefahr, dass Analyse-Algorithmen entwickelt würden, deren Wirkungen auf die Gesellschaft nicht mehr in einem öffentlichen Diskurs reflektiert werden. Welchering betonte, dass es sehr wichtig sei, dass im Big Data-Bereich errechnete Wahrscheinlichkeitswerte nicht mit Fakten gleichgesetzt werden dürften.

Wie auch schon die Vorredner Prof. Dr. Masing und Schaar sprachen sich auch die Unternehmensvertreter in der Runde, Dr. Claus Ulmer, Deutsche Telekom AG, und Dr. Dirk Bornemann, Microsoft Deutschland GmbH, im Grundsatz für die Schaffung des geplanten neuen europäischen Rechtsrahmens für den Datenschutz aus. Die geplante Harmonisierung sei sinnvoll, erleichtere sie doch die Entwicklung internationaler Geschäftsmodelle und schaffe Rechtssicherheit. Sowohl Ulmer als auch Bornemann bestätigten zudem, dass die Enthüllungen von Edward Snowden die Kundschaft der von ihnen vertretenen Unternehmen verunsichert hätten. Viele Kunden bevorzugten eine Verarbeitung in Deutschland, so Ulmer. Begrüßt wurde prinzipiell auch die Einführung einer Mitteilungspflicht der Unternehmen bei sog. Cyberattacken. Dabei dürfe aber nicht über das Ziel hinausgeschossen werden. Es bedürfe einer klaren Festlegung, welche Vorfälle genau zu melden seien und es dürfe kein unverhältnismäßiger Arbeitsaufwand für die betroffenen Unternehmen entstehen.

Bezogen auf die Big Data-Diskussion wies Bornemann darauf hin, dass alleine die Verarbeitung großer Mengen an Informationen nicht per se brisant sein müsse. Gefährdungen für den Betroffen ergäben sich vielmehr vor allem dann, wenn Daten aus verschiedenen Kontexten zusammengeführt und damit zweckentfremdet würden.

Zu den Initiativen der Bundesregierung zur Fortentwicklung des Datenschutzes und der Datensicherheit äußerte sich Ministerialdirektor und Leiter der Verfassungs- und Verwaltungsabteilung des BMI Hans-Heinrich von Knobloch. Vorgesehen sei u.a. die Aufnahme der Absicht zur Schaffung eines IT-Sicherheitsgesetzes in den Koalitionsvertrag sowie die Verhandlung eines „No Spy“-Abkommens mit den USA. Die Aussetzung des Safe Harbor Abkommens werde abgelehnt, allerdings solle dieses überarbeitet werden.

Bei den derzeitigen Verhandlungen über den Entwurf der EU-Kommission für eine Datenschutz-Grundverordnung muss die Selbstkontrolle der Wirtschaft durch betriebliche Datenschutzbeauftragte stärker ausgebaut werden. Dies ist der Tenor der 36. Datenschutzfachtagung (DAFTA), die als größte Datenschutzkonferenz von der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) alljährlich ausgerichtet wird.

Der Verordnungsentwurf der EU-Kommission vom Januar diesen Jahres sieht vor, dass ein Datenschutzbeauftragter in der Regel erst von Unternehmen bestellt werden muss, die mehr als 250 Beschäftigte haben, während das Bundesdatenschutzgesetz derzeit eine Bestellpflicht bereits bei 10 mit der personenbezogenen Datenverarbeitung Beschäftigten vorsieht. Der betriebliche Datenschutzbeauftragte ist der Transformationsriemen des BDSG für die Implementierung des Datenschutzes im Unternehmen, so Prof. Dr. Rolf Schwartmann, neu gewählter Vorstandsvorsitzender der GDD. Der Verordnungsentwurf enthalte zu wenig Incentives für die betriebliche Selbstkontrolle. Für ein effektives und unbürokratisches Datenschutzmanagement sei es schädlich, wenn vor Inbetriebnahme eines Datenverarbeitungssystems eine Datenschutzfolgenabschätzung erst durch eine staatliche Behörde vorgenommen werden müsse.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Ulrich Lepper, sieht ebenfalls in der EU-Datenschutz-Grundverordnung einen konzeptionellen Fehler für das Datenschutzmanagement. Die Aufsichtsbehörden für den Datenschutz hätten keine ausreichenden Ressourcen, um die gesamte Wirtschaft bei der Planung der Datenverarbeitung zu prüfen. Hier sei das gegenwärtige Modell der Vorabkontrolle durch den Datenschutzbeauftragten mit Konsultationsrecht der Aufsichtsbehörde deutlich effektiver.

Dr. Rainer Stenzel, Bundeministerium des Innern, Leiter der Projektgruppe Reform des Datenschutzes in Deutschland und Europa, stellt die deutsche Position im europäischen Rat zum Entwurf einer Datenschutz-Grundverordnung dar. Er spricht sich für ein risikoorientiertes und insbesondere hinsichtlich der Verantwortlichkeiten an die Realitäten angepasstes Datenschutzrecht aus. Für die Risikobewertung sei dabei nicht nur die Anzahl der mit der Datenverarbeitung befassten Mitarbeiter relevant. Entscheidend sei vielmehr die Sensibilität der Datenverarbeitung. Dies gelte auch für die Anforderungen an die Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Dieser dürfe nicht an einer Grenze geopfert werden, nach der nur noch ein verschwindend geringer Teil der Unternehmen zur betrieblichen Selbstkontrolle verpflichtet sei. Anbieter von Applikationen müssten verpflichtet werden, diese bereits in datenschutzfreundlichen Grundeinstellungen anzubieten. Die Verantwortung dürfe in diesen Fällen nicht auf die Nutzer der Anwendungen abgewälzt werden.

Frau Gabriela Krader, LL.M., Konzerndatenschutzbeauftragte der Deutsche Post DHL, Bonn, wies darauf hin, dass durch die in dem Entwurf der Datenschutz-Grundverordnung vorgesehene Möglichkeit der Befristung der Bestellung des Datenschutzbeauftragten auf zwei Jahre die Etablierung eines kontinuierlichen und damit effektiven Datenschutzmanagements gefährdet werde.

32. DAFTA am 20. und 21. November 2008 in Köln

War Datenschutz in den Augen einiger noch vor kurzem ein „Exotenfach“, so hat er inzwischen - freilich mitbedingt durch die zuletzt ge­häuften Datenschutzskandale - Konjunktur be­kommen. Diesen Rückenwind gilt es nunmehr da­zu zu nutzen, das Datenschutzrecht in sinnvoller Weise zu modernisieren und den betrieblichen Datenschutz angemessen zu stärken. Dass es die­ser und weiterer Schritte bedarf, um in Deutschland eine zeitgemäße Informationskultur aufzubauen, war ein wesentliches Ergebnis der 32. Datenschutzfachtagung (DAFTA), die vom 20. - 21. November 2008 unter der Leitung von Prof. Peter Gola (Vorstands­vorsitzender der GDD) in Köln stattfand.

Unter dem Leitthema „Neue Informationskultur - Neuer Datenschutz“ diskutierten der erste Bundesbeauftragte für den Datenschutz, Prof. Dr. Hans-Peter Bull, und der amtierende Bundesbeauftragte, Peter Schaar, gemeinsam mit dem bis vor kurzem beim Bundesverfassungsgericht für Datenschutzfragen zuständigen Richter Prof. Dr. Wolfgang Hoffmann-Riem und dem Abteilungsleiter im Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz Dr. Christian Grugel die aktuelle Situation des Datenschutzes und seine Perspektiven.

Nach Prof. Dr. Bull wäre es wünschenswert, dass ein zukunftsträchtiges Informationsrecht nicht le­dig­lich auf rechtlichen Schlussfolgerungen, sondern stärker auf sozialethischen, kulturellen Voraussetzungen aufbaut. Prof. Dr. Hoffmann-Riem erläuterte vor diesem Hintergrund die Bedeutung datenschutzrechtlicher Vorschriften und ihre Aus­legung durch das Bundesverfassungsgericht. Neben bestimmten rechtlichen Beschränkungen bei der Verarbeitung personenbezogener Daten hielt er insbesondere auch einen effektiven Selbst­datenschutz für unentbehrlich. Auch die mit der Informationstechnik weniger vertrauten Nutzer müssten in die Lage versetzt werden, ihre Da­ten wirksam zu schützen.

Dr. Christian Grugel verdeutlichte die Position sei­nes Ministeriums zur Umsetzung der anlässlich des Datenschutzgipfels vom September 2008 beim Bundesminister des Innern gefundenen Er­geb­nisse. Ein entsprechender Referentenentwurf liege bereits vor und solle bereits Anfang Dezember vom Kabinett verabschiedet werden, damit das Gesetzgebungsverfahren noch in dieser Legislaturperiode abgeschlossen werden könne. Um die Auswirkungen auf die Werbewirtschaft so ge­ring wie möglich zu halten, werde derzeit noch ge­prüft, in welchen Fällen auf die ausdrückliche Einwilligung der Betroffenen verzichtet werden könne.

Konfrontiert mit der Meinung, dass der aktuelle Entwurf eines Datenschutzauditgesetzes keinen angemessenen Beitrag zur Schaffung einer Datenschutzkultur darstelle, vertrat der Bundesbeauftragte für den Datenschutz, Peter Schaar, die Auffassung, dass man den Rückenwind, den der Datenschutz aktuell in der Politik genieße, unbedingt jetzt nutzen sollte, auch wenn einzelne der vorgesehenen Regelungen noch nicht optimal sei­en. Im Rahmen der Diskussion wurde zum Teil allerdings eine übereilte Vorgehensweise bei der Schaffung neuer Datenschutzregelungen konstatiert.

Dass der Datenschutz zwar derzeit Konjunktur hat, es aber gerade in turbulenten Zeiten für den Datenschutz darauf ankommt, den Überblick zu bewahren und auf ausgewogene gesetzliche Regelungen zu achten, verdeutlichte ein angesichts der aktuellen Gesetzentwürfe eigens angesetztes DAFTA-Sonderforum, das von der stellvertretenden Vorstandsvorsitzenden der GDD, Dr. Astrid Breinlinger, moderiert wurde, und an dem neben dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit auch die FDP-Bun-destagsabgeordnete Gisela Piltz sowie der Präsident des Deutschen Dialogmarketing Verbandes, Dieter Weng, teilnahmen.

In ihrem Schlusswort zur DAFTA, das nachfolgend in seinem Wortlaut wiedergeben wird, mahnte Dr. Breinlinger ein besonnenes und von Sachverstand geleitetes Vorgehen der Politik auf dem Weg zu einem neuen Datenschutzrecht an. Nicht alles an dem bis­herigen Datenschutzrecht sei veraltet und unbrauchbar. Ferner sei darauf zu achten, dass die Notwendigkeit der Stärkung der betrieblichen Da­tenschutzkontrolle nicht wieder ins Hintertreffen gerate.

“Sehr geehrte Damen und Herren, das Motto der diesjährigen DAFTA hieß ‚Neue Informationskultur - Neuer Datenschutz’.

Wahrscheinlich sind wir uns einig: Wir haben we­der das eine noch das andere. Bestenfalls sind wir auf dem Weg dahin und versuchen mühsam, uns zu orientieren.

Was wollen wir haben? Einen wehrhaften Datenschutz? Ja sicher, angesichts verschärfter Sicherheitsgesetze brauchen wir den Datenschutz als Verteidigung unserer Grundrechte nicht nur auf informationelle Selbstbestimmung, sondern auch der weitest möglichen Freiheit von Überwachung, der Möglichkeit unverstellter echter Selbstdarstellung und des Vertrauens darauf, dass diese Möglichkeiten erhalten bleiben.

Datenschutz schützt tatsächlich sowohl die individuelle persönliche Freiheit in vielen Ausprägungen wie auch die entsprechende gesellschaftliche Verfasstheit, in der sowohl Individuelles als auch Kollektives seinen Platz hat, Privatsphäre und Kom­mu­nikation. Hier haben uns die Beiträge von Prof. Bull und Prof. Hoffmann-Riem wesentliche
- wenn auch sicher nicht immer leicht verdauli-
che - Erkenntnisse gebracht.

Eine neue Informationskultur schenkt uns niemand, wir müssen sie wohl selbst schaffen; am ehesten dürfte sie sich jedoch aus dem tatsächlichen Leben und den Wünschen und Ansprüchen der Menschen herausbilden, mit allen Schwierigkeiten, die aus der Unterschiedlichkeit neben- und miteinander lebender Kulturen entstehen - ich denke hier an politische und regionale Unterschiede genauso wie an den Unterschied Jung gegenüber Alt. So betrachtet könnte es noch ein langer Weg sein.

Den Datenschutz gibt es höchstens in der Vorstellungswelt einer kleinen Gruppe von Menschen. Von daher bin ich eher misstrauisch, wenn in Um­fragen das Vertrauen in den Datenschutz abgefragt wird. In den steigenden Prozentzahlen derer, die kein Vertrauen in den Datenschutz haben, kommt die allgemeine Unsicherheit in krisenhaften Zeiten mindestens ebenso zum Ausdruck wie Ohnmachtsgefühle gegenüber der immer unbeherrschbarer werdenden und allgegenwärtigen Technik.

Wir brauchen eine neue Informationskultur, vor allem aber wirksame Maßnahmen, wenn wir eindämmen wollen, was immer mehr um sich greift: Kostenrisiko-Analyse gesetzwidrigen Handelns statt Befolgung geltenden Rechts, Datenschutz zum Billigtarif, aber eben auch populistisches For­dern von zunächst gut aussehenden Gesetzesänderungen, die vor allem den Vorteil haben, dass sie keine öffentlichen Gelder kosten – zumindest nicht sofort –, statt konsequenter Verfolgung von Gesetzesverstößen und angemessener Ausstattung der Aufsichtsinstanzen.

Und dann - oder auch parallel - können wir an das Nächste auf dem Weg zur neuen Informationskultur denken: Ein Datenschutzrecht, das
- ne­ben den weiterhin gültigen - neue Antworten ent­hält auf neue Technologien und auf sich aus ihrer Anwendung ergebende Risiken sowie die zunehmende globale Vernetzung.

Nicht alles an unserem Datenschutzrecht ist veraltet und unbrauchbar, wie uns Parlamentarier, die vor wenigen Monaten Datenschutz noch als ‚Exotenfach’ verstanden haben, zur Zeit weismachen wollen. Mich wundert es überhaupt nicht, dass die­se Politiker ein Verbot jeglicher Datenweitergabe ohne Einwilligung forderten - sie hatten sich gerade erst darüber aufklären lassen müssen, dass das BDSG die werbliche Nutzung einer Adresse auch ohne Einwilligung erlaubt.

Notwendig ist es, tatsächlich Antworten zu finden auf die Fragen, die z.B. gerade im Bereich der Ge­winnung und Nutzung von Daten über moderne Methoden auftreten, wie das Loggen und Aus­werten von Nutzerverhalten im Internet zu späteren Werbe- bzw. Steuerungszwecken. Ich spreche von ‚Phorm’, ‚Nebuad’, ‚Google Mail’ etc. In einigen Gesprächen mit Teilnehmern an die­ser DAFTA wurde mir bestätigt, dass Ihre Arbeit als Datenschutzbeauftragte einen wichtigen, wenn auch weniger spektakulären An­teil an der Schaffung von Datenschutzbewusstsein und Datenschutzkultur hat. Insoweit hat das The­ma ‚Datenschutz’ nicht nur allgemein, sondern auch in den Unternehmen selbst eine unerwartete Konjunktur bekommen. Und das nicht nur, weil bekannte Unternehmen in eine Datenschutzkrise gekommen sind. Das chinesische Wort für Krise setzt sich aus zwei Schriftzeichen zusammen - das eine bedeutet ‚Gefahr’ und das andere ‚Gelegenheit’. Nutzen Sie sie, bevor die Politik wieder wichtigere andere Themen vorzieht.”

27. RDV-Forum am 19. November 2008 in Köln

Das von Prof. Peter Gola (Vorstandsvorsitzender der GDD sowie RDV-Schriftleitung) moderierte  27. RDV-Forum stand unter dem Leitthema „Neuerungen im Datenschutzrecht - Weniger Überwachung, mehr Selbstbestimmung?“.

Einen Schwerpunkt der Veranstaltung bildete die Diskussion um die Notwendigkeit bzw. die möglichen Inhalte eines Arbeitnehmerdatenschutzgesetzes. Diesbezüglich schlug Prof. Dr. Gregor Thüsing (Institutsdirektor, Institut für Arbeitsrecht und Recht der Sozialen Sicherheit, Universität Bonn) zunächst eine klärende Bestandsaufnahme bezüglich wichtiger Regelungsgegenstände vor. Prof. Dr. Peter Wedde (Professor für Arbeitsrecht, Datenschutzrecht und Recht der Informationsgesellschaft, Fachhochschule Frankfurt/Main) und Michael Rahe (wissenschaftlicher Mitarbeiter von Silke Stokar von Neuforn, MdB, Bündnis 90/Die Grünen) befürworteten die Schaffung eines eigenständigen Arbeitnehmerdatenschutzgesetzes aus Gründen einer besseren Übersichtlichkeit und zur Schaffung von Rechtsklarheit. Die nachfolgende Abstimmung unter den Teilnehmern zeigte allerdings, dass ein eigenständiges Gesetz zum Schutz personenbezogener Beschäftigtendaten mehrheitlich für entbehrlich gehalten wird.

Die Interpretation des neuen Grundrechts auf Ver­traulichkeit und Integrität informationstechnischer Systeme im Hinblick auf das Arbeitsverhältnis, die Kontrolle des dienstlichen Telefon- und
E-Mail-Verkehrs, Bewertungsportale im Internet, Einwilligungsklauseln im Lichte des BDSG und des UWG sowie aktuelle Entwicklungen im Datenschutz bei der Europäischen Kommission waren wei­tere Themenschwerpunkte des 27. RDV-Fo­rums. 

24. DAFTA am 23. und 24. November 2000 in Köln

Datenschutz und Datensicherheit sind Grundpfeiler für eine demokratisch verantwortbare Informationsgesellschaft und zudem wichtige Wegbereiter für E-Commerce, E-Business und E-Government. Das waren wesentliche Ergebnisse der 24. Datenschutzfachtagung am 23. und 24. November 2000 in Köln. Auf dem E-Commerce ruht die Hoffnung, dass er weltweit zu einem maßgeblichen Wirtschaftsfaktor wird. In den Unternehmen entwickelt sich das Internet bereits zunehmend vom schlichten Informationsmedium zur Kommunikationsplattform für geschäftliche Aktivitäten. Die 24. DAFTA verdeutlichte, dass der E-Commerce nur auf die gewünschte breite Akzeptanz stoßen wird, wenn die Persönlichkeitsrechte der Online-Nutzer angemessen geschützt sind und ein technisch und rechtlich sicherer Informationsaustausch gewährleistet ist. Darüber hinaus gab die diesjährige DAFTA Aufschluss über Stand und Inhalte der bevorstehenden BDSG-Novelle.

Umfassende Modernisierung des Datenschutzrechts

Im Anschluss an die Eröffnungsrede des Vorstandsvorsitzenden der GDD, Bernd Hentschel, verdeutlichte Jörg Tauss, MdB sowie Beauftragter für neue Medien und stellvertretender forschungspolitischer Sprecher der SPD-Bundestagsfraktion, den Umstand, dass E-Business mehr bedeutet als ein moderner Versandhandel. Es entstünden völlig neue Wertschöpfungsketten auch durch die zunehmende Vernetzung im B2B-Bereich. Aus Gründen der Kundenakzeptanz werde sich der Datenschutz zumindest mittelfristig als Wettbewerbsvorteil oder bei Nichtbeachtung als Wettbewerbsnach­teil erweisen. Notwendig sei eine neue Politik zum Schutz der Privatsphäre. Ohne einen verbesserten Persönlichkeitsschutz könne es eine demokratisch verantwortbare Informationsgesellschaft nicht geben. Mit der Umsetzung der ersten Stufe zur Novellierung des BDSG werde eigentlich erst so richtig deutlich, wie notwendig ein zweiter Schritt sei. Die zweite Stufe, mit der eine umfassende Modernisierung des deutschen Datenschutzrechts angestrebt werde, sei bereits im Juni des Jahres initiiert worden. Im Hinblick auf die notwendigen Inhalte der geplanten Datenschutzreform, die insbesondere auch den Aspekt des Datenschutzes durch Tech­nikgestaltung be­in­hal­ten solle, habe das Bundesministerium des Innern Gutachtenaufträge an drei renommierte Wissenschaftler vergeben. Seitens der Fraktionen von SPD und Bündnis 90/Die Grünen sei ein Begleitausschuss gegründet worden, der im Rahmen eines sogenannten E-Democracy-Projekts eine möglichst breite Beteiligung am Gesetzgebungsprozess fördern wolle.

Sicherheit in der Informationsgesellschaft als Voraussetzung für E-Government und E‑Commerce

Brigitte Zypries, Staatssekretärin im Bundesministerium des Innern, stellte anlässlich der 24. DAFTA die aktuellen Initiativen der Bundesregierung zum E-Government (www.staat-modern.de) und zur Sicherheit im Internet (www.sicherheit-im-internet.de) vor. Am 18. September 2000 habe der Bundeskanzler anlässlich der Expo in Hannover die Kampagne „E-Government - Bund-Online 2005“ gestartet, der das Motto zugrunde liege „Die Da­ten sollen laufen nicht die Bürger“ (vgl. www.bund.de). Ziel des Projektes sei eine moderne verbesserte Servicequalität der Verwaltung. Bis zum Jahr 2005 sollen, so Zypries, alle Geschäftsprozesse so umgestaltet werden, dass die geeigneten Dienstleistungen der Bundesverwaltung online angeboten werden können. Naturgemäß könne die elektronische Verwaltung nur auf die notwendige Akzeptanz stoßen, wenn sie von einem wirksamen Datenschutz- und Sicherheitskonzept begleitet sei. Angesichts der zunehmenden Bedrohungen durch Hackerangriffe habe der Bundesinnenminister im Februar des Jahres eine Task Force „Sicheres Internet“ eingesetzt, deren Zielsetzung die Erarbeitung von Vorschlägen für die Verbesserung der Sicherheit im Internet sei. Inzwischen seien zwei Maßnahmekataloge zur sog. Grundsicherheit entwickelt, mit der Wirtschaft erörtert und auf den Internet-Seiten des BSI veröffentlicht worden.

Datenschutz als Qualitätsfaktor für E‑Commerce

Der Bundesbeauftragte für den Datenschutz, Dr. Joachim Jacob, stellte zu Beginn seines Vortrages fest, dass das tatsächliche Verhalten wesentlicher Gruppen im Markt und im Marketing sowie die Negativberichterstattung in den Medien wenig geeignet seien, Vertrauen in den fairen Umgang mit personenbezogenen Daten zu wecken und zu festigen. Zwar sei das Internet insgesamt nicht so schlecht, wie sein Bild in den Medien. Allerdings gäbe es durchaus Anhaltspunkte dafür, dass es mit der Sicherheit im Internet nicht sehr weit her sei, dass mit Datenmissbrauch gerechnet werden müsse und dass viele Akteure den Aufwand scheuten, den man als verantwortlicher Treuhänder für den Schutz von Daten der Kunden und Klienten aufbringen müsse. Die Privatsphäre werde im Internet nicht nur von Hackern bedroht. Vielmehr sei das Datensammeln als Gewerbe weit verbreitet, wobei es vielfach auch um die Gewinnung aussagefähiger Profile gehe. Demgegenüber reichten die vorhandenen Selbstschutzmöglichkeiten der Nutzer nicht aus, um jenes Vertrauen zu schaffen, mit dem sie unbesorgt ihre wirklichen Wünsche offenbaren und ihr Geld zu Markte tragen würden. Deshalb sei es zur Entwicklung des E-Commerce sehr hilfreich, wenn hier der Eindruck von Seriosität und Zuverlässigkeit erweckt werde und wenn die Anbieter die potenziellen Kunden davon überzeugen könnten, dass sie mit deren Geld, deren Wünschen und auch mit deren Daten so sorgfältig umgingen, wie man es von einem fairen Geschäftspartner erwarte. Nach Auffassung des Bundesbeauftragten stellten sich die Lage und das der Allgemeinheit darüber vermittelte Bild aktuell aber noch anders dar. Der Personalisierung und dem One-to-One-Marketing liege zum Teil offenbar die Maxime zu Grunde, dem Kunden auf ihn zugeschnittene Angebote zu machen, ohne dass er sich dessen allzu deutlich bewusst werde. In diesem Zusammenhang hob der Bundesbeauftragte hervor, dass in den USA „Marketing by Permission“ die zur Zeit erfolgreichste Marketing-Strategie sei. Der Kunde, der mitentscheiden könne, wie er beworben werden wolle, fühle sich bestätigt und selbstbestimmt. Diese Strategie sei datenschutzfreundlich und die deutschen Werbefirmen sollten sie daher in ihre Konzeptionen mit einbinden. Vor diesem Hintergrund werde deutlich, dass Datenschutz als Qualitätsfaktor für E-Commerce bisher nicht, zumindest bei weitem nicht in dem Maße, wie es für eine positive Entwicklung des Marktes notwendig wäre, genutzt werde. Das Vertrauen in die Fairness der Anbieter im E-Commerce könne u.a. durch eine eigene Datenschutz-Erklärung des Anbieters auf seiner Website gefördert werden, wenn in der Folge auch die Einhaltung der Datenschutzrichtlinien gewährleistet sei. Derzeit, so Jacob, sei wohl das Verwenden eines Gütesiegels für geprüfte Qualität im E-Commerce noch am ehesten geeignet, das bislang fehlende Vertrauen zu schaffen. Dabei müs­se der Datenschutz eines der maßgeblichen Qua­litätsmerkmale sein. Im Interesse des Kunden müsse eine glaubwürdige und vertrauensbildende Erklärungsform vorliegen, die gleichzeitig auch einen einheitlichen Bewertungsmaßstab bei der Prüfung widerspiegele. Dies leiste ein Datenschutzsiegel auf der Basis eines Datenschutzaudits, das - untermauert durch gesetzliche Rahmenbedingungen - anhand von definierten Kriterien und Verfahren die Datenschutzkonzepte und deren praktische Umsetzung bei den Unternehmen prüfe, wobei praktische Umsetzung sowohl die organisatorischen als auch die technischen Maßnahmen meine. Was den Bereich der Datensicherheit angehe, so könne ergänzend auf die Zertifizierung des BSI zurückgegriffen werden. Möglich sei auch, ein solches BSI-Zertifikat als fakultatives Element des Datenschutzaudits zu integrieren. Abschließend betonte der Bundesbeauftragte, dass im virtuellen Markt nicht länger nur das Warenangebot und der Preis ausschlaggebend seien, sondern auch und vor allem der Qualitätsfaktor Datenschutz.

Novellierung des BDSG

Regierungsdirektor Daniel Christians, Referatsleiter Datenschutzrecht im Bundesministerium des Innern, gab anlässlich der 24. DAFTA einen Überblick über die mit der BDSG-Novelle einhergehenden wesentlichen Änderungen. Dabei ging er zunächst auf die Erweiterung des Anwendungsbereichs ein, die u.a. darauf beruhe, dass in teilweiser Abkehr vom Dateibegriff zukünftig jede automatisierte Verarbeitung personenbezogener Daten den Anwendungsbereich eröffne. Auch die Datenerhebung unterliege zukünftig dem Verbot mit Erlaubnisvorbehalt. Hinsichtlich der Kontrollkompetenzen der Datenschutzaufsichtsbehörden wies Christians auf die Möglichkeit der anlassfreien Kontrolle, die Berechtigung zur Unterrichtung von Betroffenen und Gewerbeaufsichtsbehörden bei (schwer­wie­gen­den) Verstößen, das neu eingeräumte Strafantragsrecht sowie auf die Genehmigung von Vertragsklauseln und verbindlichen Verhaltensregeln im Zusammenhang mit dem Drittlandtransfer hin. Der Umstand, dass den betrieblichen Datenschutzbeauftragten neue Aufgaben zukämen, gehe Hand in Hand mit einer Dezentralisierung der Datenschutzkontrolle. Im Fall der Bestellung eines betrieblichen Datenschutzbeauftragten erhalte die­ser die meldepflichtigen Angaben und er sei für die Durchführung der Vorabkontrolle bei besonders risikoreichen automatisierten personenbezogenen Verarbeitungen zuständig. Hiermit sei auch eine von den Ländern angestrebte Entlastung der ansonsten zuständigen Aufsichtsbehörden verbunden. Auf Antrag habe der Datenschutzbeauftragte die meldepflichtigen Angaben jedermann in geeigneter Weise verfügbar zu machen. Dabei habe man bewusst mit der „Ver­fügbarmachung in geeigneter Weise“ eine offene Formulierung gewählt. Der Begriff „je­der­mann“ sei hingegen wörtlich zu verstehen. Im Rahmen der Vorabkontrolle der materiellen Zulässigkeit einer besonders risikoreichen automatisierten Verarbeitung, habe sich der Datenschutzbeauftragte im Zweifel an die für ihn zuständige Aufsichtsbehörde zu wenden. Dies solle möglichst in Koordination mit der Geschäftsleitung geschehen. In diesem Zusammenhang schloss Christians ein Haftungsdurchgriff auf den betrieblichen Datenschutzbeauftragten für den Fall aus, dass dieser die Kontaktaufnahme mit der Aufsichtsbehörde auf Wunsch der Geschäftsleitung unterlässt.

Nach Auskunft von Christians sind die Inhalte des neuen BDSG inzwischen weitgehend unstreitig. Der Bundesrat habe in seiner Stellungnahme zu dem Regierungsentwurf 18 Änderungsanträge - zum Teil Prüfbitten - gestellt und eine allgemeine Vorbemerkung gemacht. Dabei gehe es weitgehend nur um redaktionelle Änderungen. Allerdings habe die Bundesregierung in ihrer Gegenäußerung zu der Bundesratsstellungnahme zum Ausdruck gebracht, dass sie dem Wunsch der Länder, auf eine gesetzliche Regelung zum Datenschutzaudit gänzlich zu verzichten, nicht nachkommen werde. Nach Auffassung der Bundesregierung gehe mit einem gesetzlich geregelten Datenschutzaudit nicht zwingend eine Entwertung der Stellung des betrieblichen Datenschutzbeauftragten einher. Viel­mehr könne die deklaratorische Vorschrift im BDSG gewissermaßen als Initialzündung einen Wettbewerbsanreiz auslösen, der der Qualität des Datenschutzes zu Gute komme. Der Bundesrat, so Christians, habe signalisiert, dass er - unabhängig von der Berücksichtigung seiner Stellungnahme - die notwendige Zustimmung im Gesetzgebungsverfahren erteilen werde. Am 27. Oktober habe die erste Lesung im Bundestag stattgefunden. Damit sei zwei Jahre nach Ablauf der Frist zur Umsetzung der EG-Datenschutzrichtlinie das parlamentarische Verfahren in Gang gekommen und es bestünde nunmehr die berechtigte Hoffnung, dass die erste Stufe der BDSG-Novellierung im ersten Quartal 2001 abgeschlossen werden könne. Christians gestand allerdings ein, dass man die Umsetzung der Richtlinie gewissermaßen mit einer zusätzlichen Verkomplizierung des BDSG erkauft habe.

19. RDV-Forum am 22. November 2000 in Köln

Das 19. RDV-Forum stand unter dem Leitthema „Der Datenschutzbeauftragte im neuen Datenschutz“. Mit Blick auf die BDSG-Novellierung auf Grundlage der EG-Datenschutzrichtlinie wurden Stellung und Aufgaben des Datenschutzbeauftragten neu beleuchtet. Themenschwerpunkte der von Prof. Peter Gola (GDD-Vorstand, RDV-Schriftleitung) moderierten Veranstaltung betrafen die Zusammenarbeit mit den Datenschutzaufsichtsbehörden, die neue Aufgabe der Vorabkontrolle, die Beteilung im Datenschutzaudit-Verfahren und das öffentliche Verfahrensverzeichnis.

Prof. Dr. Alfred Büllesbach (Konzernbeauftragter für den Datenschutz, DaimlerChrysler AG) führte in die Konzeption und Funktion des Datenschutzbeauftragten vor dem Hintergrund der EG-Richtlinie und der Novellierung des BDSG ein. Die vielfältigen Anforderungen der Telekommunikation, der Tele- und Medienservices, des globalisierten Datenverkehrs sowie die Konvergenz der technologischen und standardisierten Entwicklung verlangten einen umsichtigen, kenntnisreichen und hochqualifizierten Datenschutzbeauftragten. Die Konzeption der BDSG-Novelle ebenso wie die Konzeption in der EG-Datenschutzrichtlinie sähen den Datenschutzbeauftragten als qualifizierten Berater, Gestalter und Kontrolleur. Diese Rolle verlange durchsetzungsstarke und sich Anerkennung verschaffende Beauftragte, die nachhaltig ihre Aufgaben erfüllten. Unverzichtbar sei, dass die direkte Berichterstattung des Datenschutzbeauftragten an die Geschäftsleitung auch tatsächlich umgesetzt werde, um so dem Datenschutzbeauftragten auf Leitungsebene Zugang und Akzeptanz zu verschaffen.

Dr. Helmut Bäumler (Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein) widmete seien Beitrag dem Thema „Zusammenarbeit des betrieblichen Datenschutzbeauftragten mit den Aufsichtsbehörden in einem gewandelten Datenschutz“. Der Referent sprach sich für innovative gesetzgeberische Ansätze in der modernen Informationsgesellschaft aus. Wenn ein Unternehmen seine Datenverarbeitung oder Teile davon auditieren lasse und anschließend mit dem erworbenen Audit Werbung mache, dann sei damit implizit auch anerkannt, dass der Datenschutz etwas sei, was Eindruck auf die Kunden mache. Der Datenschutz müsse vom Image der Belastung, vom Standortnachteil zu einem zählbaren Vorteil mutieren. Das Datenschutzaudit sei nur ein Beispiel, wie ein moderner Datenschutz aussehen könne. Freiwillige Selbstverpflichtungen, Codes of Conduct, Zielvereinbarungen und Gütesiegel für IT-Produkte könnten weitere Elemente einer geänderten Philosophie sein. In deren Mittelpunkt stehe verstärkt marktwirtschaftliches Denken und eine positive Sichtweise des Datenschutzes. Für Aufsichtsbehörden und Datenschutzbeauftragte gelte es, diese positive Gestaltung des Datenschutzes im Interesse der Bürgerinnen und Bürger in den Vordergrund zu stellen.

Thomas Königshofen (Konzerndatenschutzbeauftragter, Deutsche Telekom AG) beantwortete die Frage „Das Datenschutzaudit: Fluch oder Segen für betriebliche Datenschutzbeauftragte?“ mit der in Juristenkreisen gängigen Formulierung „Es kommt darauf an“. Es sei ein durchaus überlegungswerter Ansatz zur effektiven Steigerung der Durchsetzung des informationellen Selbstbestimmungsrechts, das Prinzip der Pönalisierung gesellschaftlich unerwünschten Verhaltens durch das Angebot der Belohnung von gesellschaftlich erwünschtem Verhalten zu ergänzen. Das Datenschutzaudit könne sich hier als wirksames Instrument herausstellen. Nachfolgend stellte der Referent einige Eckpunkte einer gesetzlichen Regelung zum Datenschutzaudit zur Diskussion. In einem Gesetz bzw. in einer Verordnung solle nur das absolut nach rechtsstaatlichen Grundsätzen notwendige geregelt werden. Nicht gesetzlich geregelt, sondern von der Wirtschaft entwickelt (und staatlich lediglich genehmigt) werden sollten seiner Auffassung nach:

• die - ggf. branchenspezifischen - Anforderungen an Datenschutzkonzepte und die Anforderungen im Hinblick auf die Bescheinigung der Datenschutzaufsichtsbehörden über die besondere Datenschutzfreundlichkeit;
• die weiteren Anforderungen an die Qualifikation der Auditoren und die Voraussetzung zum Nachweis der Fachkunde,
• die Anforderungen an das Auditierungsverfahren durch die externen Auditoren,
• sonstige Vorhaben zum innerbetrieblichen Aufbau - oder Ablauforganisation des Datenschutzes.

Von der Wirtschaft entwickelte sonstige Verfahren der Selbstregulierung einschließlich der Vergabe von Gütesiegeln würden durch eine derartige gesetzliche Regelung nicht behindert.

