Rückblick auf die 22. DAFTA am 19. und 20. November 1998 in Köln „Datenschutz in der Globalisierung“

Unter dem Leitthema „Datenschutz in der Globalisierung“ fand am 19. und 20. November 1998 die 22. Datenschutzfachtagung der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) in Köln statt. Neben den an ein zeitgemäßes deutsches Datenschutzrecht zu stellenden Anforderungen gehörte unter anderem auch der internationale Datenschutz zu den Themenschwerpunkten. Die Fachtagung verdeutlichte insbesondere die Notwendigkeit einer Modernisierung der nationalen Datenschutzregelungen, die geltende Rechtslage bis zur vollzogenen Umsetzung der EG-Daten-schutzrichtlinie und die Voraussetzungen für einen richtlinienkonformen Datentransfer in Drittländer. Des weiteren wurde die zum 1. Januar 1998 eingerichtete Regulierungsbehörde für Telekommunikation und Post einschließlich ihrer Zuständigkeiten und Aufgaben im Bereich von Datenschutz und Datensicherheit vorgestellt.

Fortentwicklung des Datenschutzes

Der Vorstandsvorsitzende der GDD, Bernd Hentschel, betonte anläßlich seiner Eröffnungsrede, daß der durch das deutsche Datenschutzrecht gewährleistete Schutz des Persönlichkeitsrechts an neue Informationstechnologien sowie an wirtschaftliche Entwicklungen anzupassen sei.

Bei der anstehenden Novellierung solle das Bundesdatenschutzgesetz (BDSG) wieder zum „Grund-gesetz“ des deutschen Datenschutzrechts werden. Herbeizuführen sei eine Vereinfachung und Verschlankung der gesetzlichen Regelungen, wobei bereichsspezifische Vorschriften hinsichtlich ihrer Begrifflichkeiten und Regelungsansätze zu vereinheitlichen seien. Der im bereichsspezifischen Datenschutz zum Teil entstandene „Wildwuchs“ müsse aus Gründen der Rechtseinheitlichkeit und Rechtssicherheit zurückgeschnitten werden. Der Datenschutz sollte, so Hentschel, auch der fortlaufenden technologischen Entwicklung Rechnung tragen. Darüber hinaus seien Anpassungen im Datenschutzrecht auch aufgrund von wirtschaftlichen Entwicklungen angezeigt. Tendenzen zum Outsourcing, Insourcing und die Globalisierung bedürften einer datenschutzrechtlichen Beantwortung. Eine Entbürokratisierung könne dabei erreicht werden, wenn die Zulässigkeit des Datentransfers innerhalb verbundener Gesellschaften an einer besonderen Regelung, etwa einer Konzernklausel, gemessen werde.

Der GDD-Vorstandsvorsitzende betonte, daß der innerbetrieblichen Selbstkontrolle weiterhin Vorrang vor externer Staatskontrolle zukommen müsse. Dazu sei es erforderlich, daß die Stellung des betrieblichen Datenschutzbeauftragten mit der vom Bundesarbeitsgericht (BAG) als fehlend festgestellten und von der EG-Datenschutzrichtlinie geforderten Unabhängigkeit ausgestattet werde. Bei der Einbindung des Datenschutzrechts in ein auf längere Sicht geplantes Informationsgesetzbuch unter gleichzeitiger Regelung von Informationszugangsrechten sei deutlich zwischen freiheitsverpflichtetem Staat und freiheitsberechtigter Gesellschaft, d. h. zwischen öffentlicher und privater Hand zu differenzieren. Wirtschaft und Verwaltung seien aber in gleicher Weise gefordert, die Rechte des Betroffenen zu wahren.

Novellierung des BDSG gescheitert?

