23. DAFTA am 18. und 19. November 1999 in Köln

Unter dem Leitthema „Interessengerechter Datenschutz“ ging die 23. Datenschutzfachtagung der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) am 18. und 19. November 1999 in Köln der Frage nach, ob und inwieweit die von der Bundesregierung beabsichtigten Novellierungsschritte den Interessen der am Datenschutz Beteiligten ge­recht werden. Die Veranstaltung informierte über den aktuellen Novellierungsstand, zeigte die zu er­wartenden Konsequenzen für die Praxis auf und er­möglichte einen Ausblick auf die zweite Phase der BDSG-Novelle.

Der Vorstandsvorsitzende der GDD, Bernd Hentschel, betonte anlässlich der Eröffnung der 23. DAFTA die Schlüsselrolle des bewährten Prinzips der betrieblichen Selbstkontrolle bei der Schaf­­fung eines ausgewogenen Ausgleichs zwischen den Schutzinteressen der Betroffenen und dem Informations- und Datenverarbeitungsbedürfnis der verantwortlichen Stellen. Dieser Schlüsselrolle Rechnung tragend habe die GDD in ihrer Stellungnahme zu dem Referentenentwurf des Bundesministeriums des Innern vom Juli 1999 die Auf­fassung vertreten, dass ein gesetzlich geregeltes Datenschutzaudit nur insoweit sinnvoll sei, als das Selbstkontrollprinzip hierdurch nicht beeinträchtigt werde. Das Prinzip der Datenvermeidung und der Datensparsamkeit, das eine entsprechende Ge­stal­tung der Systemstrukturen bezogen auf die Vermeidung der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zum Ziel habe, werde insbesondere in der Softwarebranche erhebliches Umdenken erfordern. Im Übrigen sollten der Gesetzgeber und die öffentliche Verwaltung das Prinzip in erster Linie gegen sich wirken lassen, u.a. um die vielfältigen Speicher-, Dokumentations- und Übermittlungspflichten im Personal- und Abrechnungsbereich auf ein verträgliches Maß zurückzuführen. In diesem Zusammenhang kritisierte Hentschel auch gesetzgeberische Bestrebungen mit dem Steuerbereinigungsgesetz 1999 und Ergänzungsnormen der Abgabenordnung, ein Zugriffsrecht der Finanzverwaltung auf DV-gestützte Buchführungssysteme von Unternehmen einzuführen. Derartige Zugriffs- und Nutzungsrechte eröffneten dem Fiskus zusätzliche „trap doors“, die eine neue Orwell`sche Dimension bedeuten könnten.

Die GDD habe sich in ihrer Stellungnahme zu dem Referentenentwurf vom Juli 1999 für eine zügige Umsetzung der Vorgaben der EG-Daten­schutz­richt­linie unter angemessener Berücksichtigung von Kostengesichtspunkten eingesetzt. Erfreulicherweise sei insbesondere die Kritik an unverhältnismäßig kostenbelastenden Regelungen vom Bundesinnenministerium aufgegriffen worden.

Die Novellierung des BDSG - Umsetzung der EG-Datenschutzrichtlinie und Modernisierung des Datenschutzrechts

Ministerialrätin Dr. Martina Weber, Referatsleiterin Datenschutz im Bundesministerium des Innern, ging davon aus, dass die EU-Kommission in abseh­barer Zeit ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland aufgrund der bis­lang unterbliebenen Umsetzung der EG-Richt­linie einleiten wird. Das als innovative Neuregelung vor­gesehene gesetzliche Datenschutzaudit bedürfe eines Ausführungsgesetzes, das die Einzelheiten des Auditverfahrens regele. Das Bundesministerium des Innern sei bereits mit einem derartigen Ausführungsgesetz befasst, so dass in diesem Bereich in absehbarer Zeit Rechtssicherheit geschaffen werden könne. Der aktuelle Referentenentwurf sehe nunmehr auch dem Wortlaut nach eine völlige Unabhängigkeit der Aufsichtsbehörden vor, die nur der Rechtsaufsicht der Landesregierung oder der Obersten Landesbehörde unterliegen sollen. Seitens des Innenministeriums sei man sich durchaus darüber im Klaren, dass diese Lösung ggf. im Rahmen des Vermittlungsverfahrens im Bundesrat auf Kritik der Länder stoßen könnte.

