24. DAFTA am 23. und 24. November 2000 in Köln

Datenschutz und Datensicherheit sind Grundpfeiler für eine demokratisch verantwortbare Informationsgesellschaft und zudem wichtige Wegbereiter für E-Commerce, E-Business und E-Government. Das waren wesentliche Ergebnisse der 24. Datenschutzfachtagung am 23. und 24. November 2000 in Köln. Auf dem E-Commerce ruht die Hoffnung, dass er weltweit zu einem maßgeblichen Wirtschaftsfaktor wird. In den Unternehmen entwickelt sich das Internet bereits zunehmend vom schlichten Informationsmedium zur Kommunikationsplattform für geschäftliche Aktivitäten. Die 24. DAFTA verdeutlichte, dass der E-Commerce nur auf die gewünschte breite Akzeptanz stoßen wird, wenn die Persönlichkeitsrechte der Online-Nutzer angemessen geschützt sind und ein technisch und rechtlich sicherer Informationsaustausch gewährleistet ist. Darüber hinaus gab die diesjährige DAFTA Aufschluss über Stand und Inhalte der bevorstehenden BDSG-Novelle.

Umfassende Modernisierung des Datenschutzrechts

Im Anschluss an die Eröffnungsrede des Vorstandsvorsitzenden der GDD, Bernd Hentschel, verdeutlichte Jörg Tauss, MdB sowie Beauftragter für neue Medien und stellvertretender forschungspolitischer Sprecher der SPD-Bundestagsfraktion, den Umstand, dass E-Business mehr bedeutet als ein moderner Versandhandel. Es entstünden völlig neue Wertschöpfungsketten auch durch die zunehmende Vernetzung im B2B-Bereich. Aus Gründen der Kundenakzeptanz werde sich der Datenschutz zumindest mittelfristig als Wettbewerbsvorteil oder bei Nichtbeachtung als Wettbewerbsnach­teil erweisen. Notwendig sei eine neue Politik zum Schutz der Privatsphäre. Ohne einen verbesserten Persönlichkeitsschutz könne es eine demokratisch verantwortbare Informationsgesellschaft nicht geben. Mit der Umsetzung der ersten Stufe zur Novellierung des BDSG werde eigentlich erst so richtig deutlich, wie notwendig ein zweiter Schritt sei. Die zweite Stufe, mit der eine umfassende Modernisierung des deutschen Datenschutzrechts angestrebt werde, sei bereits im Juni des Jahres initiiert worden. Im Hinblick auf die notwendigen Inhalte der geplanten Datenschutzreform, die insbesondere auch den Aspekt des Datenschutzes durch Tech­nikgestaltung be­in­hal­ten solle, habe das Bundesministerium des Innern Gutachtenaufträge an drei renommierte Wissenschaftler vergeben. Seitens der Fraktionen von SPD und Bündnis 90/Die Grünen sei ein Begleitausschuss gegründet worden, der im Rahmen eines sogenannten E-Democracy-Projekts eine möglichst breite Beteiligung am Gesetzgebungsprozess fördern wolle.

Sicherheit in der Informationsgesellschaft als Voraussetzung für E-Government und E‑Commerce

