25. DAFTA am 22. und 23. November 2001 in Köln

Am 22. und 23. November 2001 veranstaltete die GDD ihre nunmehr 25. Datenschutzfachtagung (DAFTA) unter dem Leitthema „Zukunftsfaktor Datenschutz“ in Köln. Die GDD, vor 25 Jahren anlässlich der parlamentarischen Verabschiedung des ersten Bundesdatenschutzgesetzes (BDSG) gegründet, hat mit ihrer alljährlich stattfindenden Fachtagung ein öffentliches Forum für die gesetzlichen, technischen und organisatorischen Entwicklungen auf dem Gebiet des Datenschutzes etabliert. Der Dialog zwischen den beteiligten Datenschutzexperten führt nicht nur regelmäßig zu konstruktiven und fruchtbaren Diskussionen sondern auch zu einer Fortentwicklung des Datenschutzbewusstseins in Wirtschaft, Verwaltung, Wissenschaft und Politik.

Die 25. DAFTA ermöglichte eine Standortbestimmung nach 25 Jahren Datenschutz in Deutschland Sie bot ferner einen Ausblick auf die zukünftige Gestaltung des Datenschutzrechts, das nach dem Wunsch der Bundesregierung moderner, übersichtlicher und verständlicher ausgestaltet werden soll.

Neben der zukünftigen Rolle des Datenschutzes griff die 25. DAFTA aktuelle Fachthemen aus der Datenschutz- und Datensicherheitspraxis auf. Der aus der BDSG-Novellierung resultierende Hand­lungsbedarf für die Datenschutzverantwortlichen in Unternehmen und Behörden bildete einen Schwerpunkt der Veranstaltung. Dabei wurden u.a. neue Praxishilfen zum öffentlichen Verfahrensverzeichnis und zur internen Verarbeitungsübersicht des Datenschutzbeauftragten vorgestellt.

Der - nach dem New York-Attentat erneut heftig debattierte - Datenschutz in der Telekommunikation, die Schutzgarantien beim Drittlandtransfer, die datenschutzgerechte Gestaltung einer Unternehmens-Homepage und die Sicherheit bei E‑Govern­ment, E- und M‑Commerce waren weitere Themen der Jubiläumsveranstaltung. Angesichts der Aktivitäten zur Terrorismusbekämpfung kam die Frage auf, ob der Datenschutz überhaupt noch eine Zukunft hat. Dass dies allerdings der Fall ist, wurde bei der 25. DAFTA schnell deutlich.

In seiner Eröffnungsrede begrüßte der Vor­stands­vor­sit­zende der GDD, Bernd Hentschel, die Beibehaltung der betrieblichen Selbstkontrolle als primäre Kontrollform und die Stärkung des betrieblichen Datenschutzbeauftragten im Rahmen der BDSG-Novelle. Das neu geregelte Datenschutzaudit sei, so Hentschel, als Wettbewerbsfaktor in der IT-Welt, in der Form des Produkt- und Dienst­leis­tungs­audits sinnvoll. Um eine Konkurrenzsituation zwischen Datenschutzaudit und der Selbstkontrollinstitution auf betrieblicher Ebene zu vermeiden, dürfe der betriebliche Datenschutzbeauftragte allerdings nicht Objekt des Audits werden. Wichtiges Anliegen sei es zudem, die extreme Aufsplitterung des Datenschutzrechts in allgemeine und bereichsspezifische Regelungen auf ein übersichtlicheres Maß zurückzuführen, was letztlich auch die Akzeptanz des Datenschutzes bei den Betroffenen fördere.

Die Bundesrepublik Deutschland habe in 25 Jahren eine Datenschutzkultur aufgebaut und damit Maßstäbe gesetzt. Im Zeitalter der Telekommunikations- und Informationsgesellschaft sei der Datenschutz ein wichtiger Wirtschaftsfaktor. Der heutige Datenschutzstandard dürfe auf Grund der Terrorismusbekämpfung nicht unnötig verschlechtert werden.

Novellierung des Bundes­da­ten­schutz­ge­setzes in zwei Phasen

Im Anschluss an die Eröffnungsrede machte Claus-Henning Schapper, Staatssekretär im Bundesinnenministerium, deutlich, dass die zweite Stufe der Novellierung des Datenschutzrechts mit der Übergabe des Gutachtens der Professoren Roßnagel/Pfitzmann/Garstka am 12.11.01 begonnen habe. Die 25. DAFTA stehe an der Schwelle zu einem neuen, modernen und gewandelten Datenschutz. Der Referent betonte den Ausbau der Rechtsstellung des betrieblichen Datenschutzbeauftragten durch die im Mai abgeschlossene erste Stufe der Novellierung des Bundesdatenschutzgesetzes. Die­ser sei nunmehr in den Fällen der Vorabkontrolle vor der Aufnahme neuer Verarbeitungen ausnahmslos in den internen Entscheidungsablauf eingeschaltet.