Aufgrund der Stellungnahmen der Verbände zu dem Referentenentwurf (Stand: 6. Juli 1999) seien verschiedene Regelungen, die aus Sicht der Wirtschaft zu übermäßiger Bürokratie und Kostenbelastung führten, überarbeitet und korrigiert worden. Die Bundesregierung sei nunmehr übereingekommen, die Informationspflicht der Werbetreibenden über die Herkunft der Daten wegen vorhandener Praktikabilitätsprobleme und zusätzlicher Kosten zu streichen. Überdies sei die Kritik im Hinblick auf die notwendigen Datenübermittlungen zwischen Banken und Kreditauskunfteien aufgegriffen worden. Auch die von Wirtschaftskreisen angegangene Regelung zur Unterrichtungs- und Kennzeichnungspflicht im Fall der Inanspruchnahme von Ausnahmen von der Benachrichtigung sei modifiziert worden. Der Gesetzentwurf beschränke sich nunmehr auf das Erfordernis einer bloßen Dokumentation der Voraussetzungen, die zu einem Absehen von der Benachrichtigung führen. Weiterhin habe die Bundesregierung in Abweichung von dem Entwurfsstand Juli 1999 im Wesentlichen eine Beibehaltung der in § 35 BDSG statuierten Löschungspflichten vorgesehen. Lediglich die Regelspeicherfrist solle von bisher fünf auf vier Jahre verkürzt werden. Schwierigkeiten bereite allerdings noch die Neugestaltung des Medienprivilegs, wozu derzeit noch Gespräche auf höherer politischer Ebene mit Interessenvertretern der Medien geführt würden. Nicht aufgegriffen habe man die Kritik der Wirtschaft an dem weiten Begriff der nicht-automatisierten Datei, der zu einer vermehrten Einbeziehung von Akten in den Geltungsbereich des BDSG im nicht-öffentlichen Bereich führe.

Die Bundesregierung beabsichtige Anfang Dezember 1999 Jahres, das Bundeskabinett mit dem Gesetzentwurf zu befassen..

Abschließend gab die Referentin einen Ausblick auf die zweite Stufe der BDSG-Novelle. Die Kriterien für die beabsichtigte Generalrevision und die damit verbundene Vereinfachung und Modernisierung der gesamten Datenschutzgesetzgebung sollten aller Voraussicht nach von einer ressortübergreifenden Arbeitsgruppe entwickelt werden. Die Arbeiten sollten noch in dieser Legislaturperiode be­gon­nen und möglichst auch abgeschlossen werden. In Anlehnung an das „Eckwerte-Papier“ der SPD-Frak­tion führte die Referentin insbesondere einige in Betracht kommenden Punkte zur Verschlankung des Bundesdatenschutzgesetzes aus.

Das Zwei-Stufen-Modell der BDSG-Novellierung: Bleibt die Modernisierung des Datenschutzes auf der Strecke?

Prof. Dr. Dr. h. c. Spiros Simitis, Forschungsstelle für Datenschutz, Johann Wolfgang Goethe-Uni­ver­si­tät, Frankfurt, sprach sich eingangs seines Referats ausdrücklich für eine richtlinienkonforme Umsetzung auch und insbesondere im Hinblick auf den Dateibegriff, die Zweckbindung und die völlige Un­abhängigkeit der Kontrollstellen aus. Die Richt­linie gestatte es nicht, das bereits vorhandene Datenschutzniveau in den Einzelstaaten zu verschlech­­tern. Sie sei vielmehr ein Instrument zur Anhebung und ständigen Verbesserung des Datenschutzes. Hieraus resultierende Uneinheitlichkeiten der Datenschutzstandards in den einzelnen Mitgliedstaaten nehme die Richtlinie zu Gunsten eines verbesserten Datenschutzes in Kauf. Angesichts des bestehenden Zeitdrucks gebe es keine Alternative zu dem vorgesehenen Zwei-Stufen-Modell. Die in der Gesetzesbegründung niedergelegte Absicht, noch in dieser Legislaturperiode die zweite Phase zu vollenden, zwinge dazu, bereits jetzt mit der Erarbeitung eines neuen Datenschutzrechts zu beginnen. Im Rahmen der zweiten Phase dürfe man sich nicht nur auf eine Bereinigung des Datenschutzrechts beschränken. Die erste Aufgabe der zweiten Phase bestehe in einer Neustrukturierung gefolgt von einer Fortschreibung und Weiterentwicklung des Datenschutzes. Nachdem der bereichsspezifische Datenschutz sich in der Vergangenheit weitgehend verselbständigt habe, gelte es nunmehr, diesen konsistent mit den zentralen Grund­sätzen zum Datenschutz auszugestalten. Die zentralen Grundsätze zur Zulässigkeit der Datenverarbeitung - der Zweckbindungsgrundsatz und der Grundsatz der Datensparsamkeit beispielsweise - seien im allgemeinen Teil des BDSG zu regeln und müssten in die bereichsspezifischen Teile ausstrahlen. Auch die wesentlichen Grundsätze des Arbeitnehmerdatenschutzes und die damit einhergehende Rechtsstellung des betrieblichen Datenschutzbeauftragten sollten möglichst im allgemeinen Teil des BDSG verankert werden. Im Anschluss an den allgemeinen Teil gelte es klare Definitionen zu implementieren, die mit der Richtlinie kompatibel seien. Im Übrigen müsse aus Gründen der Nach­vollziehbarkeit für Anwender und Betroffene sparsam mit Regelungen umgegangen werden, und auch die mangelnde Lesbarkeit des jetzigen Entwurfs sei nach Möglichkeit zu beheben. Der Referent wies abschließend darauf hin, dass ein wirksamer Datenschutz in einer globalisierenden Informationsgesellschaft nur durch ein Ineinandergreifen von normativen Vorgaben und datenschutz­freundlichen Technologieansätzen zu bewerkstelligen sei.

