33. DAFTA am 19. und 20. November 2009 in Köln

Dass von den in 2009 noch von der alten Bundesregierung eilig verabschiedeten Datenschutznovellen nicht nur eine positive Signalwirkung für den Datenschutz ausgeht, sondern diverse Neuregelungen auch ein beträchtliches Maß an Rechts­unsicherheit in den betroffenen Unternehmen ausgelöst haben, und dass eine weitere Modernisierung des Datenschutzrechts auf einer ver­tieften praxisorientierten Diskussion der Thematik aufbauen sollte, waren wesentliche Ergebnisse der 33. Datenschutzfachtagung (DAFTA), die die GDD am 19. und 20. November 2009 unter dem Leitthema „Neues BDSG: Konsequenzen aus Datenschutzskandalen und Missmanagement“ in Köln veranstaltete.

Der Vorstandsvorsitzende der GDD, Prof. Peter Gola, verdeutlichte zu Beginn der Fachkonferenz die Reaktionen des Gesetzgebers auf öffentlich zu Tage getretene Missstände im Datenschutz. Dabei wies er darauf hin, dass die bisherigen gesetzgeberischen Ansätze nur bedingt geeignet seien, die festgestellte „krisenhafte“ Situation des Datenschutzes zu verbessern. Dabei betreffe die Kritik an den jüngst erfolgten BDSG-Novellierungen ne­ben dem unklaren Inhalt einzelner Regelungen ins­besondere auch die unsorgfältige Arbeit bei der redaktionellen Fassung. Schnellschüsse vor zu Ende gehenden Legislaturperioden seien für dieses Thema offensichtlich nicht der richtige Weg. Insgesamt sei die bereits seit langem angestrebte Verbesserung der Lesbarkeit und Verständlichkeit des BDSG eher konterkariert worden. Positiv hervorzuheben sei aber die erfolgte Stärkung der in­ter­nen und externen Datenschutzkontrolle, die einen Beitrag zu mehr Gesetzestreue leisten könne.

Bei einer weiteren Fortschreibung des Datenschutzrechts, Prof. Gola wies insofern auf Vorbereitungen der Aufsichtsbehörden hinsichtlich der Vorlage von Eckpunkten für eine Generalrevision des Datenschutzes hin, solle unbedingt mit mehr Bedacht und Sorgfalt vorgegangen werden. Mit Blick auf die im Koalitionsvertrag geäußerte Absicht der Schaffung praxisgerechter Datenschutzregelungen für Arbeitnehmer begrüßte Gola den vorgesehenen Regelungsstandort im Bundesdatenschutzgesetz; hierdurch könnten unnötige Do­ppel­regelungen vermieden werden.

Die Bundesjustizministerin a.D. Prof. Dr. Herta Däubler-Gmelin, die zuletzt mit der Aufklärung von Datenschutzvorfällen in der Wirtschaft befasst war, stellte den Beginn eines Bewusstseinswandels hin zu mehr Akzeptanz des Datenschutzes fest. Die betroffenen Unternehmen hätten mit per­sonellen, organisatorischen und konzeptionellen Änderungen auf die festgestellten Missstände reagiert. Wünschenswert sei neben einer weiteren öffentlichen Betonung der Bedeutung des Rechts auf informationelle Selbstbestimmung bzw. des Grundrechts auf Vertraulichkeit und In­te­grität informationstechnischer Systeme eine verbreitete Orientierung an vorbildlichen Datenschutzpraktiken. Datenschutzbeauftragte und Be­triebsräte dürften in Zukunft nicht mehr übergangen werden, sondern müssten weiter gestärkt werden. Für den betrieblichen Datenschutzbeauftragten gelte dies auch mit Blick auf eine eventuelle Übertragbarkeit der jüngst vom BGH festgestellten Garantenpflicht eines Revisionsleiters (RDV 2009, 274) auf den Datenschutzbeauftragten. Betriebsräte müssten in Sachen Datenschutz verstärkt geschult werden. Überdies seien eine vertrauensvolle Zusammenarbeit mit dem Betriebsrat und mitbestimmte Regelungen wichtige Instrumentarien zur Vermeidung von Konflikten.