Die im Mai 2001 abgeschlossene Novellierung des BDSG beruhe im Wesentlichen auf den Vorgaben der EG-Da­ten­schutz­richt­linie von 1995. Im Rahmen der  BDSG-No­vel­lierung 2001 seien im Zusammenhang mit der Neufassung des Medienprivilegs neue Ansätze zur Selbstregulierung entwickelt worden. Das Konzept des Deutschen Presserats für den Redaktionsdatenschutz stelle, so Schapper, bereits eine beispielhafte und effektive Maßnahme zur Selbstregulierung dar. Diese gelte es, in der zweiten Novellierungsstufe auszubauen, da Selbstregulierung u.a. auch ein probates Instrument zum Abbau von Bürokratie und zur Stärkung der Eigenverantwortung sei. Sie verfolge das Ziel, staatliche Aufsicht hinter institutionalisierter Selbstkontrolle zurücktreten zu lassen.

25 Jahre Datenschutz in der Wirtschaft – eine Standortbestimmung

Der Bundesbeauftragte für den Datenschutz, Dr. Joachim Jacob, stellte fest, dass sich die Rolle des Datenschutzes in der Wirtschaft geändert habe. Habe man ihn früher noch als Last empfunden, so sei er heute zu einem marktwirtschaftlichen Segment gewachsen. Daten würden, so Jacob, zur Goldgrube im Internet. Die Informationstechnologie erleichtere die Nutzung von Daten, aber auch den Zugriff durch Unberechtigte. Der Kunde sei sich dessen bewusst und mittlerweile so sensibilisiert, dass er den Datenschutz als Qualitätsmerkmal ansehe.

Mit Blick auf die wirtschaftliche Bedeutung des E‑Commerce vertrat der Bundesbeauftragte die Auffassung, dass sich eine zukunftsorientierte, die Datenschutzinteressen des Nutzers respektierende Praxis des Datenschutzes im E-Commerce noch nicht hinreichend entwickelt und durchgesetzt hat.

Gerade hierzu diene aber das in das BDSG 2001 eingearbeitete Datenschutzaudit. Der Kritik, wonach das Audit zu kostenträchtig sei, könne er nicht folgen. Da ohnehin Datenschutzkonzepte und ‑sys­teme entwickelt werden müssten, sehe er keine unnötigen Kosten auf die Wirtschaft zukommen. Vielmehr böte sich die Chance, den Datenschutz in Verkaufsstrategien einzubeziehen und hiermit zu werben.

Datenschutz, so Jacob, müsse sowohl für die Wirtschaft als auch für den Kunden präsentabel und attraktiv gemacht werden. Daher appellierte er an die Wirtschaft, den Wettbewerbsvorteil zu erkennen und eigenverantwortliche Mechanismen der Selbstregulierung zu nutzen, damit der Kunde wieder Rechtssicherheit gewinne und für die Anbieter Verlässlichkeit und Investitionssicherheit bestehe.

Verhaltensregeln von Berufs- und Branchenverbänden gemäß § 38a BDSG sollten zur ordnungsgemäßen Durchführung der datenschutzrechtlichen Vorschriften beitragen. Verhaltensregeln böten Verbänden und Betroffenen die Möglichkeit, sich über ihre jeweiligen Interessen zu verständigen und faire Verarbeitungsbedingungen auszuhandeln. In diesem Zusammenhang hob er das Konzept des Deutschen Presserates hervor, das einen wirkungsvollen Schutz für personenbezogene Daten in den Redaktionen gewährleiste. Abschließend rief der Bundesbeauftragte die Wirtschaft dazu auf, den Beispielen einiger Unternehmen, die den Gedanken der Selbstregulierung bereits aufgegriffen haben, zu folgen. Das neue BDSG ermögliche vielfältige Perspektiven für eigenverantwortliche und selbstregulierende Schutzmaßnahmen im Datenschutz.