Der Bundesbeauftragte für den Datenschutz, Dr. Joachim Jacob, verdeutlichte anläßlich der 22. DAFTA, daß die Bundesrepublik Deutschland am 24. Oktober 1998 die dreijährige Frist zur Umsetzung der Europäischen Datenschutzrichtlinie versäumt und damit das Umsetzungsziel verfehlt habe. Da die Kommission als Hüterin der Verträge keine Zweifel daran lasse, gegen säumige Mitgliedstaaten relativ zügig Vertragsverletzungsverfahren einzuleiten, werde, wenn Deutschland nicht schnellstmöglich seinen Gemeinschaftsverpflichtungen nachkomme, ein Scheitern der Novellierung zu bejahen sein und als wenig erfreuliches Kapitel in die Geschichte des deutschen Datenschutzes eingehen.

Der Bundesbeauftragte äußerte sich kritisch zu den bisherigen gesetzgeberischen Umsetzungsversuchen. Neben verschiedenen Einzelheiten sei an dem Entwurf des Bundesinnenministeriums insbesondere zu beanstanden gewesen, daß er neue Problemfelder des Datenschutzes unberücksichtigt gelassen habe, obwohl beispielsweise im Hinblick auf Videoaufzeichnungen im nicht-öffentlichen Bereich, die Verwendung von Chipkarten, den Arbeitnehmerdatenschutz und die an Auskunfteien und Direktmarketingunternehmen zu stellenden Anforderungen eine rechtliche Klärung erforderlich sei. Die von verschiedenen Seiten geäußerte Forderung nach einer umfassenden Anpassung der Regelungen des BDSG an die heutige Informationstechnologie und an die Verhältnisse der modernen Informationsgesellschaft habe in dem Entwurf keinen Niederschlag gefunden, und auch Gespräche im Frühjahr 1998 hätten den Unterschied zwischen einem minimalistischen und einem auf Modernisierung ausgerichteten Reformansatz nur noch verdeutlicht. Das bisherige Datenschutzrecht könne allerdings nicht länger ausreichen, so Dr. Jacob, um das Recht auf informationelle Selbstbestimmung in Zukunft zu schützen und zu wahren. Notwendig sei ein neuer Datenschutz für die moderne Informationswelt.

Der Bundesbeauftragte machte darauf aufmerksam, daß die Richtlinie seit dem verpaßten Stichtag gleichwohl Auswirkungen habe. Der Europäische Gerichtshof (EuGH) habe mit dem Institut der Direktwirkung der Untätigkeit der Mitgliedstaaten entgegengewirkt und die Nichtumsetzung von Richtlinien sanktioniert. Aus dem EG-Vertrag sei herzuleiten, daß die Mitgliedstaaten den Eintritt ihrer Verpflichtungen nicht verzögern und aus ihrem vertragswidrigen Verhalten keine Vorteile ziehen könnten. Voraussetzung für eine sogenannte vorgreifende Direktwirkung sei zum einen, daß der einzelne sich auf ein in der Richtlinie ihm gegenüber hinreichend bestimmtes und unbedingt eingeräumtes Recht berufen könne, die Vorschrift mithin „self-executing“ sei. Zum anderen müsse dieses Recht im vertikalen Verhältnis des Bürgers gegenüber dem Staat gegeben sein. Auf horizontaler Ebene im Verhältnis zwischen den Bürgern entfalte die Richtlinie jedoch keine Wirkung. Eine Reihe von Regelungen der EG-Datenschutzrichtlinie erfüllten die Voraussetzungen direkter Wirkung. So gehe die Richtlinie beispielsweise von einem umfassenden Verarbeitungs- und Dateibegriff aus. Die Rechte des Einzelnen könnten daher nunmehr auch im Rahmen dieses erweiterten Anwendungsbereichs geltend gemacht werden. Außerdem sei an die Informations- und Widerspruchsrechte nach Art. 10, 11 und 14 zu erinnern. Weiterhin sei das grundsätzliche Verarbeitungsverbot sogenannter sensitiver Daten zu beachten mit der Folge, daß die Erlaubnistatbestände des BDSG teilweise keine Anwendung mehr fänden.

