DAFTA 2017

28. DAFTA und 23. RDV-Forum

 

28. DAFTA am 18. und 19. November 2004 in Köln

Unter dem Leitthema „Orwell’s 1984 - 20 Jahre danach” veranstaltete die GDD am 18. und 19. November 2004 in Köln ihre 28. Datenschutzfachtagung (DAFTA).

Der langjährige Vorstandsvorsitzende der GDD, Bernd Hentschel, eröffnete die Veranstaltung mit einer kritischen Würdigung der Entwicklung staatlicher Informationsgewinnung und -verarbeitung. Während sich die betriebliche Selbstkontrolle auf Seiten der Wirtschaft als wirksames Korrektiv erwiesen habe, sei auf Seiten des Staates eine Tendenz zur „totalen Ausleuchtung“ des Einzelnen zu konstatieren. Der Gesetzgeber versuche offenbar gar nicht mehr, den Begehrlichkeiten der Exekutive mäßigend entgegenzutreten, vielmehr würden die Befugnisse scheinbar auf Zuruf den Wünschen der Behörden angepasst. Aktuelle Beispiele hierfür seien etwa die Regelungen des neuen Schwarzarbeitsbekämpfungsgesetzes, der Online-Zugriff des Fiskus auf Bankkonten sowie das Statusfeststellungsverfahren im Bereich der Sozialversicherung.

Herausforderungen für den ersten Europäischen Datenschutzbeauftragten

Der erste Europäische Datenschutzbeauftragte, Peter Hustinx, informierte das DAFTA-Plenum über sein Amt und die damit verbundenen Herausforderungen. Zu den Hauptaufgaben der Institution des Europäischen Datenschutzbeauftragten zähle zum einen die Kontrolle der Einhaltung der EG-Verordnung Nr. 45/2001 („Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“) durch die Organe und Einrichtungen der Gemeinschaft. Zudem berate er die genannten Stellen in allen Fragen, die die Verarbeitung personenbezogener Daten betreffen. Nachdem die Einrichtung seiner Behörde nunmehr im Wesentlichen abgeschlossen sei, er insbesondere über ein entsprechendes Budget, Personal und eine Homepage verfüge (www.edps.eu.int), lägen seine Ziele für die Zukunft vor allem in der Schaffung einer Datenschutzkultur auf europäischer Ebene, im Aufbau eines Netzwerkes als Basis für die Ausfüllung seiner Beratungsverpflichtung sowie in der Gewährleistung der Informationsfreiheit auf EU-Ebene.

Darüber hinaus bezog Hustinx Stellung zu der auf EU-Ebene geführten Diskussion zur sog. Vorratsdatenspeicherung durch Telekommunikations- und Internetprovider. Zwar stelle die Verbesserung der grenzüberschreitenden Strafverfolgung ein wichtiges Anliegen dar, jedoch dürfe die Privatsphäre der Nutzer nicht unverhältnismäßig beschnitten werden.

Technik, Terror, Transparenz - Stimmen Orwell’s Visionen?

Dr. Thilo Weichert (Leiter des Unabhängigen Landeszentrums für Datenschutz, Kiel) griff in seinem Vortrag das Leitthema der 28. DAFTA auf und analysierte, ob und inwiefern sich die Visionen Orwell´s realisiert haben.

Die staatlichen Reaktionen auf die Ereignisse vom 11. September 2001 brächten einen neuen Überwachungsschub für die gesamte Bevölkerung. Unter dem Gesichtspunkt der Terrorbekämpfung könne nahezu jede beliebige Verschärfung der Überwachung durchgesetzt werden. Die Grundsätze der Logik und der Verhältnismäßigkeit staatlichen Handelns seien scheinbar weitgehend außer Kraft gesetzt. Bedenklich sei insbesondere die Tendenz, Überwachungsinstrumente hoffähig zu machen, die nicht mehr an konkrete Straftaten oder Gefahren anknüpfen, sondern flächendeckend auf die gesamte Gesellschaft zielen und wirken. In vielen Bereichen sei die präventive administrative Erfassung legaler Tätigkeiten bereits heute gang und gäbe.