Rechtsanwalt Christoph Klug (stellvertretender Geschäftsführer der GDD, RDV-Schriftleitung) gab eine grundlegende Einführung in die neue Aufgabe der datenschutzrechtlichen Vorabkontrolle. In Umsetzung der EG-Datenschutzrichtlinie sehe das neue BDSG eine Vorabüberprüfung der materiellen Rechtmäßigkeit von automatisierten Verarbeitungen vor, die im Hinblick auf das Persönlichkeitsrecht besonders gefahrenträchtig seien. Zunächst müsse im Rahmen einer Bestandsaufnahme festgestellt werden, im Hinblick auf welche Verarbeitungen eine Vorabkontrolle durchzuführen sei. Damit keine sensiblen Datenverarbeitungen aus dem Raster der Vorabkontrolle herausfielen, sei zwangsläufig eine  Übersicht aller geplanten personenbezogenen automatisierten Verarbeitungen nötig. In einem zweiten Schritt gehe es dann um die eigentliche Prüfung der materiellen Zulässigkeit der als kontrollbedürftig befundenen Datenverarbeitungen. Der hierfür zuständige Datenschutzbeauftragte treffe seine Entscheidung dabei nach pflichtgemäßen Ermessen. Im Zweifelsfall solle er sich in Abstimmung mit der Geschäftsleitung an die zuständige Aufsichtsbehörde wenden. Als Ergebnis der Vorabkontrolle könne neben der datenschutzrechtlichen Zulässigkeit oder Unzulässigkeit auch die Feststellung stehen, dass die beabsichtigte Verarbeitung im Anschluss an weitere technisch-organisatorische Maßnahmen zulässig sei.

Heinz Rösser (Datenschutzbeauftragter der Coca Cola Erfrischungsgetränke AG) erläuterte die Erstellung des öffentlichen Verfahrensverzeichnisses in seinem Unternehmen. Dabei informierte er insbesondere über die Einbindung der Anwender in die Erstellung des in Lotus-Notes erstellten und gepflegten Verzeichnisses. Für die Hardwareerfassung seien die notwendigen Standortdaten und die allgemein übliche Bezeichnung des Mikrocomputers zu erfassen (z. B. Laptop). Die kompletten Gerätedaten würden in einer separaten Lotus-Notes-Datenbank geführt. Erfasst würden nur Mikrocomputer und keine Terminals. In das Verzeichnis aufgenommen würden alle in der Verantwortung der jeweiligen Abteilung betriebenen Computer, auf denen sich personenbezogene Daten befinden könnten.

Nachfolgend referierte Prof. Dr. Hansjürgen Garstka (Der Berliner Datenschutzbeauftragte) über den Datenexport ins Ausland und ggf. einhergehende Genehmigungspflichten in Bezug auf die Verwendung von Vertragsklauseln bzw. verbindlichen Unternehmensregelungen (Codes of Conduct).

Dabei verdeutlichte er u.a. den Umstand, dass nach neuem Recht deutsche Aufsichtsbehörden auch für die korrekte Anwendung mitgliedstaatlichen Datenschutzrechts zuständig sein können. Hier müsse ggf. auf internationale Amtshilfe zurückgegriffen werden.

Die Diskussion erbrachte u.a. das Ergebnis, dass die Fälle der Vorabkontrolle durch Ausnahmeregelungen sachgerecht eingegrenzt worden sind. Im Hinblick auf die Zweifelsfallregelung im Rahmen der Vorabkontrolle wurde festgestellt, dass sich der Datenschutzbeauftragte möglichst nur in Abstimmung mit der Geschäftsleitung an die Aufsichtsbehörde wenden soll. Insbesondere in dem Fall, wo die Konsultation der Aufsichtsbehörde auf Verlangen der vom Datenschutzbeauftragten ordnungsgemäß unterrichteten Geschäftsleitung unterbleibt, dürfe ein Haftungsdurchgriff auf den Datenschutzbeauftragten selbst ausgeschlossen sein. Hinsichtlich des öffentlichen Verfahrensverzeichnisses wurde festgestellt, dass dieses auf Antrag grds. tatsächlich „Jedermann“ - also nicht nur dem Betroffenen - in geeigneter Weise zugänglich gemacht werden muss.

28. DAFTA am 18. und 19. November 2004 in Köln

Unter dem Leitthema „Orwell’s 1984 - 20 Jahre danach” veranstaltete die GDD am 18. und 19. November 2004 in Köln ihre 28. Datenschutzfachtagung (DAFTA).

Der langjährige Vorstandsvorsitzende der GDD, Bernd Hentschel, eröffnete die Veranstaltung mit einer kritischen Würdigung der Entwicklung staatlicher Informationsgewinnung und -verarbeitung. Während sich die betriebliche Selbstkontrolle auf Seiten der Wirtschaft als wirksames Korrektiv erwiesen habe, sei auf Seiten des Staates eine Tendenz zur „totalen Ausleuchtung“ des Einzelnen zu konstatieren. Der Gesetzgeber versuche offenbar gar nicht mehr, den Begehrlichkeiten der Exekutive mäßigend entgegenzutreten, vielmehr würden die Befugnisse scheinbar auf Zuruf den Wünschen der Behörden angepasst. Aktuelle Beispiele hierfür seien etwa die Regelungen des neuen Schwarzarbeitsbekämpfungsgesetzes, der Online-Zugriff des Fiskus auf Bankkonten sowie das Statusfeststellungsverfahren im Bereich der Sozialversicherung.

Herausforderungen für den ersten Europäischen Datenschutzbeauftragten

Der erste Europäische Datenschutzbeauftragte, Peter Hustinx, informierte das DAFTA-Plenum über sein Amt und die damit verbundenen Herausforderungen. Zu den Hauptaufgaben der Institution des Europäischen Datenschutzbeauftragten zähle zum einen die Kontrolle der Einhaltung der EG-Verordnung Nr. 45/2001 („Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“) durch die Organe und Einrichtungen der Gemeinschaft. Zudem berate er die genannten Stellen in allen Fragen, die die Verarbeitung personenbezogener Daten betreffen. Nachdem die Einrichtung seiner Behörde nunmehr im Wesentlichen abgeschlossen sei, er insbesondere über ein entsprechendes Budget, Personal und eine Homepage verfüge (www.edps.eu.int), lägen seine Ziele für die Zukunft vor allem in der Schaffung einer Datenschutzkultur auf europäischer Ebene, im Aufbau eines Netzwerkes als Basis für die Ausfüllung seiner Beratungsverpflichtung sowie in der Gewährleistung der Informationsfreiheit auf EU-Ebene.

Darüber hinaus bezog Hustinx Stellung zu der auf EU-Ebene geführten Diskussion zur sog. Vorratsdatenspeicherung durch Telekommunikations- und Internetprovider. Zwar stelle die Verbesserung der grenzüberschreitenden Strafverfolgung ein wichtiges Anliegen dar, jedoch dürfe die Privatsphäre der Nutzer nicht unverhältnismäßig beschnitten werden.

Technik, Terror, Transparenz - Stimmen Orwell’s Visionen?

Dr. Thilo Weichert (Leiter des Unabhängigen Landeszentrums für Datenschutz, Kiel) griff in seinem Vortrag das Leitthema der 28. DAFTA auf und analysierte, ob und inwiefern sich die Visionen Orwell´s realisiert haben.

Die staatlichen Reaktionen auf die Ereignisse vom 11. September 2001 brächten einen neuen Überwachungsschub für die gesamte Bevölkerung. Unter dem Gesichtspunkt der Terrorbekämpfung könne nahezu jede beliebige Verschärfung der Überwachung durchgesetzt werden. Die Grundsätze der Logik und der Verhältnismäßigkeit staatlichen Handelns seien scheinbar weitgehend außer Kraft gesetzt. Bedenklich sei insbesondere die Tendenz, Überwachungsinstrumente hoffähig zu machen, die nicht mehr an konkrete Straftaten oder Gefahren anknüpfen, sondern flächendeckend auf die gesamte Gesellschaft zielen und wirken. In vielen Bereichen sei die präventive administrative Erfassung legaler Tätigkeiten bereits heute gang und gäbe.

Ein Paradigmenwechsel vom Rechtsstaat zum Sicherheits- und Schutzstaat sei jedoch von der freiheitlichen Konzeption des Grundgesetzes nicht gedeckt. Ein alle Freiheitsrechte überstrahlendes „Grundrecht auf Sicherheit“, wie es einige Rechtsprofessoren konstruieren wollten, sei der deutschen Verfassung nicht zu entnehmen. Staatliche Überwachung und Repression dürften nach wie vor nur als ultima ratio im konkreten Einzelfall erfolgen. Eine nüchterne Analyse müsse darüber hinaus zu dem Ergebnis führen, dass mit den gewaltigen Massen an Datenschrott, der bei einer anlasslosen Überwachung anfalle, kein wesentlicher Sicherheitsgewinn erzielt werden könne. Sämt­liche bisherige Fahndungserfolge gegen Ter­roristen und Terrorismusverdächtige seien durch klassische polizeiliche Ermittlungsarbeit, d.h. angeknüpft an konkrete verdächtige Sachverhalte bzw. Personen, erzielt worden.

Nach alledem, so Dr. Weichert, benötige eine sachgerechte Sicherheitspolitik weniger eine ständige Ausdehnung der Überwachungsmechanismen als vielmehr ein Höchstmaß an Transparenz und Kommunikation.

Überwachung des Bürgers durch Staat und Wirtschaft - Welche Perspektiven hat der Datenschutz?

Anhand einer Vielzahl von Beispielen verdeutlichte der Bundesbeauftragte für den Datenschutz, Peter Schaar, die Grenzen rechtsstaatlicher Datenverarbeitung.

Die organisierte Kriminalität und der Terrorismus ließen den Ruf nach zusätzlichen staatlichen Datenerhebungs-, Datenverarbeitungs- und Datennut­zungsbefugnissen immer lauter werden. Dabei stünden den Sicherheitsbehörden schon seit längerem mannigfaltige Möglichkeiten zur Verfügung. So belege etwa die stetig steigende Zahl der Telefonüberwachungen nach der Strafprozessordnung, dass bestimmte technikorientierte Überwachungsmaßnahmen immer stärker zum Einsatz kämen. Die diesbezüglich veröffentlichten Zahlen zeugten von der Notwendigkeit, die Befugnisse zur Telefonüberwachung mit dem Ziel zu reformieren, den Erfordernissen der Verhältnismäßigkeit und Effektivität wieder verstärkt Geltung zu verschaffen. Eine Verwendung von Daten über die Nutzung öffentlicher Telekommunikationsnetze sei in Deutschland bisher nur zulässig, wenn ein konkreter Verdacht für eine Straftat von erheblicher Be­deu­tung vorliege. Der EU-Mi­nis­ter­rat, so Schaar, berate aber derzeit über einen Vorschlag, wonach alle Anbieter von Te­le­kommu­ni­ka­tions- und Internetdiensten zur pauschalen Speicherung von Verkehrsdaten für einen Zeitraum von mindestens einem Jahr verpflichtet werden sollen. Er hoffe, dass die Bundesregierung dies verhindern werde.

Bedenklich, so Schaar, sei auch, dass neben den Sicherheitsbehörden immer mehr sonstige staatliche Stellen Zugang zu unterschiedlichsten Daten erhielten. So seien nach dem 11. September 2001 Regelungen geschaffen worden, um eine erleichterte Kontrolle von kriminellen und terroristischen Geldflüssen zu ermöglichen. Danach seien alle Kreditinstitute verpflichtet worden, eine besondere Datei zu führen, aus der Kontoinformationen verdeckt abgerufen werden können. Vor dem Hintergrund der Abwehr terroristischer Gefahren sei dieses Verfahren weitgehend akzeptiert worden. Als kritisch sehe er es aber an, wenn durch das „Gesetz zur Förderung der Steuerehrlichkeit“ ab dem 1. April 2005 nunmehr einer unüberschaubaren Vielzahl von Behörden Zugang zu den betreffenden Daten ermöglicht werde.

Daneben, so Schaar, nähmen auch die Bedürfnisse der Wirtschaft nach Datengewinnung, vor allem im Bereich des Risikomanagements, immer weiter zu. Kritisch sei etwa die Entwicklung mittels sog. „Scoringverfahren“ die Kreditwürdigkeit weitgehend unabhängig vom tatsächlichen Verhalten des Betroffenen zu beurteilen. Soweit der Bereich sog. „Kundenkarten“ betroffen sei, müsse man von der Wirtschaft verlangen, dass sie für die erforderliche Transparenz sorge und die Betroffenen verständlich und umfassend über Umfang und Zwecke der Datenverarbeitung informiere. Hinsichtlich des Ein­sat­zes von Genomanalysen in der Privatwirtschaft etwa im Rahmen der Feststellung von Kindschaftsverhältnissen, beim Abschluss einer Lebens- oder Krankenversicherung oder bei Einstellungen und Kündigungen im Arbeitsleben sah der Bundesbeauftragte gesetzgeberischen Handlungs­be­darf. Unterstützt würde die Tendenz zu immer weiterreichenden Datenerhebungen darüber hinaus durch die technologische Entwicklung, deren Tempo sich keineswegs verlangsamt habe. So könnten Videokameras mittlerweile durch die Verknüpfung mit biometrischen Verfahren und elektronischer Bildauswertung zur gezielten Verfolgung einer Person und zur Erstellung von Bewegungsprofilen genutzt werden. Zu denken sei auch an die ständige Weiterentwicklung von Systemen zur Aufenthaltsfeststellung, Chipkarten (§ 6c BDSG), cookies und web-bugs, „E.T.-Software“ sowie an die ebenfalls stark in der öffentlichen Diskussion stehende RFID-Technologie.

Es sei nur verständlich, dass angesichts der Terroranschläge, der Stagnation der Wirtschaft und des Umbaus der Sozialsysteme technische Kontrollen, Datenabgleiche, Online-Abfragen und Scoringsysteme als Ersatz für verlorene Sicherheiten angesehen würden. Der Wirtschaft sei aber zuzumuten, gewisse Risiken zu Gunsten eines fairen und gleichberechtigten Umgangs mit ihren Kunden hinzunehmen. Auf staatlicher Seite sei zu berücksichtigen, dass natürlich nicht auf jegliche Kontrolle individuellen Verhaltens verzichtet werden könne. Es müsse sich aber stets um eine auf das erforderliche Maß beschränkte und für das Individuum transparente Kontrolle handeln.

GDD-Datenschutz-Award 2004

Die Hamburg-Mannheimer Versicherung ist Preisträger des Datenschutz-Awards 2004, der anlässlich der 28. Datenschutzfachtagung (DAFTA) der GDD am 19. November vergeben wurde. Mit dem Datenschutz-Award werden Unternehmen und Be­hör­den ausgezeichnet, die Beispielhaftes für den Datenschutz geleistet haben. Grundlage der Vergabe bildet die Mehrheitsentscheidung der DAFTA-Teil­neh­mer.

Im Jahr 2004 wurde der Award für die beste Vorgehensweise zur Schaffung von Datenschutz-Awareness bei der Unternehmensführung vergeben. Der Datenschutzbeauftragte der Hamburg-Mannheimer Versicherungsgesellschaften, Rainhard Degener, stellte zunächst heraus, dass angesichts der harten wirtschaftlichen Umfeldbedingungen zum Teil wenig Platz für den Datenschutz im Bewusstsein von Unternehmensführungen vorhanden sei. Zusammen mit dem Betriebsrat und Kollegen aus der Versicherungsbranche sei es ihm jedoch gelungen, den Vorstand von der Notwendigkeit einer Privacy Policy zu überzeugen. In dieser Privacy Policy bekenne sich der Vorstand klar zur Einhaltung der gesetzlichen Datenschutzvorschriften. Die Datenschutzpolitik seines Hauses sei in drei Detaillierungsebenen strukturiert, die von Leitlinien über ein Datenschutzkonzept bis hin zu konkreten Maßnahmen reichten. Die Policy, die intern publiziert und beworben worden sei, nutze der betriebliche Datenschutzbeauftragte bei jeder sich bietenden Gelegenheit zur Durchsetzung von Datenschutzmaßnahmen und nehme damit den Vorstand beim Wort.

Auch die anderen Bewerber um den GDD-Da­ten­schutz-Award 2004 gaben hilfreiche Anregungen, wie Awareness für den Datenschutz bei der Unternehmensführung erreicht werden kann. Weitere Auszeichnungen gingen deshalb an: Günther Otten (Gothaer Finanzholding AG), Jürgen Heck (Datenschutz-Kompetenzzentrum Dortmund) und Lutz Neundorf (ABB-Konzern).

23. RDV-Forum am 17. November 2004 in Köln

Unter der Leitung von Prof. Peter Gola (RDV-Schriftleitung) fand am 17. November 2004 in Köln das 23. RDV-Forum statt. Unter dem Leitthema „Der digitalisierte Mitarbeiter“ wurden die neuen rechtlichen und technologischen Entwicklungen auf dem Gebiet der Arbeitnehmerdatenverarbeitung vorgestellt und die datenschutzrechtlichen Konsequenzen erörtert. Prof. Dr. Dr. h. c. Spiros Simitis (Johann Wolfgang Goethe-Universität, Frankfurt, Vorsitzender „Nationaler Ethikrat”) skizzierte europäische Entwicklungen im Bereich des Arbeitnehmerdatenschutzes. Dabei informierte der Referent in gewohnt eloquenter Weise über Aktivitäten der EU-Kommission, die auf die Erarbeitung einer Europäischen Richtlinie zum Arbeitnehmerdatenschutz ausgerichtet gewesen sei. Derzeit, so der Referent, sei die Verwirklichung einer derartigen Richtlinie, die insbesondere in bestimmten Bereichen des Arbeitnehmerdatenschutzes für mehr Rechtssicherheit sorgen könnte, auf Grund von personellen Veränderungen in der zuständigen Generaldirektion eher zweifelhaft.

Nachfolgend berichtete Prof. Dr. Friedhelm Rost (Vorsitzender Richter am Bundesarbeitsgericht) über die aktuelle Rechtsprechung des BAG zum Arbeitnehmerdatenschutz. Dabei standen der Einsatz neuer Technologien und die damit ermöglichte Überwachung von Arbeitnehmern im Vordergrund. Die Zulässigkeit und Grenzen der Über­wa­chung wurden am Beispiel der Videoüberwachung skizziert. Nach einem BAG-Urteil vom 27. März 2003 (RDV 2003, 293) kann die Überwachung eines konkret verdächtigen Arbeitnehmers mittels Videotechnik als ultima ratio zulässig sein. Grenzen, so der Referent, habe das BAG dem Videoeinsatz am Arbeitsplatz jedoch durch seinen Beschluss vom 29. Juni 2004 (RDV 2005, 21) gesetzt, in dem es die intensive Videoüberwachung eines Postverteilungszentrums als unverhältnismäßig erachtete. Weitere BAG-Ent­schei­dungen betrafen die Mitbestimmung beim Einsatz von Arbeitnehmern in einem Kundenbetrieb mit biometrischen Zugangskontrollen (RDV 2004, 122) sowie die Weitergabe von Arbeitnehmerdaten an Dritte (RDV 2004, 24). Rechtsanwalt Christoph Klug (RDV-Schriftleitung) zeigte die Konsequenzen des BDSG 2001 für die betriebliche Videoüberwachung auf. Dabei vertrat er die Auffassung, dass die Transparenzpflichten des BDSG einer verdeckten Videoüberwachung nicht zwingend entgegen stehen.

Prof. Peter Gola (RDV-Schriftleitung) referierte über den Einsatz der betrieblichen Kommunikationstechnik durch Betriebsrat und Gewerkschaften. Anhand der einschlägigen BAG-Rechtspre­chung (RDV 2004, 76 sowie 171) verdeutlichte er, dass der Betriebsrat einen Anspruch auf die Nutzung des Intranets und des Internets haben kann. Dabei seien aber die Nutzungsmöglichkeiten auf die betriebsverfassungsrechtlichen Aufgaben beschränkt.

Weitere Referate beschäftigten sich mit der Funktionsweise des Mitarbeiterportals der Ford Werke AG (Christina Suilmann, Datenschutzbeauftragte der Ford Werke sowie Alicia Alvares, Personalabteilung der Ford Werke), dem Einsatz von Record-Management (Bernd Ehret, Leiter Corp. HR Administration der SAP AG) sowie dem Skill-Ma­na­ge­ment zur Unterstützung der dispositiven Aufgaben des Personalwesens (Klaus Hess, TBS beim DGB NRW). Anhand dieser Praxisbeispiele wurde deutlich, dass derartige Projekte durch Datenschutzmaßnahmen flankiert sein müssen, was vielfach einen erheblichen Handlungsbedarf auslöst. 

32. DAFTA am 20. und 21. November 2008 in Köln

War Datenschutz in den Augen einiger noch vor kurzem ein „Exotenfach“, so hat er inzwischen - freilich mitbedingt durch die zuletzt ge­häuften Datenschutzskandale - Konjunktur be­kommen. Diesen Rückenwind gilt es nunmehr da­zu zu nutzen, das Datenschutzrecht in sinnvoller Weise zu modernisieren und den betrieblichen Datenschutz angemessen zu stärken. Dass es die­ser und weiterer Schritte bedarf, um in Deutschland eine zeitgemäße Informationskultur aufzubauen, war ein wesentliches Ergebnis der 32. Datenschutzfachtagung (DAFTA), die vom 20. - 21. November 2008 unter der Leitung von Prof. Peter Gola (Vorstands­vorsitzender der GDD) in Köln stattfand.

Unter dem Leitthema „Neue Informationskultur - Neuer Datenschutz“ diskutierten der erste Bundesbeauftragte für den Datenschutz, Prof. Dr. Hans-Peter Bull, und der amtierende Bundesbeauftragte, Peter Schaar, gemeinsam mit dem bis vor kurzem beim Bundesverfassungsgericht für Datenschutzfragen zuständigen Richter Prof. Dr. Wolfgang Hoffmann-Riem und dem Abteilungsleiter im Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz Dr. Christian Grugel die aktuelle Situation des Datenschutzes und seine Perspektiven.

Nach Prof. Dr. Bull wäre es wünschenswert, dass ein zukunftsträchtiges Informationsrecht nicht le­dig­lich auf rechtlichen Schlussfolgerungen, sondern stärker auf sozialethischen, kulturellen Voraussetzungen aufbaut. Prof. Dr. Hoffmann-Riem erläuterte vor diesem Hintergrund die Bedeutung datenschutzrechtlicher Vorschriften und ihre Aus­legung durch das Bundesverfassungsgericht. Neben bestimmten rechtlichen Beschränkungen bei der Verarbeitung personenbezogener Daten hielt er insbesondere auch einen effektiven Selbst­datenschutz für unentbehrlich. Auch die mit der Informationstechnik weniger vertrauten Nutzer müssten in die Lage versetzt werden, ihre Da­ten wirksam zu schützen.

Dr. Christian Grugel verdeutlichte die Position sei­nes Ministeriums zur Umsetzung der anlässlich des Datenschutzgipfels vom September 2008 beim Bundesminister des Innern gefundenen Er­geb­nisse. Ein entsprechender Referentenentwurf liege bereits vor und solle bereits Anfang Dezember vom Kabinett verabschiedet werden, damit das Gesetzgebungsverfahren noch in dieser Legislaturperiode abgeschlossen werden könne. Um die Auswirkungen auf die Werbewirtschaft so ge­ring wie möglich zu halten, werde derzeit noch ge­prüft, in welchen Fällen auf die ausdrückliche Einwilligung der Betroffenen verzichtet werden könne.

Konfrontiert mit der Meinung, dass der aktuelle Entwurf eines Datenschutzauditgesetzes keinen angemessenen Beitrag zur Schaffung einer Datenschutzkultur darstelle, vertrat der Bundesbeauftragte für den Datenschutz, Peter Schaar, die Auffassung, dass man den Rückenwind, den der Datenschutz aktuell in der Politik genieße, unbedingt jetzt nutzen sollte, auch wenn einzelne der vorgesehenen Regelungen noch nicht optimal sei­en. Im Rahmen der Diskussion wurde zum Teil allerdings eine übereilte Vorgehensweise bei der Schaffung neuer Datenschutzregelungen konstatiert.

Dass der Datenschutz zwar derzeit Konjunktur hat, es aber gerade in turbulenten Zeiten für den Datenschutz darauf ankommt, den Überblick zu bewahren und auf ausgewogene gesetzliche Regelungen zu achten, verdeutlichte ein angesichts der aktuellen Gesetzentwürfe eigens angesetztes DAFTA-Sonderforum, das von der stellvertretenden Vorstandsvorsitzenden der GDD, Dr. Astrid Breinlinger, moderiert wurde, und an dem neben dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit auch die FDP-Bun-destagsabgeordnete Gisela Piltz sowie der Präsident des Deutschen Dialogmarketing Verbandes, Dieter Weng, teilnahmen.

In ihrem Schlusswort zur DAFTA, das nachfolgend in seinem Wortlaut wiedergeben wird, mahnte Dr. Breinlinger ein besonnenes und von Sachverstand geleitetes Vorgehen der Politik auf dem Weg zu einem neuen Datenschutzrecht an. Nicht alles an dem bis­herigen Datenschutzrecht sei veraltet und unbrauchbar. Ferner sei darauf zu achten, dass die Notwendigkeit der Stärkung der betrieblichen Da­tenschutzkontrolle nicht wieder ins Hintertreffen gerate.

“Sehr geehrte Damen und Herren, das Motto der diesjährigen DAFTA hieß ‚Neue Informationskultur - Neuer Datenschutz’.

Wahrscheinlich sind wir uns einig: Wir haben we­der das eine noch das andere. Bestenfalls sind wir auf dem Weg dahin und versuchen mühsam, uns zu orientieren.

Was wollen wir haben? Einen wehrhaften Datenschutz? Ja sicher, angesichts verschärfter Sicherheitsgesetze brauchen wir den Datenschutz als Verteidigung unserer Grundrechte nicht nur auf informationelle Selbstbestimmung, sondern auch der weitest möglichen Freiheit von Überwachung, der Möglichkeit unverstellter echter Selbstdarstellung und des Vertrauens darauf, dass diese Möglichkeiten erhalten bleiben.

Datenschutz schützt tatsächlich sowohl die individuelle persönliche Freiheit in vielen Ausprägungen wie auch die entsprechende gesellschaftliche Verfasstheit, in der sowohl Individuelles als auch Kollektives seinen Platz hat, Privatsphäre und Kom­mu­nikation. Hier haben uns die Beiträge von Prof. Bull und Prof. Hoffmann-Riem wesentliche
- wenn auch sicher nicht immer leicht verdauli-
che - Erkenntnisse gebracht.

Eine neue Informationskultur schenkt uns niemand, wir müssen sie wohl selbst schaffen; am ehesten dürfte sie sich jedoch aus dem tatsächlichen Leben und den Wünschen und Ansprüchen der Menschen herausbilden, mit allen Schwierigkeiten, die aus der Unterschiedlichkeit neben- und miteinander lebender Kulturen entstehen - ich denke hier an politische und regionale Unterschiede genauso wie an den Unterschied Jung gegenüber Alt. So betrachtet könnte es noch ein langer Weg sein.

Den Datenschutz gibt es höchstens in der Vorstellungswelt einer kleinen Gruppe von Menschen. Von daher bin ich eher misstrauisch, wenn in Um­fragen das Vertrauen in den Datenschutz abgefragt wird. In den steigenden Prozentzahlen derer, die kein Vertrauen in den Datenschutz haben, kommt die allgemeine Unsicherheit in krisenhaften Zeiten mindestens ebenso zum Ausdruck wie Ohnmachtsgefühle gegenüber der immer unbeherrschbarer werdenden und allgegenwärtigen Technik.

Wir brauchen eine neue Informationskultur, vor allem aber wirksame Maßnahmen, wenn wir eindämmen wollen, was immer mehr um sich greift: Kostenrisiko-Analyse gesetzwidrigen Handelns statt Befolgung geltenden Rechts, Datenschutz zum Billigtarif, aber eben auch populistisches For­dern von zunächst gut aussehenden Gesetzesänderungen, die vor allem den Vorteil haben, dass sie keine öffentlichen Gelder kosten – zumindest nicht sofort –, statt konsequenter Verfolgung von Gesetzesverstößen und angemessener Ausstattung der Aufsichtsinstanzen.

Und dann - oder auch parallel - können wir an das Nächste auf dem Weg zur neuen Informationskultur denken: Ein Datenschutzrecht, das
- ne­ben den weiterhin gültigen - neue Antworten ent­hält auf neue Technologien und auf sich aus ihrer Anwendung ergebende Risiken sowie die zunehmende globale Vernetzung.

Nicht alles an unserem Datenschutzrecht ist veraltet und unbrauchbar, wie uns Parlamentarier, die vor wenigen Monaten Datenschutz noch als ‚Exotenfach’ verstanden haben, zur Zeit weismachen wollen. Mich wundert es überhaupt nicht, dass die­se Politiker ein Verbot jeglicher Datenweitergabe ohne Einwilligung forderten - sie hatten sich gerade erst darüber aufklären lassen müssen, dass das BDSG die werbliche Nutzung einer Adresse auch ohne Einwilligung erlaubt.

Notwendig ist es, tatsächlich Antworten zu finden auf die Fragen, die z.B. gerade im Bereich der Ge­winnung und Nutzung von Daten über moderne Methoden auftreten, wie das Loggen und Aus­werten von Nutzerverhalten im Internet zu späteren Werbe- bzw. Steuerungszwecken. Ich spreche von ‚Phorm’, ‚Nebuad’, ‚Google Mail’ etc. In einigen Gesprächen mit Teilnehmern an die­ser DAFTA wurde mir bestätigt, dass Ihre Arbeit als Datenschutzbeauftragte einen wichtigen, wenn auch weniger spektakulären An­teil an der Schaffung von Datenschutzbewusstsein und Datenschutzkultur hat. Insoweit hat das The­ma ‚Datenschutz’ nicht nur allgemein, sondern auch in den Unternehmen selbst eine unerwartete Konjunktur bekommen. Und das nicht nur, weil bekannte Unternehmen in eine Datenschutzkrise gekommen sind. Das chinesische Wort für Krise setzt sich aus zwei Schriftzeichen zusammen - das eine bedeutet ‚Gefahr’ und das andere ‚Gelegenheit’. Nutzen Sie sie, bevor die Politik wieder wichtigere andere Themen vorzieht.”

27. RDV-Forum am 19. November 2008 in Köln

Das von Prof. Peter Gola (Vorstandsvorsitzender der GDD sowie RDV-Schriftleitung) moderierte
27. RDV-Forum stand unter dem Leitthema „Neuerungen im Datenschutzrecht - Weniger Überwachung, mehr Selbstbestimmung?“.

Einen Schwerpunkt der Veranstaltung bildete die Diskussion um die Notwendigkeit bzw. die möglichen Inhalte eines Arbeitnehmerdatenschutzgesetzes. Diesbezüglich schlug Prof. Dr. Gregor Thüsing (Institutsdirektor, Institut für Arbeitsrecht und Recht der Sozialen Sicherheit, Universität Bonn) zunächst eine klärende Bestandsaufnahme bezüglich wichtiger Regelungsgegenstände vor. Prof. Dr. Peter Wedde (Professor für Arbeitsrecht, Datenschutzrecht und Recht der Informationsgesellschaft, Fachhochschule Frankfurt/Main) und Michael Rahe (wissenschaftlicher Mitarbeiter von Silke Stokar von Neuforn, MdB, Bündnis 90/Die Grünen) befürworteten die Schaffung eines eigenständigen Arbeitnehmerdatenschutzgesetzes aus Gründen einer besseren Übersichtlichkeit und zur Schaffung von Rechtsklarheit. Die nachfolgende Abstimmung unter den Teilnehmern zeigte allerdings, dass ein eigenständiges Gesetz zum Schutz personenbezogener Beschäftigtendaten mehrheitlich für entbehrlich gehalten wird.

Die Interpretation des neuen Grundrechts auf Ver­traulichkeit und Integrität informationstechnischer Systeme im Hinblick auf das Arbeitsverhältnis, die Kontrolle des dienstlichen Telefon- und E-Mail-Verkehrs, Bewertungsportale im Internet, Einwilligungsklauseln im Lichte des BDSG und des UWG sowie aktuelle Entwicklungen im Datenschutz bei der Europäischen Kommission waren wei­tere Themenschwerpunkte des 27. RDV-Fo­rums. 

30. DAFTA am 16. und 17. November 2006 in Köln

Über die Zukunftsfähigkeit des Datenschutzes in Zeiten erhöhter Sicherheitsanforderungen und einer sich rasant entwickelnden Informationstechnologie diskutierten Politiker sowie Datenschutzexperten aus Wissenschaft und Wirtschaft anlässlich der 30. Datenschutzfachtagung (DAFTA), die unter dem Titel „Datenschutz in einer sich wandelnden Welt“ vom 16. bis 17. November 2006 in Köln stattfand.

Stärkung des Datenschutzbewusstseins

Der Vorstandsvorsitzende der GDD, Prof. Peter Gola, nahm das Leitthema der Veranstaltung zum Anlass, darauf hinzuweisen, dass sich der Stand des Datenschutzes in den nahezu dreißig Jahren, die das Bundesdatenschutzgesetz nunmehr bestehe, keineswegs verbessert habe. Die Politik messe dem Datenschutz nur unzureichende Bedeutung zu. Dies belege auch die Aussage der Bundesjustizministerin Brigitte Zypries anlässlich des diesjährigen Juristentags, wonach der Datenschutz es „derzeit nicht leicht habe“. Eine Kehrtwende, so Gola, könne nur über eine Stärkung des Datenschutzbewusstseins bei den politischen Entscheidungsträgern erreicht werden.

Datenschutz in der Wertediskussion

Nach Einschätzung von Prof. Dr. Dr. Wolfgang Ockenfels (Universität Trier, Lehrstuhl für Christliche Sozialwissenschaften) bahnt sich in Deutschland eine neue Wertediskussion an. Neun von zehn befragten Eliten sagten, politische Entscheidungen müssten stärker mit Werten begründet werden. Der Schutz der Privatsphäre sei bereits in den zehn Geboten angelegt. Diese enthielten zwar kein explizites Datenschutzgebot, aber implizit finde sich doch die Forderung: „Schütze Dein und Deines Nächsten Privatleben vor Eingriffen.“ Im Zeitalter der Informationsgesellschaft lasse sich dieses Gebot durchaus im Sinne des Datenschutzes und des Rechts auf informationelle Selbstbestimmung interpretieren. Die personal verstandene Würde eines jeden Menschen einschließlich seiner individuellen Freiheit und Selbstbestimmung sei heute stärkstes Argument für den Persönlichkeits- und Datenschutz.

Fortschreitende Erosion des Datenschutzes

Das Mitglied des Nationalen Ethikrates Prof. Dr. Dr. Spiros Simitis warnte vor der Annahme, die gegenwärtig vorhandenen Konzepte seien ausreichend, um einen effektiven Datenschutz auch in Zukunft gewährleisten zu können. Es bedürfe einer grundlegenden Neuregelung des Datenschutzrechts, wobei neben einer Zusammenführung von BDSG und bereichsspezifischen Datenschutzvorschriften insbesondere eine radikale Beschränkung des Zugangs zu personenbezogenen Daten sowie im Hinblick auf die ständig fortschreitende technologische Entwicklung eine Beschränkung der Geltungsdauer gesetzlicher Regelungen erforderlich seien. Der Umstand, dass der Bundesrat nunmehr entgegen ursprünglich gemachter Zusagen die partielle Freigabe der Mautdaten fordere, mache deutlich, dass es in derartigen Fällen eines gesetzlich geregelten Informationsverzichts bedürfe.

Die Erosion des Datenschutzes habe Mitte der 80er Jahre begonnen. Seitdem gebe es immer neue Höhepunkte:

• die Vorratsdatenspeicherung als Vorstufe zu einer beliebigen Datenverarbeitung,
• die Nutzung der datenschutzrechtlichen Einwilligung als Möglichkeit, gesetzliche Verarbeitungsregeln zu umgehen (z.B. Kundenkarten),
• die unaufhaltsame Expansion der Datenverarbeitung durch Dezentralisierung sowie Wegfall von Papierdokumenten und durch eine zunehmend ubiquitäre Verarbeitung,
• der Einsatz von Datawarehouse- und Dataminingverfahren in den Unternehmen.

In dem Maß, in dem nicht öffentliche Stellen ihre Verarbeitung ausweiteten, ließen sie auch Begehrlichkeiten des Staates wachsen.