Die Novellierung des BDSG in zwei Phasen - Bewertung und Ausblick

Ausgehend von den Regelungsansätzen der EG-Daten­schutzrichtlinie stellte der Bundesbeauftragte für den Datenschutz, Dr. Joachim Jacob, anlässlich der 23. DAFTA fest, dass die nicht-fristgerechte Umsetzung der EG-Datenschutz­richtlinie auch eine positive Seite habe. So sei es beispielsweise möglich gewesen, über die reine Richtlinienvorgabe hinaus, wichtige innovative Neuregelungen wie beispielsweise zum Datenschutzaudit, zur Videoüberwachung oder zum Chipkarteneinsatz aufzunehmen. Auch die Aufnahme des Grundsatzes der Datenvermeidung und Datensparsamkeit, der sich auf der Ebene von Technikgestaltung bereits auf den Erhebungsprozess auswirke, sei aufgrund einer damit verbundenen Initialzündung positiv zu bewerten. Anerkennenswert sei auch die Zielsetzung, noch im Laufe dieser Legislaturperiode eine umfassende Neukonzeption des Bundesdatenschutzgesetzes zu verabschieden. Zur Erreichung eines praktikableren Datenschutzrechts sei das BDSG zu verschlanken und lesbarer zu formulieren. Dane­ben bedürfe es einer Abhängigkeit der bereichsspezifischen Regelungen von der Begrifflichkeit des BDSG; bereichsspezifische Regelungen seien auf ein notwendiges Maß zu reduzieren. Weitere Zielsetzungen beträfen die materielle Stärkung der Befugnisse der Aufsichtsbehörden und langfristig eine weitere Vereinheitlichung der Regelungen für den öffentlichen und den nicht-öffentlichen Bereich. Daneben gelte es, den technischen Datenschutz durch eine Neukonzeption des § 9 und Anlage zeitgemäß auszugestalten und den Selbstschutz etwa durch die digitale Signatur und Verschlüsselungssoftware zu fördern. Auch eine Regelung der elektronischen Einwilligung sei ein wichtiger Einzelaspekt. Die Auftragsdatenverarbeitung im Bereich von Berufs- oder besonderen Amtsgeheimnissen stelle unter dem Gesichtspunkt des Abbaus recht­licher Hindernisse unter gleichzeitiger Sicherung des besonderen Schutzes eine weitere Heraus­forderung dar. Mit Regelungen zum Arbeitnehmerdatenschutz gelte es der Herausforderung der Informations- und Kommunikationsgesellschaft auf dem Gebiet des Arbeitsrechts zu begegnen. Weiterhin ermutige die Richtlinie zur Selbstregulierung - beispielsweise durch Codes of Conduct - und auch der Förderung von datenschutzfreundlicher Software komme eine zunehmend wichtige Bedeutung zu.

18. RDV-Forum am 17. November 1999 in Köln

Im Vorfeld der DAFTA fand am 17. November 1999 das 18. RDV-Forum unter dem Leitthema „Der Bürger im Data-Warehouse“ im Kölner Maternushaus statt. Zentrales Thema der Veranstaltung war der Datenschutz im Zusammenhang mit der werblichen Nutzung von Kundendaten.