Ein Paradigmenwechsel vom Rechtsstaat zum Sicherheits- und Schutzstaat sei jedoch von der freiheitlichen Konzeption des Grundgesetzes nicht gedeckt. Ein alle Freiheitsrechte überstrahlendes „Grundrecht auf Sicherheit“, wie es einige Rechtsprofessoren konstruieren wollten, sei der deutschen Verfassung nicht zu entnehmen. Staatliche Überwachung und Repression dürften nach wie vor nur als ultima ratio im konkreten Einzelfall erfolgen. Eine nüchterne Analyse müsse darüber hinaus zu dem Ergebnis führen, dass mit den gewaltigen Massen an Datenschrott, der bei einer anlasslosen Überwachung anfalle, kein wesentlicher Sicherheitsgewinn erzielt werden könne. Sämt­liche bisherige Fahndungserfolge gegen Ter­roristen und Terrorismusverdächtige seien durch klassische polizeiliche Ermittlungsarbeit, d.h. angeknüpft an konkrete verdächtige Sachverhalte bzw. Personen, erzielt worden.

Nach alledem, so Dr. Weichert, benötige eine sachgerechte Sicherheitspolitik weniger eine ständige Ausdehnung der Überwachungsmechanismen als vielmehr ein Höchstmaß an Transparenz und Kommunikation.

Überwachung des Bürgers durch Staat und Wirtschaft - Welche Perspektiven hat der Datenschutz?

Anhand einer Vielzahl von Beispielen verdeutlichte der Bundesbeauftragte für den Datenschutz, Peter Schaar, die Grenzen rechtsstaatlicher Datenverarbeitung.

Die organisierte Kriminalität und der Terrorismus ließen den Ruf nach zusätzlichen staatlichen Datenerhebungs-, Datenverarbeitungs- und Datennut­zungsbefugnissen immer lauter werden. Dabei stünden den Sicherheitsbehörden schon seit längerem mannigfaltige Möglichkeiten zur Verfügung. So belege etwa die stetig steigende Zahl der Telefonüberwachungen nach der Strafprozessordnung, dass bestimmte technikorientierte Überwachungsmaßnahmen immer stärker zum Einsatz kämen. Die diesbezüglich veröffentlichten Zahlen zeugten von der Notwendigkeit, die Befugnisse zur Telefonüberwachung mit dem Ziel zu reformieren, den Erfordernissen der Verhältnismäßigkeit und Effektivität wieder verstärkt Geltung zu verschaffen. Eine Verwendung von Daten über die Nutzung öffentlicher Telekommunikationsnetze sei in Deutschland bisher nur zulässig, wenn ein konkreter Verdacht für eine Straftat von erheblicher Be­deu­tung vorliege. Der EU-Mi­nis­ter­rat, so Schaar, berate aber derzeit über einen Vorschlag, wonach alle Anbieter von Te­le­kommu­ni­ka­tions- und Internetdiensten zur pauschalen Speicherung von Verkehrsdaten für einen Zeitraum von mindestens einem Jahr verpflichtet werden sollen. Er hoffe, dass die Bundesregierung dies verhindern werde.

Bedenklich, so Schaar, sei auch, dass neben den Sicherheitsbehörden immer mehr sonstige staatliche Stellen Zugang zu unterschiedlichsten Daten erhielten. So seien nach dem 11. September 2001 Regelungen geschaffen worden, um eine erleichterte Kontrolle von kriminellen und terroristischen Geldflüssen zu ermöglichen. Danach seien alle Kreditinstitute verpflichtet worden, eine besondere Datei zu führen, aus der Kontoinformationen verdeckt abgerufen werden können. Vor dem Hintergrund der Abwehr terroristischer Gefahren sei dieses Verfahren weitgehend akzeptiert worden. Als kritisch sehe er es aber an, wenn durch das „Gesetz zur Förderung der Steuerehrlichkeit“ ab dem 1. April 2005 nunmehr einer unüberschaubaren Vielzahl von Behörden Zugang zu den betreffenden Daten ermöglicht werde.