Brigitte Zypries, Staatssekretärin im Bundesministerium des Innern, stellte anlässlich der 24. DAFTA die aktuellen Initiativen der Bundesregierung zum E-Government (www.staat-modern.de) und zur Sicherheit im Internet (www.sicherheit-im-internet.de) vor. Am 18. September 2000 habe der Bundeskanzler anlässlich der Expo in Hannover die Kampagne „E-Government - Bund-Online 2005“ gestartet, der das Motto zugrunde liege „Die Da­ten sollen laufen nicht die Bürger“ (vgl. www.bund.de). Ziel des Projektes sei eine moderne verbesserte Servicequalität der Verwaltung. Bis zum Jahr 2005 sollen, so Zypries, alle Geschäftsprozesse so umgestaltet werden, dass die geeigneten Dienstleistungen der Bundesverwaltung online angeboten werden können. Naturgemäß könne die elektronische Verwaltung nur auf die notwendige Akzeptanz stoßen, wenn sie von einem wirksamen Datenschutz- und Sicherheitskonzept begleitet sei. Angesichts der zunehmenden Bedrohungen durch Hackerangriffe habe der Bundesinnenminister im Februar des Jahres eine Task Force „Sicheres Internet“ eingesetzt, deren Zielsetzung die Erarbeitung von Vorschlägen für die Verbesserung der Sicherheit im Internet sei. Inzwischen seien zwei Maßnahmekataloge zur sog. Grundsicherheit entwickelt, mit der Wirtschaft erörtert und auf den Internet-Seiten des BSI veröffentlicht worden.

Datenschutz als Qualitätsfaktor für E‑Commerce

Der Bundesbeauftragte für den Datenschutz, Dr. Joachim Jacob, stellte zu Beginn seines Vortrages fest, dass das tatsächliche Verhalten wesentlicher Gruppen im Markt und im Marketing sowie die Negativberichterstattung in den Medien wenig geeignet seien, Vertrauen in den fairen Umgang mit personenbezogenen Daten zu wecken und zu festigen. Zwar sei das Internet insgesamt nicht so schlecht, wie sein Bild in den Medien. Allerdings gäbe es durchaus Anhaltspunkte dafür, dass es mit der Sicherheit im Internet nicht sehr weit her sei, dass mit Datenmissbrauch gerechnet werden müsse und dass viele Akteure den Aufwand scheuten, den man als verantwortlicher Treuhänder für den Schutz von Daten der Kunden und Klienten aufbringen müsse. Die Privatsphäre werde im Internet nicht nur von Hackern bedroht. Vielmehr sei das Datensammeln als Gewerbe weit verbreitet, wobei es vielfach auch um die Gewinnung aussagefähiger Profile gehe. Demgegenüber reichten die vorhandenen Selbstschutzmöglichkeiten der Nutzer nicht aus, um jenes Vertrauen zu schaffen, mit dem sie unbesorgt ihre wirklichen Wünsche offenbaren und ihr Geld zu Markte tragen würden. Deshalb sei es zur Entwicklung des E-Commerce sehr hilfreich, wenn hier der Eindruck von Seriosität und Zuverlässigkeit erweckt werde und wenn die Anbieter die potenziellen Kunden davon überzeugen könnten, dass sie mit deren Geld, deren Wünschen und auch mit deren Daten so sorgfältig umgingen, wie man es von einem fairen Geschäftspartner erwarte. Nach Auffassung des Bundesbeauftragten stellten sich die Lage und das der Allgemeinheit darüber vermittelte Bild aktuell aber noch anders dar. Der Personalisierung und dem One-to-One-Marketing liege zum Teil offenbar die Maxime zu Grunde, dem Kunden auf ihn zugeschnittene Angebote zu machen, ohne dass er sich dessen allzu deutlich bewusst werde. In diesem Zusammenhang hob der Bundesbeauftragte hervor, dass in den USA „Marketing by Permission“ die zur Zeit erfolgreichste Marketing-Strategie sei. Der Kunde, der mitentscheiden könne, wie er beworben werden wolle, fühle sich bestätigt und selbstbestimmt. Diese Strategie sei datenschutzfreundlich und die deutschen Werbefirmen sollten sie daher in ihre Konzeptionen mit einbinden. Vor diesem Hintergrund werde deutlich, dass Datenschutz als Qualitätsfaktor für E-Commerce bisher nicht, zumindest bei weitem nicht in dem Maße, wie es für eine positive Entwicklung des Marktes notwendig wäre, genutzt werde. Das Vertrauen in die Fairness der Anbieter im E-Commerce könne u.a. durch eine eigene Datenschutz-Erklärung des Anbieters auf seiner Website gefördert werden, wenn in der Folge auch die Einhaltung der Datenschutzrichtlinien gewährleistet sei. Derzeit, so Jacob, sei wohl das Verwenden eines Gütesiegels für geprüfte Qualität im E-Commerce noch am ehesten geeignet, das bislang fehlende Vertrauen zu schaffen. Dabei müs­se der Datenschutz eines der maßgeblichen Qua­litätsmerkmale sein. Im Interesse des Kunden müsse eine glaubwürdige und vertrauensbildende Erklärungsform vorliegen, die gleichzeitig auch einen einheitlichen Bewertungsmaßstab bei der Prüfung widerspiegele. Dies leiste ein Datenschutzsiegel auf der Basis eines Datenschutzaudits, das - untermauert durch gesetzliche Rahmenbedingungen - anhand von definierten Kriterien und Verfahren die Datenschutzkonzepte und deren praktische Umsetzung bei den Unternehmen prüfe, wobei praktische Umsetzung sowohl die organisatorischen als auch die technischen Maßnahmen meine. Was den Bereich der Datensicherheit angehe, so könne ergänzend auf die Zertifizierung des BSI zurückgegriffen werden. Möglich sei auch, ein solches BSI-Zertifikat als fakultatives Element des Datenschutzaudits zu integrieren. Abschließend betonte der Bundesbeauftragte, dass im virtuellen Markt nicht länger nur das Warenangebot und der Preis ausschlaggebend seien, sondern auch und vor allem der Qualitätsfaktor Datenschutz.