Im Hinblick auf bereichsspezifische Regelungen wies Simitis darauf hin, dass der Bundesrat die Auffassung vertreten habe, das Fernmeldegeheimnis finde im Hinblick auf die bei der Internetnutzung anfallenden Daten keine Anwendung. Der Entwurf zur Antiterrordatei sei von verfassungsrechtlich gebotener Normenklarheit noch weit entfernt. Ferner sei es bedauerlich, dass auf europäischer Ebene bislang keine allgemeinen Regelungen zum Datenschutz im Rahmen der 3. Säule geschaffen worden seien.

Mit Blick auf die Zukunft des Datenschutzes vertrat Simitis die Auffassung, dass eine Diskussion auf nationaler Ebene nicht genüge. Vielmehr müssten gleichartige Regelungen auf internationaler Ebene angestrebt werden.

Verbraucherschutz durch Rahmenbedingungen und Selbstregulierung

Die Abteilungsleiterin im Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz Dr. Regina Wollersheim stellte fest, dass neben dem Staat in erster Linie die Unternehmen zu den Datensammlern des 21. Jahrhunderts gehörten. Digitaler Verbraucherschutz gehöre zu moderner Wirtschaftspolitik und ebne als vertrauensbildende Maßnahme den Weg für Innovation und Wachstum. Insgesamt seien im Verbraucherschutz Transparenz, Wahlfreiheit und Schutz vor Missbrauch unerlässlich.

Aus den Entwicklungen ergäben sich insbesondere folgende Handlungsfelder:

• Datenschutz bei RFID-Chips,
• Kundenkarten,
• mehr Transparenz beim Scoring,
• Bekämpfung von Spam-Mails und
• Sicherheit beim elektronischen Geschäftsverkehr.

Verbraucherschutz und wirtschaftliche Innovation, so die Referentin, seien nicht etwa Gegensätze, sondern gehörten eng zusammen. Politik und Verwaltung seien bemüht, die Entwicklung durch das Setzen von Rahmenbedingungen voranzubringen. Einen anderen Teil müsse die Wirtschaft z.B. durch Selbstregulierung beitragen.

Im Rahmen der nachfolgenden Diskussion zeigte sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Peter Schaar, „hin- und hergerissen“ zwischen dem Hinweis auf eine Erosion des Datenschutzes einerseits und den ebenfalls aufgezeigten Ansätzen für zukunftsgerichteten Datenschutz andererseits. Zukunftsfähiger Datenschutz müsse an der Förderung des Datenschutzbewusstseins ansetzen. Dem Einzelnen müsse deutlich gemacht werden, dass Datenschutzfragen zunehmend auch Relevanz für ihn persönlich erhielten, wie etwa dann, wenn seine Kreditanfrage wegen eines schlechten Scorewertes abgelehnt oder das Darlehen nur zu schlechteren Konditionen gewährt werde. Ein stärkeres Datenschutzbewusstsein, so Schaar, sei dabei vor allem über einen Bündnisschluss mit Verbraucherschutz und Wirtschaft zu erzielen.

Auf die verschiedentlich geäußerte Kritik an der Disponibilität von Persönlichkeitsrechten über weitreichende Einwilligungserklärungen reagierte Dr. Wollersheim mit dem Hinweis, dass man Entscheidungen von mündigen Verbrauchern akzeptieren müsse.

Angesichts der aktuellen Sicherheitsbedürfnisse und der immensen Potenziale moderner Datenverarbeitung sowie der damit verbundenen Herausforderungen an die informationelle Selbstbestimmung sei eine grundlegend neue Wertediskussion zu führen, konstatierte die stellvertretende Vorsitzende der GDD Dr. Astrid Breinlinger. Aus Sicht der GDD gehe es mit Blick auf eine zunehmende Verlagerung staatlicher Aufgaben auf Unternehmen (z.B. durch die Vorratsdatenspeicherung) darum, den Datenschutz zu verteidigen und unangemessene Belastungen zu vermeiden.

Anlässlich der 30. DAFTA wurde erstmals der GDD-Wissenschaftspreis verliehen, mit dem herausragende wissenschaftliche Arbeiten auf den Gebieten Datenschutz und Datensicherheit ausgezeichnet werden. Der mit der Verleihung verbundene Geldpreis soll auch zukünftig insbesondere der Förderung von Nachwuchswissenschaftlern dienen. Die GDD fungiert mithin als Schalt­stelle zwischen Wissenschaft und Datenschutzpraxis.

Der erste GDD-Wissenschaftspreis ging an Dr. Jörg Hladjk für seine juristische Dissertation „Online-Profiling und Datenschutz - Eine Untersuchung am Beispiel der Automobilindustrie“. In sei­ner Arbeit beschäftigt sich Hladjk mit dem Da­ten­schutzrecht bei der kundenindividuellen Massenproduktion. Gerade die Individualisierung der Massenproduktion führt zu einer detaillierten Erhe­bung von Kundendaten verbunden mit einer umfassenden Profilerstellung. Wesentliches Ge­stal­tungselement der Individualisierung stelle die Einwilligung des Kunden in die Datenverarbeitung dar.

25. RDV-Forum am 15. November 2006 in Köln

Unter der Leitung von Prof. Peter Gola (RDV-Schriftleitung) fand am 15. November 2006 in Köln das 25. RDV-Forum unter dem Leitthema „Ethics in Business - Datenschutz in der Unternehmenspolitik“ statt. Dem Leitthema entsprechend wurden verschiedene Aspekte des Kunden- und Arbeitnehmerdatenschutzes auch unter wirtschaftsethischen Gesichtspunkten behandelt.

Mit Blick auf den Kundendatenschutz stellte Dr. Ivo Geis (Rechtsanwalt, Hamburg) fest, dass der Datenschutz des BDSG für Kundenprofile und mobile Speichersysteme durch das Transparenz- und Einwilligungskonzept realisiert sei. Im Hinblick auf die Internetkommunikation bestehe aus seiner Sicht hinsichtlich der Verarbeitung von Nutzerdaten zu Kundenprofilen keine Alternative zur Einwilligung.

Dr. Astrid Breinlinger (Rechtsanwältin, Freiburg und GDD-Vorstandsmitglied) erörterte Whistle­blowing-Regelungen im Compliance-Management. Hierbei zeigte sie auf, dass es nach Auffassung der Aufsichtsbehörden der Einhaltung von Datenschutzprinzipien bedarf, um ethisch zweifelhafte Praktiken im Unternehmen durch die Gestaltung von Hinweisgebersystemen zu vermeiden.

Verschiedene Vorträge beschäftigten sich mit weiteren Aspekten der Ethik und des Datenschutzes im Arbeitsrecht. Dietrich Boewer (Rechtsanwalt, Köln) gab einen Überblick über die diesbezügliche Gesetzgebung und Rechtsprechung und richtete den Fokus auf die Verwendung allgemeiner Geschäftsbedingungen, die Arbeitsvertragsgestaltung sowie das neue Allgemeine Gleichbehandlungsgesetz (AGG). Prof. Peter Gola (RDV-Schriftleitung, Vorstandsvorsitzender der GDD) erörterte mit Blick auf das AGG, ob und inwieweit der Datenschutzbeauftragte als Beschwerdestelle im Sinne des AGG fungieren kann. Aus seiner Sicht erscheint es nicht abwegig, dem betrieblichen Datenschutzbeauftragten über die ihm sowieso zugeschriebene Funktion der Datenschutzkontroll- und -beschwerdestelle hinausgehend auch die Aufgabe der Kontrolle von Verstößen gegen das AGG zu übertragen.

Rechtsanwalt Christoph Klug (stellv. Geschäftsführer der GDD) zeigte die Konsequenzen der im Jahre 2006 erfolgten BDSG-Änderungen für betriebliche Datenschutzbeauftragte auf. Der Vortrag von Thomas Zerdick (Europäische Kommission) verdeutlichte insofern, dass die EU-Kom-
mission sich gegebenenfalls veranlasst sehen wird, die BDSG-Neuregelungen zur Lockerung der Pflicht zur Bestellung betrieblicher Datenschutzbeauftragter bei gleichzeitiger Lockerung der Meldepflicht auf eine Richtlinienkonformität hin zu überprüfen. 

Rückblick auf die 20. DAFTA am 30. und 31. Oktober 1996 in Köln

Datenschutz nach 20 Jahren BDSG

Ende 1976 wurde nicht nur das erste Bundesdatenschutzgesetz (BDSG) im Deutschen Bundestag verabschiedet, sondern auch die Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) als gemeinnütziger Verein gegründet. Anläßlich der 20. Datenschutzfachtagung (DAFTA) der GDD, die unter dem Leitthema „Datenschutz nach 20 Jahren BDSG“ stand, gab der Vorstandsvorsitzende der GDD, Herr Bernd Hentschel, zunächst einen Überblick über die Entwicklung der Gesellschaft für Datenschutz und Datensicherung e.V. und zeigte zugleich die Perspektiven auf, die insbesondere hinsichtlich der Novellierung des Bundesdatenschutzgesetzes auf Grundlage der EG-Datenschutzrichtlinie von seiten des Veranstalters gefordert werden.

Herr Hentschel würdigte eingangs die tragenden Leitlinien des Bundesdatenschutzgesetzes (BDSG). Das vor 20 Jahren verabschiedete BDSG sei eines der wenigen vorzeigbaren Gesetzeswerke, das sich die liberalen Grundprinzipien für den privatwirtschaftlichen Bereich, nämlich soviel Eigeninitiative wie möglich und soviel Staat wie unbedingt nötig, zu eigen gemacht habe. Versinnbildlicht sei das Bundesdatenschutzgesetz als tragende Dach- oder Brückenkonstruktion zur Sicherstellung des Persönlichkeitsschutzes vorstellbar. Man könne den Architekten, Konstrukteuren und Baumeistern aus heutiger Sicht bestätigen, daß dieses Gesetz solide konstruiert und dem technologischen Wandel von der zentralen über die dezentrale bis hin zur vernetzten Informations- und Kommunikationsverarbeitung standgehalten habe. Das BDSG habe maßgeblichen Anteil daran, daß man heute Datenschutz und Datensicherheit auf dem Weg zur Dienstleistungs- und Informationsgesellschaft als Qualitäts- und Wettbewerbsfaktor einbringen könne. Das BDSG habe zugleich die GDD erst ermöglicht und der DAFTA als öffentliche Plattform, Prüfstand und Diskussionsforum zu ihrer heutigen Bedeutung verholfen.

In seinem Rückblick richtete Herr Hentschel eine Dankadresse an alle Weggefährten, Förderer, Unterstützer und Mitarbeiter der GDD, die sich um den betrieblichen und behördlichen Datenschutz sowie um das BDSG verdient gemacht haben. Er erinnerte gleichzeitig an die „Architekten und Baumeister“, die maßgeblichen Anteil an der Erarbeitung des BDSG hatten, welches bislang nur einmal novelliert werden mußte. Dabei rief er namentlich Vertreter der Legislative, Exekutive und Judikative in Erinnerung, die sich um die Erarbeitung und Novellierung des BDSG verdient gemacht haben. Des weiteren hob Herr Hentschel die bisherigen Bundesbeauftragten für den Datenschutz sowie führende Repräsentanten aus dem Bereich des Datenschutzes im nicht-öffentlichen und öffentlichen Bereich hervor.

Der GDD komme in der Frage des Datenschutzes eine Wächterfunktion zu. Sie trete als Selbsthilfeorganisation von Wirtschaft und Verwaltung für einen sinnvollen, wirtschaftlich vertretbaren und technisch realisierbaren Datenschutz ein. Bereits im Rahmen der ersten BDSG-Novellierung habe die GDD dazu beigetragen, die Selbstkontrolle und damit den betrieblichen Datenschutzbeauftragten zu stärken.

Der Vorstandsvorsitzende der GDD kam zu dem Ergebnis, daß sich die Konstruktion des deutschen Datenschutzrechts auch in der Differenzierung zwischen nicht-öffentlichem und öffentlichem Bereich bewährt habe. Die positiven Erfahrungen mit einer dezentralen Datenschutzkontrolle sollten auch in die anderen EU-Länder exportiert werden. Bürokratisierungstendenzen im Datenschutz sei, so Hentschel, entschieden entgegenzutreten. Die GDD werde weiterhin neben dem Prinzip der Selbstkontrolle auch für die Grundsätze der Angemessenheit und der Verhältnismäßigkeit eintreten.

20 Jahre Bundesdatenschutzgesetz - Vom Stiefkind zum Exportmodell

Der Staatssekretär im Bundesministerium des Innern, Herr Dr. Eckart Werthebach, skizzierte in seinem Vortrag eingangs die Entwicklungen des BDSG. Er erinnerte, daß das BDSG trotz anfänglicher Berührungsängste von der Wirtschaft rasch angenommen und in die Praxis umgesetzt worden sei. Er dankte der GDD und ihren Repräsentanten für ihr zukunftsweisendes Engagement um die Einführung und Fortentwicklung des Datenschutzes in Wirtschaft und Verwaltung. Die GDD habe durch zahlreiche Fortbildungsveranstaltungen für das BDSG geworben und maßgeblich dazu beigetragen, daß die Anwender ihre Datenverarbeitung zügig den Anforderungen dieses neuen Gesetzes anpassen konnten. Die Entwicklungen des Datenschutzrechts seien vor allem auch durch die jährlichen Fachtagungen gefördert worden.

Herr Werthebach hob die bundesdeutsche Beteiligung bei der Erarbeitung der EU-Datenschutz-richtlinie in Brüssel hervor. Bei den Verhandlungen sei es, so Herr Dr. Werthebach, gelungen, den hohen Standard des BDSG zu wahren, die Regelungsdichte der vorgesehenen Vorschriften zu reduzieren und die Harmonisierung auf das zu beschränken, was zwingend für die Verwirklichung des Binnenmarktes notwendig schien. Eine Reihe von Prinzipien deutscher Rechtstradition spiegele sich in der Richtlinie wieder, so der Grundsatz des Verbots mit Erlaubnisvorbehalt (Artikel 7), das Medienprivileg (Artikel 9), vor allem aber die Institution des betrieblichen Datenschutzbeauftragten (Artikel 18), die das deutsche System der datenschutzrechtlichen Selbstkontrolle garantiere. Das BDSG sei insoweit erfolgreich in die Richtlinie „exportiert“ worden. Insgesamt habe die deutsche Delegation, vor allem auch die Repräsentanten der deutschen Wirtschaft, in Brüssel wichtige Überzeugungsarbeit geleistet für die Erhaltung bewährter und gewachsener Strukturen in den Mitgliedsstaaten und gegen einen überzogenen Bürokratismus. Abschließend erläuterte Herr Werthebach, die Umsetzung der EU-Richtlinie bedeute eine Weiterentwicklung des BDSG, sie erfordere aber keine Änderung der wesentlichen Strukturprinzipien des Gesetztes. Das differenzierende Kontrollsystem bleibe mitsamt den bestehenden Kompetenzregelungen erhalten. Allein der betriebliche Datenschutzbeauftragte werde noch stärker in den Vordergrund des neuen BDSG rücken.

Der BfD: 20 Jahre Anwalt für den Datenschutz

Der Bundesbeauftragte für den Datenschutz (BfD), Herr Dr. Jacob, skizzierte in seinem Vortrag die Entwicklungen der Rahmenbedingungen im Laufe von 20 Jahren Datenschutzkontrolle und verband dies mit einem Ausblick auf die Fragestellungen, die in Zukunft zu behandeln und zu lösen sein werden. Er gratulierte eingangs der GDD für ihr erfolgreiches Wirken über zwei Jahrzehnte hinweg, das ein wesentlicher Punkt für die Verhandlungen in Brüssel gewesen sei, damit das deutsche Modell in die Richtlinie aufgenommen und der mit einem zentralen Melderegister verbundene bürokratische Aufwand verringert werden konnte. Bis zur Endphase der Verabschiedung habe es in Brüssel Widerstände gegen das System der dezentralen Selbstkontrolle gegeben. Deshalb sei es um so erfreulicher, daß andere Mitgliedsstaaten nun Überlegungen anstellten, diese Prinzipien zu übernehmen.

Herr Dr. Jacob wies darauf hin, daß durch die technischen Entwicklungen für den einzelnen Bürger weitere Gefahrenpotentiale aus dem nicht-öffentlichen Bereich entstanden seien, so z.B. im Zusammenhang mit Videoüberwachung, Chipkarten, Multimedia etc.. Andererseits eröffne die moderne Technik aber auch die Möglichkeit dem neuen Grundsatz der Datensparsamkeit durch Anonymisierungsverfahren Rechnung zu tragen. Der Entwurf des sogenannten Multimediagesetzes (IuKDG), welcher den vorgenannten Grundsatz beinhaltet, nutze in lobenswerter Weise die Chancen, die die technische Entwicklung biete. Der Entwurf sehe überdies eine klare Zweckbindungsregelung vor, wonach die geänderte Nutzung die Einbindung, zumindest aber eine Widerspruchsmöglichkeit des Betroffenen erfordere. Gleichwohl müsse angesichts der fortschreitenden Entwicklungen auch in Zukunft der Schutz der Privatheit des Einzelnen auch im nicht-öffentlichen Bereich im Auge behalten werden.

Datenschutz als Qualitäts- und Wettbewerbsfaktor

Die Einhaltung datenschutzrechtlicher Vorschriften ist nach Auffassung des Datenschutzbeauftragten des Daimler-Benz-Konzerns, Prof. Dr. Alfred Büllesbach, nicht nur gesetzliche Obliegenheit, sondern zugleich Qualitäts- und Wettbewerbsfaktor. Diese Aussage belegte Herr Prof. Dr. Büllesbach anhand des Umstandes, daß Datenschutz für Kunden und Verbraucher zunehmend relevanter wird. Herr Prof. Dr. Büllesbach führte sodann zahlreiche Kriterien an, die für die wachsende Bedeutung von Datenschutz maßgeblich seien. Einhergehende Risikopotentiale stellten sich für Unternehmen als neue Herausforderungen dar. Datenschutz müsse zum positiv besetzten Markenzeichen eines Unternehmens gehören. IT-Sicherheit und Datenschutzanforderungen müßten zu einem integrativen Bestandteil des Qualitätsmanagements werden. Die Kontrolle des hierzu notwendigen Datenschutzqualitätskonzepts obliege dem betrieblichen Datenschutzbeauftragten. Vor dem Hintergrund der vorerwähnten Entwicklungen und im Hinblick auf die erforderliche Akzeptanz durch Kunden und Verbraucher, habe sich Datenschutz vom zulässigen Wettbewerbshindernis zu einem regelrechten Qualitäts- und Wettbewerbsfaktor entwickelt. Schließlich betonte Herr Prof. Dr. Büllesbach das hohe Eigeninteresse der Wirtschaft, den Datenschutz in ihr Qualitätsmanagement einzubinden. Anderenfalls werde der Staat diesen Bereich langfristig restriktiv regulieren.

13. RDV-Forum am 29. Oktober 1996 in Köln

Das Maternushaus in Köln war auch dieses Jahr wieder Tagungsort des alljährlich im Vorfeld der DAFTA stattfindenden RDV-Forums. Das 13. Forum der von der GDD mitherausgegebenen RDV stand unter dem Leitthema „Tele-Datenschutz in der Praxis“. Nach der Begrüßung durch Herrn Prof. Peter Gola (Schriftleitung RDV) stand das Programm der Vormittagsveranstaltung ganz im Zeichen von Teledienste- und Telekommunikationsdatenschutz. Herr Stefan Engel-Flechsig (Regierungsdirektor, Referat Multimedia - Rechtliche Rahmenbedingungen, Bundesministerium für Bildung, Wissenschaft, Forschung und Technologie) führte in die datenschutzrechtlichen Vorschriften des neuen Informations- und Kommunikationsdienste-Gesetzes (IuKDG) ein. Er verdeutlichte dabei u.a. die gesetzgeberische Intention des Artikelgesetzes, dessen systematische Einordnung und den Geltungsbereich. Überdies ging Herr Engel-Flechsig auf einzelne Regelungstatbestände und insbesondere auch auf die allgemeinen Grundsätze des IuKDG ein. Zusammenfassend erklärte der Regierungsdirektor, durch das IuKDG würden neue Wege beschritten, die der Entwicklung im Bereich der neuen Informations- und Kommunikationstechnologien Rechnung tragen würden.

Im Anschluß hieran stellte Herr Helmut Schadow (Regierungsdirektor, Referatsleiter Zentralabteilung Datenschutz, Bundesministerium für Post- und Telekommunikation) die Zielsetzung, den Inhalt und den Anwendungsbereich der Telekommunikationsdienstunternehmen-Datenschutzverordnung (TDSV) dar. Hierbei wurden aktuelle Fragestellungen zum Telekommunikationsdienstleistungsbereich berücksichtigt und einer Subsumtion unter die einschlägigen Regelungen des TDSV zugeführt. Herr Schadow schloß seinen Vortrag mit der Feststellung, daß die Bundesregierung aufgrund gesetzlicher Vorgabe aufgefordert bleibe, schon bald eine neue bereichsspezifische Datenschutzverordnung für den Telekommunikationssektor mit Zustimmung des Bundesrates zu erlassen. Überdies sei die Richtlinie des Europäischen Parlaments über den Schutz der Privatsphäre im Bereich der Telekommunikation in die Novellierung mit einzubeziehen.

Die Vormittagsveranstaltung schloß mit dem Referat von Herrn Rechtsanwalt Thomas Müthlein, Vorstandsmitglied der GDD, zum Thema „Neue Techniken - neue Medien - neue Verpflichtungen für den Datenschutz? - Bewertung der Gesetzesinitiativen durch die GDD e.V.“. Der Referent stellte fest, daß der Bundesgesetzgeber den durch die technische Entwicklung im Multimediabereich entstandenen Handlungsbedarf erkannt habe und nunmehr durch bereichsspezifische Neuregelungen reagiere. Nachfolgend verdeutlichte Herr Müthlein die Standpunkte und Ziele der GDD im Zusammenhang mit den verschiedenen Gesetzesinitiativen. Eine „Überfrachtung“ des BDSG durch Neuregelungen sei zu vermeiden. Das Gesetz müsse handhabbar bleiben. Darauf sei auch bei der Einarbeitung der EU-Datenschutzrichtlinie, welche auch bei der anstehenden Überarbeitung der TDSV zu berücksichtigen sei, zu achten. Des weiteren plädierte der Referent im Namen der GDD für die Aufrechterhaltung einer strengen Trennung des privatwirtschaftlichen Bereichs von dem öffentlichen Bereich auch bei Neuregelungen. Der Vortrag schloß mit der zusammenfassenden Feststellung, daß einigen der neuen Ansätze bei Bewährung durchaus Modellcharakter zukommen könne.

Zu Beginn der Nachmittagsveranstaltung standen die Themen „Telearbeit“ bzw. „Teleheimarbeit“ im Mittelpunkt. Sie wurden von den Referenten aus unterschiedlichen Blickwinkeln heraus abgehandelt. Während Herr Dipl.-Ing. Hans-Ulrich List (Geschäftsführer TA-Telearbeit, Gesellschaft für innovative Arbeitsformen mbH) auf die Chancen und Möglichkeiten der Telearbeit für Unternehmen einging, beleuchtete Herr Heiko Kern (Berater Datenschutz und Technologiepolitik der Deutschen Postgewerkschaft) das Thema Datenschutz bei Teleheimarbeit aus Arbeitnehmersicht.

Herr List stellte in seinem Vortrag zunächst aktuelle Anwendererfahrungen dar. Dabei wurden verschiedene Modelle von Telearbeit unter Berücksichtigung der organisatorischen und technischen Gestaltung vorgestellt. Wirtschaftliche und qualitative Vorteile der Telearbeit wurden ebenso erörtert, wie deren Potentiale.

Herr Kern stellte Gefahren und Chancen der Telearbeit vornehmlich aus Arbeitnehmersicht dar. Neben arbeitsrechtlichen Problemstellungen ging er auch auf verfassungs- und datenschutzrechtliche Problematiken ein. Nach diesem Problemaufriß stellte der Referent die von der Deutschen Postgewerkschaft (DPG) für den Abschluß eines Tarifvertrages zur Pilotierung alternierender Teleheimarbeit entwickelten Grundprinzipien vor. Zusammenfassend stellte Herr Kern fest, daß Telearbeit auf Arbeitnehmerseite ein breites Interesse finde und der begonnene Entwicklungsprozeß vorangebracht werden solle.

Als nächster Redner gab Herr Dietrich Boewer (Vorsitzender Richter am Landesarbeitsgericht Düsseldorf) Einblicke in die Konsequenzen, die die BAG-Entscheidung vom 30.08.1995 im Hinblick auf den Umgang mit Telefondaten und die Leistungsüberwachung am Telefonarbeitsplatz hat. Der Beschluß des Bundesgerichts hatte eine Betriebsvereinbarung zum Gegenstand, welche es dem Arbeitgeber erlaubt, externe Telefongespräche der Arbeitnehmer in deren Gegenwart zu Ausbildungszwecken mitzuhören. Das Gericht bestätigte die rechtliche Zulässigkeit der Betriebsvereinbarung und damit auch die grundsätzliche Zulässigkeit des Einsatzes von ACD-Telefonanlagen. Im konkreten Fall erlaubt die Betriebsvereinbarung jedoch nur das Mithören während der Probezeit. Ob darüber hinaus jedes Mithören eines geschäftlichen Telefonats mit Kenntnis und in Gegenwart des betroffenen Arbeitnehmer zulässig ist, ließ das Gericht offen.

Im Anschluß an Herrn Boewer referierte Herr Harald Eul (Leiter Datenschutz, Citicorp Deutschland AG) zum Thema Telebanking. Er zeigte detailliert die Risiken für Bank und Nutzer auf und präsentierte vielfältige Lösungsmöglichkeiten für die einzelnen Problemfelder. Die Ausweitung des PC-Banking sei, so der Referent, für die Kreditwirtschaft die nächste Herausforderung. Datenschutz sei der Schlüssel zum Erfolg, wenn es darum gehe, die Akzeptanz des Bankkunden für neue Vertriebswege zu gewinnen.

Das 13. RDV-Forum endete mit einem Vortrag von Herrn Prof. Dr. Peter Glotz (Universität München, Kommunikationswissenschaftler und Publizist, ehemaliger Bundesgeschäftsführer der SPD) zum Thema „Informationsgesellschaft 2000 (Chancen und Risiken)“. Der Vortrag des Referenten verband die rapide Entwicklung im Medien- und Kommunikationsbereich mit der gleichzeitig sich vollziehenden Wandlung gesellschaftlicher Strukturen. Prof. Dr. Glotz sieht die Politik aufgerufen, Potentiale der Innovationen freizulegen. Er befürwortete eine liberale und dezentrale Kommunikationspolitik, wies aber gleichzeitig auf die Notwendigkeit von Regulierungen hin. Schließlich appellierte der Referent an einen selbstverantwortlichen Umgang mit den technischen Neuerungen. 

Rückblick auf die 21. DAFTA am 20. und 21. November 1997 in Köln “Neue Technologien - Neuer Datenschutz“

Im Mittelpunkt der 21. Datenschutzfachtagung der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) am 20. und 21. November 1997 in Köln standen die neuen Datenschutzregelungen im Bereich Multimedia sowie die Novellierung des Bundesdatenschutzgesetzes auf Grundlage der EG-Datenschutzrichtlinie.

Der Vorstandsvorsitzende der GDD, Bernd Hentschel, betonte bei der Eröffnung der 21. DAFTA den dringenden Handlungsbedarf des Gesetzgebers im Hinblick auf die Novellierung des Bundesdatenschutzgesetzes (BDSG) auf Grundlage der EG-Datenschutzrichtlinie. Mitte Oktober 1998 laufe die von der EU vorgegebene dreijährige Umsetzungsfrist ab, ohne daß bisher den Fachverbänden und der Wirtschaft ein Novellierungsentwurf vorgelegt worden sei. Die Wirtschaft müsse sich, so Hentschel, möglichst bald mit dem Regierungsentwurf auseinandersetzen können, um ihre Handlungsfähigkeit und Selbstkontrolle in Fragen des Datenschutzes zu wahren. Der GDD-Vorstands-vorsitzende forderte den Gesetzgeber aus aktuellem Anlaß auf, im Rahmen der Novellierung auch gleich die Kompetenzen der Datenschutzbeauftragten bzgl. der Kontrolle der Mitarbeitervertretung zu klären. Er bezog sich dabei auf eine Entscheidung des Bundesarbeitsgerichts vom 11. November 1997, in der eine lückenhafte Datenschutzgesetzgebung festgestellt und den betrieblichen Datenschutzbeauftragten ein Kontrollrecht gegenüber dem Betriebsrat abgesprochen worden war. Vor diesem Hintergrund forderte Hentschel die Einbettung des Betriebsrats in den Selbstkontrollmechanismus des Unternehmens, um im Tätigkeitsfeld der Mitarbeitervertretungen datenschutzfreie Zonen zu vermeiden. Mit Blick auf die Multimediagesetzgebung appellierte er an die Datenschutzveranwortlichen, die neuen Regelungen auf ihre praktische Handhabbarkeit und etwaigen Nachbesserungsbedarf zu überprüfen.

„Multimedia möglich machen - Ziele und Regelungsschwerpunkte des neuen Multimediarechts“

Der zuständige Abteilungsleiter im Bundesministerium für Bildung, Wissenschaft, Forschung und Technologie, Dr. Klaus Rupf, erläuterte die Ziele und Regelungsschwerpunkte des im August 1997 in Kraft getretenen Informations- und Kommunikationsdienstegesetzes (IuKDG), das die Rahmenbedingungen für Informations- und Kommunikationsdienste regelt. Er betonte, daß die Wirtschaftsförderung ein Hauptziel des IuKDG sei. Rechtsetzung sei als Instrument der Marktöffnung und Innovationsförderung eingesetzt worden mit dem Ziel, Grundsätze und Maßstäbe zu schaffen, die Rechts- und Planungssicherheit für Unternehmen ermöglichten. Um „Multimedia möglich zu machen“, habe der Gesetzgeber das Gesetz schlank gehalten. Man habe den dynamischen Wandel, der noch lange nicht abgeschlossen sei, nicht durch gesetzliche Regelungen behindern wollen. Vielmehr habe man behindernde rechtliche Regelungen im Wege der Deregulierung abgeschafft. Es seien allerdings bestimmte Neuregelungen zum Schutz der Nutzer und nicht zuletzt im Sinne der Wirtschaft zwingend notwendige gewesen. Ohne Regelungen zum Schutz der Nutzer, so der Referent, ließe sich auch keine Akzeptanz für neue Multimedia-Dienste erreichen, wobei dies sich wiederum negativ auf das Wirtschaftswachstum in dem betreffenden Bereich auswirken würde.

Dr. Rupf erläuterte, daß der Gesamtbereich der Informations- und Kommunikationsdienste in Übereinstimmung mit den Ländern in drei Bereiche zerlegt worden sei. Der erste Bereich betreffe die Teledienste und sei vom Bund geregelt worden. Die sogenannten Mediendienste seien im Mediendienste-Staatsvertrag der Länder geregelt. Der Rundfunkbereich sei von den Ländern im Rundfunkstaatsvertrag geregelt worden. Die Kernpunkte der Gesetzeswerke, so der Referent, seien allerdings wort- bzw. inhaltsgleich.

Das IuKDG beinhalte neues Recht im wesentlichen nur in den Artikeln 1-3. Ansonsten seien weitgehend nur Anpassungen bestehenden Rechts erfolgt. Unter das IuKDG fielen Dienste, die auf individuelle Nutzung ausgerichtet seien, insbesondere Online-Dienste. Dem Mediendienste-Staatsvertrag der Länder unterfielen hingegen an die Allgemeinheit gerichtete Dienste mit überwiegend meinungsbildendem Charakter.

Als einen besonders wesentlichen Punkt, der ein Hauptziel des Gesetzgebers betreffe, nannte Dr. Rupf die in Artikel 1 IuKDG geregelte Zugangsfreiheit. Sie ermögliche den Unternehmen einen zulassungs- und anmeldefreien Zugang und sei ein Beispiel für die Deregulierungsbestrebungen des Gesetzgebers. Inzwischen sei auch die Verantwortlichkeit von Dienste-Anbietern eingeschränkt worden. Es sei nunmehr gesetzlich festgelegt, daß der Diensteanbieter nur für eigene Inhalte und für fremde Inhalte nur im Rahmen der Zumutbarkeit verantwortlich sei. Hierdurch sei insbesondere die Frage der strafrechtlichen Verantwortlichkeit des sogenannten ACCESS-Providers geklärt.

Wegen der Gefahren durch fortschreitende Technologie und Vernetzung und mit Blick auf die bestehenden EU-Vorgaben seien Neuregelungen im Bereich des Datenschutzes erforderlich gewesen. Der Benutzer müsse darüber informiert werden, welche Daten erhoben werden. Für Zweckänderungen beim Umgang mit den Daten sei die Zustimmung des Betroffenen erforderlich. Diese könne jedoch nunmehr elektronisch erteilt werden. Im übrigen dürften nur Vertragsdaten erhoben und gespeichert werden, Nutzungsdaten seien zur Vermeidung von Datenspuren umgehend zu löschen. Weiterhin sei in Umsetzung der entsprechenden EG-Richtlinie das geistige Eigentum bei Datenbanken unter Schutz gestellt worden.

Im Hinblick auf die „Digitale Signatur“ (Artikel 3 IuKDG) sei wichtig, daß es gelungen sei, Regelungen zu schaffen, die es ermöglichten, Zertifizierungsstellen auf privater Basis zu errichten. Dies zeige, daß man möglichst viel Marktwirtschaft in das System habe einbringen wollen. Auch die Digitale Signatur sei ein Novum und stelle lediglich ein Angebot an den Nutzer dar. Der Gesetzgeber hege die Hoffnung, daß das System der Digitalen Signatur sich als sicher im Rechts- und Geschäftsverkehr erweisen werde. Dies müsse jedoch eine Erprobungsphase noch zeigen.

Zum Abschluß seines Vortrags gab Dr. Rupf einen Ausblick auf das weitere Verfahren. Er stellte fest, daß dem IuKDG Vorbildfunktion im internationalen Bereich zukommen könne. Allerdings stehe dem IuKDG die eigentliche Bewährungsprobe noch bevor. Man habe in dynamische Entwicklungen und teilweise in Neuland hinein reguliert. Dies könne man nur tun, wenn man offen sei für Streichungen, Änderungen und Nachbesserungen. Aus gutem Grund habe der Bundestag der Bundesregierung aufgegeben, die neuen Gesetze sehr sorgfältig zu evaluieren. Innerhalb der Evaluierungsfrist von 2 Jahre seien auch die Vertreter der Wirtschaft aufgerufen, ihre Anregungen und Kritik einzubringen. Man habe allerdings die Hoffnung, daß ein Fundament für neue unternehmerische Aktivitäten geschaffen worden sei. Deutschland müsse im Multimediabereich mit vorangehen und hierfür solle auch und insbesondere das IuKDG die Grundlage sein.

„Die neuen Datenschutzregelungen aus Sicht des Bundesbeauftragten“

Der Bundesbeauftragte für den Datenschutz, Dr. Joachim Jacob, stimmte mit Dr. Rupf darin überein, daß der feste Wille der Politik, den Weg in die Informationsgesellschaft zu ebnen, mit den Multimediagesetzen deutlich werde. Mit dem gesetzten Rahmen könnten sowohl Wirtschaft als auch Nutzer zufrieden sein. Gerade die Bestimmungen zum Datenschutz, so Dr. Jacob, seien gelungen. Sie gingen sogar über das hinaus, was Datenschutz-Gesetzge-bung allgemein sicherzustellen habe. Die Gebote der Zweckbindung, Datensparsamkeit und Transparenz seien wesentlich für das Vertrauen zwischen dem Nutzer und dem Anbieter und bedeuteten eine Grundlage für wirtschaftlichen Erfolg. Dr. Jacob räumte jedoch ein, daß die jetzt getroffenen Regelungen noch nicht „das letzte Wort“ sein könnten und Änderungen weiterhin möglich seien.

Im Hinblick auf die Novellierung des BDSG plädierte der Bundesbeauftragte für eine fristgerechte Umsetzung der EG-Datenschutzrichtlinie bei gleichzeitiger Modernisierung des Datenschutzrechts. Den veränderten rechtlichen, technischen und sozialen Entwicklungen sei es angemessen, über den Regelungsrahmen der Richtlinie hinaus zu gehen. In diesem Zusammenhang führte Dr. Jacob mehrere Ergänzungswünsche an. Diese betrafen beispielsweise Regelungen zum Videoeinsatz und zur Chipkartenverwendung. Auch die Möglichkeit eines Datenschutz-Audits sollte seiner Auffassung nach in die Novellierung einbezogen werden. Neuregelungen der vorgenannten Art könnten zwar mit Rücksicht auf die drängende Zeit teilweise zurückgestellt werden, sie sollten aber schon jetzt möglichst umfangreich Berücksichtigung finden.