Die Modernisierung des Datenschutzrechts, insbesondere die grundlegende Novellierung des Bundesdatenschutzgesetzes

Als einer der Mitautoren des Gutachtens zur Modernisierung des Datenschutzes erläuterte Prof. Dr. Roßnagel zunächst die Kritik am bisherigen Datenschutzrecht und anschließend dessen geplante Weiterentwicklung. Es gäbe zu viele, zu detaillierte Datenschutzregelungen, weshalb das Datenschutz­recht insgesamt zu unübersichtlich sei. Wegen unterschiedlicher Modernisierungsniveaus sei es zudem widersprüchlich. Mangels datenschutzgerechter Technik und Transparenz sei es ineffektiv und weil neue Technikentwicklungen nicht genügend berücksichtigt würden zudem inadäquat.

Das Gutachten zur Modernisierung habe daher folgende Zielsetzungen:

• Vereinfachung des Datenschutzrechts durch „Lichtung des Regelungsdschungels“ sowie Nachvollziehbarkeit der Rechte und Pflichten der Beteiligten und
• Modernisierung des Datenschutzrechts durch Selbst- und Systemdatenschutz und durch marktwirtschaftliche Mechanismen.

Die Unübersichtlichkeit des Datenschutzrechts könne beseitigt werden, wenn man die tragenden Grundsätze zentral in das BDSG festschreibe und nur das Notwendigste im bereichsspezifischen Datenschutzrecht regele.

Die Zulässigkeit der Datenverarbeitung solle sich, künftig an den Grundsätzen des Datenschutzes orientieren. Transparenz, Erforderlichkeit, Zweckbindung und Datensicherung seien in diesem Zusammenhang maßgebend. Unter dem Gesichtspunkt der Gefahrenabwehr müsse eine Datenverarbeitung auch ohne Einwilligung möglich sein. Die Einwilligungsvoraussetzungen müssten jedoch als „genuiner Ausdruck“ des Rechts auf informationelle Selbstbestimmung angesichts des erheblichen Machtgefälles zwischen betroffener Person und verantwortlicher Stelle gestärkt werden. Die Einwilligung sei grundsätzlich nur bei hinreichender Unterrichtung, Freiwilligkeit, Einhaltung der Formvorschrift des § 126 BGB und unter Einbeziehung eines zustimmungsfreundlichen Formulares wirksam.

Die betroffenen Personen müssten in die Lage versetzt werden, sich im Wege des Selbstdatenschutzes zur Wehr zu setzen. Dabei wies Roßnagel darauf hin, dass der Anonymität und der Pseudonymität in der Datenverarbeitung der Vorrang gegeben werden müsse. Der damit angesprochene Systemdatenschutz könne durch die technisch-organisatorische Sicherung von Rechtszielen erreicht werden. Der Einsatz zertifizierter Produkte und die Durchführung von Datenschutzaudits seien hierbei wesentliche Faktoren.

Es sei es sinnvoll, die Unternehmen in die Lage zu versetzen, mit einer datenschutzfreundlichen Organisation zu werben. Im Rahmen eines Datenschutzaudits müsse der Datenschutzbeauftragte eine zentrale Rolle spielen. So sei es erforderlich, dass er der Zertifizierung des Datenschutzaudits zustimmt. Eine externe Überprüfung allein reiche nicht aus.

Außerdem sollten alle Stellen, so Roßnagel, mittelfristig IT-Systeme mit offengelegtem Quellcode beschaffen und verwenden. Da der Trend zum allgegenwärtigen Com­pu­ting gehe, bestünde dringender Handlungsbedarf, das Datenschutzrecht zu modernisieren.

Selbstregulierung und Selbstkontrolle seien weitere wichtige Modernisierungselemente. Unternehmen und Verbände sollten zur Konkretisierung der gesetzlichen Regelungen verbindliche Verhaltensregeln erarbeiten.

Die Selbstregulierung ermögliche es der Wirtschaft, passgerechte branchen- und unternehmensbezogene Regelungen zu entwickeln, die die schnelle Entwicklung der Technik, die Komplexität der Systeme und die Vielfalt ihrer Anwendungen berücksichtigten. Der Anreiz, eigene, durch Kontrollstellen anerkannte Verhaltensregeln zu erstellen, bestehe für Branchen, Verbände oder Unternehmen in der Möglichkeit, die zu konkretisierenden Gesetzesvorgaben selbstständig auszugestalten.

Bezug nehmend auf die Ereignisse vom 11.09.01, betonte Roßnagel, dass Datenschutz Grundrechtsschutz sei. Das Gutachten zur Modernisierung des Datenschutzrechts müsse auf Grund der Ereignisse nicht geändert werden.