Im Rahmen seiner Ausführungen zum internationalen Datenschutz erläuterte Dr. Jacob die Rechtslage zum grenzüberschreitenden Datenverkehr. Durch die EG-Datenschutzrichtlinie werde ein informations- und datenschutzrechtlicher Binnenmarkt geschaffen, der die Datenübermittlung in Drittländer grundsätzlich untersage, wenn dort kein angemessenes Schutzniveau herrsche. Jedoch könnten die Mitgliedstaaten die Datenübermittlungen in solche Länder dann genehmigen, wenn die für die Datenverarbeitung Verantwortlichen ausreichende Garantien für den Schutz der Privat-sphäre, der Grundrechte und der Grundfreiheiten der betroffenen Personen bieten würden. Solche Garantien sollen sich insbesondere durch entsprechende Vertragsklauseln im Rahmen der Gestaltung der Rechtsbeziehungen mit dem für die Datenverarbeitung im Drittland Verantwortlichen ergeben können. Transferiert werden dürften die Daten in Drittländer darüber hinaus unter anderem auch dann, wenn die betroffene Person ihre Einwilligung gegeben habe oder die Datenübermittlungen aufgrund eines Vertrages zwischen den betroffenen Personen und der datenverarbeitenden Stelle erfolge. Diese Rechtslage habe heftige Reaktionen in den betroffenen Staaten, insbesondere in den USA hervorgerufen. Die amerikanische Seite lehne gesetzliche Regelungen - jedenfalls in der in Deutsch-land bekannten herkömmlichen Form allgemeiner Datenschutzgesetze - ab, da derartige Regelungen dem common law systemfremd seien. Man setze in den USA vielmehr auf Selbstregulierung der betroffenen Wirtschaftskreise. Zwischen der Europäischen Union und den USA werde zur Zeit darüber verhandelt, mit welchen inhaltlichen Grundsätzen und verfahrensrechtlichen Durchsetzungsmechanismen Selbstregulierung auf dem Gebiet des Datenschutzes zu einem angemessenen Datenschutzniveau führen könne.

Datenschutz und Datensicherheit in der Telekommunikation - Aufgaben der Regulierungsbehörde