„Stand der Novellierung des Bundesdatenschutzgesetzes“

Die für den Datenschutz zuständige Referatsleiterin im Bundesinnenministerium, Dr. Martina Weber, verdeutlichte das Bemühen ihres Hauses, die Novellierung des BDSG noch fristgerecht zu bewerkstelligen. Insbesondere die kurze Umsetzungsfrist von drei Jahren und die unterschiedlichen Interessenlagen der beteiligten Gremien hätten es bis dato nicht möglich gemacht, einen offiziellen Entwurf an die Öffentlichkeit zu tragen. Frau Dr. Weber skizzierte im einzelnen die grundlegenden Differenzen, welche die Gesetzesnovelle begleiten. Der Deutsche Bundestag habe dem Innenministerium die Marschroute vorgegeben, die Richtlinie möglichst schlank umzusetzen und sich bei Neuregelungen auf das Notwendigste zu beschränken. Innerhalb der Bundesregierung gäbe es allerdings auch Strömungen dahingehend, daß über die Vorgaben der EG-Richtlinie hinausgegangen werden solle. Angestrebt werde dabei eine weitgehende Überarbeitung des deutschen Datenschutzrechts. Zu einer solchen Novelle sei das Innenministerium jedoch bislang nicht bereit gewesen.

Trotz des verbleibenden Diskussionsbedarfs gehe man von seiten des Innenministeriums davon aus, noch im Dezember 1997 den Ländern und Verbänden einem offiziellen Entwurf zur Stellungnahme vorlegen zu können. 

RDV-Foren am 13. Mai und am 19. November 1997 in Köln 

15. RDV-Forum

Begleitend zur DAFTA fand am 19. November 1997 das 15. RDV-Forum im Kölner Maternushaus statt.

Das Eröffnungsreferat von Heinz Lanfermann (Staatssekretär im Bundesministerium der Justiz) beschäftigte sich mit den „Rahmenbedingungen einer liberalen Informationsgesellschaft“. Der Referent veranschaulichte die zunehmende Bedeutung von Telekommunikationsdiensten, Medien- und Telediensten für die Gesellschaft. Liberal dürfe sich aus der Sicht des Datenschutzes nur eine Informationsgesellschaft nennen, die alles in ihrer Macht stehende tue, um den größtmöglichen Grundrechtschutz im Bereich der informationellen Selbstbestimmung und des Fernmeldegeheimnisses zu gewährleisten, wobei dies zugleich in Einklang mit dem freien Fluß der Informationen gebracht werden müsse. Vor diesem Hintergrund attestierte der Referent Bund und Ländern hinsichtlich der Schaffung des Telekommunikationsgesetzes (TKG), des Teledienstedatenschutzgesetzes (TDDSG) und des Mediendienste-Staatsvertrages einen bemerkenswerten Erfolg.

Hermann R. Neus (Unternehmensbeauftragter Telekommunikation und Medien, IBM Deutschland Informationssysteme GmbH) betrachtete die neuen Regelungswerke aus einem anderen Blickwinkel, indem er die Frage „Informations- und Kommunikationsdienstegesetz und Telekommunikationsgesetz - Quo vadis?“ aufwarf. Der Referent stellte damit kritisch die Frage nach einer richtigen Weichenstellung für die Informationsgesellschaft. Bisherige Entwicklungen im nationalen und internationalen Bereich zeigten, daß sich das Internet schneller entwickele als der nationale Gesetzgeber.

Neben den sog. „Tele-Gesetzen“ stand die Datenschutzkontrolle im Mittelpunkt des 15. RDV-Forums.

Dr. Thomas Giesen (Sächsischer Datenschutzbeauftragte) untersuchte die Rechtsstellung, Aufgaben und Befugnisse der Datenschutzkontrollstellen nach Art. 28 der EG-Datenschutzrichtlinie. Hans-Hermann Schild (Vorsitzender Richter am Verwaltungsgericht Wiesbaden) widmete sich dem internen Datenschutzbeauftragten und dessen neuen Aufgaben in Betrieb und Verwaltung nach Umsetzung der EG-Datenschutzrichtlinie. Prof. Peter Gola (RDV-Schriftleitung, Vorstandsmitglied der GDD) referierte zum Verhältnis zwischen Datenschutzbeauftragtem und Betriebs- bzw. Personalrat. Dabei ging er speziell auf die gegenseitige Kontrolle und die Pflicht zur gegenseitigen Kooperation ein.

Oliver Merkle, Datenschutzbeauftragter der deutschen Telekom AG, beschäftigte sich mit dem Thema „ Datenschutzkontrolle bei Telearbeit: Probleme der Datenschutzkontrolle bei ausgelagerter DV“. Prof. Douwe Korff (international data protection consultant) behandelte die Datenschutzkontrolle im EG-Vergleich.

Abschließend referierte Prof. Dr. Dr. h.c. Spiros Simitis (J.W. Goethe-Universität, Frankfurt) zum grenzüberschreitenden Datenverkehr in und aus Europa unter Berücksichtigung der Vorgaben der EG-Datenschutzrichtlinie. 

14. RDV-Forum

Im Dezember 1996 war vom Bundeskabinett der Entwurf eines Informations- und Kommunikationsdienstegesetzes (IuKDG) verabschiedet worden. Ein Inkrafttreten des Gesetzes war bereits für Juli 1997 in Aussicht genommen worden. Angesichts dieser raschen Entwicklung veranstaltete die GDD am 13. Mai 1997 im Maternushaus in Köln das 14. RDV-Forum, um insbesondere die Auswirkungen der vorgesehenen Regelungen auf Unternehmen transparent zu machen.

Regierungsdirektor Stefan Engel-Flechsig, zuständig für das Referat „Multimedia-Gesetzgebung“ im federführenden Bundesministerium für Bildung, Wissenschaft, Forschung und Technologie (BMBF), erläuterte die mit dem IuKDG verfolgte Regelungsintention und gab einen Überblick über die vorgesehenen datenschutzrechtlichen Vorschriften. Gerade im Bereich von Telediensten sei die Kundenakzeptanz wesentlich von dem Umgang mit personenbezogenen Daten abhängig. Das Teledienstedatenschutzgesetz (TDDSG) treffe im Sinne des Selbstbestimmungsrechts der Nutzer wichtige Regelungen zur Unterrichtung und zur Beauskunftung. Auch ein sachgerechter Umgang mit Bestands-, Nutzungs- und Abrechnungsdaten sei zu gewährleisten, wobei insbesondere der Gefahr der Erstellung von personenbezogenen Nutzungsprofilen vorgebeugt werden müsse. Entsprechend dem im TDDSG niedergelegten „Grundsatz des System-datenschutzes“ seien Diensteanbieter im Rahmen des Möglichen und Zumutbaren dazu verpflichtet, den Nutzern anonymes und pseudonymes Handeln zu ermöglichen.

Prof. Dr. Alexander Roßnagel (Lehrstuhl für öffentliches Recht an der Universität Kassel und wissenschaftlicher Leiter der „Projektgruppe verfassungsverträgliche Technikgestaltung - Provet“) erläuterte die Regelungen des Entwurfs eines Signaturgesetzes (SigG) als Grundlage für den elektronischen Rechtsverkehr. Der Referent begrüßte den Gesetzentwurf vor dem Hintergrund der Notwendigkeit von Rechtssicherheit in diesem Bereich. Andererseits bewertete Prof. Dr. Roßnagel den Entwurf als unnötig restriktiv hinsichtlich der vorgesehenen Zertifizierungsstruktur. Daneben sei das vorgesehene Verfahren zu rigide und die Akzeptanz digitaler Signaturen werde wegen des Fehlens einer spezifischen Haftungsregelung für Dienstleistungen der Zertifizierungsstelle gefährdet. Schließlich sei das mit dem Gesetzentwurf verfolgte Konzept insoweit bedenklich, als es in Ermangelung einer technischen Koordination eine Vielzahl technischer Lösungen und somit eine Zersplitterung des Marktes zulasse, was in der Anfangsphase den wirtschaftlichen Betrieb von Zertifizierungsstellen erschweren könne.

Thomas Königshofen (Datenschutzbeauftragter und Fachbereichsleiter Datensicherheit und Datenschutz bei der Deutschen Telekom AG) referierte zum Thema „Neue Datenschutzregelungen für die Betreiber von Telekommunikationsanlagen durch TKG/TDSV“. Nach Auffassung des Referenten ist mit der Liberalisierung des deutschen Telekommunikationsmarktes keinesfalls eine Deregulierung dieses Sektors verbunden. Vielmehr sei auch hinsichtlich der Bereiche Fernmeldegeheimnis, Datenschutz, Sicherheit und Mitwirkungspflichten bei staatlichen Aufgaben mit dem Telekommunikationsgesetz (TKG) eine vergleichsweise hohe Regelungsdichte erreicht, welche durch die noch zu schaffende Rechtsverordnung in diesem Bereich möglicherweise noch verstärkt werde. Die mit den vorgesehenen Regelungen verbundenen Kostenfolgen für Telekommunikationsdienstleister seien gegebenenfalls nochmals kritisch zu überprüfen. Jedenfalls sei eine Harmonisierung auf internationaler Ebene zu fordern.

Abschließend beschäftigte sich Dr. Joachim Rieß, zuständig für Rechtsfragen aus den Bereichen Datenschutz und IV-Sicherheit bei der debis Systemhaus GmbH, mit den Auswirkungen der neuen Regelungen auf Betriebe und Institutionen. Im Anschluß an eine nähere Eingrenzung des Adressatenkreises des IuKDG zeigte der Referent detailliert den aus den Regelungen folgenden Handlungsbedarf bei Telediensteanbietern auf.

Rückblick auf die 22. DAFTA am 19. und 20. November 1998 in Köln „Datenschutz in der Globalisierung“

Unter dem Leitthema „Datenschutz in der Globalisierung“ fand am 19. und 20. November 1998 die 22. Datenschutzfachtagung der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) in Köln statt. Neben den an ein zeitgemäßes deutsches Datenschutzrecht zu stellenden Anforderungen gehörte unter anderem auch der internationale Datenschutz zu den Themenschwerpunkten. Die Fachtagung verdeutlichte insbesondere die Notwendigkeit einer Modernisierung der nationalen Datenschutzregelungen, die geltende Rechtslage bis zur vollzogenen Umsetzung der EG-Daten-schutzrichtlinie und die Voraussetzungen für einen richtlinienkonformen Datentransfer in Drittländer. Des weiteren wurde die zum 1. Januar 1998 eingerichtete Regulierungsbehörde für Telekommunikation und Post einschließlich ihrer Zuständigkeiten und Aufgaben im Bereich von Datenschutz und Datensicherheit vorgestellt.

Fortentwicklung des Datenschutzes

Der Vorstandsvorsitzende der GDD, Bernd Hentschel, betonte anläßlich seiner Eröffnungsrede, daß der durch das deutsche Datenschutzrecht gewährleistete Schutz des Persönlichkeitsrechts an neue Informationstechnologien sowie an wirtschaftliche Entwicklungen anzupassen sei.

Bei der anstehenden Novellierung solle das Bundesdatenschutzgesetz (BDSG) wieder zum „Grund-gesetz“ des deutschen Datenschutzrechts werden. Herbeizuführen sei eine Vereinfachung und Verschlankung der gesetzlichen Regelungen, wobei bereichsspezifische Vorschriften hinsichtlich ihrer Begrifflichkeiten und Regelungsansätze zu vereinheitlichen seien. Der im bereichsspezifischen Datenschutz zum Teil entstandene „Wildwuchs“ müsse aus Gründen der Rechtseinheitlichkeit und Rechtssicherheit zurückgeschnitten werden. Der Datenschutz sollte, so Hentschel, auch der fortlaufenden technologischen Entwicklung Rechnung tragen. Darüber hinaus seien Anpassungen im Datenschutzrecht auch aufgrund von wirtschaftlichen Entwicklungen angezeigt. Tendenzen zum Outsourcing, Insourcing und die Globalisierung bedürften einer datenschutzrechtlichen Beantwortung. Eine Entbürokratisierung könne dabei erreicht werden, wenn die Zulässigkeit des Datentransfers innerhalb verbundener Gesellschaften an einer besonderen Regelung, etwa einer Konzernklausel, gemessen werde.

Der GDD-Vorstandsvorsitzende betonte, daß der innerbetrieblichen Selbstkontrolle weiterhin Vorrang vor externer Staatskontrolle zukommen müsse. Dazu sei es erforderlich, daß die Stellung des betrieblichen Datenschutzbeauftragten mit der vom Bundesarbeitsgericht (BAG) als fehlend festgestellten und von der EG-Datenschutzrichtlinie geforderten Unabhängigkeit ausgestattet werde. Bei der Einbindung des Datenschutzrechts in ein auf längere Sicht geplantes Informationsgesetzbuch unter gleichzeitiger Regelung von Informationszugangsrechten sei deutlich zwischen freiheitsverpflichtetem Staat und freiheitsberechtigter Gesellschaft, d. h. zwischen öffentlicher und privater Hand zu differenzieren. Wirtschaft und Verwaltung seien aber in gleicher Weise gefordert, die Rechte des Betroffenen zu wahren.

Novellierung des BDSG gescheitert?

Der Bundesbeauftragte für den Datenschutz, Dr. Joachim Jacob, verdeutlichte anläßlich der 22. DAFTA, daß die Bundesrepublik Deutschland am 24. Oktober 1998 die dreijährige Frist zur Umsetzung der Europäischen Datenschutzrichtlinie versäumt und damit das Umsetzungsziel verfehlt habe. Da die Kommission als Hüterin der Verträge keine Zweifel daran lasse, gegen säumige Mitgliedstaaten relativ zügig Vertragsverletzungsverfahren einzuleiten, werde, wenn Deutschland nicht schnellstmöglich seinen Gemeinschaftsverpflichtungen nachkomme, ein Scheitern der Novellierung zu bejahen sein und als wenig erfreuliches Kapitel in die Geschichte des deutschen Datenschutzes eingehen.

Der Bundesbeauftragte äußerte sich kritisch zu den bisherigen gesetzgeberischen Umsetzungsversuchen. Neben verschiedenen Einzelheiten sei an dem Entwurf des Bundesinnenministeriums insbesondere zu beanstanden gewesen, daß er neue Problemfelder des Datenschutzes unberücksichtigt gelassen habe, obwohl beispielsweise im Hinblick auf Videoaufzeichnungen im nicht-öffentlichen Bereich, die Verwendung von Chipkarten, den Arbeitnehmerdatenschutz und die an Auskunfteien und Direktmarketingunternehmen zu stellenden Anforderungen eine rechtliche Klärung erforderlich sei. Die von verschiedenen Seiten geäußerte Forderung nach einer umfassenden Anpassung der Regelungen des BDSG an die heutige Informationstechnologie und an die Verhältnisse der modernen Informationsgesellschaft habe in dem Entwurf keinen Niederschlag gefunden, und auch Gespräche im Frühjahr 1998 hätten den Unterschied zwischen einem minimalistischen und einem auf Modernisierung ausgerichteten Reformansatz nur noch verdeutlicht. Das bisherige Datenschutzrecht könne allerdings nicht länger ausreichen, so Dr. Jacob, um das Recht auf informationelle Selbstbestimmung in Zukunft zu schützen und zu wahren. Notwendig sei ein neuer Datenschutz für die moderne Informationswelt.

Der Bundesbeauftragte machte darauf aufmerksam, daß die Richtlinie seit dem verpaßten Stichtag gleichwohl Auswirkungen habe. Der Europäische Gerichtshof (EuGH) habe mit dem Institut der Direktwirkung der Untätigkeit der Mitgliedstaaten entgegengewirkt und die Nichtumsetzung von Richtlinien sanktioniert. Aus dem EG-Vertrag sei herzuleiten, daß die Mitgliedstaaten den Eintritt ihrer Verpflichtungen nicht verzögern und aus ihrem vertragswidrigen Verhalten keine Vorteile ziehen könnten. Voraussetzung für eine sogenannte vorgreifende Direktwirkung sei zum einen, daß der einzelne sich auf ein in der Richtlinie ihm gegenüber hinreichend bestimmtes und unbedingt eingeräumtes Recht berufen könne, die Vorschrift mithin „self-executing“ sei. Zum anderen müsse dieses Recht im vertikalen Verhältnis des Bürgers gegenüber dem Staat gegeben sein. Auf horizontaler Ebene im Verhältnis zwischen den Bürgern entfalte die Richtlinie jedoch keine Wirkung. Eine Reihe von Regelungen der EG-Datenschutzrichtlinie erfüllten die Voraussetzungen direkter Wirkung. So gehe die Richtlinie beispielsweise von einem umfassenden Verarbeitungs- und Dateibegriff aus. Die Rechte des Einzelnen könnten daher nunmehr auch im Rahmen dieses erweiterten Anwendungsbereichs geltend gemacht werden. Außerdem sei an die Informations- und Widerspruchsrechte nach Art. 10, 11 und 14 zu erinnern. Weiterhin sei das grundsätzliche Verarbeitungsverbot sogenannter sensitiver Daten zu beachten mit der Folge, daß die Erlaubnistatbestände des BDSG teilweise keine Anwendung mehr fänden.

Im Rahmen seiner Ausführungen zum internationalen Datenschutz erläuterte Dr. Jacob die Rechtslage zum grenzüberschreitenden Datenverkehr. Durch die EG-Datenschutzrichtlinie werde ein informations- und datenschutzrechtlicher Binnenmarkt geschaffen, der die Datenübermittlung in Drittländer grundsätzlich untersage, wenn dort kein angemessenes Schutzniveau herrsche. Jedoch könnten die Mitgliedstaaten die Datenübermittlungen in solche Länder dann genehmigen, wenn die für die Datenverarbeitung Verantwortlichen ausreichende Garantien für den Schutz der Privat-sphäre, der Grundrechte und der Grundfreiheiten der betroffenen Personen bieten würden. Solche Garantien sollen sich insbesondere durch entsprechende Vertragsklauseln im Rahmen der Gestaltung der Rechtsbeziehungen mit dem für die Datenverarbeitung im Drittland Verantwortlichen ergeben können. Transferiert werden dürften die Daten in Drittländer darüber hinaus unter anderem auch dann, wenn die betroffene Person ihre Einwilligung gegeben habe oder die Datenübermittlungen aufgrund eines Vertrages zwischen den betroffenen Personen und der datenverarbeitenden Stelle erfolge. Diese Rechtslage habe heftige Reaktionen in den betroffenen Staaten, insbesondere in den USA hervorgerufen. Die amerikanische Seite lehne gesetzliche Regelungen - jedenfalls in der in Deutsch-land bekannten herkömmlichen Form allgemeiner Datenschutzgesetze - ab, da derartige Regelungen dem common law systemfremd seien. Man setze in den USA vielmehr auf Selbstregulierung der betroffenen Wirtschaftskreise. Zwischen der Europäischen Union und den USA werde zur Zeit darüber verhandelt, mit welchen inhaltlichen Grundsätzen und verfahrensrechtlichen Durchsetzungsmechanismen Selbstregulierung auf dem Gebiet des Datenschutzes zu einem angemessenen Datenschutzniveau führen könne.

Datenschutz und Datensicherheit in der Telekommunikation - Aufgaben der Regulierungsbehörde

Der Präsident der Regulierungsbehörde für Telekommunikation und Post, Klaus-Dieter Scheurle, stellte die Bundesoberbehörde einschließlich ihrer Zuständigkeiten und Aufgaben in Angelegenheiten des Datenschutzes und der Datensicherheit vor. Als maßgebliche Rechtsgrundlagen rief Scheurle den   § 85 TKG für das Fernmeldegeheimnis und den      § 89 TKG als Grundlage der bereichsspezifischen Datenschutzverordnung TDSV in Erinnerung. Einzelbestimmungen würden teilweise in Lizenzauflagen getroffen. Subsidiär gelte schließlich das BDSG. In § 91 TKG seien der Regulierungsbehörde für den gesamten 11. Teil des TKG Kontroll- und Sanktionsbefugnisse eingeräumt worden, die von Auskunftsrechten bis hin zur Betriebsuntersagung reichten. Man habe allerdings bisher sehr behutsam von diesen Befugnissen Gebrauch gemacht. Speziell im Bereich des Datenschutzes sei außerdem eine Kontrollkompetenz des Bundesbeauftragten für den Datenschutz gesetzlich geregelt worden. Zwischen dem Bundesbeauftragten und der Regulierungsbehörde finde eine regelmäßige Koordinierung - auch zur Vermeidung unnötiger Doppelbelastungen bei den Unternehmen - statt. Zu den Tätigkeiten der Regulierungsbehörde gehöre die Beantwortung von Verbraucheranfragen aus dem Bereich Fernmeldegeheimnis und Datenschutz. Darüber hinaus gehe man aber auch Beschwerden nach, um gegebenenfalls für die Herstellung eines rechtmäßigen Zustandes zu sorgen. Thematisch gehe es beispielsweise um die Beachtung von Widersprüchen gegen die Verwendung von Bestandsdaten zu Werbezwecken, die Gestaltung von Einzelverbindungsnachweisen und Kundenverzeichnisse auf CD-ROM. Im Hinblick auf die technischen Schutzmaßnahmen nach § 87 TKG machte Scheurle auf den in seinem Hause erstellten Katalog der Sicherheitsanforderungen aufmerksam. Der Katalog, der auf dem aktuellen Stand der Sicherheitstechnik gehalten werde, solle unter anderem den Unternehmen als Hilfestellung für die Erstellung eines Sicherheitskonzeptes dienen. Die Genehmigungstätigkeit der Regulierungsbehörde hinsichtlich der technischen Gestaltung der Einrichtungen zur Überwachung nach § 88 TKG konzentriere sich in erster Linie auf lizenzpflichtige Netze mit Sprachvermittlung. Die nachfolgenden Ausführungen des Präsidenten der Regulierungsbehörde enthielten den für viele Unternehmen wichtigen Hinweis, daß man hinsichtlich anderer Netze - wegen der noch nicht abgeschlossenen Diskussion um Ausnahmeregelungen - eine Implementierung von Überwachungstechnik derzeit nicht forciere. Scheurle erläuterte weiterhin den zukünftigen Ablauf des Verfahrens zur automatisierten Rufnummernauskunft für die Sicherheitsbehörden (§ 90 TKG), bei dem die Regulierungsbehörde als Mittler die Anfragen der Sicherheitsbehörden durch einen automatisierten Zugriff auf Kundendateien der Diensteanbieter beantworten soll. Abschließend verdeutlichte der Präsident der Regulierungsbehörde die Zuständigkeiten seines Hauses als „zuständige Behörde“ im Sinne des Signaturgesetzes (SigG) und der Signaturverordnung (SigV). Als sogenannte „Wurzelinstanz“ bzw. „Root“ sei die Regulierungsbehörde zuständig für die Erteilung von Genehmigungen zum Betrieb einer Zertifizierungsstelle, die Ausstellung von Signaturschlüssel-Zertifikaten sowie die Überwachung der Einhaltung des Signaturgesetzes und der Signaturverordnung.

Die erste Genehmigung zum Betrieb einer gesetzeskonformen Zertifizierungsstelle werde voraussichtlich bereits im ersten Quartal 1999 erteilt werden.

17. RDV-Forum am 18. November 1998 in Köln

Im Vorfeld der DAFTA fand am 18.11.1998 das 16. RDV-Forum unter dem Leitthema „Brennpunkt Arbeitnehmerdatenschutz" im Kölner Maternushaus statt.

In ihrem Eröffnungsreferat stellte Frau Renate Hornung-Draus von der Bundesvereinigung der Deutschen Arbeitgeberverbände die von der International Labor Organisation (ILO) erarbeiteten Verhaltensregeln zum Schutz personenbezogener Arbeitnehmerdaten vor. Die Referentin wies eingangs drauf hin, daß die Verhaltensregeln rechtlich nicht verbindlich seien. Allerdings könnten sie nach ihrer Zweckbestimmung als Grundlage für die Ausarbeitung von verbindlichen Rechtsvorschriften dienen. Der Anwendungsbereich der Verhaltensregeln betreffe Stellenbewerber und Arbeitnehmer sowie die manuelle und automatisierte Verarbeitung aller personenbezogenen Arbeitnehmerdaten. Frau Hornung-Draus ging detailliert auf die Gliederung, die Begriffsbestimmungen und die inhaltlichen Grundsätze des ILO-Papiers ein. Der Verarbeitungsbegriff sei sehr weit gefaßt und der Arbeitgeber habe in Bezug auf den Zweckbindungsgrundsatz sicherzustellen, daß eine vom Erhebungszweck abweichende Verarbeitung jedenfalls dann nicht erfolge, wenn dies mit dem ursprünglichen Zweck unvereinbar sei. Aus Gründen der Transparenz sei nach den Verhaltensregeln eine heimliche Überwachung von Arbeitnehmern ausgeschlossen. Neben individuellen Rechten der Arbeitnehmer seien auch kollektive Rechte geregelt. Dabei gehe es in erster Linie um sogenannte Informations- und Konsultationsrechte der Arbeitnehmervertretungen. Auf die ausdrückliche Erwähnung von Mitbestimmungsrechten habe man mit Blick auf den globalen Wirkungskreis der ILO und den Umstand, daß derartige Rechte in vielen Ländern nicht existent seien, bewußt verzichtet. Die Referentin schloß mit dem Fazit, daß zahlreiche Aspekte des ILO-Papiers sachgerecht und teilweise auch im einzelstaatlichen Recht verankert seien. Andererseits sei aus Arbeitgebersicht eine zum Teil ungerechtfertigte Bürokratie zu kritisieren. Im übrigen sei noch ungewiß, ob und ggf. wann aus dem Verhaltenskodex der ILO verbindliche Rechtsnormen entstehen könnten.

Nach der eher arbeitgeberorientierten Sichtweise seiner Vorrednerin referierte Herr Lothar Schröder, Leiter der Abteilung Technologie im Hauptvorstand der Deutschen Postgewerkschaft, zu den gewerkschaftlichen Vorstellungen für ein Arbeitnehmerdatenschutzgesetz. Der Referent wies auf die wachsenden Gefahren für die Persönlichkeitsrechte der Arbeitnehmer im Zuge der Technologieentwicklung und des Auftretens neuer Arbeitsformen hin und vertrat die Auffassung, daß die bestehenden unspezifischen gesetzlichen Bestimmungen zum Datenschutz nicht ausreichten, um dem Recht der Beschäftigten auf informationelle Selbstbestimmung angemessen Rechnung zu tragen. Vor dem Hintergrund der bereits seit einigen Jahren im Raum stehenden Forderungen nach einem Arbeitnehmerdatenschutzgesetz skizzierte der Referent die von der IG Medien und der Deutschen Postgewerkschaft unter wissenschaftlicher Mitwirkung entwickelten Gestaltungsanforderungen an eine entsprechende Gesetzesinitiative. Persönlichkeitsrechtsgefährdungen von Arbeitnehmern träten bei der Einstellung besonders stark zu Tage. Entsprechend seien hier besondere Regelungen zum Persönlichkeitsrechtsschutz erforderlich. Ebenso seien die individuellen Rechte der Beschäftigten während der Dauer des Arbeitsverhältnisses zu verbessern. Wegen seiner herausragenden Vertrauensstellung beim Schutz von Arbeitnehmerdaten sei die Stellung des betrieblichen Datenschutzbeauftragten zu stärken. Auch kollektive Rechte seien zu verbessern und zu modernisieren. Schließlich müsse es auch darum gehen, einen überbetrieblichen Schutz für Arbeitnehmerdaten zu schaffen, da sich die Arbeitnehmerdatenverarbeitung auch zunehmend vom Stammbetrieb löse.

Karin Post-Ortmann, Referentin für Personaldatenschutz bei der Deutschen Telekom AG, widmete sich in ihrem Referat „Der Arbeitgeber als Anbieter von Telekommunikations- und Telediensten" dem Datenschutz bei moderner Kommunikation im Arbeitsverhältnis. Dabei ging die Referentin auf die Anwendbarkeit und das Zusammenspiel der Vorschriften des TKG, des TDDSG und des BDSG ein. Betriebsvereinbarungen könnten als vorrangige Rechtsvorschriften nach § 4 BDSG in sinnvoller Weise zur Lösung von Interessenkonflikten zwischen Arbeitgeber- und Arbeitnehmerinteressen bei der Verarbeitung personenbezogener Arbeitnehmerdaten beitragen.

Prof. Dr. Rainer Gerling, Datenschutzbeauftragter der Max-Planck-Gesellschaft, verdeutlichte anschließend, wie eine Betriebsvereinbarung zum betrieblichen Einsatz von Internet und E-Mail in der Praxis ausgestaltet werden kann. Der Referent ging unter anderem der Frage nach, was der Arbeitgeber über die Nutzung der Dienste protokollieren darf. Im Hinblick auf die anfallenden Datenspuren, die Protokollierung in der Firma, die rechtlichen Rahmenbedingungen, die Geheimschutzvorschriften und die Netzstrukturen der Firma bestünden aus Transparenzgründen Aufklärungspflichten gegenüber dem Beschäftigten. Hinsichtlich der Nutzung von E-Mail habe der Arbeitgeber einen Anspruch auf Herausgabe, soweit es sich um dienstliche E-Mail handele.

Im Anschluß referierte Bruno Schierbaum, Beratungsstelle für Technologiefolgen und Qualifizierung, über die Regelung der Telefonüberwachung in Call-Centern durch Betriebsvereinbarungen.

In seinem mit Spannung erwarteten Referat erläuterte Herr Dr. Friedhelm Rost, Richter am Bundesarbeitsgericht, die Entscheidungsgründe des ersten Senats zum fehlenden Kontrollrecht des Datenschutzbeauftragten in Bezug auf den Betriebsrat. Angesichts einer fehlenden gesetzlichen Regelung zum Verhältnis Datenschutzbeauftragter/Betriebs-rat und in Anbetracht der Tatsache, daß der Datenschutzbeauftragte aufgrund seiner Stellung letztlich der Arbeitgeberseite zuzurechnen sei, seien dem Senat bei seiner Entscheidung gewissermaßen die Hände gebunden gewesen. Mit der Unabhängigkeit der Betriebsräte vom Arbeitgeber sei die Kontrolle durch einen Beauftragten des Arbeitgebers nach derzeitiger Gesetzeslage als unvereinbar zu qualifizieren gewesen. Eine Änderung der Rechtslage könne sich ggf. aus einer gestärkten Rechtsstellung des Datenschutzbeauftragten ergeben. In diesem Zusammenhang führte der Bundesrichter insbesondere eine mitbestimmte Bestellung, eigene Antrags- und Weisungsrechte sowie eine erweiterte Verschwiegenheitspflicht des Datenschutzbeauftragten ins Feld. Die anschließende Diskussion verdeutlichte u. a. schwerwiegende Haftungsprobleme für den Fall, daß aus der Datenverarbeitung des Betriebsrats schwerwiegende Persönlichkeitsrechtsverletzungen resultieren.

Vor dem Hintergrund des zuvor erläuterten BAG-Beschlusses und mit Blick auf die Notwendigkeit, bei den Betriebsräten datenschutzfreie Zonen zu vermeiden, stellte Herr Karl-Hermann Böker, Böker-Beratung für arbeitnehmerorientierte Bildungs- und Beratungsarbeit, anhand eines Praxisbeispiels den Aufbau einer Datenschutzorganisation bei der Mitarbeitervertretung vor.

Zum Abschluß des 16. RDV-Forums referierte Herr Prof. Dr. Wolfgang Däubler von der Universität Bremen über den grenzüberschreitenden Austausch von Mitarbeiterdaten im Konzern. Dabei vertrat der Referent die Auffassung, daß ein datenschutzgerechtes Vertragswerk zwischen dem deutschen Arbeitgeber und dem ausländischen Unternehmen in Verbindung mit einer dazugehörigen Betriebsvereinbarung die Übermittlung von personenbezogenen Arbeitnehmerdaten ins Ausland rechtfertigen könne.

23. DAFTA am 18. und 19. November 1999 in Köln

Unter dem Leitthema „Interessengerechter Datenschutz“ ging die 23. Datenschutzfachtagung der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) am 18. und 19. November 1999 in Köln der Frage nach, ob und inwieweit die von der Bundesregierung beabsichtigten Novellierungsschritte den Interessen der am Datenschutz Beteiligten ge­recht werden. Die Veranstaltung informierte über den aktuellen Novellierungsstand, zeigte die zu er­wartenden Konsequenzen für die Praxis auf und er­möglichte einen Ausblick auf die zweite Phase der BDSG-Novelle.

Der Vorstandsvorsitzende der GDD, Bernd Hentschel, betonte anlässlich der Eröffnung der 23. DAFTA die Schlüsselrolle des bewährten Prinzips der betrieblichen Selbstkontrolle bei der Schaf­­fung eines ausgewogenen Ausgleichs zwischen den Schutzinteressen der Betroffenen und dem Informations- und Datenverarbeitungsbedürfnis der verantwortlichen Stellen. Dieser Schlüsselrolle Rechnung tragend habe die GDD in ihrer Stellungnahme zu dem Referentenentwurf des Bundesministeriums des Innern vom Juli 1999 die Auf­fassung vertreten, dass ein gesetzlich geregeltes Datenschutzaudit nur insoweit sinnvoll sei, als das Selbstkontrollprinzip hierdurch nicht beeinträchtigt werde. Das Prinzip der Datenvermeidung und der Datensparsamkeit, das eine entsprechende Ge­stal­tung der Systemstrukturen bezogen auf die Vermeidung der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zum Ziel habe, werde insbesondere in der Softwarebranche erhebliches Umdenken erfordern. Im Übrigen sollten der Gesetzgeber und die öffentliche Verwaltung das Prinzip in erster Linie gegen sich wirken lassen, u.a. um die vielfältigen Speicher-, Dokumentations- und Übermittlungspflichten im Personal- und Abrechnungsbereich auf ein verträgliches Maß zurückzuführen. In diesem Zusammenhang kritisierte Hentschel auch gesetzgeberische Bestrebungen mit dem Steuerbereinigungsgesetz 1999 und Ergänzungsnormen der Abgabenordnung, ein Zugriffsrecht der Finanzverwaltung auf DV-gestützte Buchführungssysteme von Unternehmen einzuführen. Derartige Zugriffs- und Nutzungsrechte eröffneten dem Fiskus zusätzliche „trap doors“, die eine neue Orwell`sche Dimension bedeuten könnten.

Die GDD habe sich in ihrer Stellungnahme zu dem Referentenentwurf vom Juli 1999 für eine zügige Umsetzung der Vorgaben der EG-Daten­schutz­richt­linie unter angemessener Berücksichtigung von Kostengesichtspunkten eingesetzt. Erfreulicherweise sei insbesondere die Kritik an unverhältnismäßig kostenbelastenden Regelungen vom Bundesinnenministerium aufgegriffen worden.

Die Novellierung des BDSG - Umsetzung der EG-Datenschutzrichtlinie und Modernisierung des Datenschutzrechts

Ministerialrätin Dr. Martina Weber, Referatsleiterin Datenschutz im Bundesministerium des Innern, ging davon aus, dass die EU-Kommission in abseh­barer Zeit ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland aufgrund der bis­lang unterbliebenen Umsetzung der EG-Richt­linie einleiten wird. Das als innovative Neuregelung vor­gesehene gesetzliche Datenschutzaudit bedürfe eines Ausführungsgesetzes, das die Einzelheiten des Auditverfahrens regele. Das Bundesministerium des Innern sei bereits mit einem derartigen Ausführungsgesetz befasst, so dass in diesem Bereich in absehbarer Zeit Rechtssicherheit geschaffen werden könne. Der aktuelle Referentenentwurf sehe nunmehr auch dem Wortlaut nach eine völlige Unabhängigkeit der Aufsichtsbehörden vor, die nur der Rechtsaufsicht der Landesregierung oder der Obersten Landesbehörde unterliegen sollen. Seitens des Innenministeriums sei man sich durchaus darüber im Klaren, dass diese Lösung ggf. im Rahmen des Vermittlungsverfahrens im Bundesrat auf Kritik der Länder stoßen könnte.