20. RDV-Forum am 21. November 2001 in Köln

Das 20. RDV-Forum am 21. November 2001 stand unter dem Leitthema „Selbstregulierung im Datenschutz“ und wurde abermals von Prof. Peter Gola (GDD-Vorstand, RDV-Schriftleitung) moderiert. Prof. Dr. Hansjürgen Garstka, Berliner Beauftragter für Datenschutz und Informationsfreiheit, berichtete über erste selbstregulative Ansätze aus Sicht der Aufsichtsbehörde. Mit Blick auf die Verhaltensregeln nach § 38a BDSG /Art. 27 EG-Da­ten­schutz­richt­linie informierte er über den aktuellen Diskussionsstand im Düsseldorfer Kreis zur Vorlageberechtigung. Nach derzeitigem Diskussionsstand würden ggf. auch verbundene Unternehmen (Konzerne) als vorlageberechtigt angesehen werden. Inhaltlich müssten die Verhaltensregeln gegenüber dem reinen Gesetzestext einen Mehrwert beinhalten. Dieser bestünde insbesondere in der Konkretisierung der gesetzlichen Vorgaben und dürfe dabei deren Schutzniveau nicht unterschreiten. Soweit eine ordnungsgemäße Vorlage an die Aufsichtsbehörde erfolge, müsse diese eine Stellungnahme abgeben.

Des Weiteren thematisierte der Referent Selbstregulierungsmechanismen beim Drittlandtransfer. Vertragswerke müssten sich inhaltlich an den Vorgaben des WP12-Arbeitspapiers der Art. 29-Gruppe orientieren. Wesentlich sei die Aufnahme einer gesamtschuldnerischen Haftung von Datenexporteur und Datenimporteur. Im Übrigen empfehle sich die Verwendung der von der Europäischen Kommission entwickelten Standardvertragsklauseln. Auch im Hinblick auf verbindliche Unternehmensregelungen, die ebenfalls als ausreichende Garantien beim Datentransfer in Drittländer ohne angemessenes Schutzniveau dienen können, komme dem WP12-Dokument eine Vorbildwirkung zu. Eine Genehmigung durch die Aufsichtsbehörde erfolge einzelfallbezogen, können sich aber auch auf „Arten von Übermittlungen“ beziehen. Eine materielle Übermittlungsbefugnis ersetze die Genehmigung aber letztlich nicht.

Prof. Dr. Alfred Büllesbach (Konzernbeauftragter für den Datenschutz, DaimlerChrysler AG) referierte über die Datenschutzorganisation und Selbstregulierung in einem globalen Unternehmen. Der Referent skizzierte den bestehenden europäischen Regulierungsrahmen, den Regulierungsrahmen in den USA, Kanada, Südamerika und in den Asia/Pacific-Staaten. Dabei konnte festgestellt werden, dass eine ausgesprochen heterogene Sach- und Rechtslage besteht. Vor diesem Hintergrund verdeutlichte Büllesbach die Vorteile der Selbstregulierung. Hierzu gehörten:

• Rasche und flexiblere Reaktion auf Veränderungen des neuen Marktes
• Verbesserung von Verbraucherschutz und Wettbewerbsfähigkeit durch spezielle Regelungen
• Grenzüberschreitende Lösungen für globalisierte Märkte
• Globale Transparenz und Orientierung für den Verbraucher
• Schnellere und leichtere Konfliktlösung durch alternative Streitschlichtungsverfahren
• Effektivere Durchsetzbarkeit

Privacy und Consumer Confidence Statements, Codes of Conduct und zwischenstaatlich garantierte Verhaltensregeln gehörten zu den vom Referenten genannten Selbstregulierungsinstrumenten. Folgende Regelungsinhalte eines Code of Conduct wurden vorgeschlagen:

• Grundsätze für die Verarbeitung personenbezogener Daten
• Besondere Arten personenbezogener Daten
• Verarbeitung auf Grund Vertrag, Einwilligung
• Rechte der Betroffenen
• Datengeheimnis/Vertraulichkeit
• Datensicherheitsaspekte
• Datenverarbeitung im Auftrag / Einbeziehung Dritter
• Telekommunikation und Internet
• Geltung einzelstaatlichen Rechts
• Abhilfe / Sanktionen / Verantwortlichkeiten
• Aufgaben und Befugnisse eines Konzernbeauftragten für den Datenschutz (CPO).