Der Präsident der Regulierungsbehörde für Telekommunikation und Post, Klaus-Dieter Scheurle, stellte die Bundesoberbehörde einschließlich ihrer Zuständigkeiten und Aufgaben in Angelegenheiten des Datenschutzes und der Datensicherheit vor. Als maßgebliche Rechtsgrundlagen rief Scheurle den   § 85 TKG für das Fernmeldegeheimnis und den      § 89 TKG als Grundlage der bereichsspezifischen Datenschutzverordnung TDSV in Erinnerung. Einzelbestimmungen würden teilweise in Lizenzauflagen getroffen. Subsidiär gelte schließlich das BDSG. In § 91 TKG seien der Regulierungsbehörde für den gesamten 11. Teil des TKG Kontroll- und Sanktionsbefugnisse eingeräumt worden, die von Auskunftsrechten bis hin zur Betriebsuntersagung reichten. Man habe allerdings bisher sehr behutsam von diesen Befugnissen Gebrauch gemacht. Speziell im Bereich des Datenschutzes sei außerdem eine Kontrollkompetenz des Bundesbeauftragten für den Datenschutz gesetzlich geregelt worden. Zwischen dem Bundesbeauftragten und der Regulierungsbehörde finde eine regelmäßige Koordinierung - auch zur Vermeidung unnötiger Doppelbelastungen bei den Unternehmen - statt. Zu den Tätigkeiten der Regulierungsbehörde gehöre die Beantwortung von Verbraucheranfragen aus dem Bereich Fernmeldegeheimnis und Datenschutz. Darüber hinaus gehe man aber auch Beschwerden nach, um gegebenenfalls für die Herstellung eines rechtmäßigen Zustandes zu sorgen. Thematisch gehe es beispielsweise um die Beachtung von Widersprüchen gegen die Verwendung von Bestandsdaten zu Werbezwecken, die Gestaltung von Einzelverbindungsnachweisen und Kundenverzeichnisse auf CD-ROM. Im Hinblick auf die technischen Schutzmaßnahmen nach § 87 TKG machte Scheurle auf den in seinem Hause erstellten Katalog der Sicherheitsanforderungen aufmerksam. Der Katalog, der auf dem aktuellen Stand der Sicherheitstechnik gehalten werde, solle unter anderem den Unternehmen als Hilfestellung für die Erstellung eines Sicherheitskonzeptes dienen. Die Genehmigungstätigkeit der Regulierungsbehörde hinsichtlich der technischen Gestaltung der Einrichtungen zur Überwachung nach § 88 TKG konzentriere sich in erster Linie auf lizenzpflichtige Netze mit Sprachvermittlung. Die nachfolgenden Ausführungen des Präsidenten der Regulierungsbehörde enthielten den für viele Unternehmen wichtigen Hinweis, daß man hinsichtlich anderer Netze - wegen der noch nicht abgeschlossenen Diskussion um Ausnahmeregelungen - eine Implementierung von Überwachungstechnik derzeit nicht forciere. Scheurle erläuterte weiterhin den zukünftigen Ablauf des Verfahrens zur automatisierten Rufnummernauskunft für die Sicherheitsbehörden (§ 90 TKG), bei dem die Regulierungsbehörde als Mittler die Anfragen der Sicherheitsbehörden durch einen automatisierten Zugriff auf Kundendateien der Diensteanbieter beantworten soll. Abschließend verdeutlichte der Präsident der Regulierungsbehörde die Zuständigkeiten seines Hauses als „zuständige Behörde“ im Sinne des Signaturgesetzes (SigG) und der Signaturverordnung (SigV). Als sogenannte „Wurzelinstanz“ bzw. „Root“ sei die Regulierungsbehörde zuständig für die Erteilung von Genehmigungen zum Betrieb einer Zertifizierungsstelle, die Ausstellung von Signaturschlüssel-Zertifikaten sowie die Überwachung der Einhaltung des Signaturgesetzes und der Signaturverordnung.

Die erste Genehmigung zum Betrieb einer gesetzeskonformen Zertifizierungsstelle werde voraussichtlich bereits im ersten Quartal 1999 erteilt werden.

17. RDV-Forum am 18. November 1998 in Köln

Im Vorfeld der DAFTA fand am 18.11.1998 das 16. RDV-Forum unter dem Leitthema „Brennpunkt Arbeitnehmerdatenschutz" im Kölner Maternushaus statt.