Daneben, so Schaar, nähmen auch die Bedürfnisse der Wirtschaft nach Datengewinnung, vor allem im Bereich des Risikomanagements, immer weiter zu. Kritisch sei etwa die Entwicklung mittels sog. „Scoringverfahren“ die Kreditwürdigkeit weitgehend unabhängig vom tatsächlichen Verhalten des Betroffenen zu beurteilen. Soweit der Bereich sog. „Kundenkarten“ betroffen sei, müsse man von der Wirtschaft verlangen, dass sie für die erforderliche Transparenz sorge und die Betroffenen verständlich und umfassend über Umfang und Zwecke der Datenverarbeitung informiere. Hinsichtlich des Ein­sat­zes von Genomanalysen in der Privatwirtschaft etwa im Rahmen der Feststellung von Kindschaftsverhältnissen, beim Abschluss einer Lebens- oder Krankenversicherung oder bei Einstellungen und Kündigungen im Arbeitsleben sah der Bundesbeauftragte gesetzgeberischen Handlungs­be­darf. Unterstützt würde die Tendenz zu immer weiterreichenden Datenerhebungen darüber hinaus durch die technologische Entwicklung, deren Tempo sich keineswegs verlangsamt habe. So könnten Videokameras mittlerweile durch die Verknüpfung mit biometrischen Verfahren und elektronischer Bildauswertung zur gezielten Verfolgung einer Person und zur Erstellung von Bewegungsprofilen genutzt werden. Zu denken sei auch an die ständige Weiterentwicklung von Systemen zur Aufenthaltsfeststellung, Chipkarten (§ 6c BDSG), cookies und web-bugs, „E.T.-Software“ sowie an die ebenfalls stark in der öffentlichen Diskussion stehende RFID-Technologie.

Es sei nur verständlich, dass angesichts der Terroranschläge, der Stagnation der Wirtschaft und des Umbaus der Sozialsysteme technische Kontrollen, Datenabgleiche, Online-Abfragen und Scoringsysteme als Ersatz für verlorene Sicherheiten angesehen würden. Der Wirtschaft sei aber zuzumuten, gewisse Risiken zu Gunsten eines fairen und gleichberechtigten Umgangs mit ihren Kunden hinzunehmen. Auf staatlicher Seite sei zu berücksichtigen, dass natürlich nicht auf jegliche Kontrolle individuellen Verhaltens verzichtet werden könne. Es müsse sich aber stets um eine auf das erforderliche Maß beschränkte und für das Individuum transparente Kontrolle handeln.

GDD-Datenschutz-Award 2004

Die Hamburg-Mannheimer Versicherung ist Preisträger des Datenschutz-Awards 2004, der anlässlich der 28. Datenschutzfachtagung (DAFTA) der GDD am 19. November vergeben wurde. Mit dem Datenschutz-Award werden Unternehmen und Be­hör­den ausgezeichnet, die Beispielhaftes für den Datenschutz geleistet haben. Grundlage der Vergabe bildet die Mehrheitsentscheidung der DAFTA-Teil­neh­mer.

Im Jahr 2004 wurde der Award für die beste Vorgehensweise zur Schaffung von Datenschutz-Awareness bei der Unternehmensführung vergeben. Der Datenschutzbeauftragte der Hamburg-Mannheimer Versicherungsgesellschaften, Rainhard Degener, stellte zunächst heraus, dass angesichts der harten wirtschaftlichen Umfeldbedingungen zum Teil wenig Platz für den Datenschutz im Bewusstsein von Unternehmensführungen vorhanden sei. Zusammen mit dem Betriebsrat und Kollegen aus der Versicherungsbranche sei es ihm jedoch gelungen, den Vorstand von der Notwendigkeit einer Privacy Policy zu überzeugen. In dieser Privacy Policy bekenne sich der Vorstand klar zur Einhaltung der gesetzlichen Datenschutzvorschriften. Die Datenschutzpolitik seines Hauses sei in drei Detaillierungsebenen strukturiert, die von Leitlinien über ein Datenschutzkonzept bis hin zu konkreten Maßnahmen reichten. Die Policy, die intern publiziert und beworben worden sei, nutze der betriebliche Datenschutzbeauftragte bei jeder sich bietenden Gelegenheit zur Durchsetzung von Datenschutzmaßnahmen und nehme damit den Vorstand beim Wort.

Auch die anderen Bewerber um den GDD-Da­ten­schutz-Award 2004 gaben hilfreiche Anregungen, wie Awareness für den Datenschutz bei der Unternehmensführung erreicht werden kann. Weitere Auszeichnungen gingen deshalb an: Günther Otten (Gothaer Finanzholding AG), Jürgen Heck (Datenschutz-Kompetenzzentrum Dortmund) und Lutz Neundorf (ABB-Konzern).