Novellierung des BDSG

Regierungsdirektor Daniel Christians, Referatsleiter Datenschutzrecht im Bundesministerium des Innern, gab anlässlich der 24. DAFTA einen Überblick über die mit der BDSG-Novelle einhergehenden wesentlichen Änderungen. Dabei ging er zunächst auf die Erweiterung des Anwendungsbereichs ein, die u.a. darauf beruhe, dass in teilweiser Abkehr vom Dateibegriff zukünftig jede automatisierte Verarbeitung personenbezogener Daten den Anwendungsbereich eröffne. Auch die Datenerhebung unterliege zukünftig dem Verbot mit Erlaubnisvorbehalt. Hinsichtlich der Kontrollkompetenzen der Datenschutzaufsichtsbehörden wies Christians auf die Möglichkeit der anlassfreien Kontrolle, die Berechtigung zur Unterrichtung von Betroffenen und Gewerbeaufsichtsbehörden bei (schwer­wie­gen­den) Verstößen, das neu eingeräumte Strafantragsrecht sowie auf die Genehmigung von Vertragsklauseln und verbindlichen Verhaltensregeln im Zusammenhang mit dem Drittlandtransfer hin. Der Umstand, dass den betrieblichen Datenschutzbeauftragten neue Aufgaben zukämen, gehe Hand in Hand mit einer Dezentralisierung der Datenschutzkontrolle. Im Fall der Bestellung eines betrieblichen Datenschutzbeauftragten erhalte die­ser die meldepflichtigen Angaben und er sei für die Durchführung der Vorabkontrolle bei besonders risikoreichen automatisierten personenbezogenen Verarbeitungen zuständig. Hiermit sei auch eine von den Ländern angestrebte Entlastung der ansonsten zuständigen Aufsichtsbehörden verbunden. Auf Antrag habe der Datenschutzbeauftragte die meldepflichtigen Angaben jedermann in geeigneter Weise verfügbar zu machen. Dabei habe man bewusst mit der „Ver­fügbarmachung in geeigneter Weise“ eine offene Formulierung gewählt. Der Begriff „je­der­mann“ sei hingegen wörtlich zu verstehen. Im Rahmen der Vorabkontrolle der materiellen Zulässigkeit einer besonders risikoreichen automatisierten Verarbeitung, habe sich der Datenschutzbeauftragte im Zweifel an die für ihn zuständige Aufsichtsbehörde zu wenden. Dies solle möglichst in Koordination mit der Geschäftsleitung geschehen. In diesem Zusammenhang schloss Christians ein Haftungsdurchgriff auf den betrieblichen Datenschutzbeauftragten für den Fall aus, dass dieser die Kontaktaufnahme mit der Aufsichtsbehörde auf Wunsch der Geschäftsleitung unterlässt.