Aufgrund der Stellungnahmen der Verbände zu dem Referentenentwurf (Stand: 6. Juli 1999) seien verschiedene Regelungen, die aus Sicht der Wirtschaft zu übermäßiger Bürokratie und Kostenbelastung führten, überarbeitet und korrigiert worden. Die Bundesregierung sei nunmehr übereingekommen, die Informationspflicht der Werbetreibenden über die Herkunft der Daten wegen vorhandener Praktikabilitätsprobleme und zusätzlicher Kosten zu streichen. Überdies sei die Kritik im Hinblick auf die notwendigen Datenübermittlungen zwischen Banken und Kreditauskunfteien aufgegriffen worden. Auch die von Wirtschaftskreisen angegangene Regelung zur Unterrichtungs- und Kennzeichnungspflicht im Fall der Inanspruchnahme von Ausnahmen von der Benachrichtigung sei modifiziert worden. Der Gesetzentwurf beschränke sich nunmehr auf das Erfordernis einer bloßen Dokumentation der Voraussetzungen, die zu einem Absehen von der Benachrichtigung führen. Weiterhin habe die Bundesregierung in Abweichung von dem Entwurfsstand Juli 1999 im Wesentlichen eine Beibehaltung der in § 35 BDSG statuierten Löschungspflichten vorgesehen. Lediglich die Regelspeicherfrist solle von bisher fünf auf vier Jahre verkürzt werden. Schwierigkeiten bereite allerdings noch die Neugestaltung des Medienprivilegs, wozu derzeit noch Gespräche auf höherer politischer Ebene mit Interessenvertretern der Medien geführt würden. Nicht aufgegriffen habe man die Kritik der Wirtschaft an dem weiten Begriff der nicht-automatisierten Datei, der zu einer vermehrten Einbeziehung von Akten in den Geltungsbereich des BDSG im nicht-öffentlichen Bereich führe.

Die Bundesregierung beabsichtige Anfang Dezember 1999 Jahres, das Bundeskabinett mit dem Gesetzentwurf zu befassen..

Abschließend gab die Referentin einen Ausblick auf die zweite Stufe der BDSG-Novelle. Die Kriterien für die beabsichtigte Generalrevision und die damit verbundene Vereinfachung und Modernisierung der gesamten Datenschutzgesetzgebung sollten aller Voraussicht nach von einer ressortübergreifenden Arbeitsgruppe entwickelt werden. Die Arbeiten sollten noch in dieser Legislaturperiode be­gon­nen und möglichst auch abgeschlossen werden. In Anlehnung an das „Eckwerte-Papier“ der SPD-Frak­tion führte die Referentin insbesondere einige in Betracht kommenden Punkte zur Verschlankung des Bundesdatenschutzgesetzes aus.

Das Zwei-Stufen-Modell der BDSG-Novellierung: Bleibt die Modernisierung des Datenschutzes auf der Strecke?

Prof. Dr. Dr. h. c. Spiros Simitis, Forschungsstelle für Datenschutz, Johann Wolfgang Goethe-Uni­ver­si­tät, Frankfurt, sprach sich eingangs seines Referats ausdrücklich für eine richtlinienkonforme Umsetzung auch und insbesondere im Hinblick auf den Dateibegriff, die Zweckbindung und die völlige Un­abhängigkeit der Kontrollstellen aus. Die Richt­linie gestatte es nicht, das bereits vorhandene Datenschutzniveau in den Einzelstaaten zu verschlech­­tern. Sie sei vielmehr ein Instrument zur Anhebung und ständigen Verbesserung des Datenschutzes. Hieraus resultierende Uneinheitlichkeiten der Datenschutzstandards in den einzelnen Mitgliedstaaten nehme die Richtlinie zu Gunsten eines verbesserten Datenschutzes in Kauf. Angesichts des bestehenden Zeitdrucks gebe es keine Alternative zu dem vorgesehenen Zwei-Stufen-Modell. Die in der Gesetzesbegründung niedergelegte Absicht, noch in dieser Legislaturperiode die zweite Phase zu vollenden, zwinge dazu, bereits jetzt mit der Erarbeitung eines neuen Datenschutzrechts zu beginnen. Im Rahmen der zweiten Phase dürfe man sich nicht nur auf eine Bereinigung des Datenschutzrechts beschränken. Die erste Aufgabe der zweiten Phase bestehe in einer Neustrukturierung gefolgt von einer Fortschreibung und Weiterentwicklung des Datenschutzes. Nachdem der bereichsspezifische Datenschutz sich in der Vergangenheit weitgehend verselbständigt habe, gelte es nunmehr, diesen konsistent mit den zentralen Grund­sätzen zum Datenschutz auszugestalten. Die zentralen Grundsätze zur Zulässigkeit der Datenverarbeitung - der Zweckbindungsgrundsatz und der Grundsatz der Datensparsamkeit beispielsweise - seien im allgemeinen Teil des BDSG zu regeln und müssten in die bereichsspezifischen Teile ausstrahlen. Auch die wesentlichen Grundsätze des Arbeitnehmerdatenschutzes und die damit einhergehende Rechtsstellung des betrieblichen Datenschutzbeauftragten sollten möglichst im allgemeinen Teil des BDSG verankert werden. Im Anschluss an den allgemeinen Teil gelte es klare Definitionen zu implementieren, die mit der Richtlinie kompatibel seien. Im Übrigen müsse aus Gründen der Nach­vollziehbarkeit für Anwender und Betroffene sparsam mit Regelungen umgegangen werden, und auch die mangelnde Lesbarkeit des jetzigen Entwurfs sei nach Möglichkeit zu beheben. Der Referent wies abschließend darauf hin, dass ein wirksamer Datenschutz in einer globalisierenden Informationsgesellschaft nur durch ein Ineinandergreifen von normativen Vorgaben und datenschutz­freundlichen Technologieansätzen zu bewerkstelligen sei.

Die Novellierung des BDSG in zwei Phasen - Bewertung und Ausblick

Ausgehend von den Regelungsansätzen der EG-Daten­schutzrichtlinie stellte der Bundesbeauftragte für den Datenschutz, Dr. Joachim Jacob, anlässlich der 23. DAFTA fest, dass die nicht-fristgerechte Umsetzung der EG-Datenschutz­richtlinie auch eine positive Seite habe. So sei es beispielsweise möglich gewesen, über die reine Richtlinienvorgabe hinaus, wichtige innovative Neuregelungen wie beispielsweise zum Datenschutzaudit, zur Videoüberwachung oder zum Chipkarteneinsatz aufzunehmen. Auch die Aufnahme des Grundsatzes der Datenvermeidung und Datensparsamkeit, der sich auf der Ebene von Technikgestaltung bereits auf den Erhebungsprozess auswirke, sei aufgrund einer damit verbundenen Initialzündung positiv zu bewerten. Anerkennenswert sei auch die Zielsetzung, noch im Laufe dieser Legislaturperiode eine umfassende Neukonzeption des Bundesdatenschutzgesetzes zu verabschieden. Zur Erreichung eines praktikableren Datenschutzrechts sei das BDSG zu verschlanken und lesbarer zu formulieren. Dane­ben bedürfe es einer Abhängigkeit der bereichsspezifischen Regelungen von der Begrifflichkeit des BDSG; bereichsspezifische Regelungen seien auf ein notwendiges Maß zu reduzieren. Weitere Zielsetzungen beträfen die materielle Stärkung der Befugnisse der Aufsichtsbehörden und langfristig eine weitere Vereinheitlichung der Regelungen für den öffentlichen und den nicht-öffentlichen Bereich. Daneben gelte es, den technischen Datenschutz durch eine Neukonzeption des § 9 und Anlage zeitgemäß auszugestalten und den Selbstschutz etwa durch die digitale Signatur und Verschlüsselungssoftware zu fördern. Auch eine Regelung der elektronischen Einwilligung sei ein wichtiger Einzelaspekt. Die Auftragsdatenverarbeitung im Bereich von Berufs- oder besonderen Amtsgeheimnissen stelle unter dem Gesichtspunkt des Abbaus recht­licher Hindernisse unter gleichzeitiger Sicherung des besonderen Schutzes eine weitere Heraus­forderung dar. Mit Regelungen zum Arbeitnehmerdatenschutz gelte es der Herausforderung der Informations- und Kommunikationsgesellschaft auf dem Gebiet des Arbeitsrechts zu begegnen. Weiterhin ermutige die Richtlinie zur Selbstregulierung - beispielsweise durch Codes of Conduct - und auch der Förderung von datenschutzfreundlicher Software komme eine zunehmend wichtige Bedeutung zu.

18. RDV-Forum am 17. November 1999 in Köln

Im Vorfeld der DAFTA fand am 17. November 1999 das 18. RDV-Forum unter dem Leitthema „Der Bürger im Data-Warehouse“ im Kölner Maternushaus statt. Zentrales Thema der Veranstaltung war der Datenschutz im Zusammenhang mit der werblichen Nutzung von Kundendaten.

In seinem Eröffnungsreferat „Data Mining und Data Warehousing: Kundendaten als Ware oder geschütztes Gut?“ erläuterte Dr. Bruno Baeriswyl (Datenschutzbeauftragter des Kantons Zürich) zunächst die mit der Thematik zusammenhängenden Begrifflichkeiten und Prozesse. Im Anschluss daran ging er auf das Spannungsverhältnis ein, das sich aus den teilweise durchaus unterschiedlichen Interessenlagen von Unternehmen und betroffenen Kunden ergibt. Der Referent vertrat die Auffassung, dass sich die mit dem Konzept des Data Mining und Data Warehousing einhergehenden Gefahren für die Privatsphäre der Betroffenen nur schwer­lich durch die Gesetzgebung eingrenzen lassen. Die Anonymisierung sei ein Lösungsansatz, der allerdings im Spannungsfeld zu One to One Marketing-Strategien stehe. Der Kunde müsse die Möglichkeit haben, darüber zu entscheiden, inwieweit er seine Privatsphäre für eine bestimmte geschäftliche Transaktion aufgeben wolle. In diesem Zusammenhang obliege es den Unternehmen, sich auf einen entsprechenden Datenschutzstandard zu verpflichten.

Rechtsanwalt Dietmar Wolff (Zentralverband der Deutschen Werbewirtschaft, RDV-Schriftleitung) referierte zum Thema „Datenschutz und Abwehransprüche gegenüber unerwünschter Werbung“. Der Referent gab einen Überblick über die bisherige Rechtsprechung u.a. zu Telefon-, Telefax-, E‑Mail- und Briefwerbung. Abschließend stellte er fest, dass die werberechtliche Situation in den Mitgliedstaaten der Europäischen Union bislang noch sehr unterschiedlich sei; die Verabschiedung der sogenannten Fernabsatzrichtlinie und der ISDN-Richtlinie seien allerdings erste Schritte zur Rechtsangleichung.

Prof. Peter Gola (Vorstandsmitglied der GDD e.V., RDV-Schriftleitung) thematisierte in seinem Referat den bereichsspezifischen Datenschutz gegenüber Werbung und ging hierbei insbesondere auf aktuelle gesetzgeberische Entwicklungen ein. U.a. wurden dabei die einschlägigen Vorschriften des Telekommunikationsgesetzes (TKG), des Teledienstedatenschutzgesetzes (TDDSG) und des Mediendienste-Staatsvertrages (MDSTV) behandelt. Des Weiteren verdeutlichte der Referent, dass das sogenannte Sozialdatengeheimnis und auch berufsbedingte Schweigepflichten der Verarbeitung oder Nutzung von Kundendaten im Wege stehen können. Auch Einwilligungsklauseln in „allgemeinen Geschäftsbedingungen“ hielten zum Teil einer Wirksamkeitsüberprüfung nach dem AGB-Gesetz nicht stand.

Im Anschluss an das nachfolgende Referat von Dr. Hartwig Graf von Westerholt (Rechtsanwalt, Kanzlei Boesebeck Droste, Frankfurt am Main) über „Life-Style-Daten, Konsumentenbefragung und Einwilligung“ referierte Eckart Menzler-Trott (Unternehmensberater für Call-Center, Freising) über „Call-Center und Datenschutz“. Der Referent verdeutlichte die zentrale Rolle der Auftragsdatenverarbeitung nach § 11 BDSG im Zusammenhang mit der Beauftragung externer Call-Center und ging in diesem Zusammenhang auch auf die besonderen Voraussetzungen bei externen Call-Centern von Banken ein. Weitere Ausführungen betrafen die rechtliche Zulässigkeit bzw. Unzulässigkeit der Telefonwerbung. In seinem Fazit rief der Referent zur Beachtung des Grundsatzes der Datensparsamkeit auf. Persönliche Daten sollten tunlichst vermieden, verschlüsselt oder anonymisiert werden. Aus Betroffenensicht sei es unter Umständen sinnvoll der Erhebung, Speicherung, Verarbeitung oder Nutzung von persönlichen Daten zu widersprechen.

In seinem Abschlussreferat berichtete Dr. Ulrich Sandl (Regierungsdirektor im Bundesministerium für Wirtschaft und Technologie) über die Zielsetzungen der Bundesregierung im Zusammenhang mit der Sicherheit in der Informationsgesellschaft. 

25. DAFTA am 22. und 23. November 2001 in Köln

Am 22. und 23. November 2001 veranstaltete die GDD ihre nunmehr 25. Datenschutzfachtagung (DAFTA) unter dem Leitthema „Zukunftsfaktor Datenschutz“ in Köln. Die GDD, vor 25 Jahren anlässlich der parlamentarischen Verabschiedung des ersten Bundesdatenschutzgesetzes (BDSG) gegründet, hat mit ihrer alljährlich stattfindenden Fachtagung ein öffentliches Forum für die gesetzlichen, technischen und organisatorischen Entwicklungen auf dem Gebiet des Datenschutzes etabliert. Der Dialog zwischen den beteiligten Datenschutzexperten führt nicht nur regelmäßig zu konstruktiven und fruchtbaren Diskussionen sondern auch zu einer Fortentwicklung des Datenschutzbewusstseins in Wirtschaft, Verwaltung, Wissenschaft und Politik.

Die 25. DAFTA ermöglichte eine Standortbestimmung nach 25 Jahren Datenschutz in Deutschland Sie bot ferner einen Ausblick auf die zukünftige Gestaltung des Datenschutzrechts, das nach dem Wunsch der Bundesregierung moderner, übersichtlicher und verständlicher ausgestaltet werden soll.

Neben der zukünftigen Rolle des Datenschutzes griff die 25. DAFTA aktuelle Fachthemen aus der Datenschutz- und Datensicherheitspraxis auf. Der aus der BDSG-Novellierung resultierende Hand­lungsbedarf für die Datenschutzverantwortlichen in Unternehmen und Behörden bildete einen Schwerpunkt der Veranstaltung. Dabei wurden u.a. neue Praxishilfen zum öffentlichen Verfahrensverzeichnis und zur internen Verarbeitungsübersicht des Datenschutzbeauftragten vorgestellt.

Der - nach dem New York-Attentat erneut heftig debattierte - Datenschutz in der Telekommunikation, die Schutzgarantien beim Drittlandtransfer, die datenschutzgerechte Gestaltung einer Unternehmens-Homepage und die Sicherheit bei E‑Govern­ment, E- und M‑Commerce waren weitere Themen der Jubiläumsveranstaltung. Angesichts der Aktivitäten zur Terrorismusbekämpfung kam die Frage auf, ob der Datenschutz überhaupt noch eine Zukunft hat. Dass dies allerdings der Fall ist, wurde bei der 25. DAFTA schnell deutlich.

In seiner Eröffnungsrede begrüßte der Vor­stands­vor­sit­zende der GDD, Bernd Hentschel, die Beibehaltung der betrieblichen Selbstkontrolle als primäre Kontrollform und die Stärkung des betrieblichen Datenschutzbeauftragten im Rahmen der BDSG-Novelle. Das neu geregelte Datenschutzaudit sei, so Hentschel, als Wettbewerbsfaktor in der IT-Welt, in der Form des Produkt- und Dienst­leis­tungs­audits sinnvoll. Um eine Konkurrenzsituation zwischen Datenschutzaudit und der Selbstkontrollinstitution auf betrieblicher Ebene zu vermeiden, dürfe der betriebliche Datenschutzbeauftragte allerdings nicht Objekt des Audits werden. Wichtiges Anliegen sei es zudem, die extreme Aufsplitterung des Datenschutzrechts in allgemeine und bereichsspezifische Regelungen auf ein übersichtlicheres Maß zurückzuführen, was letztlich auch die Akzeptanz des Datenschutzes bei den Betroffenen fördere.

Die Bundesrepublik Deutschland habe in 25 Jahren eine Datenschutzkultur aufgebaut und damit Maßstäbe gesetzt. Im Zeitalter der Telekommunikations- und Informationsgesellschaft sei der Datenschutz ein wichtiger Wirtschaftsfaktor. Der heutige Datenschutzstandard dürfe auf Grund der Terrorismusbekämpfung nicht unnötig verschlechtert werden.

Novellierung des Bundes­da­ten­schutz­ge­setzes in zwei Phasen

Im Anschluss an die Eröffnungsrede machte Claus-Henning Schapper, Staatssekretär im Bundesinnenministerium, deutlich, dass die zweite Stufe der Novellierung des Datenschutzrechts mit der Übergabe des Gutachtens der Professoren Roßnagel/Pfitzmann/Garstka am 12.11.01 begonnen habe. Die 25. DAFTA stehe an der Schwelle zu einem neuen, modernen und gewandelten Datenschutz. Der Referent betonte den Ausbau der Rechtsstellung des betrieblichen Datenschutzbeauftragten durch die im Mai abgeschlossene erste Stufe der Novellierung des Bundesdatenschutzgesetzes. Die­ser sei nunmehr in den Fällen der Vorabkontrolle vor der Aufnahme neuer Verarbeitungen ausnahmslos in den internen Entscheidungsablauf eingeschaltet.

Die im Mai 2001 abgeschlossene Novellierung des BDSG beruhe im Wesentlichen auf den Vorgaben der EG-Da­ten­schutz­richt­linie von 1995. Im Rahmen der  BDSG-No­vel­lierung 2001 seien im Zusammenhang mit der Neufassung des Medienprivilegs neue Ansätze zur Selbstregulierung entwickelt worden. Das Konzept des Deutschen Presserats für den Redaktionsdatenschutz stelle, so Schapper, bereits eine beispielhafte und effektive Maßnahme zur Selbstregulierung dar. Diese gelte es, in der zweiten Novellierungsstufe auszubauen, da Selbstregulierung u.a. auch ein probates Instrument zum Abbau von Bürokratie und zur Stärkung der Eigenverantwortung sei. Sie verfolge das Ziel, staatliche Aufsicht hinter institutionalisierter Selbstkontrolle zurücktreten zu lassen.

25 Jahre Datenschutz in der Wirtschaft – eine Standortbestimmung

Der Bundesbeauftragte für den Datenschutz, Dr. Joachim Jacob, stellte fest, dass sich die Rolle des Datenschutzes in der Wirtschaft geändert habe. Habe man ihn früher noch als Last empfunden, so sei er heute zu einem marktwirtschaftlichen Segment gewachsen. Daten würden, so Jacob, zur Goldgrube im Internet. Die Informationstechnologie erleichtere die Nutzung von Daten, aber auch den Zugriff durch Unberechtigte. Der Kunde sei sich dessen bewusst und mittlerweile so sensibilisiert, dass er den Datenschutz als Qualitätsmerkmal ansehe.

Mit Blick auf die wirtschaftliche Bedeutung des E‑Commerce vertrat der Bundesbeauftragte die Auffassung, dass sich eine zukunftsorientierte, die Datenschutzinteressen des Nutzers respektierende Praxis des Datenschutzes im E-Commerce noch nicht hinreichend entwickelt und durchgesetzt hat.

Gerade hierzu diene aber das in das BDSG 2001 eingearbeitete Datenschutzaudit. Der Kritik, wonach das Audit zu kostenträchtig sei, könne er nicht folgen. Da ohnehin Datenschutzkonzepte und ‑sys­teme entwickelt werden müssten, sehe er keine unnötigen Kosten auf die Wirtschaft zukommen. Vielmehr böte sich die Chance, den Datenschutz in Verkaufsstrategien einzubeziehen und hiermit zu werben.

Datenschutz, so Jacob, müsse sowohl für die Wirtschaft als auch für den Kunden präsentabel und attraktiv gemacht werden. Daher appellierte er an die Wirtschaft, den Wettbewerbsvorteil zu erkennen und eigenverantwortliche Mechanismen der Selbstregulierung zu nutzen, damit der Kunde wieder Rechtssicherheit gewinne und für die Anbieter Verlässlichkeit und Investitionssicherheit bestehe.

Verhaltensregeln von Berufs- und Branchenverbänden gemäß § 38a BDSG sollten zur ordnungsgemäßen Durchführung der datenschutzrechtlichen Vorschriften beitragen. Verhaltensregeln böten Verbänden und Betroffenen die Möglichkeit, sich über ihre jeweiligen Interessen zu verständigen und faire Verarbeitungsbedingungen auszuhandeln. In diesem Zusammenhang hob er das Konzept des Deutschen Presserates hervor, das einen wirkungsvollen Schutz für personenbezogene Daten in den Redaktionen gewährleiste. Abschließend rief der Bundesbeauftragte die Wirtschaft dazu auf, den Beispielen einiger Unternehmen, die den Gedanken der Selbstregulierung bereits aufgegriffen haben, zu folgen. Das neue BDSG ermögliche vielfältige Perspektiven für eigenverantwortliche und selbstregulierende Schutzmaßnahmen im Datenschutz.

Die Modernisierung des Datenschutzrechts, insbesondere die grundlegende Novellierung des Bundesdatenschutzgesetzes

Als einer der Mitautoren des Gutachtens zur Modernisierung des Datenschutzes erläuterte Prof. Dr. Roßnagel zunächst die Kritik am bisherigen Datenschutzrecht und anschließend dessen geplante Weiterentwicklung. Es gäbe zu viele, zu detaillierte Datenschutzregelungen, weshalb das Datenschutz­recht insgesamt zu unübersichtlich sei. Wegen unterschiedlicher Modernisierungsniveaus sei es zudem widersprüchlich. Mangels datenschutzgerechter Technik und Transparenz sei es ineffektiv und weil neue Technikentwicklungen nicht genügend berücksichtigt würden zudem inadäquat.

Das Gutachten zur Modernisierung habe daher folgende Zielsetzungen:

• Vereinfachung des Datenschutzrechts durch „Lichtung des Regelungsdschungels“ sowie Nachvollziehbarkeit der Rechte und Pflichten der Beteiligten und
• Modernisierung des Datenschutzrechts durch Selbst- und Systemdatenschutz und durch marktwirtschaftliche Mechanismen.

Die Unübersichtlichkeit des Datenschutzrechts könne beseitigt werden, wenn man die tragenden Grundsätze zentral in das BDSG festschreibe und nur das Notwendigste im bereichsspezifischen Datenschutzrecht regele.

Die Zulässigkeit der Datenverarbeitung solle sich, künftig an den Grundsätzen des Datenschutzes orientieren. Transparenz, Erforderlichkeit, Zweckbindung und Datensicherung seien in diesem Zusammenhang maßgebend. Unter dem Gesichtspunkt der Gefahrenabwehr müsse eine Datenverarbeitung auch ohne Einwilligung möglich sein. Die Einwilligungsvoraussetzungen müssten jedoch als „genuiner Ausdruck“ des Rechts auf informationelle Selbstbestimmung angesichts des erheblichen Machtgefälles zwischen betroffener Person und verantwortlicher Stelle gestärkt werden. Die Einwilligung sei grundsätzlich nur bei hinreichender Unterrichtung, Freiwilligkeit, Einhaltung der Formvorschrift des § 126 BGB und unter Einbeziehung eines zustimmungsfreundlichen Formulares wirksam.

Die betroffenen Personen müssten in die Lage versetzt werden, sich im Wege des Selbstdatenschutzes zur Wehr zu setzen. Dabei wies Roßnagel darauf hin, dass der Anonymität und der Pseudonymität in der Datenverarbeitung der Vorrang gegeben werden müsse. Der damit angesprochene Systemdatenschutz könne durch die technisch-organisatorische Sicherung von Rechtszielen erreicht werden. Der Einsatz zertifizierter Produkte und die Durchführung von Datenschutzaudits seien hierbei wesentliche Faktoren.

Es sei es sinnvoll, die Unternehmen in die Lage zu versetzen, mit einer datenschutzfreundlichen Organisation zu werben. Im Rahmen eines Datenschutzaudits müsse der Datenschutzbeauftragte eine zentrale Rolle spielen. So sei es erforderlich, dass er der Zertifizierung des Datenschutzaudits zustimmt. Eine externe Überprüfung allein reiche nicht aus.

Außerdem sollten alle Stellen, so Roßnagel, mittelfristig IT-Systeme mit offengelegtem Quellcode beschaffen und verwenden. Da der Trend zum allgegenwärtigen Com­pu­ting gehe, bestünde dringender Handlungsbedarf, das Datenschutzrecht zu modernisieren.

Selbstregulierung und Selbstkontrolle seien weitere wichtige Modernisierungselemente. Unternehmen und Verbände sollten zur Konkretisierung der gesetzlichen Regelungen verbindliche Verhaltensregeln erarbeiten.

Die Selbstregulierung ermögliche es der Wirtschaft, passgerechte branchen- und unternehmensbezogene Regelungen zu entwickeln, die die schnelle Entwicklung der Technik, die Komplexität der Systeme und die Vielfalt ihrer Anwendungen berücksichtigten. Der Anreiz, eigene, durch Kontrollstellen anerkannte Verhaltensregeln zu erstellen, bestehe für Branchen, Verbände oder Unternehmen in der Möglichkeit, die zu konkretisierenden Gesetzesvorgaben selbstständig auszugestalten.

Bezug nehmend auf die Ereignisse vom 11.09.01, betonte Roßnagel, dass Datenschutz Grundrechtsschutz sei. Das Gutachten zur Modernisierung des Datenschutzrechts müsse auf Grund der Ereignisse nicht geändert werden.

20. RDV-Forum am 21. November 2001 in Köln

Das 20. RDV-Forum am 21. November 2001 stand unter dem Leitthema „Selbstregulierung im Datenschutz“ und wurde abermals von Prof. Peter Gola (GDD-Vorstand, RDV-Schriftleitung) moderiert. Prof. Dr. Hansjürgen Garstka, Berliner Beauftragter für Datenschutz und Informationsfreiheit, berichtete über erste selbstregulative Ansätze aus Sicht der Aufsichtsbehörde. Mit Blick auf die Verhaltensregeln nach § 38a BDSG /Art. 27 EG-Da­ten­schutz­richt­linie informierte er über den aktuellen Diskussionsstand im Düsseldorfer Kreis zur Vorlageberechtigung. Nach derzeitigem Diskussionsstand würden ggf. auch verbundene Unternehmen (Konzerne) als vorlageberechtigt angesehen werden. Inhaltlich müssten die Verhaltensregeln gegenüber dem reinen Gesetzestext einen Mehrwert beinhalten. Dieser bestünde insbesondere in der Konkretisierung der gesetzlichen Vorgaben und dürfe dabei deren Schutzniveau nicht unterschreiten. Soweit eine ordnungsgemäße Vorlage an die Aufsichtsbehörde erfolge, müsse diese eine Stellungnahme abgeben.

Des Weiteren thematisierte der Referent Selbstregulierungsmechanismen beim Drittlandtransfer. Vertragswerke müssten sich inhaltlich an den Vorgaben des WP12-Arbeitspapiers der Art. 29-Gruppe orientieren. Wesentlich sei die Aufnahme einer gesamtschuldnerischen Haftung von Datenexporteur und Datenimporteur. Im Übrigen empfehle sich die Verwendung der von der Europäischen Kommission entwickelten Standardvertragsklauseln. Auch im Hinblick auf verbindliche Unternehmensregelungen, die ebenfalls als ausreichende Garantien beim Datentransfer in Drittländer ohne angemessenes Schutzniveau dienen können, komme dem WP12-Dokument eine Vorbildwirkung zu. Eine Genehmigung durch die Aufsichtsbehörde erfolge einzelfallbezogen, können sich aber auch auf „Arten von Übermittlungen“ beziehen. Eine materielle Übermittlungsbefugnis ersetze die Genehmigung aber letztlich nicht.

Prof. Dr. Alfred Büllesbach (Konzernbeauftragter für den Datenschutz, DaimlerChrysler AG) referierte über die Datenschutzorganisation und Selbstregulierung in einem globalen Unternehmen. Der Referent skizzierte den bestehenden europäischen Regulierungsrahmen, den Regulierungsrahmen in den USA, Kanada, Südamerika und in den Asia/Pacific-Staaten. Dabei konnte festgestellt werden, dass eine ausgesprochen heterogene Sach- und Rechtslage besteht. Vor diesem Hintergrund verdeutlichte Büllesbach die Vorteile der Selbstregulierung. Hierzu gehörten:

• Rasche und flexiblere Reaktion auf Veränderungen des neuen Marktes
• Verbesserung von Verbraucherschutz und Wettbewerbsfähigkeit durch spezielle Regelungen
• Grenzüberschreitende Lösungen für globalisierte Märkte
• Globale Transparenz und Orientierung für den Verbraucher
• Schnellere und leichtere Konfliktlösung durch alternative Streitschlichtungsverfahren
• Effektivere Durchsetzbarkeit

Privacy und Consumer Confidence Statements, Codes of Conduct und zwischenstaatlich garantierte Verhaltensregeln gehörten zu den vom Referenten genannten Selbstregulierungsinstrumenten. Folgende Regelungsinhalte eines Code of Conduct wurden vorgeschlagen:

• Grundsätze für die Verarbeitung personenbezogener Daten
• Besondere Arten personenbezogener Daten
• Verarbeitung auf Grund Vertrag, Einwilligung
• Rechte der Betroffenen
• Datengeheimnis/Vertraulichkeit
• Datensicherheitsaspekte
• Datenverarbeitung im Auftrag / Einbeziehung Dritter
• Telekommunikation und Internet
• Geltung einzelstaatlichen Rechts
• Abhilfe / Sanktionen / Verantwortlichkeiten
• Aufgaben und Befugnisse eines Konzernbeauftragten für den Datenschutz (CPO).

Andreas Haupt (Datenschutzbeauftragter der Unilever AG) berichtete über die Etablierung einer globalen Datenschutz-Policy am Beispiel seines Unternehmens. Die erarbeitete Privacy Policy, deren Inhalte noch nicht veröffentlicht werden könnten, regele sowohl den Arbeitnehmer- als auch den Kundendatenschutz. Auf Management-Ebene sei die Policy weltweit mit breiter Mehrheit akzeptiert worden. Genehmigungsverfahren bei den Aufsichtsbehörden stünden allerdings noch aus, wobei sich zunächst wegen der weltweiten Dimension auch die Frage stelle, welchen Aufsichtsbehörden das datenschutzrechtliche Regelwerk überhaupt vorgelegt werden müsse. Angesichts der Tatsache, dass es sich derzeit bei der Erstellung von Datenschutz-Policies noch um Pionierarbeit handele, regte er gegenüber den Kontrollstellen an, die ersten Ergebnisse zunächst als positive Ansätze aufzufassen und keine überhöhten inhaltlichen Anforderungen zu stellen, da dies die Unternehmen im Hinblick auf zukünftige Selbstregulierungsaktivitäten demotivieren könnte.

Am Nachmittag berichtete der Hauptgeschäftsführer des Zentralausschusses der Deutschen Werbewirtschaft, RA Dr. Georg Wronka (RDV-Schrift­lei­tung), über aktuelle Selbstregulierungsinitiativen im Marketing. Regelungen der Netiquette als Regularien der weltweiten Internet-Gemeinde kämen unter dem Blickwinkel des Rechtsverstoßes nicht als Anknüpfungspunkt für wettbewerbsrechtliche Ansprüche in Frage. Mit Blick auf von der Internationalen Handelskammer (ICC) entwickelte Selbstregulierungsstandards im Marketing wies der Referent darauf hin, dass diese für den deutschen Markt deswegen nicht besonders relevant seien, weil die in ihnen festgelegten Grundsätze entweder bereits im geltenden nationalen Gesetzesrecht festgeschrieben worden seien oder von den in Deutschland bestehenden Selbstkontrolleinrichtungen ohnehin schon seit längerem angewandt würden. Solche nationalen selbstdisziplinären Instrumente seien die des Deutschen Direktmarketingverbandes (DDV). Die Robinson-Liste, verschiedene Ehrenkodizes, sowie die Regeln für faires Direktmarketing, auf die sich die im DDV zusammengeschlossenen Direktmarketing-Anwender geeinigt hätten, seien wesentliche Elemente der nationalen Selbstregulierung im Marketing. Das letztgenannte Regelwerk gelte für sämtliche Marketingmaßnahmen, die auf Verbraucher abzielten, unabhängig von den Kommunikationsmitteln oder den Marketingformen. Ergänzt würden die vorgenannten Selbstregulierungselemente durch Qualitäts- und Leistungsstandards, die der DDV für die Bereiche Listbroking, Rechenzentren/Datenverarbeitung sowie Adressenausdruck/Personalisierung/Lettershop entwickelt habe. Des Weiteren existierten neben einer in diesen Bereichen gefestigten unterinstanzlichen Rechtsprechung inzwischen weitere Robinson-Lis­ten für Telefax-, E-Mail- und Handy-Werbung.

Lutz Tillmanns (Deutscher Presserat e.V.) berichtete über die Selbstregulierung in der Presse nach § 41 BDSG. Die freiwillige Selbstkontrolle ermögliche es, den Redaktionsschutz zu wahren. Sie sei durch allgemeine Datenschutzrichtlinien im Pressekodex, eine vorgerichtliche Streitschlichtung, die Einrichtung eines eigenen Beschwerdeausschusses, einen Präventivkatalog zur Datensicherheit sowie eine regelmäßige Berichterstattung und Beratung in datenschutzrechtlichen Angelegenheiten gekennzeichnet.

RA Daniela Schüller (Deutscher Industrie- und Handelskammertag) berichtete über das EU-Pro­jekt „Online Confidence“. Angestrebt würden Gütesiegel der Europäischen Handelskammern für den E-Commerce auf der Basis einer Selbstkontrolle durch Online-Anbieter. Dabei bilde der Datenschutz einen integrativen Bestandteil des Gütesiegelkonzepts.

Renate Hornung-Draus (Vizepräsidenten der Sozialkommission der UNICE) berichtete über Aktivitäten der Europäischen Kommission im Hinblick auf den möglichen Erlass einer speziellen EU-Ar­beit­neh­­merdatenschutzrichtlinie. Im Anschluss an die Darstellung möglicher Regelungsbereiche, zu denen die Einwilligung, medizinische Daten, Drogen- und Gentests sowie die Überwachung und Mitarbeiterkontrolle beim Einsatz moderner elektronischer Medien gehörten, stellte die Referentin die bisherige Position der Deutschen und Europäischen Wirtschaft dar, wonach der Erlass einer EU-Richtlinie zum Arbeitnehmerdatenschutz angesichts eines bereits vorhandenen ausreichenden Regelungsrahmens entbehrlich sei. 

35. DAFTA am 17. und 18. November 2011 in Köln

Die 35. Datenschutzfachtagung (DAFTA) stand unter dem Leitthema „Neues Datenschutzrecht aus Brüssel und Berlin“. So bot die DAFTA einmal mehr die Möglichkeit, die aktuellen Entwicklungen im Datenschutz zu beleuchten und diese im Plenum zur Diskussion der Fachöffentlichkeit zu stellen. Der Vorstandsvorsitzende der GDD Prof. Peter Gola wies gleich zur Eröffnung der DAFTA darauf hin, dass mit den aus Berlin erwarteten Neuigkeiten, bei denen es sich vorrangig um Ergänzungen des BDSG und bereichsspezifische Normen zum Beschäftigtendatenschutz handelt, frühestens im Januar 2012 zu rechnen sein werde. Es sei davon auszugehen, dass sich das Parlament erst dann wieder mit diesem Gesetz beschäftigen werde.

>>       Kritik und Lob am Gesetzesentwurf für den Beschäftigtendatenschutz

Aber auch die vorliegende Regelungsalternative bot viel Raum für hochinteressante Fachvorträge, Diskussionen und Erfahrungsaustausch. Herr Prof. Gola wies in seiner Eröffnungsrede darauf hin, dass der aktuelle Gesetzesentwurf nicht so schlecht sei, wie er dargestellt werde. Als Indiz für die Ausgeglichenheit des Entwurfs könne der Umstand gewertet werden, dass der Entwurf sowohl von Seiten der Gewerkschaften als auch von Arbeitgeberverbänden Kritik erfahren habe.