In ihrem Eröffnungsreferat stellte Frau Renate Hornung-Draus von der Bundesvereinigung der Deutschen Arbeitgeberverbände die von der International Labor Organisation (ILO) erarbeiteten Verhaltensregeln zum Schutz personenbezogener Arbeitnehmerdaten vor. Die Referentin wies eingangs drauf hin, daß die Verhaltensregeln rechtlich nicht verbindlich seien. Allerdings könnten sie nach ihrer Zweckbestimmung als Grundlage für die Ausarbeitung von verbindlichen Rechtsvorschriften dienen. Der Anwendungsbereich der Verhaltensregeln betreffe Stellenbewerber und Arbeitnehmer sowie die manuelle und automatisierte Verarbeitung aller personenbezogenen Arbeitnehmerdaten. Frau Hornung-Draus ging detailliert auf die Gliederung, die Begriffsbestimmungen und die inhaltlichen Grundsätze des ILO-Papiers ein. Der Verarbeitungsbegriff sei sehr weit gefaßt und der Arbeitgeber habe in Bezug auf den Zweckbindungsgrundsatz sicherzustellen, daß eine vom Erhebungszweck abweichende Verarbeitung jedenfalls dann nicht erfolge, wenn dies mit dem ursprünglichen Zweck unvereinbar sei. Aus Gründen der Transparenz sei nach den Verhaltensregeln eine heimliche Überwachung von Arbeitnehmern ausgeschlossen. Neben individuellen Rechten der Arbeitnehmer seien auch kollektive Rechte geregelt. Dabei gehe es in erster Linie um sogenannte Informations- und Konsultationsrechte der Arbeitnehmervertretungen. Auf die ausdrückliche Erwähnung von Mitbestimmungsrechten habe man mit Blick auf den globalen Wirkungskreis der ILO und den Umstand, daß derartige Rechte in vielen Ländern nicht existent seien, bewußt verzichtet. Die Referentin schloß mit dem Fazit, daß zahlreiche Aspekte des ILO-Papiers sachgerecht und teilweise auch im einzelstaatlichen Recht verankert seien. Andererseits sei aus Arbeitgebersicht eine zum Teil ungerechtfertigte Bürokratie zu kritisieren. Im übrigen sei noch ungewiß, ob und ggf. wann aus dem Verhaltenskodex der ILO verbindliche Rechtsnormen entstehen könnten.

Nach der eher arbeitgeberorientierten Sichtweise seiner Vorrednerin referierte Herr Lothar Schröder, Leiter der Abteilung Technologie im Hauptvorstand der Deutschen Postgewerkschaft, zu den gewerkschaftlichen Vorstellungen für ein Arbeitnehmerdatenschutzgesetz. Der Referent wies auf die wachsenden Gefahren für die Persönlichkeitsrechte der Arbeitnehmer im Zuge der Technologieentwicklung und des Auftretens neuer Arbeitsformen hin und vertrat die Auffassung, daß die bestehenden unspezifischen gesetzlichen Bestimmungen zum Datenschutz nicht ausreichten, um dem Recht der Beschäftigten auf informationelle Selbstbestimmung angemessen Rechnung zu tragen. Vor dem Hintergrund der bereits seit einigen Jahren im Raum stehenden Forderungen nach einem Arbeitnehmerdatenschutzgesetz skizzierte der Referent die von der IG Medien und der Deutschen Postgewerkschaft unter wissenschaftlicher Mitwirkung entwickelten Gestaltungsanforderungen an eine entsprechende Gesetzesinitiative. Persönlichkeitsrechtsgefährdungen von Arbeitnehmern träten bei der Einstellung besonders stark zu Tage. Entsprechend seien hier besondere Regelungen zum Persönlichkeitsrechtsschutz erforderlich. Ebenso seien die individuellen Rechte der Beschäftigten während der Dauer des Arbeitsverhältnisses zu verbessern. Wegen seiner herausragenden Vertrauensstellung beim Schutz von Arbeitnehmerdaten sei die Stellung des betrieblichen Datenschutzbeauftragten zu stärken. Auch kollektive Rechte seien zu verbessern und zu modernisieren. Schließlich müsse es auch darum gehen, einen überbetrieblichen Schutz für Arbeitnehmerdaten zu schaffen, da sich die Arbeitnehmerdatenverarbeitung auch zunehmend vom Stammbetrieb löse.

Karin Post-Ortmann, Referentin für Personaldatenschutz bei der Deutschen Telekom AG, widmete sich in ihrem Referat „Der Arbeitgeber als Anbieter von Telekommunikations- und Telediensten" dem Datenschutz bei moderner Kommunikation im Arbeitsverhältnis. Dabei ging die Referentin auf die Anwendbarkeit und das Zusammenspiel der Vorschriften des TKG, des TDDSG und des BDSG ein. Betriebsvereinbarungen könnten als vorrangige Rechtsvorschriften nach § 4 BDSG in sinnvoller Weise zur Lösung von Interessenkonflikten zwischen Arbeitgeber- und Arbeitnehmerinteressen bei der Verarbeitung personenbezogener Arbeitnehmerdaten beitragen.