Nach Auskunft von Christians sind die Inhalte des neuen BDSG inzwischen weitgehend unstreitig. Der Bundesrat habe in seiner Stellungnahme zu dem Regierungsentwurf 18 Änderungsanträge - zum Teil Prüfbitten - gestellt und eine allgemeine Vorbemerkung gemacht. Dabei gehe es weitgehend nur um redaktionelle Änderungen. Allerdings habe die Bundesregierung in ihrer Gegenäußerung zu der Bundesratsstellungnahme zum Ausdruck gebracht, dass sie dem Wunsch der Länder, auf eine gesetzliche Regelung zum Datenschutzaudit gänzlich zu verzichten, nicht nachkommen werde. Nach Auffassung der Bundesregierung gehe mit einem gesetzlich geregelten Datenschutzaudit nicht zwingend eine Entwertung der Stellung des betrieblichen Datenschutzbeauftragten einher. Viel­mehr könne die deklaratorische Vorschrift im BDSG gewissermaßen als Initialzündung einen Wettbewerbsanreiz auslösen, der der Qualität des Datenschutzes zu Gute komme. Der Bundesrat, so Christians, habe signalisiert, dass er - unabhängig von der Berücksichtigung seiner Stellungnahme - die notwendige Zustimmung im Gesetzgebungsverfahren erteilen werde. Am 27. Oktober habe die erste Lesung im Bundestag stattgefunden. Damit sei zwei Jahre nach Ablauf der Frist zur Umsetzung der EG-Datenschutzrichtlinie das parlamentarische Verfahren in Gang gekommen und es bestünde nunmehr die berechtigte Hoffnung, dass die erste Stufe der BDSG-Novellierung im ersten Quartal 2001 abgeschlossen werden könne. Christians gestand allerdings ein, dass man die Umsetzung der Richtlinie gewissermaßen mit einer zusätzlichen Verkomplizierung des BDSG erkauft habe.

19. RDV-Forum am 22. November 2000 in Köln

Das 19. RDV-Forum stand unter dem Leitthema „Der Datenschutzbeauftragte im neuen Datenschutz“. Mit Blick auf die BDSG-Novellierung auf Grundlage der EG-Datenschutzrichtlinie wurden Stellung und Aufgaben des Datenschutzbeauftragten neu beleuchtet. Themenschwerpunkte der von Prof. Peter Gola (GDD-Vorstand, RDV-Schriftleitung) moderierten Veranstaltung betrafen die Zusammenarbeit mit den Datenschutzaufsichtsbehörden, die neue Aufgabe der Vorabkontrolle, die Beteilung im Datenschutzaudit-Verfahren und das öffentliche Verfahrensverzeichnis.

Prof. Dr. Alfred Büllesbach (Konzernbeauftragter für den Datenschutz, DaimlerChrysler AG) führte in die Konzeption und Funktion des Datenschutzbeauftragten vor dem Hintergrund der EG-Richtlinie und der Novellierung des BDSG ein. Die vielfältigen Anforderungen der Telekommunikation, der Tele- und Medienservices, des globalisierten Datenverkehrs sowie die Konvergenz der technologischen und standardisierten Entwicklung verlangten einen umsichtigen, kenntnisreichen und hochqualifizierten Datenschutzbeauftragten. Die Konzeption der BDSG-Novelle ebenso wie die Konzeption in der EG-Datenschutzrichtlinie sähen den Datenschutzbeauftragten als qualifizierten Berater, Gestalter und Kontrolleur. Diese Rolle verlange durchsetzungsstarke und sich Anerkennung verschaffende Beauftragte, die nachhaltig ihre Aufgaben erfüllten. Unverzichtbar sei, dass die direkte Berichterstattung des Datenschutzbeauftragten an die Geschäftsleitung auch tatsächlich umgesetzt werde, um so dem Datenschutzbeauftragten auf Leitungsebene Zugang und Akzeptanz zu verschaffen.