Andreas Haupt (Datenschutzbeauftragter der Unilever AG) berichtete über die Etablierung einer globalen Datenschutz-Policy am Beispiel seines Unternehmens. Die erarbeitete Privacy Policy, deren Inhalte noch nicht veröffentlicht werden könnten, regele sowohl den Arbeitnehmer- als auch den Kundendatenschutz. Auf Management-Ebene sei die Policy weltweit mit breiter Mehrheit akzeptiert worden. Genehmigungsverfahren bei den Aufsichtsbehörden stünden allerdings noch aus, wobei sich zunächst wegen der weltweiten Dimension auch die Frage stelle, welchen Aufsichtsbehörden das datenschutzrechtliche Regelwerk überhaupt vorgelegt werden müsse. Angesichts der Tatsache, dass es sich derzeit bei der Erstellung von Datenschutz-Policies noch um Pionierarbeit handele, regte er gegenüber den Kontrollstellen an, die ersten Ergebnisse zunächst als positive Ansätze aufzufassen und keine überhöhten inhaltlichen Anforderungen zu stellen, da dies die Unternehmen im Hinblick auf zukünftige Selbstregulierungsaktivitäten demotivieren könnte.

Am Nachmittag berichtete der Hauptgeschäftsführer des Zentralausschusses der Deutschen Werbewirtschaft, RA Dr. Georg Wronka (RDV-Schrift­lei­tung), über aktuelle Selbstregulierungsinitiativen im Marketing. Regelungen der Netiquette als Regularien der weltweiten Internet-Gemeinde kämen unter dem Blickwinkel des Rechtsverstoßes nicht als Anknüpfungspunkt für wettbewerbsrechtliche Ansprüche in Frage. Mit Blick auf von der Internationalen Handelskammer (ICC) entwickelte Selbstregulierungsstandards im Marketing wies der Referent darauf hin, dass diese für den deutschen Markt deswegen nicht besonders relevant seien, weil die in ihnen festgelegten Grundsätze entweder bereits im geltenden nationalen Gesetzesrecht festgeschrieben worden seien oder von den in Deutschland bestehenden Selbstkontrolleinrichtungen ohnehin schon seit längerem angewandt würden. Solche nationalen selbstdisziplinären Instrumente seien die des Deutschen Direktmarketingverbandes (DDV). Die Robinson-Liste, verschiedene Ehrenkodizes, sowie die Regeln für faires Direktmarketing, auf die sich die im DDV zusammengeschlossenen Direktmarketing-Anwender geeinigt hätten, seien wesentliche Elemente der nationalen Selbstregulierung im Marketing. Das letztgenannte Regelwerk gelte für sämtliche Marketingmaßnahmen, die auf Verbraucher abzielten, unabhängig von den Kommunikationsmitteln oder den Marketingformen. Ergänzt würden die vorgenannten Selbstregulierungselemente durch Qualitäts- und Leistungsstandards, die der DDV für die Bereiche Listbroking, Rechenzentren/Datenverarbeitung sowie Adressenausdruck/Personalisierung/Lettershop entwickelt habe. Des Weiteren existierten neben einer in diesen Bereichen gefestigten unterinstanzlichen Rechtsprechung inzwischen weitere Robinson-Lis­ten für Telefax-, E-Mail- und Handy-Werbung.

Lutz Tillmanns (Deutscher Presserat e.V.) berichtete über die Selbstregulierung in der Presse nach § 41 BDSG. Die freiwillige Selbstkontrolle ermögliche es, den Redaktionsschutz zu wahren. Sie sei durch allgemeine Datenschutzrichtlinien im Pressekodex, eine vorgerichtliche Streitschlichtung, die Einrichtung eines eigenen Beschwerdeausschusses, einen Präventivkatalog zur Datensicherheit sowie eine regelmäßige Berichterstattung und Beratung in datenschutzrechtlichen Angelegenheiten gekennzeichnet.

RA Daniela Schüller (Deutscher Industrie- und Handelskammertag) berichtete über das EU-Pro­jekt „Online Confidence“. Angestrebt würden Gütesiegel der Europäischen Handelskammern für den E-Commerce auf der Basis einer Selbstkontrolle durch Online-Anbieter. Dabei bilde der Datenschutz einen integrativen Bestandteil des Gütesiegelkonzepts.

Renate Hornung-Draus (Vizepräsidenten der Sozialkommission der UNICE) berichtete über Aktivitäten der Europäischen Kommission im Hinblick auf den möglichen Erlass einer speziellen EU-Ar­beit­neh­­merdatenschutzrichtlinie. Im Anschluss an die Darstellung möglicher Regelungsbereiche, zu denen die Einwilligung, medizinische Daten, Drogen- und Gentests sowie die Überwachung und Mitarbeiterkontrolle beim Einsatz moderner elektronischer Medien gehörten, stellte die Referentin die bisherige Position der Deutschen und Europäischen Wirtschaft dar, wonach der Erlass einer EU-Richtlinie zum Arbeitnehmerdatenschutz angesichts eines bereits vorhandenen ausreichenden Regelungsrahmens entbehrlich sei.