Handwerkliche Schwächen der aktuellen Entwurfsfassung des Beschäftigtendatenschutzgesetzes konnte zwar der Bonner Arbeitsrechtler Prof. Gregor Thüsing erkennen, die beispielsweise einerseits in einigen Redundanzen zu erblicken seien, während auf der anderen Seite innerhalb des Entwurfs auf Regelungsinhalte verwiesen werde, was die Verständlichkeit des Gesetzestextes an einigen Stellen einschränke. Herr Prof. Thüsing pflichtete Herrn Prof. Gola aber insoweit bei, dass es sich inhaltlich um einen ausgewogenen Entwurf handele, der von ihm als Hochschullehrer die Note 1- bis 2+ erhalten würde.

Gola konstatierte ferner, dass sich, obwohl der Bundesgesetzgeber mit Gesetzesvorhaben, die noch Ende 2010 als wesentliche Ergänzung des BDSG vorgestellt wurden, nämlich dem sog. „Rote Linie Gesetz“, nicht mehr beschäftige, obwohl die Notwendigkeit des Schutzes des Persönlichkeitsrechts im Internet nicht geringer beachtenswert sei als der Bedarf nach Beschäftigtendatenschutznormen. Als ein positives Beispiel für die Lernbereitschaft und -fähigkeit des Bundesgesetzgebers wertete Gola jedoch die Nichtfortsetzung des ELENA-Verfahrens. Erwartungen im Hinblick auf gesetzgeberische Veränderungen seien aber ebenso mit Brüssel verbunden, so Gola.

Mit Blick auf die technologische Entwicklung bei gleichzeitig fortschreitender Globalisierung, habe sich die EU-Kommission für eine Revision des EU-Da­ten­schutz­rechts entschieden. Dem vorhandenen Modernisierungs- und Harmonisierungsbedarf solle durch weitere Ergänzungen und Präzisierungen Rechnung getragen werden. Die Antwort auf die Frage, ob eine modernisierte Richtlinie oder sogar eine Verordnung mit unmittelbarer Rechtswirkung für die Mitgliedstaaten erlassen wird, werde mit Spannung erwartet.

>>       Einheitliches Datenschutzrecht in Europa durch Verordnung

Dieses Geheimnis konnte bereits im weiteren Verlauf des Eröffnungsplenums der DAFTA gelüftet werden. Das Datenschutzrecht solle in Europa vereinheitlicht werden, dazu plane die EU-Kommission das Rechtsinstrument der Verordnung, die unmittelbare Geltung für sämtliche Mitgliedstaaten entfaltet, verkündete Paul Nemitz, Direktor der Direktion Grundrecht und für das Datenschutzrecht zuständig.

Nach Darstellung von Nemitz bestehe ein Bedürfnis, den Datenschutz durch eine Verordnung zu regeln, da hierdurch die Komplexität des Datenschutzrechts vermieden und eine EU-weite Vereinheitlichung verwirklicht werden könne. Man komme damit auch einem Wunsch der Wirtschaft nach, die sich einheitliche und verständliche Regelungen wünsche. Insbesondere kleine und mittelständische Unternehmen benötigten verständliche europaweit geltende Normen.

Die geplante EU-Verordnung solle auch die Zuständigkeit der Datenschutzaufsichtsbehörden konkretisieren. Sofern Unternehmen in mehreren Mitgliedstaaten tätig seien, soll diejenige Aufsichtsbehörde zuständig sein, bei der sich der Hauptsitz des Unternehmens befindet („One-Stop-Shop“). Dem Bürger hingegen solle allerdings die Möglichkeit verbleiben, seine Datenschutzrechte bei der für ihn zuständigen Aufsichtsbehörde geltend zu machen. Die Sanktionsmöglichkeiten der Aufsichtsbehörden sollen erheblich verstärkt und effektiver ausgestaltet werden, so Nemitz.

Das Prinzip der Selbstkontrolle durch betriebliche Datenschutzbeauftragte solle europaweit vereinheitlicht werden. Die EU-Kommission plane eine verpflichtende Bestellung von betrieblichen Datenschutzbeauftragten bei Unternehmen, die die Größe eines kleinen oder mittelständischen Unternehmens überschreiten. Zugleich sollen diese Unternehmen bei ihrem IT-Einsatz auf eine Folgenabschätzung im Datenschutz verpflichtet werden. Ein entscheidender Punkt der Verordnung solle die Verpflichtung zur datenschutzfreundlichen Grundeinstellung der IT sein.

„Privacy by default“ soll eine Verpflichtung darstellen. Die EU-Kommission verspreche sich hiervon auch wirtschaftliche Wachstumspotenziale, da dem Bürger und Verbraucher die IT-Nutzung ohne Sorgen und Bedenken vor einem Missbrauch seiner personenbezogenen Daten ermöglicht werde. Die EU-Kommission gehe davon aus, dass die Bedeutung des Datenschutzes als Wettbewerbsvorteil zukünftig weiter steigen werde. Die Vorstellung der Verordnung sei für den 25. Januar 2012 geplant.

>>       Bundesregierung setzt auf Selbstregulierung bei sozialen Netzwerken

Dass die Bundesregierung das Allheilmittel beim Thema Datenschutz nicht immer in der Schaffung neuer Gesetze sieht, war vom Ministerialdirektor des Bundesinnenministeriums (BMI) von Knobloch zu erfahren. Beispielsweise sollen die Anbieter von sozialen Netzwerken den Datenschutz im Wege der Selbstregulierung kodifizieren. Das BMI halte die Selbstregulierung für ein effektives und flexibles Mittel, um eine Datenschutzfreundlichkeit der Anbieter von sozialen Netzwerken durchzusetzen. Diese Bestandteile des Datenschutzkodexes soll die Transparenz von Datenschutzeinstellungen sowie die leichte Wahrnehmung von Datenschutzrechten sein. Das BMI setze auf eine gerichtliche Klärung der Verwendung des „Gefällt mir“-Buttons. Eine gesetzliche Regelung sei hierzu nicht geplant.

30. RDV-Forum am 16. November 2011 in Köln

Das RDV-Forum, dessen Veranstaltung sich 2011 zum 30. Mal jährte, stand unter dem Leitthema „Beschäftigtendatenschutz - Auf der Suche nach der roten Linie“. Prof. Peter Gola (Vorstandsvorsitzender der GDD sowie RDV-Schriftleitung), der die gesamte Veranstaltung moderierte, leitete mit seinen Ausführungen zu neuen Anforderungen an die Personalaktenführung eine Reihe von Vorträgen rund um das Themenfeld des Beschäftigtendatenschutzes ein.

Im Anschluss an die Ausführungen von Prof. Gola zeigte Prof. Dr. Gregor Thüsing LL.M (Direktor des Instituts für Arbeitsrecht und Recht der Sozialen Sicherung, Universität Bonn) den Anwesenden Wege auf, datenschutzrechtliche Fallstricke zu umschiffen, sofern bei der Arbeitnehmerüberwachung Video & Co. zum Einsatz gelangten.

Danach erläuterte Paul Gürtler (Targobank AG & Co. KGaA, Datenschutz & Informationssicherheit, Düsseldorf) den datenschutzkonformen Umgang mit Mitarbeiterdaten außerhalb eines Beschäftigungsverhältnisses.

Der darauf folgende Vortrag von Prof. Dr. Rolf Schwartmann (Kölner Forschungsstelle für Medienrecht, Fakultät für Wirtschaftswissenschaften, Fachhochschule Köln) befasste sich mit der auf Grund der stetig zunehmenden Verbreitung der Internetnutzung immer größere Bedeutung erlangenden Frage, „Was ist privat und was ist öffentlich?“. Dabei ging er auf die Fragestellung ein, ob online und offline dieselben rechtlichen Maßstäbe bzw. Kriterien zur Bewertung des Allgemeinen Persönlichkeitsrechts herangezogen werden können.

Dem explosionsartigen Anstieg der Nutzung von sozialen Netzwerken durch Arbeitnehmer und Arbeitgeber trug Prof. Dr. Rainer Gerling (Datenschutz- und IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft, München) Rechnung, indem er die Anwesenden über den datenschutzkonformen Einsatz sowie mögliche Risiken der Nutzung von sozialen Netzwerken in Unternehmen informierte.

In dem darauf folgenden Vortrag zeigte Oberstaatsanwalt Dr. Hans Richter (Staatsanwaltschaft Stuttgart) strafrechtliche Risiken bei unternehmensseitiger Aufklärung auf, wobei er insbesondere die Unterschiede zwischen unternehmensinternen Ermittlungen und sog. „Cross-Border-Investigations“ heraus arbeitete. 

Der Vortrag von Prof. Michael Kort (Lehrstuhl für Bürgerliches Recht, Wirtschaftsrecht, Gewerblichen Rechtsschutz und Arbeitsrecht, Universität Augsburg) über die Stellung des Betriebsrats im System des Beschäftigtendatenschutzes rundete das Portfolio des RDV-Forums gebührend ab. 

33. DAFTA am 19. und 20. November 2009 in Köln

Dass von den in 2009 noch von der alten Bundesregierung eilig verabschiedeten Datenschutznovellen nicht nur eine positive Signalwirkung für den Datenschutz ausgeht, sondern diverse Neuregelungen auch ein beträchtliches Maß an Rechts­unsicherheit in den betroffenen Unternehmen ausgelöst haben, und dass eine weitere Modernisierung des Datenschutzrechts auf einer ver­tieften praxisorientierten Diskussion der Thematik aufbauen sollte, waren wesentliche Ergebnisse der 33. Datenschutzfachtagung (DAFTA), die die GDD am 19. und 20. November 2009 unter dem Leitthema „Neues BDSG: Konsequenzen aus Datenschutzskandalen und Missmanagement“ in Köln veranstaltete.

Der Vorstandsvorsitzende der GDD, Prof. Peter Gola, verdeutlichte zu Beginn der Fachkonferenz die Reaktionen des Gesetzgebers auf öffentlich zu Tage getretene Missstände im Datenschutz. Dabei wies er darauf hin, dass die bisherigen gesetzgeberischen Ansätze nur bedingt geeignet seien, die festgestellte „krisenhafte“ Situation des Datenschutzes zu verbessern. Dabei betreffe die Kritik an den jüngst erfolgten BDSG-Novellierungen ne­ben dem unklaren Inhalt einzelner Regelungen ins­besondere auch die unsorgfältige Arbeit bei der redaktionellen Fassung. Schnellschüsse vor zu Ende gehenden Legislaturperioden seien für dieses Thema offensichtlich nicht der richtige Weg. Insgesamt sei die bereits seit langem angestrebte Verbesserung der Lesbarkeit und Verständlichkeit des BDSG eher konterkariert worden. Positiv hervorzuheben sei aber die erfolgte Stärkung der in­ter­nen und externen Datenschutzkontrolle, die einen Beitrag zu mehr Gesetzestreue leisten könne.

Bei einer weiteren Fortschreibung des Datenschutzrechts, Prof. Gola wies insofern auf Vorbereitungen der Aufsichtsbehörden hinsichtlich der Vorlage von Eckpunkten für eine Generalrevision des Datenschutzes hin, solle unbedingt mit mehr Bedacht und Sorgfalt vorgegangen werden. Mit Blick auf die im Koalitionsvertrag geäußerte Absicht der Schaffung praxisgerechter Datenschutzregelungen für Arbeitnehmer begrüßte Gola den vorgesehenen Regelungsstandort im Bundesdatenschutzgesetz; hierdurch könnten unnötige Do­ppel­regelungen vermieden werden.

Die Bundesjustizministerin a.D. Prof. Dr. Herta Däubler-Gmelin, die zuletzt mit der Aufklärung von Datenschutzvorfällen in der Wirtschaft befasst war, stellte den Beginn eines Bewusstseinswandels hin zu mehr Akzeptanz des Datenschutzes fest. Die betroffenen Unternehmen hätten mit per­sonellen, organisatorischen und konzeptionellen Änderungen auf die festgestellten Missstände reagiert. Wünschenswert sei neben einer weiteren öffentlichen Betonung der Bedeutung des Rechts auf informationelle Selbstbestimmung bzw. des Grundrechts auf Vertraulichkeit und In­te­grität informationstechnischer Systeme eine verbreitete Orientierung an vorbildlichen Datenschutzpraktiken. Datenschutzbeauftragte und Be­triebsräte dürften in Zukunft nicht mehr übergangen werden, sondern müssten weiter gestärkt werden. Für den betrieblichen Datenschutzbeauftragten gelte dies auch mit Blick auf eine eventuelle Übertragbarkeit der jüngst vom BGH festgestellten Garantenpflicht eines Revisionsleiters (RDV 2009, 274) auf den Datenschutzbeauftragten. Betriebsräte müssten in Sachen Datenschutz verstärkt geschult werden. Überdies seien eine vertrauensvolle Zusammenarbeit mit dem Betriebsrat und mitbestimmte Regelungen wichtige Instrumentarien zur Vermeidung von Konflikten.

Weiterer Regelungsbedarf bestehe im Bereich des Beschäftigtendatenschutzes. Hier gelte es, allseits vorhandene Rechtsunsicherheiten durch klare Rechtsvorgaben zu beseitigen. Allerdings seien hinsichtlich des Inhalts der Regelungen Diskussionen zwischen den Gewerkschaften und den Arbeitgeberverbänden vorprogrammiert.

Letzteres verdeutlichte auch der nachfolgende Vor­trag von Roland Wolf, Geschäftsführer der Ab­teilung Arbeitsrecht der Bundesvereinigung der Deutschen Arbeitgeberverbände (BDA). Mit Blick auf eine Modernisierung des Datenschutzrechts hielt Wolf eine besonnene und rechtsklare Fortentwicklung des Arbeitnehmerdatenschutzes im Rahmen des BDSG nicht für ausgeschlossen. Noch wichtiger als die Wahl des richtigen Regelungsstandortes seien angemessene und klare Regelungsinhalte. Zuvor hatte der Referent bereits darauf hingewiesen, dass Deutschland - auch hinsichtlich der Beschäftigungsverhältnisse - vergleichsweise ein hohes Datenschutzniveau aufweise. Zwar sei unbestritten, dass im Zu­sammenhang mit dem Arbeitsverhältnis stehende datenschutzrechtliche Fragen in der Regel auch Ele­mente des Arbeitsrechts betreffen. Im Hinblick auf das Verhältnis zwischen Datenschutz und Ar­beitsrecht sei aber darauf zu achten, dass der Da­tenschutz nicht überhöht werde. Der Referent be­zeichnete die jüngst in das BDSG eingefügte Rege­lung zum Umgang mit Beschäftigtendaten als „Bekenntnisgesetzgebung”, die für mehr Verwirrung als Klarheit gesorgt habe. Im Übrigen sei Datenschutz Teil der Compliance in den Unternehmen. Wer diesen Zusammenhang nicht sehe, baue künstliche Gegensätze auf, um - zumeist auf Kosten der Compliance - den Datenschutz auszuweiten.

Rainhard Degener, Hamburg-Mannheimer Versicherungsgesellschaft, bewertete die BDSG-No­ve­llen aus der Perspektive eines Datenschutzbeauftragten. Sein Fazit: Die Politik habe Flagge gezeigt und sich zu der gewachsenen Bedeutung des Datenschutzes bekannt. Als positive Folge der Neuregelungen sei eine verstärkte Sensibilisierung auch bei den Unternehmensführungen zu verzeich­nen. Andererseits seien aber auch Chancen vertan worden. So beinhalte das neue BDSG auch viel Überflüssiges und führe so noch nicht dazu, dass Datenschutz „sexy“ werde. Hinsichtlich des Paradigmenwechsels hin zum Einwilligungsmarketing verdeutlichte der Referent die insofern bereits geübte Praxis in seinem Unternehmen. Mit Blick auf den Beschäftigtendatenschutz stelle er sich die Frage, ob die Einbeziehung von nicht au­to­matisierten Datenverwendungen einen „Dammbruch“ darstelle. Angesichts der neuen Regelungen zur Auftragsdatenverarbeitung bleibe zu hoffen, dass sich alsbald ein Marktstandard im Sinne eines Best Practice etabliere, der die Auswahl bzw. die Kontrolle der Dienstleister vereinfache. Die Einführung einer Informationspflicht bei „Datenschutzpannen“ bezeichnete Degener trotz zahl­reicher noch offener Fragen als ehrenwerten und spannenden Versuch, einen neuen Beitrag zur Verbesserung des Datenschutzes zu leisten.

Im Rahmen der Diskussion machte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, deutlich, dass er von der neuen Bundesregierung die Einleitung weiterer Schritte zur Verbesserung des Datenschutzes erwarte. Die Unternehmen seien aber jetzt schon dazu aufgerufen, die bekannt gewordenen Datenschutzverstöße zum Anlass zu nehmen, „es erst gar nicht so weit kommen zu lassen“. Nicht zuletzt mit Blick darauf, dass mit Inkrafttreten des Vertrages von Lissabon ein in Europa einklagbares Grundrecht auf Datenschutz etabliert werde, plädierte der Bundesbeauftragte für eine moderne Ausgestaltung des Datenschutzes. Längst überfällig sei insofern eine Ausrichtung an Sicherheitszielen im Rahmen der technisch-or­ga­ni­satorischen Maßnahmen. Auch Privacy by Design, d.h. die frühzeitige Berücksichtigung von Datenschutzanforderungen bereits bei der Kon­zeption informationstechnischer Systeme bzw. die Ermöglichung von entsprechenden Voreinstellungen bei elektronischen Diensten, könnte zu einem modernen Datenschutz ebenso beitragen wie die ver­stärkte Schaffung von Transparenz, z.B. durch Einräumung von Zugriffsrechten in Ergänzung oder anstelle der herkömmlichen Auskunftserteilung.

Hinsichtlich einer zukunftsweisenden Fortschreibung des Datenschutzrechts wies die FDP-Bun­des­tags­abgeordnete Gisela Piltz auf entsprechende Ankündigungen im Koalitionsvertrag hin, die u.a. die Schaffung einer „Stiftung Datenschutz“ in Analogie zur bereits etablierten „Stiftung Warentest“ vorsehe. Abermals verdeutlichte die Diskussion die Notwendigkeit einer weiteren Stärkung der internen und aufsichtsbehördlichen Datenschutzkontrolle. 

28. RDV-Forum am 18. November 2009 in Köln

Das von Prof. Peter Gola (Vorstandsvorsitzender der GDD sowie RDV-Schrift­lei­tung) moderierte 28. RDV-Forum stand unter dem Leitthema „Brennpunkt: Mitarbeiterüberwachung“.

Einen Schwerpunkt der Veranstaltung bildete die Diskussion um die Auslegung der neuen Arbeitnehmerdatenschutznorm des § 32 BDSG. Insofern ließ Hans-Peter Viethen (Ministerialrat im Bundesministerium für Arbeit und Soziales) durchblicken, dass es nicht die Absicht des Gesetzgebers war, die bislang geltende Rechtslage grundlegend zu verändern. Vielmehr stelle die Norm einen ersten Schritt auf dem Weg zur Schaffung eines Arbeitnehmerdatenschutzgesetzes dar und fasse im Wesentlichen die bereits von der Rechtsprechung erarbeiteten Grundsätze des Datenschutzes im Beschäftigungsverhältnis zusammen. Eine gewisse Rechtsunsicherheit hat die Norm insbesondere hinsichtlich des zwischen dem sog. Compliance-Ma­na­ge­ment und dem Arbeitnehmerdatenschutz bestehenden Spannungsverhältnisses ausgelöst. Einerseits ist der Arbeitgeber gesetzlich verpflichtet, Straftaten bzw. Pflichtverletzungen im Unternehmen aufzudecken und zu verfolgen. Andererseits muss er sich in diesem Zusammenhang beim Zugriff auf Arbeitnehmerdaten am Grundsatz der Verhältnismäßigkeit orientieren. Prof. Dr. Wolfgang Däubler (Professor für Deutsches und Europäisches Arbeitsrecht, Bürgerliches Recht und Wirtschaftsrecht, Fachbereich Rechtswissenschaften, Universität Bremen) behandelte die neue Arbeitnehmerdatenschutznorm des § 32 BDSG speziell im Zusammenhang mit der Verfolgung von Unregelmäßigkeiten im Kassenbereich.

Die der Schaffung des § 32 BDSG vorausgegangenen sog. „Datenschutzskandale“ waren teilweise auch durch eine unrechtmäßige Bespitzelung von Arbeitnehmern durch Detektive ausgelöst worden. Eveline Wippermann (Präsidentin des Bundesverbandes Deutscher Detektive) skizzierte vor diesem Hintergrund seriöse und unseriöse Überwachungspraktiken.

Angesichts der Tatsache, dass auch staatliche Sicherheitsbehörden zunehmend an Beschäftigtendaten interessiert sind, schilderte Maike Kamp (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein - ULD) die Kooperation zwischen Arbeitgebern und Sicherheitsbehörden. 

34. DAFTA am 18. und 19. November 2010 in Köln

Mit Blick auf das Leitthema der 34. Datenschutzfachtagung (DAFTA) der GDD am 18. und 19. November 2010 in Köln „Der Mensch 2.0 - erst berechnet, dann berechenbar?” skizzierte der Vorstandsvorsitzende der GDD, Prof. Peter Gola, zunächst die aktuelle Situation des Datenschutzes, die nicht mehr mit der des 20. Jahrhunderts vergleichbar sei. Es würden immer raffiniertere Verfahren zur Erfassung personenbezogener Daten ausgeklügelt. Mitarbeitern, Kunden und Bürgern sei es kaum noch möglich, sich der Erfassung und Auswertung ihrer Daten zu entziehen. Beispielhaft seien aktuell nur zu nennen: Elektronische Bezahlung im Supermarkt, elektronische Fahrausweise, elektronische Standortbestimmung, elek­tro­ni­sche Messung des Stromverbrauchs, elektronische Straßengebührenerhebung etc.

Gola konstatierte ferner eine beginnende Aufteilung unserer Gesellschaft in diejenigen, die ihr Recht auf Privatheit und Selbstbestimmung verteidigen wollen und hierbei Hilfestellungen vom Staat erwarten, und denjenigen, für die das ungestörte Leben in der Computerwelt und in sozialen Netzwerken im Vordergrund stehe. Für Nutzer, die sich bewusst für Gott und alle Welt im Internet narzisstisch präsentierten und dort ihre sogenannten Freunde suchten, seien Datensparsamkeit und Datenvermeidung freilich zu Begriffen ohne Inhalt geworden.

Der GDD-Vorsitzende stellte in Frage, ob das Datenschutzrecht alleine noch das richtige Instrument sei, um das Recht auf informationelle Selbstbestimmung in der global um sich greifenden Computerisierung weiterhin sicherzustellen. Die Praxis der Gesetzgebung zeige, dass die Schaffung eines modernen Datenschutzrechts ein wohl nur schwerlich umsetzbares Vorhaben sei und für die kommenden Jahre wohl mehr Theorie als Wirklichkeit sein werde. Deutlich mache das auch das soeben von der Europäischen Kommission vorgelegte Gesamtkonzept für den Datenschutz in der Europäischen Union. Vor dem Hintergrund der unlängst erfolgten BDSG-Novellen I-III aber auch im Hinblick auf die von der Bundesregierung geplante Schaffung eines Beschäftigtendatenschutzgesetzes sei man von dem Ziel, das BDSG einfacher, verständlicher, überschaubarer und technologieunabhängig auszugestalten, weiter entfernt als zuvor.

>>       Kritik am Gesetzentwurf für den Beschäftigtendatenschutz

Handwerkliche Schwächen bei der von der Bundesregierung vorgeschlagenen Regelung des Beschäftigtendatenschutzes kritisierte der Bonner Arbeitsrechtler Prof. Gregor Thüsing. Beispielsweise gebe es in dem Entwurf auf der einen Seite vielfach Redundanzen, während auf der anderen Seite innerhalb des Entwurfs auf Regelungsinhalte verwiesen werde, was die Verständlichkeit des Gesetzestextes erheblich einschränke.

Auch inhaltlich weise der Entwurf Mängel auf, welche die Schaffung von Rechtssicherheit und die Praktikabilität des Gesetzes in Frage stellten. Klarstellungen bzw. Ergänzungen seien u.a. hinsichtlich der Erforderlichkeit der Verwendung von Beschäftigtendaten, der Überwachung der Telekommunikation und der Verwendung von Beschäftigtendaten im Rahmen eines Datenabgleichs angezeigt. Das im Regierungsentwurf vorgesehene generelle Verbot verdeckter Videoüberwachung hält Thüsing dogmatisch für falsch. Da es in bestimmten Fällen kein anderes Mittel zur Aufklärung von Straftaten gebe, müsse eine verdeckte Videoüberwachung als äußerstes Mittel zulässig bleiben. Weiteren gesetzgeberischen Handlungsbedarf sieht der Referent hinsichtlich einer angemessenen Berücksichtigung von Konzernsachverhalten, im Rahmen derer die von der EU-Datenschutzrichtlinie gewährten Spielräume mutig genutzt werden sollten. Die geplante Zurückdrängung der Einwilligung als Rechtfertigung der Datenverarbeitung hält Thüsing indes für europa- und verfassungsrechtlich bedenklich. Des Weiteren sei zu bemängeln, dass der Regierungsentwurf dem Arbeitgeber keine Anreize biete, von dem flexiblen und bewährten Instrument der Betriebsvereinbarung Gebrauch zu machen. Die Betriebspartner hätten nach dem Entwurf nicht mehr wie bisher die Möglichkeit, die Unklarheiten des BDSG durch eine passgenaue betriebliche Regelung zu beseitigen.

>>       Revision des EU-Rechtsrahmens für den Datenschutz

Wie der europäische Rechtsrahmen für den Datenschutz zukünftig ausgestaltet werden soll, erläuterte Thomas Zerdick von der Europäischen Kommission.
Im Rahmen der jüngst veröffentlichten Mitteilung der Kommission - KOM (2010) 609 - lege diese explizit besonderen Wert auf eine weitere Harmonisierung der Datenschutzbestimmungen auf EU-Ebene. Die von der GDD abgegebenen Stellungnahmen seien der Kommission insbesondere mit Blick auf Entbürokratisierungspotenziale bei der Meldepflicht und eine Effektivierung des Datenschutzes durch eine Stärkung des betrieblichen Datenschutzbeauftragten hilfreich gewesen. Angesichts der Forderung nach einer Konzernregelung wies Zerdick darauf hin, dass die EU-Datenschutzrichtlinie bereits heute auf alleinige bzw. arbeitsteilige Verantwortlichkeiten abstellt.

Im Einzelnen stellte der Referent folgende fünf Hauptziele des bisherigen Gesamtkonzepts der EU-Kommission vor:

1. Stärkung der Rechte des Einzelnen, damit die Sammlung und Nutzung personenbezogener Daten auf das erforderliche Mindestmaß beschränkt wird.
2. Stärkung der Binnenmarktdimension durch Verringerung des Verwaltungsaufwands für Unternehmen und die Gewährleistung gleicher Rahmenbedingungen.
3. Überarbeitung der Datenschutzbestimmungen im Bereich der Zusammenarbeit der Polizei und Strafjustizbehörden, damit personenbezogene Daten Einzelner auch hier geschützt werden.
4. Globale Dimension des Datenschutzes - Gewährleistung eines hohen Datenschutzniveaus bei Übermittlungen an Stellen außerhalb der EU durch die Verbesserung und Erleichterung von Verfahren für den internationalen Datentransfer.
5. Wirksamere Durchsetzung der Vorschriften durch die Stärkung und weitere Harmonisierung der Aufgaben und Befugnisse der Datenschutzbehörden.

Die Überprüfung der Datenschutzpolitik durch die Kommission werde die Grundlage weiterführender Beratungen und einer weiteren Bewertung bilden, so Zerdick. Die Kommission rufe alle Beteiligten und die Öffentlichkeit dazu auf, sich bis zum 15. Januar 2011 zu ihren Vorschlägen zu äußern. Sie plane auf dieser Grundlage im Jahre 2011 Vorschläge für eine neue allgemeine Datenschutzregelung zu unterbreiten, über die in letzter Konsequenz das Europäische Parlament und der Rat zu entscheiden hätten.

>>       Datenschutz als wachsendes Politikfeld

Mit Blick auf das demnächst vom Bundestag zu behandelnde Beschäftigtendatenschutzgesetz regte die stellvertretende Vorsitzende der FDP-Bundestagsfraktion Gisela Piltz die Vorlage konkreter Vorschläge für die Ausgestaltung einer Konzernregelung an. Angesichts der Kritik an dem Regierungsentwurf wies die Abgeordnete darauf hin, dass noch kaum ein Gesetz den Bundestag so verlassen habe, wie es hineingekommen sei.

Piltz informierte ferner darüber, dass der Haushaltsausschuss des Deutschen Bundestages im November die Bereitstellung von 10 Millionen Euro für die Errichtung der Stiftung Datenschutz beschlossen habe. Union und FDP würden die Stiftung noch im Jahr 2011 auf den Weg bringen. Diese solle als unabhängige und staatsferne Institution dem Datenschutz in Deutschland neue Impulse geben. Aufgabe der Stiftung solle es sein, die Einhaltung hoher Datenschutzstandards zu honorieren und bei Missständen den Finger in die Wunde zu legen. Gütesiegel mit bundesweiter Geltung und vergleichende Tests unter Datenschutzaspekten sollen dem Verbraucher bei Bedarf eine Richtschnur an die Hand geben. Durch mehr Aufklärung solle der Selbstdatenschutz gefördert und jeder Einzelne zu einem behutsameren Umgang mit den eigenen personenbezogenen Daten animiert werden.

Schließlich gab die Bundestagsabgeordnete einen Überblick über die inzwischen zahlreich gewordenen Politikfelder mit Bezug zum Datenschutz, die vom Beschäftigtendatenschutz über den Umgang mit Geodaten durch Unternehmen bis hin zur staatlich verordneten Vorratsdatenspeicherung durch Provider reichten.

>>       Fazit

Dass der Gesetzgeber sein selbst gestecktes Ziel der Schaffung eines EU-konformen, interessen- und praxisgerechten Beschäftigtendatenschutzgesetzes nicht aus den Augen verlieren darf und insofern noch Nachbesserungsbedarf besteht, war schließlich ein wesentliches Ergebnis der 34. DAFTA. Am Ende der Diskussion stand der Appell an den Gesetzgeber, sich Zeit für ein qualitativ besseres Gesetz zu nehmen. Man habe nun schon so viele Jahre auf ein Beschäftigtendatenschutzgesetz gewartet, dass es auf einige wenige Monate mehr nicht ankommen könne.

29. RDV-Forum am 17. November 2010 in Köln

Das von Prof. Peter Gola (Vorstandsvorsitzender der GDD sowie RDV-Schrift­lei­tung) moderierte 29. RDV-Forum stand unter dem Leitthema „Tatort Personaldatenverarbeitung“.

Der Schwerpunkt des 29. RDV-Forums lag in der Darstellung des Zielkonflikts zwischen Compliance und Datenschutz, welche insbesondere nach den „Datenskandalen“ der jüngeren Vergangenheit durch Screening-Maßnahmen der Deutschen Bahn wieder in den Mittelpunkt des Interesses gerückt war.

Prof. Ronellenfitsch (Hessischer Datenschutzbeauftragter Wiesbaden) verdeutlichte den sich ergebenden Zielkonflikt, in dem er darstellte, dass die verantwortlichen Stellen zum Aufbau eines Compliance-Systemes bereits durch Sondervorschriften aus dem Bereich des Risikomanagements zur Durchführung der Innenrevision gezwungen sind. Diese Sondervorschriften bildeten damit zwar eine Eingriffsermächtigung, die jedoch trotz allem auf Grundgesetzebene durch Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG beschränkt werden müsse. Damit gehöre zur Compliance auch die Einhaltung des Datenschutzes, insbesondere die Einhaltung der Datenschutzgrundsätze des BDSG (Datensparsamkeit, Datenvermeidung, Zweckbindung etc.).

Frau Krader (Konzerndatenschutzbeauftragte Deutsche Post World Net; GDD-Vorstand, Bonn) erweiterte das von Herrn Prof. Ronellenfitsch eröffnete Thema um eine EU-weite Perspektive und stellte die Problematik des Mitarbeiterscreenings nach den EU-Antiterrorlisten und die damit verbundenen Erwartungen an die Unternehmen vor.

Prof. Dr. Hoeren (Westfälische Wilhelmsuniversität Münster, Institut für Telekommunikations- und Medienrecht, Münster) rundete das Thema ab, in dem er einen Bogen zum sozialen Netzwerk Facebook schlug und die datenschutzrechtlichen Verquickungen mit den zu erwartenden typischen Datenschutzrisiken im sog. Web 2.0., mögliche Fehler bei der Gestaltung von Einwilligungsklauseln darstellte, nicht ohne eine Zukunftsprognose hinsichtlich der möglichen Entwicklungen auf dem Gebiet des UWG und des Verbraucherschutzes zu wagen.

Von praktischen Erwägungen war das Referat von Herrn Dr. Ulmer (Konzerndatenschutzbeauftragter, Deutsche Telekom AG, Bonn) getragen, der die aktuellen Neuerungen im Telemediengesetz darstellte und einen Ausblick auf deren Auswirkungen in der Praxis warf.

Die zweite Tageshälfte stand ganz im Zeichen der aktuellen datenschutzrechtlichen Entwicklungen aus Berlin. Diese wurden von Herrn RA Schulz (Referent der stellvertretenden Vorsitzenden der FDP-Bundestagsfraktion Gisela Piltz, MdB, Berlin) dargestellt, wobei der Schwerpunkt der Ausführungen auf der Stiftung Datenschutz, dem zur Debatte stehenden Datenschutzbrief und einem zukünftigen Beschäftigtendatenschutzgesetz lag.

In den weiteren Tagespunkten fanden der Datenschutz bei Unternehmenstransaktionen (Due-Dilligence) und auch ein Ausblick auf die Datenschutzregeln bei dem ELENA- und ELSTER-Verfahren ihren Platz.

31. DAFTA am 15. und 16. November 2007 in Köln

Die verabschiedeten und geplanten Sicherheitsgesetze, insbesondere die Vorratsdatenspeicherung und die Online-Durchsuchung, stellen massive Eingriffe in die grundrechtlich verbürgte informationelle Selbstbestimmung dar. Die Frage der Verhältnismäßigkeit derartiger Eingriffe diskutierten namhafte Juristen mit Datenschutzverantwortlichen der Wirtschaft anlässlich der 31. Datenschutzfachtagung (DAFTA) der GDD, die unter dem Titel „Datenschutz neu denken?“ vom 15. bis 16. November 2007 in Köln stattfand.

Datenschutzgerechte Sicherheitsgesetze: Entscheidend ist das „Wie“

Der Vorstandsvorsitzende der GDD, Prof. Peter Gola, stellte fest, dass die schnelle Entwicklung der Informationstechnik auch zu ihrer zunehmenden Nutzung im Zusammenhang mit Straftaten geführt habe. Hiermit sei nicht nur die immer wieder beschworene terroristische Gefahr gemeint. Zu nennen seien in diesem Zusammenhang etwa auch sog. Phishing-Attacken, die über den Versand von Würmern und Viren ausgelebte virtuelle Zerstörungswut oder die Verbreitung von Kinderpornographie über das Internet. 

Niemand, so Gola, wolle in Frage stellen, dass der Staat ausgerüstet sein müsse, den Bürger angemessen zu schützen. Dazu würden auch personenbezogene Daten bzw. technische und rechtliche Zugriffsmöglichkeiten benötigt. Entscheidend sei also nicht die Frage des „Ob“, sondern das „Wie“ der Eingriffe, d.h. die Wahrung der Verhältnismäßigkeit der Überwachungsbefugnisse.

Geschützt werden müsse Bürger auch vor den Begehrlichkeiten der Wirtschaft. Die immer noch weitgehend hinter dem Rücken des Einzelnen stattfindende Einschätzung seines Konsumverhaltens und damit seiner Persönlichkeit sei, so Gola, auf das Angemessene zurückzuführen. Entscheidend sei vor allem, das Gesamtmaß der Überwachung durch Staat und Private im Auge zu halten. Viele - im Einzelnen durchaus begründbare -Überwachungs- und Auswertungssysteme führten in ihrem Ganzen zu einem zwar mit guten Absichten gepflasterten, aber gleichwohl in die Unfreiheit führenden Weg.

Informationelle Selbstbestimmung als Schutzschild der Persönlichkeit

Die Richterin am Bundesverfassungsgericht (BverfG), Dr. Christine Hohmann-Dennhardt, erklärte, dass es nach den Vorgaben des BVerfG keine unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe persönlicher Daten geben dürfe. Die Beschränkung des Rechts auf informationelle Selbstbestimmung setze eine gesetzliche Grundlage voraus, die sich durch Normenklarheit auszeichne, so dass der Bürger erkennen kann, welche seiner Daten wo, von wem und zu welchem Zweck erfasst und verarbeitet werden. Zudem müsse der Grundsatz der Verhältnismäßigkeit gewahrt bleiben und es seien organisatorische wie verfahrensrechtliche Vorkehrungen zu treffen, die der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken.