 

23. RDV-Forum am 17. November 2004 in Köln

Unter der Leitung von Prof. Peter Gola (RDV-Schriftleitung) fand am 17. November 2004 in Köln das 23. RDV-Forum statt. Unter dem Leitthema „Der digitalisierte Mitarbeiter“ wurden die neuen rechtlichen und technologischen Entwicklungen auf dem Gebiet der Arbeitnehmerdatenverarbeitung vorgestellt und die datenschutzrechtlichen Konsequenzen erörtert. Prof. Dr. Dr. h. c. Spiros Simitis (Johann Wolfgang Goethe-Universität, Frankfurt, Vorsitzender „Nationaler Ethikrat”) skizzierte europäische Entwicklungen im Bereich des Arbeitnehmerdatenschutzes. Dabei informierte der Referent in gewohnt eloquenter Weise über Aktivitäten der EU-Kommission, die auf die Erarbeitung einer Europäischen Richtlinie zum Arbeitnehmerdatenschutz ausgerichtet gewesen sei. Derzeit, so der Referent, sei die Verwirklichung einer derartigen Richtlinie, die insbesondere in bestimmten Bereichen des Arbeitnehmerdatenschutzes für mehr Rechtssicherheit sorgen könnte, auf Grund von personellen Veränderungen in der zuständigen Generaldirektion eher zweifelhaft.

Nachfolgend berichtete Prof. Dr. Friedhelm Rost (Vorsitzender Richter am Bundesarbeitsgericht) über die aktuelle Rechtsprechung des BAG zum Arbeitnehmerdatenschutz. Dabei standen der Einsatz neuer Technologien und die damit ermöglichte Überwachung von Arbeitnehmern im Vordergrund. Die Zulässigkeit und Grenzen der Über­wa­chung wurden am Beispiel der Videoüberwachung skizziert. Nach einem BAG-Urteil vom 27. März 2003 (RDV 2003, 293) kann die Überwachung eines konkret verdächtigen Arbeitnehmers mittels Videotechnik als ultima ratio zulässig sein. Grenzen, so der Referent, habe das BAG dem Videoeinsatz am Arbeitsplatz jedoch durch seinen Beschluss vom 29. Juni 2004 (RDV 2005, 21) gesetzt, in dem es die intensive Videoüberwachung eines Postverteilungszentrums als unverhältnismäßig erachtete. Weitere BAG-Ent­schei­dungen betrafen die Mitbestimmung beim Einsatz von Arbeitnehmern in einem Kundenbetrieb mit biometrischen Zugangskontrollen (RDV 2004, 122) sowie die Weitergabe von Arbeitnehmerdaten an Dritte (RDV 2004, 24). Rechtsanwalt Christoph Klug (RDV-Schriftleitung) zeigte die Konsequenzen des BDSG 2001 für die betriebliche Videoüberwachung auf. Dabei vertrat er die Auffassung, dass die Transparenzpflichten des BDSG einer verdeckten Videoüberwachung nicht zwingend entgegen stehen.

Prof. Peter Gola (RDV-Schriftleitung) referierte über den Einsatz der betrieblichen Kommunikationstechnik durch Betriebsrat und Gewerkschaften. Anhand der einschlägigen BAG-Rechtspre­chung (RDV 2004, 76 sowie 171) verdeutlichte er, dass der Betriebsrat einen Anspruch auf die Nutzung des Intranets und des Internets haben kann. Dabei seien aber die Nutzungsmöglichkeiten auf die betriebsverfassungsrechtlichen Aufgaben beschränkt.

Weitere Referate beschäftigten sich mit der Funktionsweise des Mitarbeiterportals der Ford Werke AG (Christina Suilmann, Datenschutzbeauftragte der Ford Werke sowie Alicia Alvares, Personalabteilung der Ford Werke), dem Einsatz von Record-Management (Bernd Ehret, Leiter Corp. HR Administration der SAP AG) sowie dem Skill-Ma­na­ge­ment zur Unterstützung der dispositiven Aufgaben des Personalwesens (Klaus Hess, TBS beim DGB NRW). Anhand dieser Praxisbeispiele wurde deutlich, dass derartige Projekte durch Datenschutzmaßnahmen flankiert sein müssen, was vielfach einen erheblichen Handlungsbedarf auslöst.