Weiterer Regelungsbedarf bestehe im Bereich des Beschäftigtendatenschutzes. Hier gelte es, allseits vorhandene Rechtsunsicherheiten durch klare Rechtsvorgaben zu beseitigen. Allerdings seien hinsichtlich des Inhalts der Regelungen Diskussionen zwischen den Gewerkschaften und den Arbeitgeberverbänden vorprogrammiert.

Letzteres verdeutlichte auch der nachfolgende Vor­trag von Roland Wolf, Geschäftsführer der Ab­teilung Arbeitsrecht der Bundesvereinigung der Deutschen Arbeitgeberverbände (BDA). Mit Blick auf eine Modernisierung des Datenschutzrechts hielt Wolf eine besonnene und rechtsklare Fortentwicklung des Arbeitnehmerdatenschutzes im Rahmen des BDSG nicht für ausgeschlossen. Noch wichtiger als die Wahl des richtigen Regelungsstandortes seien angemessene und klare Regelungsinhalte. Zuvor hatte der Referent bereits darauf hingewiesen, dass Deutschland - auch hinsichtlich der Beschäftigungsverhältnisse - vergleichsweise ein hohes Datenschutzniveau aufweise. Zwar sei unbestritten, dass im Zu­sammenhang mit dem Arbeitsverhältnis stehende datenschutzrechtliche Fragen in der Regel auch Ele­mente des Arbeitsrechts betreffen. Im Hinblick auf das Verhältnis zwischen Datenschutz und Ar­beitsrecht sei aber darauf zu achten, dass der Da­tenschutz nicht überhöht werde. Der Referent be­zeichnete die jüngst in das BDSG eingefügte Rege­lung zum Umgang mit Beschäftigtendaten als „Bekenntnisgesetzgebung”, die für mehr Verwirrung als Klarheit gesorgt habe. Im Übrigen sei Datenschutz Teil der Compliance in den Unternehmen. Wer diesen Zusammenhang nicht sehe, baue künstliche Gegensätze auf, um - zumeist auf Kosten der Compliance - den Datenschutz auszuweiten.

Rainhard Degener, Hamburg-Mannheimer Versicherungsgesellschaft, bewertete die BDSG-No­ve­llen aus der Perspektive eines Datenschutzbeauftragten. Sein Fazit: Die Politik habe Flagge gezeigt und sich zu der gewachsenen Bedeutung des Datenschutzes bekannt. Als positive Folge der Neuregelungen sei eine verstärkte Sensibilisierung auch bei den Unternehmensführungen zu verzeich­nen. Andererseits seien aber auch Chancen vertan worden. So beinhalte das neue BDSG auch viel Überflüssiges und führe so noch nicht dazu, dass Datenschutz „sexy“ werde. Hinsichtlich des Paradigmenwechsels hin zum Einwilligungsmarketing verdeutlichte der Referent die insofern bereits geübte Praxis in seinem Unternehmen. Mit Blick auf den Beschäftigtendatenschutz stelle er sich die Frage, ob die Einbeziehung von nicht au­to­matisierten Datenverwendungen einen „Dammbruch“ darstelle. Angesichts der neuen Regelungen zur Auftragsdatenverarbeitung bleibe zu hoffen, dass sich alsbald ein Marktstandard im Sinne eines Best Practice etabliere, der die Auswahl bzw. die Kontrolle der Dienstleister vereinfache. Die Einführung einer Informationspflicht bei „Datenschutzpannen“ bezeichnete Degener trotz zahl­reicher noch offener Fragen als ehrenwerten und spannenden Versuch, einen neuen Beitrag zur Verbesserung des Datenschutzes zu leisten.