Zunehmend, so Hohmann-Dennhardt, würden die Instrumente der Beobachtung und Überwachung, der Erhebung, Speicherung und des Abgleichs von personenbezogenen Informationen nicht erst bei der Strafverfolgung zum Einsatz gebracht, sondern immer weiter im Vorfeld noch nicht begangener, aber befürchteter Taten. Stets müsse insoweit gewährleistet bleiben, dass Annahmen, die einen Grundrechtseingriff legitimieren, einen konkret umrissenen Ausgangspunkt im Tatsächlichen haben. Das bloße Vorliegen einer allgemeinen Bedrohungslage sei nicht ausreichend. Bei der Frage der Verhältnismäßigkeit von Eingriffen in die Privatheit zum Zwecke der Terrorismus- und Verbrechensbekämpfung sei überdies nicht nur das jeweils einzelne Instrument ins Auge zu fassen, das zum Einsatz gebracht werden solle. Der Blick müsse stattdessen auf die Summe der möglichen Ermittlungsmaßnahmen und die Gesamtheit der Fakten gerichtet werden, die hiermit über den Einzelnen zusammengetragen werden könnten. Überdies sei es notwendig, Privaträume zu definieren, die keineswegs erschlossen werden dürften, und die Verwendung personenbezogener Daten an klar bestimmte und strikte Zwecke zu binden.

Gesellschaftlicher Konsens als Basis für Sicherheitsgesetzgebung

Der Bundesvorsitzende der Gewerkschaft der Polizei, Konrad Freiberg, erklärte, dass die staatlichen Stellen neben neuen rechtlichen Werkzeugen vor allem personeller Ressourcen bedürften, um dem Terrorismus und international agierenden Schwerkriminellen wirksam begegnen zu können.

Zu beachten bleibe allerdings, dass sowohl aus Sicht der Gefahrenabwehr als auch im Hinblick auf die Strafverfolgung Kommunikation das wichtigste Beweismittel darstelle. So sei etwa die
akustische Wohnraumüberwachung früher für die Behörden ein sehr hilfreiches Mittel gewesen. Dieses sei jedoch auf Grund der engen Vorgaben des Bundesverfassungsgerichts praktisch kaum noch handhabbar, weshalb er die Einführung des sog. Richterbandes befürworte. Die Online-Durch­suchung wie auch die sog. Quellen-Te­le­kommu­ni­ka­tionsüberwachung seien für eine Polizei, die auch zukünftig ihren Auftrag erfüllen soll, von zunehmender Wichtigkeit, so Freiberg. Die Quellen-Telekommunikationsüberwachung stelle die Dienststellen allerdings eher vor technische als vor rechtliche Herausforderungen. Hin-sichtlich der Online-Durchsuchung sei ein Rechtsrahmen erforderlich, der die Persönlichkeitsrechte beachte. Die Regelungen zur Vorratsdatenspeicherung halte er für grundsätzlich vertretbar. Insofern seien etwa die im Zusammenhang mit den Anschlägen von Madrid erzielten Erfolge zu beachten. Auch einen zweckändernden Zugriff auf Mautdaten zu Zwecken der Strafverfolgung halte er für hinnehmbar, sofern ein solcher nur bei entsprechend schweren Taten und dem Vorliegen eines richterlichen Beschlusses erfolge.

Letztlich, so Freiberg, bleibe es aber immer Aufgabe der Gesellschaft zu entscheiden, welches Maß an Sicherheit sie zu welchem Preis akzeptieren wolle.

Belastung der Privatwirtschaft durch Sicherheitsgesetzgebung

Aus Sicht eines Telekommunikationsanbieters stellte Dr. Claus Ulmer, Konzernbeauftragter für den Datenschutz der Deutschen Telekom Gruppe, die Auswirkungen der staatlichen Sicherheits- und Kontrollgesetze auf die betriebliche Datenverarbeitung und den Datenschutz dar.

Die Vorratsdatenspeicherung habe insofern konkrete Auswirkungen auf die Unternehmen der TK-Branche, als diese zum einen den Speicherplatz für die nicht geringen Datenmengen bereitstellen und entsprechende Auswertungsroutinen entwickeln müssten. Zum anderen müsse zusätzliches Personal für die Betreuung der Abläufe und zur Beauskunftung vorgehalten werden. Dies verursache erhebliche Kosten. Die Sicherheitsanforderungen der Aufsichtsbehörden bezüglich der vorgehaltenen Daten stünden dabei ebenso wenig fest, wie die konkrete Ausgestaltung der Kostenerstattung gegenüber den TK-Anbietern.

Gleichzeitig, so Ulmer, ergäben sich gravierende Zweifel hinsichtlich der Geeignetheit, Erforderlichkeit und Angemessenheit der Regelungen zur Vorratsdatenspeicherung. So könne die Spurverfolgung mittels dieser Maßnahme durch Sachkundige leicht umgangen werden, indem z.B. auf Boten, öffentliche Telefonzellen/In­ter­net­an­ge­bo­te, ausländische Mobilfunkanbieter oder auf Möglichkeiten zur Verschleierung der IP-Adresse zurückgegriffen werde.

Die geplanten Regelungen zur Online-Durch­suchung stießen auf Seiten der Wirtschaft insbesondere auf Sicherheitsbedenken. So beinhalte es ein potenzielles Sicherheitsrisiko für das gesamte Netz, wenn Systemschwachstellen auf Anweisung nicht kommuniziert würden, um über diese Lücke den Systemzugang zu erhalten.

Zu Bedenken sei schließlich auch, dass das derzeitige staatliche Handeln die Bürger und damit die Telekommunikationskunden verunsichere. Dies gefährde neue zukunftsweisende Geschäftsmodelle der TK-Anbieter.

Podiumsdiskussion

Der ehemalige Bundesminister des Innern, Gerhart Baum, vertrat die Ansicht, dass die verabschiedeten bzw. geplanten Sicherheitsgesetze die Grenzen der Verfassung überschreiten. Bezüglich der Vorratsdatenspeicherung sehe er eines der Hauptprobleme in der Zugriffsmöglichkeit der Nachrichtendienste, da bei diesen der Richtervorbehalt nicht greife und zudem eine Weitergabe von Informationen in die USA zu befürchten sei. Wenn die freiheitsbeschränkenden Gesetze mit Unwissenheit und Gleichgültigkeit in der Bevölkerung zusammenkämen, sei der Kampf um die Wahrung der Freiheitsrechte verloren. Doch das Wichtigste, was es zu verteidigen gebe, so Baum, sei die Freiheit.

Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, konstatierte „Dammbrüche“ im Hinblick auf das Recht auf informationelle Selbstbestimmung. Er wies in diesem Zusammenhang auf in Italien im Rahmen der Aufklärung von Bestechlichkeitsdelikten öffentlich gewordenen Telekommunikationsdaten hin sowie auf jüngst bekannt gewordene Pläne, ein EU-weites System zur Fluggastüberwachung zu schaffen.

Anschließend wurde diskutiert, inwieweit es getrennter Datenschutzgesetze für den privaten und öffentlichen Bereich bedürfe. Der Bayerische Landesbeauftragte für den Datenschutz, Dr. Karl Michael Betzl, erklärte, dass es jedenfalls eines einheitlichen Konzepts für beide Bereiche bedürfe, da sonst die Gefahr bestünde, dass die Polizei sich das, was sie selbst nicht erheben dürfe, bei den Privaten hole. Auch Schaar war der Ansicht, dass die Unterschiede zwischen staatlicher und privater Datenverarbeitung keine Regelung in getrennten Gesetzen erzwingen. Z.B. auf Grund von Outsourcingmaßnahmen bei öffentlichen Stellen sowie der Wahrnehmung öffentlicher Aufgaben durch Private (z.B. bei der Vorratsdatenspeicherung) seien die Grenzen ohnehin fließend. Dr. Hohmann-Dennhardt erklärte, sie wünsche sich weniger ein neues Gesetz als eine gesamtgesellschaftliche Debatte darüber, in welchen Zusammenhängen personenbezogene Daten anfallen und verarbeitet werden. Insoweit fehle es ihrer Ansicht nach an einer ausreichenden Orientierung der Bürger.

26. RDV-Forum am 14. November 2007 in Köln

Das von Prof. Peter Gola (Vorstandsvorsitzender der GDD sowie RDV-Schriftleitung) moderierte 26. RDV-Forum stand am 14. November 2007 in Köln unter dem Leitthema „Arbeitnehmerdatenschutz - Digitale Personalakte und neue Überwachungstechniken“. Die Veranstaltung gab Aufschluss darüber, was aus Datenschutzsicht zu berücksichtigen ist, wenn biometrische Verfahren, RFID, GPS etc. Einzug in das Unternehmen halten. Weitere Themen waren digitale Personalaktensysteme, Datenschutz in der Einigungsstelle sowie die kurz zuvor ergangene Entscheidung des Bundesarbeitsgerichts zum Widerruf der Bestellung eines nebenamtlichen Datenschutzbeauftragten.  

Am Ende der Veranstaltung berichtete der Staatssekretär im Bundesinnenministerium Johann Hahlen über die neuen Initiativen des Bundesministeriums des Innern zur Fortentwicklung des Datenschutzrechts. Dabei verdeutlichte er die Absicht seines Ministeriums zur Schaffung von mehr Transparenz und Rechtssicherheit im Auskunfteirecht bzw. beim sog. Scoring sowie die bisherigen Bemühungen zur Erarbeitung eines Bundesdatenschutzauditgesetzes (BDSAuditG).

29. DAFTA am 17. und 18. November 2005 in Köln

Unter dem Leitthema „Datenschutz - ein Dispositionsfaktor?“ veranstaltete die GDD am 17. und 18. November 2005 in Köln ihre 29. Datenschutzfachtagung (DAFTA).

In seiner Eröffnungsrede griff der Vorstandsvorsitzende der GDD, Prof. Peter Gola, das Leitthema der DAFTA auf und wies darauf hin, dass in einigen Bereichen das Fragezeichen hinter dem Wort Dispositionsfaktor bereits weggefallen sei. Im Spannungsfeld zwischen „Sicherheit durch Kontrolle“ und „Freiheit vor Kontrolle“ habe sich die Politik vielfach zu Gunsten der Sicherheit entschieden. Für ihn ergebe sich daraus die Frage, welches Ver­trauen bzw. Misstrauen der Staat seinen Bürgern entgegenbringe. Datenschutz, so Prof. Gola, werde nicht zum Täterschutz, nur weil nachgefragt werde, ob es tatsächlich berechtigt sei, jeden Bürger unter den Dauerverdacht zu stellen, ein potenzieller Steuerhinterzieher, Sozialschmarotzer oder krimineller Terrorist zu sein.

Bundesverfassungsgericht und Recht auf Privatheit

Im Anschluss an die Eröffnungsrede referierte Prof. Dr. Elke Gurlit zum Thema „Die Verfassungsrechtsprechung zur Privatheit im gesellschaftlichen und technologischen Wandel“.

Als Grundrechte mit Privatheitsbezug, so Gurlit, se­ien einerseits das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz) mit seinen Ausprägungen Recht auf informationelle Selbstbestimmung, Schutz der Privatsphäre, Recht am eigenen Wort und am eigenen Bild und andererseits die Kommunikationsgeheimnisse (Art. 10 Grundgesetz) und der Schutz der Wohnung (Art. 13 Grundgesetz) anzusehen. In der Be­stim­mung der Schutzbereiche der Grundrechte habe das Bundesverfassungsgericht überaus filigrane Abgrenzungen getroffen, was vor dem Hintergrund der unterschiedlichen verfassungsrechtlichen Schranken der betroffenen Grundrechte auch unmittelbar einleuchtend sei. Bei der Bestimmung der Eingriffsschranken lasse sich das Gericht demgegenüber von einer grundrechtsübergreifenden Dog­matik leiten, die die Vorgaben des Volkszählungsurteils in Bezug nehme. Es spreche für die Zeitlosigkeit dieser aus dem Jahre 1983 stammenden Entscheidung, dass ihre Vorgaben an den grundrechtsbeschränkenden Gesetzgeber sich als flexibel und sachgerecht auch für künftige Konfliktlagen erwiesen hätten.

Die Schrankenanforderungen, die das Bundesverfassungsgericht grundrechtsübergreifend zu Grun­de lege, seien ganz überwiegend prozeduraler Natur. Dies beginne bei Verfahrenspflichten des Gesetzgebers in Gestalt von Beobachtungspflichten und setze sich fort in Anforderungen an die Beschaffenheit der Norm hinsichtlich ihrer Bestimmt­heit und Klarheit. Jedenfalls im Bereich der staatlichen Sicherheit und Strafverfolgung sei zu­dem der Richtervorbehalt eminent wichtig. Auch substanzielle Schranken blieben aber von Bedeutung. Dies zeige sich besonders deutlich an den Grenzen des Großen Lauschangriffs, der von Verfassungs wegen bei einer abhörfreien Kernzone enden müsse. Zu berücksichtigen sei allerdings, dass die Vorstellung z.B. einer abhörfreien Kernsphäre der Persönlichkeit nicht dauerhaft gegen die Bürger verteidigt werden könne, die gerade diesen Kern nicht selten freigäben oder sich - eben­falls nicht selten - geschwätzig über Intimitäten Dritter verbreiteten.

Datenschutz im Spannungsfeld von Privatsphärenschutz, Sicherheit und Informationsfreiheit

Der Bundesbeauftragte für den Datenschutz, Peter Schaar, nahm Stellung zu wichtigen Datenschutzfragen.

Eine der vordringlichen Aufgaben des Datenschutz­es, so Schaar, sei es, das vom Bundesverfassungs­gericht entwickelte Grundrecht auf informationelle Selbstbestimmung auch vor dem Hintergrund der immer rasanter werdenden technischen Entwicklung zu gewährleisten. Im Volkszählungsurteil habe das Gericht festgestellt, dass das Grundrecht auf informationelle Selbstbestimmung die Befugnis des Einzelnen garantiere, grundsätzlich selbst über die Verwendung seiner personenbezogenen Daten zu entscheiden. Diese Befugnis sei - so die Vorgabe des Gerichtes - „unter den heutigen und künftigen Bedingungen der automatischen Datenverarbeitung in besonderem Maße“ zu schützen. Zwar, so Schaar, seien die zunehmende Vernetzung, RFID, Satellitenortung, Handys etc. keine wirklich neuen Entwicklungen mehr. Er sehe aber eine neue Qualität darin, dass die Systeme mittlerweile nahezu beliebig kombiniert würden und so Verfahren ermöglichten, die über alles Bisherige hinausgingen. Dies gelte für den Nutzen - aber auch für die mit den Verfahren verbundenen Gefahren und Überwachungsmöglichkeiten. Der Begriff „ubiquitous computing“ bezeichne die dargestellte Entwicklung zutreffend. Zu denken sei in diesem Zusammenhang etwa an sog. Location Based Services, die zukünftige digitalisierte Speicherung von biometrischen Daten in Ausweisdokumenten, die Gebührenerfassung und -abrechnung durch das Mautsystem, die bevorstehende Einführung der elektronischen Gesundheitskarte oder die mit Sicherheitsbelangen begründete Ausweitung der Videoüberwachung.

Eine ständige Herausforderung für die Datenschützer bestehe auch darin, dass Spannungsverhältnis zwischen dem Datenschutz und den nationalen bzw. internationalen Sicherheitsinteressen zum Ausgleich zu bringen. Richtig sei etwa, dass zur Verhütung und Bekämpfung der internationalen Kriminalität eine Intensivierung der informationellen Zusammenarbeit auf nationaler, europäischer und internationaler Ebene unverzichtbar sei. Unerlässlich sei aber auch, im Rahmen dieser Kooperation die Grundrechte und Grundfreiheiten des EU-Verfassungsvertrages zu gewährleisten. Erste Schritte in die richtige Richtung seien insoweit durch die datenschutzrechtlichen Ausführungen im „Haager Programm zur Stärkung von Freiheit, Sicherheit und Recht in der Europäischen Union“ unternommen worden. Zu begrüßen sei auch, dass die EU-Kommission inzwischen einen Vorschlag für einen Rahmenbeschluss über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, vorgelegt habe. Für bedenklich halte er, dass auf europäischer Ebene immer noch die Vorratsspeicherung von bei Telekommunikations- und Multimediadiensten an­fal­lenden Verkehrsdaten im Raum stehe. Eine derart umfassende Kontrolle der Online-Akti­vi­tä­ten, wie sie zur Zeit erwogen werde, halte er für nicht hinnehmbar. Zum einen sei zu beachten, dass sich die Überwachungsdichte mit den sich abzeichnenden neuen elektronischen Diensten ständig erweitern werde. Zum anderen halte er es für kritisch, wenn Regierungen, die mit entsprechenden Vorgaben auf nationaler Ebene gescheitert seien, nunmehr den Umweg über Europa suchten. Im Hinblick auf die derzeitigen politischen Ambitionen, die geltenden Datenschutzbestimmungen darauf zu überprüfen, ob sie die Terrorbekämpfung behindern, warne er vor einer übereilten Beschneidung wesentlicher Grundrechts­positionen. Er halte es für wesentlich dringlicher, darüber zu diskutieren, ob die mit der Terrorbekämpfung begründeten neuen Maßnahmen diesem Ziel wirklich dienen, ob sie effektiv, effizient und verhältnismäßig sind.

„Datenschutzkontrolle im Umbruch?“

 Prof. Gola eröffnete die nachfolgende Podiumsdiskussion zum Thema „Datenschutz im neuen Koalitionsvertrag - Datenschutzkontrolle im Umbruch?“ mit dem Hinweis auf die Absichtserklärung der Koalition, das betriebliche Beauftragtenwesen zum Zwecke des Bürokratieabbaus reduzieren zu wollen. Es ergebe sich somit die Frage, inwieweit von dieser Aussage auch der betriebliche Datenschutzbeauftragte betroffen sein solle und dürfe. Keine Aussage treffe der Koalitionsvertrag demgegenüber hinsichtlich der im Streit stehenden notwendigen Unabhängigkeit der staatlichen Datenschutzaufsicht.

Der Bundesbeauftragte für den Datenschutz befand, dass es im Koalitionsvertrag durchaus Ansätze für einen „guten“ Datenschutz gebe. So sei es zutreffend, dass das Datenschutzrecht vor dem Hintergrund der technischen Entwicklungen der Überprüfung und Fortentwicklung bedürfe. Auch die Absicht der Koalition, das Datenschutzrecht auf Redundanzen überprüfen zu wollen, sei grund­sätzlich begrüßenswert. Nicht unbedenklich sei allerdings die Aussage der Koalition, die Verpflichtung zur Bestellung von betrieblichen Beauftragten reduzieren zu wollen. Der betriebliche Da­ten­schutzbeauftragte sei kein bürokratisches Unwesen. Vielmehr werde dadurch, dass mit der Be­stellung die Meldepflicht gegenüber der staatlichen Aufsichtsbehörde entfalle, überflüssige Bürokratie gerade vermieden. Die wachsende Ver­brei­tung die­ser Erkenntnis sei auch der Grund dafür, warum sich die Figur des betrieblichen Da­ten­schutzbeauftragten zunehmend zum internationalen Erfolgsmodell entwickele. Zwar, so Schaar, habe er Verständnis für Stimmen, die die derzeitige Bestellungspflicht für überzogen hielten, im Grundsatz müsse diese aber jedenfalls da erhalten bleiben, wo auf Grund der vorgenommenen Datenverarbeitungen faktische Risiken für das Persönlichkeitsrecht bestünden.

Im Hinblick auf das Thema Unabhängigkeit der Datenschutzaufsicht sprach sich Schaar vehement gegen eine diesbezügliche Änderung der EU-Da­ten­schutzrichtlinie aus. Die Richtlinie müsse insoweit umgesetzt und nicht geändert werden.

Auch Bettina Gayk von der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen lehnte eine Reduzierung der in der Richtlinie enthaltenen Anforderungen an die Unabhängigkeit der Aufsichtsbehörden kategorisch ab. Im Übrigen vertrat sie den Standpunkt, dass Datenverarbeitung immer auch ein Machtfaktor sei und das Datenschutzrecht das Instrument, um diese Macht zu begrenzen. Der Aufwand des Datenschutzes, der den Menschen nütze, dürfe nicht als Bürokratie verurteilt werden.

Ulrich Strack (Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V.) setzte sich dafür ein, vorrangig Selbstregulierungsmechanismen der Wirtschaft auszuschöpfen bevor man zu gesetzgeberischen Maßnahmen greife. Soweit die EU-Daten­schutz­richt­linie einem sinnvollen Bürokratieabbau entgegenstehe, müsse gegebenenfalls auch in diesem Bereich über Änderungen nachgedacht werden. Eine Ansiedlung der Datenschutzaufsicht über die Privatwirtschaft in den Innenministerien halte er unter dem Gesichtspunkt der Unabhängigkeit für unbedenklich. Immerhin, so Strack, seien bei den Innenministerien nicht nur die Themen Sicherheit und Polizei verortet, sondern auch der Bereich der Verfassung.

Andreas Bothe (FDP-Fraktion) betonte, dass man sich seitens der FDP ein anderes Verständnis des Datenschutzes im Koalitionsvertrag gewünscht hätte. Statt vordringliche Themen wie die Modernisierung des Datenschutzrechtes und das Thema Datenschutzaudit anzusprechen, diffamiere man den Datenschutzbeauftragten als Bürokratie und den Datenschutz als Hindernis bei der Verbrechens­bekämpfung. Den Glauben des Herrn Strack an die Innenministerien teile er nur bedingt. Seiner Einschätzung nach würden die Innenministerien weniger als Verfassungsstellen als als Polizeistellen geführt.

Prof. Dr. Ralf B. Abel (Vorsitzender des Präsidiums der GDD-Datenschutz-Akademie) wies darauf hin, dass die Einführung des betrieblichen bzw. behördlichen Datenschutzbeauftragten eine wichti­ge Maßnahme gewesen sei, um den Datenschutz in die Breite und Tiefe zu tragen. Die Datenschutzbeauftragten vor Ort seien auch mehr und mehr in der Lage, steuernd einzugreifen und Fehler zu vermeiden. Basis für eine kompetente Aufgabenwahrnehmung sei insofern die hinreichende Qualifikation der Datenschutzbeauftragten.

GDD-Datenschutz-Award 2005

Die DeTeImmobilien ist Preisträger des GDD-Datenschutz-Award 2005, der anlässlich der
29. DAFTA vergeben wurde. Mit dem Datenschutz-Award werden Unternehmen oder Behörden ausgezeichnet, die Beispielhaftes für den Da­tenschutz geleistet haben. Dabei bildet die Mehrheitsentscheidung der DAFTA-Teilnehmer die Grundlage der Preisvergabe.

Im Jahr 2005 wurde der Award für das überzeugendste Konzept zur datenschutzkonformen Entsorgung von Datenträgern vergeben. Der Datenschutzbeauftragte der DeTeImmobilien, Walter Lichterbeck, erläuterte, dass es in seinem Haus Unternehmensvorgaben zur Klassifizierung der Vertraulichkeit von Informationen gebe. Diese reichten von offen bis streng vertraulich. Speichermedien mit personenbezogenen Inhalten seien dabei immer mindestens als vertraulich einzustufen. Entsprechend der Klassifizierung der Datenträger erfolge die Entsorgung derselben gemäß den Sicherheitsstufen DIN 32757. Die Löschung von Papierdatenträgern erfolge nach deren Zerkleinerung durch Vermengung und Verwirbelung. Die Papierabfälle würden der Papierindustrie zur Herstellung von hochwertigem Recyclingpapier zugeführt. Bei der DeTeImmobilien seien zugleich strenge Anforderungen an Unternehmen entwickelt worden, die im Auftrag Datenträger löschen. Nach Maßgabe dieses Entsorgungskonzepts stelle die DeTeImmobilien im Rahmen ihres infrastrukturellen Facility Managements ihre Dienstleistungen für den Konzern Deutsche Telekom aber auch Dritten zur Verfügung.

Auch die anderen Bewerber um den GDD-Award 2005 gaben hilfreiche Anregungen im Hinblick auf Methoden und Verfahren einer datenschutzkonformen Entsorgung. Deshalb gingen weitere Auszeichnungen an Lutz Neundorf (ABB-Konzern), Jürgen Brockhausen (Berliner Wasserbetriebe), Angelika Heimstädt (Klinikum Augsburg) und an Wilhelm Caster (Gerling Beteiligungs-GmbH). 

24. RDV-Forum am 16. November 2005 in Köln

Unter der Leitung von Prof. Peter Gola (RDV-Schriftleitung) fand am 16. November 2005 in Köln das 24. RDV-Forum unter dem Leitthema „Neue Gesetzgebung - Auswirkungen auf den Datenschutz“ statt. Themenschwerpunkte der Veranstaltung waren die Antidiskriminierung im Arbeitsverhältnis, aktuelle Überlegungen zur Änderung der Pflicht zur Bestellung von betrieblichen Datenschutzbeauftragten und der Verbraucherdatenschutz.

Dietrich Boewer (Vors. Richter i.R., Rechtsanwalt Kanzlei CMS Hasche Sigle, Köln) erinnerte an die Notwendigkeit der Umsetzung von vier die Antidiskriminierung betreffenden EU-Richtlinien in nationales Recht. Im Rahmen einer Kurzbetrachtung des arbeitsrechtlichen Teils der Richtlinien verdeutlichte er, dass bei Vorliegen eines Rechtfertigungsgrundes eine Ungleichbehandlung weiterhin möglich sei. Erfolge diese aber in rechtswidriger Weise, drohten Sanktionen, die auch Schadensersatzleistungen an die Opfer umfassen könnten. Insofern wies der Referent darauf hin, dass die Beweislastverteilung für die Unternehmen relativ ungünstig geregelt sei. Im Übrigen bestehe die Notwendigkeit der Einrichtung von Antidiskriminierungsstellen.

RA Andreas Jaspers (Geschäftsführer der GDD) behandelte das Thema „Antidiskriminierung und betriebliches Eingliederungsmanagement aus datenschutzrechtlicher Sicht“. Bereits die Datenerhebung bei Bewerbern müsse diskriminierungsfrei erfolgen. Insofern sei insbesondere bei der Gestaltung von Bewerberfragebögen auf die Er-

hebung bestimmter Daten zu verzichten. Bisherige Standardfragebögen seien insofern zu überprüfen. Im Übrigen müsse das AGG auch im laufenden Arbeitsverhältnis im Hinblick auf die Gestaltung von Personalfragebögen, Personalauswahlentscheidungen, die Beurteilung von Mitarbeitern, Zielvereinbarungen und Skill-Da­ten­banken Berücksichtigung finden.

Des Weiteren äußerte sich der Referent in Bezug auf das sog. betriebliche Eingliederungsmanage­ment nach § 84 SGB IX dahingehend, dass sich der Abschluss einer Integrationsvereinbarung unter gleichzeitiger Umsetzung der gesetzlichen Vorgaben des § 84 Abs. 2 SGB IX anbiete.

Diethelm Gerhold (Referatsleiter beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit) skizzierte und bewertete aktuelle Überlegungen zur Änderung der Pflicht zur Bestellung von betrieblichen Datenschutzbeauftragten. Ausgelöst durch einige Berufsverbände habe die Politik einen Handlungsbedarf dahingehend erkannt, den Schwellenwert für die Pflicht zur Bestellung von Datenschutzbeauftragten aus Gründen des Bürokratieabbaus heraufzusetzen. Die Bundesratsinitiative für eine parallele Anhebung des Schwellenwertes für das Eingreifen der Melde- und der Bestellungspflicht auf 20 Arbeitnehmer beurteilte der Referent als entbehrlich und überdies als europarechtswidrig, da die EG-Da­ten­schutz­richtlinie Ausnahmen von der Meldepflicht nur unter sehr engen Voraussetzungen zulasse.

Dr. Johann Bizer (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) berichtete über die Ergebnisse einer Umfrage des ULD zum Verbraucherdatenschutz. Angesichts festgestellter Mängel plädierte der Referent u.a. für eine Verbesserung der Transparenz für die Verbraucher, für eine stark einwilligungs- und zweckbindungsbezogene Datenverarbeitung sowie für eine Stärkung von Aufsicht und Kontrolle.

27. DAFTA am 20. und 21. November 2003 in Köln

Unter dem Leitthema „Spannungsfeld: Datennutz und Datenschutz“ veranstaltete die GDD am 20. und 21. November 2003 ihre 27. Datenschutzfachtagung (DAFTA) in Köln.

Der Bürger als Subjekt des Datenschutzes stand dabei im Zentrum der Eröffnungsrede des Vorstandsvorsitzenden der GDD, Bernd Hentschel. Um Datenschutz für den „human factor“ der Gesellschaft zu gewährleisten, sei vor allem das große Potenzial der Selbstkontrolle und die damit verbundene Wächterfunktion der betrieblichen und be­hörd­lichen Datenschutzbeauftragten zu nutzen. Die Selbstkontrolle müsse hier nur allzu häufig einen Spagat zwischen Datennutz und Datenschutz vollbringen, weswegen Hentschel mehr Un­ab­häng­ig­keit für die Datenschutzbeauftragten einforderte.

Die Unternehmen stünden vor der Herausforderung, einerseits die ihnen überlassenen personenbezogenen Daten marketingorientiert oder personalwirtschaftlich zu nutzen, andererseits die durch die berechtigten Interessen des Datenschutzes gegebenen Grenzen zu beachten. Zum Zwecke der Kostenreduzierung verlagerten Unternehmen verstärkt operative Funktionen. Besonders problematisch sei dabei das zunehmende Off-Shore-Outsourcing durch Auslagerung von IT- und sonstigen Dienstleistungen z.B. nach Indien und Osteuropa. Aber auch die in Richtung Zentralisierung zielenden Modelle wie das Customer Re­la­tionship Management (CRM) verlangten Lö­sungs­mög­lich­kei­ten, die unter dem Gesichtspunkt der optimalen Nutzung von Daten unter gleichzeitiger Beachtung des Datenschutzes zu entwickeln seien. Hentschel forderte die Wirtschaft dazu auf, im Wege der Selbstregulierung da­ten­schutz­kon­forme Standards zur Bewältigung der vorgenannten Problematiken zu etablieren und bot hierzu die Unterstützung und das Know-how der GDD an.

Neuer Bundesbeauftragter für den Datenschutz

Ein besonderes Highlight der 27. DAFTA: Erstmals wurde auf der DAFTA gewissermaßen die „Stabübergabe“ zwischen dem noch amtierenden und dem zukünftigen Bundes­be­auf­tragten für den Datenschutz vor­ge­nommen. Am Freitag, den 14. November 2003 hatte der Bundestag den früheren stellvertretenden Hamburgischen Datenschutzbeauftragten, Peter Schaar, zum Nachfolger des bisherigen Amtsinhabers, Dr. Joachim Jacob, gewählt. Sowohl Rückblick als auch Ausblick waren daher die Perspektiven auf die Ent­wicklung des Datenschutzes der beiden ein­führenden Referate.

Positive Bilanz

Dr. Jacob zog eine positive Bilanz der vergangenen Jahre, in denen viel für den Datenschutz erreicht worden sei. Besonders hob er dabei die erfolgreiche Umsetzung der EU-Da­ten­schutz­richt­li­nie hervor, die eine Erweiterung und Vertiefung der Datenschutzrechte in Europa mit sich gebracht habe und einen grenzüberschreitenden gesetzlichen Rahmen vorgebe. Diese europäische Initiative sei eine Erfolgsgeschichte. Trendsetter für andere Länder sei dabei das deutsche Modell des betrieblichen Datenschutzbeauftragten.

Bezüglich der Novellierung des Bundesdatenschutzgesetzes auf Grund dieser Richtlinie sei positiv zu betonen, dass das BDSG in vielen Punkten, wie z.B. bei den Regelungen zur Videoüberwachung, zum Chipkarteneinsatz oder zum Datenschutzaudit über die Anforderungen der EU-Richtlinie hinausgehe. Der Referent appellierte an den Gesetzgeber, den bisherigen Elan bei der anstehenden zweiten Stufe der Novellierung nicht zu verlieren. Mit Blick auf die Veränderungen der Gesellschaft seit dem 11. September 2001 warnte Dr. Jacob davor, Datenschutz als ein Hindernis anzusehen.

Weitere wichtige Punkte während seiner Amtszeit: Im Stasi-Unterlagengesetz sei eine sehr feinfühlige Lösung in Ausgewogenheit zwischen den Aspekten Opferschutz, Zugang von Opfern zu Daten und Zugang der Öffentlichkeit erreicht worden. Bei der Gesundheitskarte schließlich sei das zentrale Patientenrecht, selbst über die gespeicherten Daten entscheiden zu können, erhalten geblieben. Künftige Datenschutz-Aktivitäten sollten sich aus seiner Sicht u.a. auf die Flugdaten-Übermittlung, die Genomanalyse, die Steuergesetzgebung, die Job-Card und den Arbeitnehmerdatenschutz ri­chten.

Attraktiver Datenschutz

Peter Schaar nutzte die 27. DAFTA für eine erste Standortbestimmung in vier Thesen.

Seine erste These: „Datenschutz muss in der Öffentlichkeit wieder größeres Gewicht erhalten.“ Datenschutzverstöße würden häufig zu wenig von der Öffentlichkeit wahrgenommen. Als ein besonders gravierendes Beispiel hierfür nannte er die Übermittlung der Daten von Flugpassagieren in die USA, die aus verschiedenen Gründen gegen das EG-Da­ten­schutzrecht verstoße.

Zweitens: „Der Schutz personenbezogener Daten ist auf Grund der technologischen Entwicklung heute objektiv wichtiger denn je.“ Auch der Datenschutz müsse sich technischer Mittel bedienen, um Persönlichkeitsrechte zu schützen. Die Technik sei so zu gestalten, dass das Überwachungspotenzial begrenzt und beherrscht werden könne.

Seine dritte These: „Die Wirtschaft darf nicht in die Rolle des Hilfssheriffs der Sicherheitsbehörden gedrängt werden.“ Vorschläge wie im Entwurf des Telekommunikationsgesetzes, nach denen Unternehmen verpflichtet werden sollen, bestimmte Kundendaten zu erheben und diese im Bedarfsfall an staatliche Auskunftsberechtigte zu übermitteln, zeigten eine sehr problematische Entwicklung auf. Die Unternehmen dürften nicht aus Gründen einer gegebenenfalls besseren Strafverfolgung gezwungen werden, mehr Daten zu erheben, als sie für ihre Dienstleistung eigentlich benötigten.

In seiner letzten These verlangte Schaar: „Datenschutz muss attraktiver werden.“ Auch in die Gesetzgebung müsse eingehen, dass Datenschutz sinnvolle Lösungen nicht verhindere sondern im Gegenteil zu solchen beitrage. Die Datenschützer dürften sich nicht in die Ecke der „Bedenkenträger“ abschieben lassen, sondern sie sollten versuchen, Lösungsmöglichkeiten anzubieten und den Datenschutz als Verkaufsargument schmackhaft zu machen. Da Datenschutz keine „one-man-show“ sei, rief Schaar die Datenschutzbeauftragten, Datenschutzorganisationen wie die GDD und die Datenschutzbehörden dazu auf, das gemeinsame Anliegen weiter voranzubringen.

Modernisierung des Datenschutzrechts

Eine Zwischenbilanz bzgl. der Modernisierung des Datenschutzes zog der Bundestagsabgeordnete Jörg Tauss. In seiner Funktion als bildungs-, forschungs- und medienpolitischer Sprecher und Beauftragter zur Reform des Datenschutzes der SPD-Fraktion wies er auf die Risiken einer durch die neuen Informations- und Kommunikationstechnologien durchdrungenen Informationsgesellschaft hin. Die autonome Handlungs- und Kommunikationsfähigkeit der Bürgerinnen und Bürger als zentrale Voraussetzung für die gesellschaftliche Akzeptanz und Entwicklung der Informationsgesellschaft sei gefährdet.

Das Datenschutzrecht sehe sich dabei nicht nur mit einer rasanten technologischen Entwicklung konfrontiert sondern auch einem Anpassungsdruck durch das europäische Recht ausgesetzt. Wesentliches Ziel der geplanten Datenschutzreform bleibe es, die alte Unübersichtlichkeit der datenschutzrechtlichen Regelungen zu beseitigen.