Dr. Helmut Bäumler (Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein) widmete seien Beitrag dem Thema „Zusammenarbeit des betrieblichen Datenschutzbeauftragten mit den Aufsichtsbehörden in einem gewandelten Datenschutz“. Der Referent sprach sich für innovative gesetzgeberische Ansätze in der modernen Informationsgesellschaft aus. Wenn ein Unternehmen seine Datenverarbeitung oder Teile davon auditieren lasse und anschließend mit dem erworbenen Audit Werbung mache, dann sei damit implizit auch anerkannt, dass der Datenschutz etwas sei, was Eindruck auf die Kunden mache. Der Datenschutz müsse vom Image der Belastung, vom Standortnachteil zu einem zählbaren Vorteil mutieren. Das Datenschutzaudit sei nur ein Beispiel, wie ein moderner Datenschutz aussehen könne. Freiwillige Selbstverpflichtungen, Codes of Conduct, Zielvereinbarungen und Gütesiegel für IT-Produkte könnten weitere Elemente einer geänderten Philosophie sein. In deren Mittelpunkt stehe verstärkt marktwirtschaftliches Denken und eine positive Sichtweise des Datenschutzes. Für Aufsichtsbehörden und Datenschutzbeauftragte gelte es, diese positive Gestaltung des Datenschutzes im Interesse der Bürgerinnen und Bürger in den Vordergrund zu stellen.

Thomas Königshofen (Konzerndatenschutzbeauftragter, Deutsche Telekom AG) beantwortete die Frage „Das Datenschutzaudit: Fluch oder Segen für betriebliche Datenschutzbeauftragte?“ mit der in Juristenkreisen gängigen Formulierung „Es kommt darauf an“. Es sei ein durchaus überlegungswerter Ansatz zur effektiven Steigerung der Durchsetzung des informationellen Selbstbestimmungsrechts, das Prinzip der Pönalisierung gesellschaftlich unerwünschten Verhaltens durch das Angebot der Belohnung von gesellschaftlich erwünschtem Verhalten zu ergänzen. Das Datenschutzaudit könne sich hier als wirksames Instrument herausstellen. Nachfolgend stellte der Referent einige Eckpunkte einer gesetzlichen Regelung zum Datenschutzaudit zur Diskussion. In einem Gesetz bzw. in einer Verordnung solle nur das absolut nach rechtsstaatlichen Grundsätzen notwendige geregelt werden. Nicht gesetzlich geregelt, sondern von der Wirtschaft entwickelt (und staatlich lediglich genehmigt) werden sollten seiner Auffassung nach:

• die - ggf. branchenspezifischen - Anforderungen an Datenschutzkonzepte und die Anforderungen im Hinblick auf die Bescheinigung der Datenschutzaufsichtsbehörden über die besondere Datenschutzfreundlichkeit;
• die weiteren Anforderungen an die Qualifikation der Auditoren und die Voraussetzung zum Nachweis der Fachkunde,
• die Anforderungen an das Auditierungsverfahren durch die externen Auditoren,
• sonstige Vorhaben zum innerbetrieblichen Aufbau - oder Ablauforganisation des Datenschutzes.

Von der Wirtschaft entwickelte sonstige Verfahren der Selbstregulierung einschließlich der Vergabe von Gütesiegeln würden durch eine derartige gesetzliche Regelung nicht behindert.