Prof. Dr. Rainer Gerling, Datenschutzbeauftragter der Max-Planck-Gesellschaft, verdeutlichte anschließend, wie eine Betriebsvereinbarung zum betrieblichen Einsatz von Internet und E-Mail in der Praxis ausgestaltet werden kann. Der Referent ging unter anderem der Frage nach, was der Arbeitgeber über die Nutzung der Dienste protokollieren darf. Im Hinblick auf die anfallenden Datenspuren, die Protokollierung in der Firma, die rechtlichen Rahmenbedingungen, die Geheimschutzvorschriften und die Netzstrukturen der Firma bestünden aus Transparenzgründen Aufklärungspflichten gegenüber dem Beschäftigten. Hinsichtlich der Nutzung von E-Mail habe der Arbeitgeber einen Anspruch auf Herausgabe, soweit es sich um dienstliche E-Mail handele.

Im Anschluß referierte Bruno Schierbaum, Beratungsstelle für Technologiefolgen und Qualifizierung, über die Regelung der Telefonüberwachung in Call-Centern durch Betriebsvereinbarungen.

In seinem mit Spannung erwarteten Referat erläuterte Herr Dr. Friedhelm Rost, Richter am Bundesarbeitsgericht, die Entscheidungsgründe des ersten Senats zum fehlenden Kontrollrecht des Datenschutzbeauftragten in Bezug auf den Betriebsrat. Angesichts einer fehlenden gesetzlichen Regelung zum Verhältnis Datenschutzbeauftragter/Betriebs-rat und in Anbetracht der Tatsache, daß der Datenschutzbeauftragte aufgrund seiner Stellung letztlich der Arbeitgeberseite zuzurechnen sei, seien dem Senat bei seiner Entscheidung gewissermaßen die Hände gebunden gewesen. Mit der Unabhängigkeit der Betriebsräte vom Arbeitgeber sei die Kontrolle durch einen Beauftragten des Arbeitgebers nach derzeitiger Gesetzeslage als unvereinbar zu qualifizieren gewesen. Eine Änderung der Rechtslage könne sich ggf. aus einer gestärkten Rechtsstellung des Datenschutzbeauftragten ergeben. In diesem Zusammenhang führte der Bundesrichter insbesondere eine mitbestimmte Bestellung, eigene Antrags- und Weisungsrechte sowie eine erweiterte Verschwiegenheitspflicht des Datenschutzbeauftragten ins Feld. Die anschließende Diskussion verdeutlichte u. a. schwerwiegende Haftungsprobleme für den Fall, daß aus der Datenverarbeitung des Betriebsrats schwerwiegende Persönlichkeitsrechtsverletzungen resultieren.

Vor dem Hintergrund des zuvor erläuterten BAG-Beschlusses und mit Blick auf die Notwendigkeit, bei den Betriebsräten datenschutzfreie Zonen zu vermeiden, stellte Herr Karl-Hermann Böker, Böker-Beratung für arbeitnehmerorientierte Bildungs- und Beratungsarbeit, anhand eines Praxisbeispiels den Aufbau einer Datenschutzorganisation bei der Mitarbeitervertretung vor.

Zum Abschluß des 16. RDV-Forums referierte Herr Prof. Dr. Wolfgang Däubler von der Universität Bremen über den grenzüberschreitenden Austausch von Mitarbeiterdaten im Konzern. Dabei vertrat der Referent die Auffassung, daß ein datenschutzgerechtes Vertragswerk zwischen dem deutschen Arbeitgeber und dem ausländischen Unternehmen in Verbindung mit einer dazugehörigen Betriebsvereinbarung die Übermittlung von personenbezogenen Arbeitnehmerdaten ins Ausland rechtfertigen könne.