In seinem Eröffnungsreferat „Data Mining und Data Warehousing: Kundendaten als Ware oder geschütztes Gut?“ erläuterte Dr. Bruno Baeriswyl (Datenschutzbeauftragter des Kantons Zürich) zunächst die mit der Thematik zusammenhängenden Begrifflichkeiten und Prozesse. Im Anschluss daran ging er auf das Spannungsverhältnis ein, das sich aus den teilweise durchaus unterschiedlichen Interessenlagen von Unternehmen und betroffenen Kunden ergibt. Der Referent vertrat die Auffassung, dass sich die mit dem Konzept des Data Mining und Data Warehousing einhergehenden Gefahren für die Privatsphäre der Betroffenen nur schwer­lich durch die Gesetzgebung eingrenzen lassen. Die Anonymisierung sei ein Lösungsansatz, der allerdings im Spannungsfeld zu One to One Marketing-Strategien stehe. Der Kunde müsse die Möglichkeit haben, darüber zu entscheiden, inwieweit er seine Privatsphäre für eine bestimmte geschäftliche Transaktion aufgeben wolle. In diesem Zusammenhang obliege es den Unternehmen, sich auf einen entsprechenden Datenschutzstandard zu verpflichten.

Rechtsanwalt Dietmar Wolff (Zentralverband der Deutschen Werbewirtschaft, RDV-Schriftleitung) referierte zum Thema „Datenschutz und Abwehransprüche gegenüber unerwünschter Werbung“. Der Referent gab einen Überblick über die bisherige Rechtsprechung u.a. zu Telefon-, Telefax-, E‑Mail- und Briefwerbung. Abschließend stellte er fest, dass die werberechtliche Situation in den Mitgliedstaaten der Europäischen Union bislang noch sehr unterschiedlich sei; die Verabschiedung der sogenannten Fernabsatzrichtlinie und der ISDN-Richtlinie seien allerdings erste Schritte zur Rechtsangleichung.

Prof. Peter Gola (Vorstandsmitglied der GDD e.V., RDV-Schriftleitung) thematisierte in seinem Referat den bereichsspezifischen Datenschutz gegenüber Werbung und ging hierbei insbesondere auf aktuelle gesetzgeberische Entwicklungen ein. U.a. wurden dabei die einschlägigen Vorschriften des Telekommunikationsgesetzes (TKG), des Teledienstedatenschutzgesetzes (TDDSG) und des Mediendienste-Staatsvertrages (MDSTV) behandelt. Des Weiteren verdeutlichte der Referent, dass das sogenannte Sozialdatengeheimnis und auch berufsbedingte Schweigepflichten der Verarbeitung oder Nutzung von Kundendaten im Wege stehen können. Auch Einwilligungsklauseln in „allgemeinen Geschäftsbedingungen“ hielten zum Teil einer Wirksamkeitsüberprüfung nach dem AGB-Gesetz nicht stand.

Im Anschluss an das nachfolgende Referat von Dr. Hartwig Graf von Westerholt (Rechtsanwalt, Kanzlei Boesebeck Droste, Frankfurt am Main) über „Life-Style-Daten, Konsumentenbefragung und Einwilligung“ referierte Eckart Menzler-Trott (Unternehmensberater für Call-Center, Freising) über „Call-Center und Datenschutz“. Der Referent verdeutlichte die zentrale Rolle der Auftragsdatenverarbeitung nach § 11 BDSG im Zusammenhang mit der Beauftragung externer Call-Center und ging in diesem Zusammenhang auch auf die besonderen Voraussetzungen bei externen Call-Centern von Banken ein. Weitere Ausführungen betrafen die rechtliche Zulässigkeit bzw. Unzulässigkeit der Telefonwerbung. In seinem Fazit rief der Referent zur Beachtung des Grundsatzes der Datensparsamkeit auf. Persönliche Daten sollten tunlichst vermieden, verschlüsselt oder anonymisiert werden. Aus Betroffenensicht sei es unter Umständen sinnvoll der Erhebung, Speicherung, Verarbeitung oder Nutzung von persönlichen Daten zu widersprechen.

In seinem Abschlussreferat berichtete Dr. Ulrich Sandl (Regierungsdirektor im Bundesministerium für Wirtschaft und Technologie) über die Zielsetzungen der Bundesregierung im Zusammenhang mit der Sicherheit in der Informationsgesellschaft.