Rechtsanwalt Christoph Klug (stellvertretender Geschäftsführer der GDD, RDV-Schriftleitung) gab eine grundlegende Einführung in die neue Aufgabe der datenschutzrechtlichen Vorabkontrolle. In Umsetzung der EG-Datenschutzrichtlinie sehe das neue BDSG eine Vorabüberprüfung der materiellen Rechtmäßigkeit von automatisierten Verarbeitungen vor, die im Hinblick auf das Persönlichkeitsrecht besonders gefahrenträchtig seien. Zunächst müsse im Rahmen einer Bestandsaufnahme festgestellt werden, im Hinblick auf welche Verarbeitungen eine Vorabkontrolle durchzuführen sei. Damit keine sensiblen Datenverarbeitungen aus dem Raster der Vorabkontrolle herausfielen, sei zwangsläufig eine  Übersicht aller geplanten personenbezogenen automatisierten Verarbeitungen nötig. In einem zweiten Schritt gehe es dann um die eigentliche Prüfung der materiellen Zulässigkeit der als kontrollbedürftig befundenen Datenverarbeitungen. Der hierfür zuständige Datenschutzbeauftragte treffe seine Entscheidung dabei nach pflichtgemäßen Ermessen. Im Zweifelsfall solle er sich in Abstimmung mit der Geschäftsleitung an die zuständige Aufsichtsbehörde wenden. Als Ergebnis der Vorabkontrolle könne neben der datenschutzrechtlichen Zulässigkeit oder Unzulässigkeit auch die Feststellung stehen, dass die beabsichtigte Verarbeitung im Anschluss an weitere technisch-organisatorische Maßnahmen zulässig sei.

Heinz Rösser (Datenschutzbeauftragter der Coca Cola Erfrischungsgetränke AG) erläuterte die Erstellung des öffentlichen Verfahrensverzeichnisses in seinem Unternehmen. Dabei informierte er insbesondere über die Einbindung der Anwender in die Erstellung des in Lotus-Notes erstellten und gepflegten Verzeichnisses. Für die Hardwareerfassung seien die notwendigen Standortdaten und die allgemein übliche Bezeichnung des Mikrocomputers zu erfassen (z. B. Laptop). Die kompletten Gerätedaten würden in einer separaten Lotus-Notes-Datenbank geführt. Erfasst würden nur Mikrocomputer und keine Terminals. In das Verzeichnis aufgenommen würden alle in der Verantwortung der jeweiligen Abteilung betriebenen Computer, auf denen sich personenbezogene Daten befinden könnten.

Nachfolgend referierte Prof. Dr. Hansjürgen Garstka (Der Berliner Datenschutzbeauftragte) über den Datenexport ins Ausland und ggf. einhergehende Genehmigungspflichten in Bezug auf die Verwendung von Vertragsklauseln bzw. verbindlichen Unternehmensregelungen (Codes of Conduct).

Dabei verdeutlichte er u.a. den Umstand, dass nach neuem Recht deutsche Aufsichtsbehörden auch für die korrekte Anwendung mitgliedstaatlichen Datenschutzrechts zuständig sein können. Hier müsse ggf. auf internationale Amtshilfe zurückgegriffen werden.

Die Diskussion erbrachte u.a. das Ergebnis, dass die Fälle der Vorabkontrolle durch Ausnahmeregelungen sachgerecht eingegrenzt worden sind. Im Hinblick auf die Zweifelsfallregelung im Rahmen der Vorabkontrolle wurde festgestellt, dass sich der Datenschutzbeauftragte möglichst nur in Abstimmung mit der Geschäftsleitung an die Aufsichtsbehörde wenden soll. Insbesondere in dem Fall, wo die Konsultation der Aufsichtsbehörde auf Verlangen der vom Datenschutzbeauftragten ordnungsgemäß unterrichteten Geschäftsleitung unterbleibt, dürfe ein Haftungsdurchgriff auf den Datenschutzbeauftragten selbst ausgeschlossen sein. Hinsichtlich des öffentlichen Verfahrensverzeichnisses wurde festgestellt, dass dieses auf Antrag grds. tatsächlich „Jedermann“ - also nicht nur dem Betroffenen - in geeigneter Weise zugänglich gemacht werden muss.