Im Einzelnen ging Tauss auf den Datenschutz in den elektronischen Medien, das Informationsfreiheitsgesetz und das Datenschutzaudit ein. Im Bereich der elektronischen Kommunikation würden derzeit die Novellierung des Telekommunikationsgesetzes (TKG) und verschiedene Optionen für den Datenschutz in den elektronischen Medien (Bund-Länder-Staatsvertrag oder Elektronische-Medien-Datenschutzgesetz, EMDSG) diskutiert. Im Gespräch sei auch, die Regelungen zum Telekommunikationsdatenschutz vom laufenden Ge­setz­gebungsverfahren abzukoppeln und in einem eigenen Telekommunikations­da­ten­schutz­ge­setz zu bündeln. Dieses könnte dann im Rahmen der zweiten Stufe der umfassenden Modernisierung des Datenschutzrechtes zusammen mit den Regelungen eines EMDSG in das neue BDSG integriert werden.

Am Entwurf für ein Informationsfreiheitsgesetz werde gearbeitet und der Beginn des parlamentarischen Verfahrens werde für Mitte 2004 erwartet. Im Hinblick auf ein Datenschutzauditgesetz sprach sich Tauss dafür aus, nicht länger über das „Ob“ zu streiten, da eine Grundsatzentscheidung hierzu im BDSG bereits getroffen sei. Es gehe nun um die Ausgestaltung, wobei die bisherigen Erfahrungen aus Schleswig-Holstein genutzt werden könnten. Eckpunkte: Die beiden Bewertungskriterien Datenschutz und Datensicherheit, ein zweistufiges Prüfverfahren mit privaten Gutachtern und Zertifizierung durch eine öffentliche Stelle sowie Befristung mit Evaluierung. Unabhängig von sonstigen Fragen könne der Bund zudem die Einführung eines Behördenaudits vorsehen. Insgesamt zeigte sich Tauss überzeugt davon, dass der positive Werbeeffekt von Audit und Gütesiegel den Datenschutz zu einem lohnenden Ziel machen werde.

IT-Sicherheit und Datenschutz

Über die neuen Entwicklungen und Tendenzen der IT-Sicherheit unter Beachtung der gesetzlichen Datenschutzerfordernisse berichtete der neue Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Dr. Udo Helmbrecht.

Zunächst rief der Referent in Erinnerung, dass das BSI bereits 1991 als unabhängige und neutrale Stelle für Fragen der IT-Sicherheit mit Sitz in Bonn gegründet worden ist. Dr. Helmbrecht betonte sodann die Verzahnung von IT-Sicherheit mit den Belangen des Datenschutzes. Insofern gebe es eine wichtige Schnittmenge von Technik auf der einen und rechtlichen Anforderungen des Datenschutzes auf der anderen Seite. Informationstechnik könne und solle zur Sicherstellung des Rechts auf informationelle Selbstbestimmung angewendet werden. Das BSI trage dazu bei, indem auf Basis international anerkannter IT-Si­cher­heits­kri­terien zertifizierte IT-Produkte die verlässliche bzw. sichere Anwendung von Informationstechnik unterstützten. Hierdurch könne das Vertrauen in die Wirksamkeit von IT-Si­cher­heits­funk­ti­onen gestärkt werden.

Wichtiges Element sei dabei eine IT-Si­cher­heits­zer­ti­fizierung nach bestimmten Prüfungskriterien, welche die Vertraulichkeit, Integrität und Verfügbarkeit gewährleisteten. „Common Criteria“ und „Protection Profiles“ waren in diesem Zusammenhang nur zwei Stichworte von vielen. Das Projekt zur benutzerbestimmbaren Informationsflusssicherheit (sog. „BISS-Projekt“) stelle als regelbasierte Informationsflusssteuerung das Modell einer neuen Sicherheitsarchitektur dar. Für die Weiterentwicklung der IT-Sicherheit prognostizierte Dr. Helmbrecht die zunehmende Entlastung des IT-Anwenders von Auflagen und sprach sich für eine Weiterentwicklung der herkömmlichen Sicherheitstechnik Hand in Hand mit dem Datenschutz aus.

GDD-Datenschutz-Award 2003

Der ABB-Konzern ist Preisträger des Datenschutz-Awards 2003, der anlässlich der 27. DAFTA vergeben wurde. Mit dem GDD-Datenschutz-Award werden Unternehmen oder Behörden ausgezeichnet, die Beispielhaftes für den Datenschutz geleistet haben. Grundlage der Vergabe bildete abermals die Mehrheitsentscheidung der DAFTA-Teil­neh­mer.

In diesem Berichtsjahr wurde der Award für die beste Präsentation des Datenschutzbeauftragten im eigenen Unternehmen verliehen. Der Beitrag des Datenschutzbeauftragten der ABB Group Ser­vices Center GmbH, Lutz Neundorf, der gleichzeitig externer Datenschutzbeauftragter der einzelnen Konzerngesellschaften ist, ließ ein konzernweites Datenschutzmanagement unter seiner Federführung erkennen. An jedem Standort ist eine Datenschutzorganisation geschaffen worden, die ihn bei seiner Arbeit unterstützt. Die Konzernanweisungen zum Datenschutz werden für alle Mitarbeiter national und international im firmeninternen Intranet bekannt gemacht. Datenschutz-Broschüren, Plakate, Vortragsveranstaltungen und vielfältige Sonderaktionen sorgen für die notwendige Information und Sensibilisierung. Der Datenschutzbeauftragte führt an sämtlichen Standorten Schulungen für alle Datenschutzverantwortliche
- einschließlich der Ge­schäftsleitungen und der Betriebsräte - durch. Jährliche interne Audits und regelmäßige Reports halten das Thema Datenschutz „in aller Munde“. Insgesamt überzeugte die Präsenz des Datenschutzbeauftragten, der als „Dienstleister“ konzernweit bekannt ist und durch zahlreiche Initiativen auf eine kontinuierliche Verbesserung des Datenschutzes im Konzern hinwirkt.

Auch die anderen Bewerber um den GDD-Da­ten­schutz-Award 2003 gaben hilfreiche Anregungen dazu, wie sich der Datenschutzbeauftragte möglichst gut im Unternehmen präsentieren kann. Weitere Auszeichnungen gingen deshalb an: Jürgen Heck (Brau und Brunnen AG), Günther Otten (Gothaer Allgemeine Versicherung AG), Wilhelm Cas­ter (Gerling-Konzern Versicherungs-Be­tei­li­gungs-AG) und Dorothee Schrief (Deutsche Telekom AG).

22. RDV-Forum am 19. November 2003 in Köln

Unter der Leitung von Prof. Peter Gola (RDV-Schriftleitung) fand am 19. November 2003 in Köln das 22. RDV-Forum statt. Unter dem Leitthema „ Neues Recht im Zeichen des Datenschutzes“ trug die Veranstaltung abermals dem Umstand Rechnung, dass das Datenschutzrecht eine ständig im Wandel befindliche Querschnittsmaterie ist, die mehr und mehr durch europäische Vorgaben gesteuert wird. In nationales Recht umzusetzen waren neben der sog. E-Kommuni­ka­tions-Datenschutzrichtlinie auch von der EU vorgegebene Diskriminierungsverbote, welche sich insbesondere beim Fragerecht des Arbeitgebers auswirken dürften. Die Pläne zum Erlass einer EU-Arbeitnehmerdaten­schutz­richt­li­nie waren ein weiterer Beleg für die zunehmende Steuerung der nationalen Datenschutzgesetzgebung durch die Europäische Union. Die bei einem Betriebsübergang zu beachtenden Datenschutzvorgaben sowie die aktuelle Rechtsprechung des BAG zur Videoüberwachung am Arbeitsplatz rundeten das 22. RDV-Forum thematisch ab.

Die EU-Kommission drängte auf eine zeitnahe Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG), die in Deutschland vornehmlich im Rahmen einer Novellierung des Telekommunikationsgesetzes (TKG) und ferner durch neue Regelungen in dem Gesetz gegen den unlauteren Wettbewerb (UWG) sowie im fortzuschreibenden Teledienstedatenschutzrecht (TDDSG) erfolgen sollte.

Dr. Anna Ohlenburg vom für die TKG-Novelle federführenden Bundesministerium für Wirtschaft und Arbeit verdeutlichte die Vorgaben der E-Kom­muni­kations-Datenschutzrichtlinie und die wesentlichen geplanten nationalen TKG-Regelungen zum Datenschutz. Zusammenfassend vertrat die Referentin die Auffassung, dass der Datenschutz in der Telekommunikation auf Basis des vorliegen­den Regierungsentwurfs auf hohem Niveau fortgeschrieben und durch einheitliche gesetzliche Regelungen vereinfacht werde. Auch dienten die geplanten Vorschriften der Förderung des Vertrauens und der Akzeptanz von neuen Diensten, zu denen beispielsweise „Location Based Services“ gehörten. Hierbei handelt es sich um Dienste mit Zusatznutzen, wobei die Dienstleistungen und Serviceangebote dem Nutzer in Abhängigkeit von seinem Standort zur Verfügung gestellt werden (z.B. Navigationshilfen, Verkehrsinformationen, Hinweise auf Restaurants, Kinos etc.). Die damit verbundenen Lokalisierungstechniken bergen die Gefahr, dass Bewegungsprofile entstehen, weswegen sowohl die EU-Richtlinie als auch der TKG-Regierungsentwurf grundsätzlich eine informierte Einwilligung des Nutzers in die Datenverwendung voraussetzten. Eine Ausnahme von dem Erfordernis einer ausdrücklichen Einwilligung war sachgerechterweise für Notrufeinrichtungen vorgesehen.

Dr. Ulf Heil (Clifford Chance Pünder, Frankfurt) erläuterte die richtlinienbedingten Neuerungen im Zusammenhang mit der anstehenden UWG-No­velle. Im Ergebnis konnte festgestellt werden, dass nach damaligem Diskussionsstand hinsichtlich des Direktmarketings mit Hilfe elektronischer Kommunikationsmittel (E-Mail, SMS, Fax, automatische Anrufsysteme) an einem grundsätzlichen Einwilligungserfordernis festgehalten werden sollte. Im Regelfall muss danach eine - zumindest konkludente - Einwilligung des Adressaten vorliegen. Eine Ausnahme war indes in § 7 Abs. 3 des UWG-Regierungsentwurfs vorgesehen, die Folgendes vorsah: Wenn ein Unternehmer die elek­tronische Adresse eines Kunden im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten hat, soll er diese Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen nutzen dürfen, es sei denn, der Kunde hat diese Nutzung untersagt. Der Referent skizzierte ferner die noch nicht hinreichend geklärte Wechselwirkung zwischen dem UWG und dem Datenschutzrecht. Fraglich ist vielfach, ob und inwieweit ein Verstoß gegen datenschutzrechtliche Vorschriften auch einen Wettbewerbsverstoß im Sinne des UWG begründet. Die bisherige Rechtsprechung, so Heil, lasse die deutliche Tendenz erkennen, die Frage der Wettbewerbsbezogenheit einzelner Bestimmungen sehr eng auszulegen. Eine nachhaltige Klärung durch die Rechtsprechung bleibe weiterhin abzuwarten.

Prof. Dr. Gregor Thüsing (Bucerius Law School, Hamburg) thematisierte Auswirkungen der EU-Diskriminierungsverbote auf die Erhebung und Verarbeitung von Personaldaten. Nach Umsetzung der Richtlinie zur Geschlechterdiskriminierung (76/207/EWG) warte man nun gespannt auf die Umsetzung der Richtlinie 2000/43/EG gegen die Diskriminierung wegen der Rasse und ethnischen Herkunft und der Richtlinie 2000/78/EG, die sich gegen Benachteiligungen wegen der Religion oder der Weltanschauung, einer Behinderung, des Alters oder der sexuellen Orientierung wende. Insbesondere entscheidende Aspekte des Fragerechts des Arbeitsgebers seien neu zu überdenken.

Seitens der Europäischen Kommission war die Auffassung vertreten worden, dass es einer spezifischen Richtlinie zum Schutz personenbezogener Daten im Arbeitsbereich bedürfe. RA Thomas Prinz (stv. Leiter der Abteilung Arbeitsrecht der Bundesvereinigung der Deutschen Arbeitgeberverbände - BDA) informierte über das diesbezügliche Anhörungsverfahren gem. Art. 138 des EG-Vertrags, das erwartungsgemäß kontroverse Positionen der Arbeitgeber- und Arbeitnehmerorganisationen erbracht hatte. Der Referent skizzierte die von der Kommission vorgeschlagenen Eckpunkte einer Arbeitnehmerdatenschutzrichtlinie, die aus Sicht der BDA entbehrlich seien und einen zu restriktiven Regelungsansatz verfolgten. Zu den vorgeschlagenen Inhalten zählten Regelungen zu besonderen Datenkategorien, Gesundheitsdaten, Drogentestdaten, Gentestdaten sowie zur Überwachung des E-Mail-Verkehrs und der Internetnutzung des Arbeitnehmers. Nach dem Kommissionsvorschlag sollte die Einwilligung im Arbeitsverhältnis lediglich eine eingeschränkte Legitimationswirkung entfalten und nur als „ultima ratio“ heranziehbar sein. Die Vorlage eines offiziellen Richtlinienentwurfs durch die Kommission stand nach wie vor aus.

Weitere Aspekte des Arbeitnehmerdatenschutzes waren Gegenstand der Vorträge von Prof. Dr. Wolfgang Däubler (Professor für Deutsches und Europäisches Arbeitsrecht, Bürgerliches Recht und Wirtschaftsrecht an der Universität Bremen) und Prof. Dr. Friedhelm Rost (Vorsitzender Richter am Bundesarbeitsgericht, 2. Senat, Erfurt). Däubler thematisierte den zunehmend praxisrelevanten Betriebsübergang gem. § 613a BGB und die damit einhergehende Übergabe von Personaldaten an den neuen Arbeitgeber. Er vertrat die Ansicht, dass § 613a BGB keinen datenschutzrechtlichen Aussageinhalt habe, weswegen die Vorschrift dem BDSG nicht als bereichsspezifische Norm vorgehen könne. Mithin komme im Fall des Betriebsübergangs eine Legitimation der Übermittlung von Arbeitnehmerdaten an den Erwerber gem. § 28 Abs. 1 S. 1 Nr. 2 BDSG in Betracht. Die Über­mittlung von Personaldaten stelle dabei grundsätzlich ein berechtigtes Interesse der verantwortlichen Stelle dar, doch könnten im Einzelfall schutzwürdige Interessen des Betroffenen am Ausschluss der Übermittlung überwiegen. Hinsichtlich der Übermittlung sog. sensitiver Daten komme einzig die Einwilligung des Arbeitnehmers in Betracht. Dieselben Grundsätze müssten auch für Fusionen und Spaltungen von Unternehmen gelten.

Informationen aus erster Hand erhielten die Teilnehmer über die jüngste BAG-Rechtsprechung zur verdeckten Videoüberwachung am Arbeitsplatz (Urteil vom 27.02.2003 - 2 AZR 51/02 - vgl. RDV 6/2003, S. 293 ff.). Der Vorsitzende Richter des für die Entscheidung zuständigen 2. BAG-Senats, Prof. Dr. Friedhelm Rost, erläuterte im Einzelnen die Urteilsgründe. Danach hat das Gericht insbesondere Folgendes festgestellt:

• Das einen Eingriff in das Persönlichkeitsrecht rechtfertigende schutzwürdige Interesse des Arbeitgebers am Schutz vor Verlust von Firmeneigentum durch Unterschlagung muss vor Beginn der Videoüberwachung durch konkrete Anhaltspunkte und Verdachtsmomente belegt sein.
• Eine Überwachung durch verdeckte Kameras ist als „ultima ratio“ nur zulässig, wenn dieses Mittel die einzige Möglichkeit darstellt, berechtigte schutzwürdige Interessen des Arbeitgebers zu wahren.
• Die Videoüberwachung unterliegt der Mitbestimmung der Arbeitnehmervertretung. Eine unterbliebene Mitbestimmung hindert nicht an der Verwertung der Videoaufnahmen als Beweismittel, wenn die Verwendung nach allgemeinen Grundsätzen zulässig ist, und der Betriebsrat der Kündigung in Kenntnis der heimlich hergestellten Videoaufzeichnungen zustimmt.

Die Diskussion verdeutlichte, dass der neue § 6b BDSG zur Videoüberwachung, der noch in vielen Punkten auslegungsbedürftig war, zum Zeitpunkt der Urteilsfindung noch nicht als Entscheidungsgrundlage herangezogen werden musste. Vor diesem Hintergrund blieb offen, wie derartige Sachverhalte zukünftig zu entscheiden sein werden.

26. DAFTA am 21. und 22. November 2002 in Köln

Im Zeitalter einer weltweiten und allgegenwärtigen Datenverarbeitung ist effektiver Datenschutz nicht nur für die Betroffenen von Nutzen, sondern letztlich auch für die verantwortlichen Unternehmen und Behörden. Dabei kann die nötige Effektivität des Datenschutzes durch Selbstregulierungsmechanismen entscheidend gefördert werden. Dies waren wesentliche Ergebnisse der 26. Datenschutzfachtagung der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD), die vom 21. bis 22. November 2002 in Köln stattfand, und in deren Mittelpunkt neben dem Nutzenaspekt des Datenschutzes auch dessen Fortentwicklung auf europäischer und nationaler Ebene stand.

In seiner Eröffnungsrede betonte der Vorstandsvorsitzende der GDD, Bernd Hentschel, das Nutzen-Argument im Datenschutz und verwies auf den oft unterschätzten Wettbewerbs- und Wirt­schafts­vor­teil. Das Image eines Unternehmens profitiere von einem gelebten Datenschutz, da hierdurch das Vertrauen der Mitarbeiter und Kunden gewonnen werden könne. In diesem Zusammenhang zitierte Herr Hentschel aus dem DAFTA-Grußwort des Bundesministers für Wirtschaft und Arbeit, Wolfgang Clement, wonach der Datenschutz nicht nur die Akzeptanz und den Erfolg der neuen Technologien in den Betrieben, sondern auch die vertrauensvolle Zusammenarbeit fördert und zudem Rechtssicherheit in einem zunehmend wichtigen Rechtsgebiet schafft.

Nutzen des Datenschutzes

Im Anschluss an die Eröffnungsrede stellte Prof. Dr. Reinhard Voßbein, UIMCert, Wuppertal, den Nutzen des Datenschutzes unter Berücksichtigung der Kostenaspekte aus betriebswirtschaftlicher Sicht dar. Er betonte die Notwendigkeit der At­traktivität des Datenschutzes, der jedoch nicht zum Nulltarif zu erreichen sei.

Den verschiedenen Kostenargumenten, die sich insbesondere aus Personal- und Sachkosten ergäben, setzte der Referent gute Argumente entgegen. Er unterteilte hierbei in internen und ex­ter­nen sowie qualitativen und quan­titativen Nutzen. Der interne Nut­zen sei z.B. darin zu sehen, dass es bei Einhaltung der Datenschutzvorschriften zu einer Reduzierung von Rechtsverstößen kom­me. Die Qualitätssicherung der Pro­zesse beginne bereits beim Kauf von Software. Zudem werde das Vertrauen der Mitarbeiter erhöht. Die Mitarbeiter sollten den Datenschutz ebenso anerkennen, wie sie das Unternehmenseigentum achten würden.

Der externe Nutzen liege insbesondere im Abbau der Ablehnungshaltung beim Verbraucher, denn es sei kein Geheimnis, dass der E-Commerce seine vielversprechenden Prognosen nicht eingehalten habe. Das sich durch ausgeübten Datenschutz erhöhende Vertrauen der Kunden stärke den Nutzen ebenso wie der Beweis der Kompetenz eines Unternehmens, denn, so Prof. Dr. Voßbein, wenn schon der Datenschutz gut sei, dann sei auch der gesamte IT-Bereich des jeweiligen Unternehmens vertrauenswürdig. Datenschutz müsse daher verstärkt Bestandteil des Marketings werden. Den qualitativen Nutzen sah der Referent im Imagegewinn und der Erhöhung der IT-Sicherheit des Unternehmens, den quantitativen Gewinn in Kosteneinsparungen und in der Umsatzgenerierung.

Bei der Planung und Steuerung ihrer Datenschutzsysteme sollten die Unternehmen, den jeweiligen Unternehmensspezifika entsprechend, den Datenschutz umsetzen, der für sie angemessen sei. Insbesondere die Größe und Komplexität der Institution, die Organisation der Datenverarbeitung, der Ab­hängigkeitsgrad des Unternehmens von den betreffenden Daten oder auch die individuellen Risiko- und Gefahrensituationen seien zu prüfende Merkmale.

In seinem Resümee wies Prof. Dr. Voßbein darauf hin, dass auf Grund der stärkeren Sensibilisierung der Bevölkerung die Notwendigkeit bestehe, den Datenschutz mehr in die unternehmerischen Planungs- und Entscheidungsprozesse einzubeziehen. Wenn der Datenschutz als ein unabdingbarer Bestandteil der technologisch bedingten und bestimmten Arbeitswelt und Gesellschaft gesehen werde, gewinne er eine Bedeutung, die ihn nicht mehr als lästiges Übel erscheinen lasse.

Dr. Armgard von Reden, Chief Privacy Officer bei IBM, unterstrich in ihrem Vortrag den Nutzenaspekt des Datenschutzes mit der Feststellung, dass dieser - nicht zuletzt mit Blick auf die Kundenzufriedenheit - zu 80 % im unternehmerischen Eigeninteresse liege und nur zu 20 % auf gesetzlichem Zwang beruhe. Insbesondere die im Missbrauch von Daten liegenden Risiken wie Image- bzw. Vertrauensverlust, Gerichtsverfahren, Kosten und Kundenunzufriedenheit sollten im firmeneigenen Interesse vermieden werden.

Folgenabschätzung zum Vorhaben/Datenschutzaudit

Die Deutsche Hochschule für Verwaltungswissenschaft in Speyer ist vom Bundesministerium des In­nern damit beauftragt worden, eine prospektive Ge­setzesfolgenabschätzung zu einem Daten­schutz­audit-Gesetz durchzuführen. Erste Ergebnisse eines hierzu durchgeführten Workshops stellte Prof. Dr. Böhret vor. Demnach wurden zwei Varianten unter Berücksichtigung des Mindestregelungsbedarfs, der sich aus § 9a BDSG ableiten lasse, entwickelt. Hierbei handele es sich um das Produkt- und das Ver­fah­rens­au­dit. Die in die jeweilige Auditierung einzuarbeitenden Regelungsteile sollen insbesondere das Datenschutzkonzept bzw. die Pro­dukt­be­schrei­bung, die gutachtliche Prüfung, die Zer­ti­fi­zie­rungs-/Regis­trie­rungs­stelle, die Zertifizierung, die Auswahl und Zulassung der Gutachter, eine eventuelle Befristung sowie auftretende Änderungsfolgen berücksichtigen.

Fortentwicklung auf nationaler und europäischer Ebene

Zur Frage der Fortentwicklung des Datenschutzes hob der GDD-Vorstandsvorsitzende, Bernd Hentschel, hervor, dass die Pflege und Fortentwicklung der Datenschutzkultur auf den Eckpfeilern Selbstkontrolle und flexible Selbstregulierung basieren müssen. Angesichts der Gesetzesflut und der Bürokratiedichte auf Bundesebene stelle die in der Koalitionsvereinbarung der Bundesregierung angekündigte Schaffung eines Arbeitnehmerdatenschutzgesetzes ein bedenkliches Unterfangen dar, zumal der insoweit bereits bestehende Rechtsrahmen ausreichend sei. Vielmehr müsse die Selbstregulierung auch im Arbeitnehmerdatenschutz, die dort bereits durch Betriebsvereinbarungen praktiziert werde, in sinnvoller, vertretbarer und realisierbarer Weise fortentwickelt werden.

Im Rahmen der Podiumsdiskussion vertrat der medienpolitische Sprecher der SPD-Bun­des­tags­frak­tion, Jörg Tauss, dagegen die Auffassung, dass der Arbeitnehmerdatenschutz gesetzlich geregelt werden sollte. Grietje Bettin, medienpolitische Sprecherin Bündnis 90/Die Grünen, kündigte an, dass entsprechend den Vorgaben des Koalitionsvertrages in naher Zukunft mit der Erarbeitung einer grundlegenden Modernisierung des Bundesdatenschutzgesetzes sowie der Erarbeitung eines Arbeitnehmerdatenschutzgesetzes zu rechnen sei. Entsprechende Gesetzentwürfe sollten nach Möglichkeit bereits im nächsten Jahr vorliegen. Inhaltlich hob sie insbesondere die notwendige Stärkung der Position des betrieblichen Datenschutzbeauftragten hervor. Der stellvertretende Sprecher der Arbeitsgruppe Inneres der CDU/ CSU-Bun­des­tags­frak­tion, Thomas Strobl, unterstützte vom Grundsatz her das angekündigte Gesetzesvorhaben. Ein Beschluss zur Modernisierung sei noch in der letzten Legislaturperiode auch mit Unterstützung der CDU/CSU-Fraktion gefasst worden.

Mit Blick auf die Fortentwicklung des Datenschutzes auf europäischer Ebene und in den Mit­glied­staa­ten verdeutlichte Jaana Temmler, Referentin für Datenschutz bei der Europäischen Kommission, die Absicht der EU-Kommission, auf eine einheitlichere Anwendung der EG-Datenschutz­richtlinie in den einzelnen EU-Staaten hinzuwirken, da die bisher erfolgte Harmonisierung noch nicht zufriedenstellend sei. Eine grundlegende Revision der Richtlinie werde aber derzeit von der Kommission nicht angestrebt.

Datenschutz-Trends

Der Bundesbeauftragte für den Datenschutz, Dr. Joachim Jacob, warnte vor dem Trend zu immer umfangreicheren Datensammlungen und Datenverbünden. Das Netz von allen möglichen Warndateien werde immer dichter. Zwar bestehe ein legitimes Interesse der Wirtschaft, sich vor Betrügern, schwarzen Schafen und zahlungsunfähigen oder -unwilligen Kunden zu schützen. Gefahren sah der Bundesbeauftragte aber dort, wo die einzelnen Systeme zusammengeschaltet werden können und so jeder einzelne Kunde für sich „gläsern“ werden könne. Es dürften auf Grundlage solcher Datensammlungen keine „elektronischen Unpersonen“ geschaffen werden.

Im Bereich der elektronischen Identifikation des Bürgers gegenüber der Verwaltung müsse allen Überlegungen entgegengetreten werden, die darauf hinausliefen, jedem Bürger eine individuelle Kennung, d.h. eine persönliche PIN zuzuweisen. Gefordert sei der Datenschutz darüber hinaus im Bereich der Nutzung der biometrischen Daten. Es dürfe keine zentrale Speicherung solcher Daten geben, die dann zu unterschiedlichen Zwecken ge­nutzt werden könnten. Der Bundesbeauftragte hielt es darüber hinaus für dringend geboten, einem Miss­brauch bei der Entschlüsselung des menschlichen Genoms entgegenzutreten. Auf die Gefahren wei­terer Möglichkeiten des Missbrauchs durch die schein­­bar unanfechtbaren Beweiswerte von Genomalysen verweisend, beschrieb er den Fall des Le­gens falscher Spuren: „Wie soll ein Mensch beweisen, dass er nicht am Tatort eines Verbrechens war, wenn der wahre Täter mittels Haaren etc. dort dessen genetischen Fingerabdruck hinterlegt hat?“.

Datenschutz-Award 2002 „Datenschutzfreundlicher Internetauftritt“  

Die Gothaer Allgemeine Versicherung AG, Köln, ist Preisträger des GDD-Datenschutz-Awards 2002, der anlässlich der 26. Datenschutzfachtagung der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) am 22. November vergeben wurde. Grundlage der Vergabe bildete die Mehrheitsentscheidung der Teilnehmer der Datenschutzfachtagung.

Mit dem GDD-Datenschutz-Award werden Unternehmen und Behörden ausgezeichnet, die Beispielhaftes für den Datenschutz geleistet haben. In diesem Berichtsjahr wurde der Award für einen datenschutzfreundlichen Internetauftritt vergeben.

Die zur Stimmabgabe aufgerufenen Teilnehmer der Datenschutzfachtagung überzeugte mehrheitlich die vom Datenschutzbeauftragten der Gothaer Allgemeine Versicherung AG, Günther Otten, erl­äuterte Konzeption des Datenschutzes beim Internetauftritt seines Unternehmens (www.gothaer.de). Das Thema „Sicherheit + Da­ten­schutz“ sei von jeder Seite des Internetauftritts aufrufbar. Mit Hilfe einer übersichtlichen Gliederung der Themen und eines umfassenden Informations­angebots zum Thema Datenschutz würden die Internet-User über ihre Rechte aufgeklärt. Für weitergehende Fragen und Mitteilungen an den Datenschutzbeauftragten stehe ein gesicherter Kommunikationsweg zur Verfügung. Über­dies sei die Sicherheit der Kommunikation zertifiziert worden. Ein ausführliches Impressum runde den Internetauftritt ab. Auch die anderen Bewerber um den GDD-Datenschutz-Award 2002 konnten mit ihrem Konzept eines datenschutzfreundlichen In­ter­net­auf­tritts überzeugen. Weitere Auszeichnungen gingen deshalb an: Harald Eichsteller (Kidstation), Jürgen Heck (Brau und Brunnen AG), Georg Kraft-Wölfel (HEW Hamburgische Electricitäts-Werke AG) und Dirk Ritter (Stadtwerke Bielefeld GmbH).

21. RDV-Forum am 20. November 2002 in Köln

Das von Prof. Peter Gola (GDD-Vorstand) moderierte 21. RDV-Forum stand unter dem Leitthema „Neuer Datenschutz zwischen Anspruch und Wirklichkeit“. Assessor Steffen Schöne (Abt. Arbeitsrecht, BDA, Berlin) stellte die Ergebnisse einer aktuellen Arbeitgeberstudie zum Datenschutzniveau in der Unternehmenspraxis vor. Die Umfrage, an der knapp 400 Unternehmen beteiligt gewesen seien, habe gezeigt, dass die deutschen Unternehmen vor allem Schwierigkeiten auf Grund der in den Mitgliedstaaten stark voneinander abweichenden Umsetzung der Datenschutzrichtlinie haben. Die Hauptprobleme lägen u.a. bei der Frage nach dem Anwendungsbereich der datenschutzrechtlichen Vorschriften, bei der Beurteilung der Wirksamkeit einer Einwilligung des Betroffenen und bei den unterschiedlichen Notifizierungsverfahren. Insbesondere auf dem Gebiet des internationalen Geschäftsverkehrs seien die Verfahren für den Transfer personenbezogener Daten zu aufwendig. Wesentliche Erleichterung könne hier die Anerkennung unternehmensinterner Regeln (Codes of Conduct) bringen. Des Weiteren habe die Umfrage verdeutlicht, dass kein gesetzgeberischer Handlungsbedarf im Hinblick auf die Schaffung neuer Vorschriften über den Arbeitnehmerdatenschutz bestehe.

Diese Auffassung wurde von Prof. Dr. Wolfgang Däubler (Prof. für Deutsches und Europäisches Arbeitsrecht, bürgerliches Recht und Wirtschaftsrecht an der Universität Bremen) nicht geteilt. Der Schwerpunkt seines Vortrages lag speziell auf der Verwendung von Gendaten im Arbeitsverhältnis. Anhand eines vom VGH Baden-Württemberg entschiedenen Falles, verdeutlichte der Referent die praktische Relevanz der Themenstellung. Das Gericht hatte entschieden, dass eine DNA-Analyse von Speichelresten eines Mitarbeiters zwecks Ermittlung des Verfassers anonymer, diffamierender Schreiben unzulässig ist. Im Rahmen seiner Ausführungen zu einschlägigen Gesetzesinitiativen wies der Referent auf aktuelle Bestrebungen der EU-Kommission hin, die Verwendung von Gendaten im Arbeitsverhältnis im Rahmen einer Arbeitnehmerdatenschutzrichtlinie zu regeln. Gentests, so Däubler, könnten zu einem „genetischen Personenkennzeichen“ führen, also den Einzelnen „rubrizieren und katalogisieren“ und damit zu einem total durchleuchteten Beobachtungsobjekt machen. Vor diesem Hintergrund hielt er die Verwendung von Gendaten sowohl in der Einstellungssituation als auch gegenüber dem Arbeitnehmer für nicht gerechtfertigt. Auch die Einwilligung des Bewerbers bzw. Arbeitnehmers vermöge die Verwendung von Gendaten vielfach nicht zu legitimieren, da es in aller Regel an der nötigen Entscheidungsautonomie fehle. Abschließend stellte Däubler fest, dass die betriebliche Personalpolitik wohl auch in Zukunft ohne Gentests auskommen müsse.

Dr. Thilo Weichert (stellv. Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein) untersuchte in seinem Vortrag die datenschutzrechtliche Zulässigkeit von Kundenbindungsprogrammen. Datenschützer müssten solchen Programmen mit einer Grundskepsis begegnen, soweit diese sich nicht auf reine Rabattgewährung beschränkten, sondern eine Personalisierung der Kundenbeziehung bezweckten. Die tatsächlich nicht aufhaltbare Ökonomisierung personenbezogener Daten bringe Risiken und Chancen. Tatsächlich laufe die Praxis derzeit fast durchgängig darauf hinaus, dass der Kunde bezüglich seiner Daten übervorteilt werde. Vor diesem Hintergrund müssten sich Datenschutzaufsichtsbehörden und Verbraucherverbände der Thematik verstärkt stellen und die noch gewaltigen Informationsdefizite bei dem Konsumenten durch Aufklärungskampagnen beheben. Auf der Basis einer noch zu schaffenden ausreichenden Transparenz könnten sich datensparsame Kundenbindungssysteme am Markt durchsetzen. Bei der rechtlichen Beurteilung sei insbesondere § 28 Abs. 1 Nr. 1 BDSG, der die Datenverarbeitung im Rahmen der Zweckbestimmung eines Vertragsverhältnisses erlaube, und § 4a BDSG, der die Datenverarbeitung bei Vorliegen der Einwilligung des Betroffenen gestatte, zu berücksichtigen. Sowohl bei der Frage nach dem Gegenstand des Vertrages als auch bei der Einwilligung komme daneben den Regelungen des Rechts der allgemeinen Geschäftsbedingungen (§ 305 ff. BGB) hohe Relevanz zu.

Prof. Dr. Ralf Bernd Abel (Fachbereich Wirtschaftsrecht der Fachhochschule Schmalkalden/Thüringen) stellte die Regelungen zur datenschutzrechtlichen Selbstregulierung nach dem BDSG 2001 dar. Er behandelte dabei sowohl Codes of Conduct als Grundlage für die Genehmigung von Datentransfers in Drittländer (§ 4c Abs. 2 Satz 1 BDSG) als auch branchenspezifische Verhaltensregeln nach § 38a BDSG, dessen Normadressaten Berufsverbände und andere Vereinigungen seien. Die Regeln könnten der Aufsichtsbehörde zur Stellungnahme vorgelegt werden. Anhand eines bei der zuständigen Aufsichtsbehörde gestellten Antrags auf „Konformitätserklärung“ bezüglich vom Bundesverband Deutscher Inkassounternehmen (BDIU) vorgelegter Verbandsregeln verdeutlichte er das Prüfverfahren bei der Aufsichtsbehörde sowie die im konkreten Fall gestellten Anforderungen an einen notwendigen „Mehrwert“ eines solchen Regelwerks. Abschließend kam der Verfasser zu dem Ergebnis, dass die bisherigen Erfahrungen die Wirtschaftskreise nicht unbedingt zur Selbstregulierung ermutigten.

Dr. Georg Wronka (Hauptgeschäftsführer des Zentralverbandes der Deutschen Werbewirtschaft) thematisierte die Selbstregulierung in der Werbung und stellte den Leitfaden der Direktmarketingbrache vor. Der Leitfaden diene auf der Grundlage einer pragmatischen Auslegung der neuen Vorschriften des BDSG als Orientierungshilfe für die Praxis.

RA Gregor Scheja (wissenschaftlicher Mitarbeiter am Institut für Rechtsinformatik, Universität Hannover) referierte über den Datenfluss im Allfinanzkonzern. Seiner Auffassung nach bestehen drei Möglichkeiten für den freien Datenfluss im Allfinanzkonzern: Datenverarbeitung im Auftrag, Aufnahme in den Vertragszweck sowie auf Grund einer wirksamen Einwilligung. Ansonsten sei der Datenfluss im Allfinanzkonzern auf allgemeine Listendaten für Werbung bzw. Markt- und Meinungsforschung beschränkt.