Im Rahmen der Diskussion machte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, deutlich, dass er von der neuen Bundesregierung die Einleitung weiterer Schritte zur Verbesserung des Datenschutzes erwarte. Die Unternehmen seien aber jetzt schon dazu aufgerufen, die bekannt gewordenen Datenschutzverstöße zum Anlass zu nehmen, „es erst gar nicht so weit kommen zu lassen“. Nicht zuletzt mit Blick darauf, dass mit Inkrafttreten des Vertrages von Lissabon ein in Europa einklagbares Grundrecht auf Datenschutz etabliert werde, plädierte der Bundesbeauftragte für eine moderne Ausgestaltung des Datenschutzes. Längst überfällig sei insofern eine Ausrichtung an Sicherheitszielen im Rahmen der technisch-or­ga­ni­satorischen Maßnahmen. Auch Privacy by Design, d.h. die frühzeitige Berücksichtigung von Datenschutzanforderungen bereits bei der Kon­zeption informationstechnischer Systeme bzw. die Ermöglichung von entsprechenden Voreinstellungen bei elektronischen Diensten, könnte zu einem modernen Datenschutz ebenso beitragen wie die ver­stärkte Schaffung von Transparenz, z.B. durch Einräumung von Zugriffsrechten in Ergänzung oder anstelle der herkömmlichen Auskunftserteilung.

Hinsichtlich einer zukunftsweisenden Fortschreibung des Datenschutzrechts wies die FDP-Bun­des­tags­abgeordnete Gisela Piltz auf entsprechende Ankündigungen im Koalitionsvertrag hin, die u.a. die Schaffung einer „Stiftung Datenschutz“ in Analogie zur bereits etablierten „Stiftung Warentest“ vorsehe. Abermals verdeutlichte die Diskussion die Notwendigkeit einer weiteren Stärkung der internen und aufsichtsbehördlichen Datenschutzkontrolle. 

28. RDV-Forum am 18. November 2009 in Köln

Das von Prof. Peter Gola (Vorstandsvorsitzender der GDD sowie RDV-Schrift­lei­tung) moderierte 28. RDV-Forum stand unter dem Leitthema „Brennpunkt: Mitarbeiterüberwachung“.

Einen Schwerpunkt der Veranstaltung bildete die Diskussion um die Auslegung der neuen Arbeitnehmerdatenschutznorm des § 32 BDSG. Insofern ließ Hans-Peter Viethen (Ministerialrat im Bundesministerium für Arbeit und Soziales) durchblicken, dass es nicht die Absicht des Gesetzgebers war, die bislang geltende Rechtslage grundlegend zu verändern. Vielmehr stelle die Norm einen ersten Schritt auf dem Weg zur Schaffung eines Arbeitnehmerdatenschutzgesetzes dar und fasse im Wesentlichen die bereits von der Rechtsprechung erarbeiteten Grundsätze des Datenschutzes im Beschäftigungsverhältnis zusammen. Eine gewisse Rechtsunsicherheit hat die Norm insbesondere hinsichtlich des zwischen dem sog. Compliance-Ma­na­ge­ment und dem Arbeitnehmerdatenschutz bestehenden Spannungsverhältnisses ausgelöst. Einerseits ist der Arbeitgeber gesetzlich verpflichtet, Straftaten bzw. Pflichtverletzungen im Unternehmen aufzudecken und zu verfolgen. Andererseits muss er sich in diesem Zusammenhang beim Zugriff auf Arbeitnehmerdaten am Grundsatz der Verhältnismäßigkeit orientieren. Prof. Dr. Wolfgang Däubler (Professor für Deutsches und Europäisches Arbeitsrecht, Bürgerliches Recht und Wirtschaftsrecht, Fachbereich Rechtswissenschaften, Universität Bremen) behandelte die neue Arbeitnehmerdatenschutznorm des § 32 BDSG speziell im Zusammenhang mit der Verfolgung von Unregelmäßigkeiten im Kassenbereich.

Die der Schaffung des § 32 BDSG vorausgegangenen sog. „Datenschutzskandale“ waren teilweise auch durch eine unrechtmäßige Bespitzelung von Arbeitnehmern durch Detektive ausgelöst worden. Eveline Wippermann (Präsidentin des Bundesverbandes Deutscher Detektive) skizzierte vor diesem Hintergrund seriöse und unseriöse Überwachungspraktiken.

Angesichts der Tatsache, dass auch staatliche Sicherheitsbehörden zunehmend an Beschäftigtendaten interessiert sind, schilderte Maike Kamp (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein - ULD) die Kooperation zwischen Arbeitgebern und Sicherheitsbehörden.