34. DAFTA am 18. und 19. November 2010 in Köln

Mit Blick auf das Leitthema der 34. Datenschutzfachtagung (DAFTA) der GDD am 18. und 19. November 2010 in Köln „Der Mensch 2.0 - erst berechnet, dann berechenbar?” skizzierte der Vorstandsvorsitzende der GDD, Prof. Peter Gola, zunächst die aktuelle Situation des Datenschutzes, die nicht mehr mit der des 20. Jahrhunderts vergleichbar sei. Es würden immer raffiniertere Verfahren zur Erfassung personenbezogener Daten ausgeklügelt. Mitarbeitern, Kunden und Bürgern sei es kaum noch möglich, sich der Erfassung und Auswertung ihrer Daten zu entziehen. Beispielhaft seien aktuell nur zu nennen: Elektronische Bezahlung im Supermarkt, elektronische Fahrausweise, elektronische Standortbestimmung, elek­tro­ni­sche Messung des Stromverbrauchs, elektronische Straßengebührenerhebung etc.

Gola konstatierte ferner eine beginnende Aufteilung unserer Gesellschaft in diejenigen, die ihr Recht auf Privatheit und Selbstbestimmung verteidigen wollen und hierbei Hilfestellungen vom Staat erwarten, und denjenigen, für die das ungestörte Leben in der Computerwelt und in sozialen Netzwerken im Vordergrund stehe. Für Nutzer, die sich bewusst für Gott und alle Welt im Internet narzisstisch präsentierten und dort ihre sogenannten Freunde suchten, seien Datensparsamkeit und Datenvermeidung freilich zu Begriffen ohne Inhalt geworden.

Der GDD-Vorsitzende stellte in Frage, ob das Datenschutzrecht alleine noch das richtige Instrument sei, um das Recht auf informationelle Selbstbestimmung in der global um sich greifenden Computerisierung weiterhin sicherzustellen. Die Praxis der Gesetzgebung zeige, dass die Schaffung eines modernen Datenschutzrechts ein wohl nur schwerlich umsetzbares Vorhaben sei und für die kommenden Jahre wohl mehr Theorie als Wirklichkeit sein werde. Deutlich mache das auch das soeben von der Europäischen Kommission vorgelegte Gesamtkonzept für den Datenschutz in der Europäischen Union. Vor dem Hintergrund der unlängst erfolgten BDSG-Novellen I-III aber auch im Hinblick auf die von der Bundesregierung geplante Schaffung eines Beschäftigtendatenschutzgesetzes sei man von dem Ziel, das BDSG einfacher, verständlicher, überschaubarer und technologieunabhängig auszugestalten, weiter entfernt als zuvor.

>>       Kritik am Gesetzentwurf für den Beschäftigtendatenschutz

Handwerkliche Schwächen bei der von der Bundesregierung vorgeschlagenen Regelung des Beschäftigtendatenschutzes kritisierte der Bonner Arbeitsrechtler Prof. Gregor Thüsing. Beispielsweise gebe es in dem Entwurf auf der einen Seite vielfach Redundanzen, während auf der anderen Seite innerhalb des Entwurfs auf Regelungsinhalte verwiesen werde, was die Verständlichkeit des Gesetzestextes erheblich einschränke.

Auch inhaltlich weise der Entwurf Mängel auf, welche die Schaffung von Rechtssicherheit und die Praktikabilität des Gesetzes in Frage stellten. Klarstellungen bzw. Ergänzungen seien u.a. hinsichtlich der Erforderlichkeit der Verwendung von Beschäftigtendaten, der Überwachung der Telekommunikation und der Verwendung von Beschäftigtendaten im Rahmen eines Datenabgleichs angezeigt. Das im Regierungsentwurf vorgesehene generelle Verbot verdeckter Videoüberwachung hält Thüsing dogmatisch für falsch. Da es in bestimmten Fällen kein anderes Mittel zur Aufklärung von Straftaten gebe, müsse eine verdeckte Videoüberwachung als äußerstes Mittel zulässig bleiben. Weiteren gesetzgeberischen Handlungsbedarf sieht der Referent hinsichtlich einer angemessenen Berücksichtigung von Konzernsachverhalten, im Rahmen derer die von der EU-Datenschutzrichtlinie gewährten Spielräume mutig genutzt werden sollten. Die geplante Zurückdrängung der Einwilligung als Rechtfertigung der Datenverarbeitung hält Thüsing indes für europa- und verfassungsrechtlich bedenklich. Des Weiteren sei zu bemängeln, dass der Regierungsentwurf dem Arbeitgeber keine Anreize biete, von dem flexiblen und bewährten Instrument der Betriebsvereinbarung Gebrauch zu machen. Die Betriebspartner hätten nach dem Entwurf nicht mehr wie bisher die Möglichkeit, die Unklarheiten des BDSG durch eine passgenaue betriebliche Regelung zu beseitigen.

>>       Revision des EU-Rechtsrahmens für den Datenschutz

Wie der europäische Rechtsrahmen für den Datenschutz zukünftig ausgestaltet werden soll, erläuterte Thomas Zerdick von der Europäischen Kommission.
Im Rahmen der jüngst veröffentlichten Mitteilung der Kommission - KOM (2010) 609 - lege diese explizit besonderen Wert auf eine weitere Harmonisierung der Datenschutzbestimmungen auf EU-Ebene. Die von der GDD abgegebenen Stellungnahmen seien der Kommission insbesondere mit Blick auf Entbürokratisierungspotenziale bei der Meldepflicht und eine Effektivierung des Datenschutzes durch eine Stärkung des betrieblichen Datenschutzbeauftragten hilfreich gewesen. Angesichts der Forderung nach einer Konzernregelung wies Zerdick darauf hin, dass die EU-Datenschutzrichtlinie bereits heute auf alleinige bzw. arbeitsteilige Verantwortlichkeiten abstellt.

Im Einzelnen stellte der Referent folgende fünf Hauptziele des bisherigen Gesamtkonzepts der EU-Kommission vor:

1. Stärkung der Rechte des Einzelnen, damit die Sammlung und Nutzung personenbezogener Daten auf das erforderliche Mindestmaß beschränkt wird.
2. Stärkung der Binnenmarktdimension durch Verringerung des Verwaltungsaufwands für Unternehmen und die Gewährleistung gleicher Rahmenbedingungen.
3. Überarbeitung der Datenschutzbestimmungen im Bereich der Zusammenarbeit der Polizei und Strafjustizbehörden, damit personenbezogene Daten Einzelner auch hier geschützt werden.
4. Globale Dimension des Datenschutzes - Gewährleistung eines hohen Datenschutzniveaus bei Übermittlungen an Stellen außerhalb der EU durch die Verbesserung und Erleichterung von Verfahren für den internationalen Datentransfer.
5. Wirksamere Durchsetzung der Vorschriften durch die Stärkung und weitere Harmonisierung der Aufgaben und Befugnisse der Datenschutzbehörden.

Die Überprüfung der Datenschutzpolitik durch die Kommission werde die Grundlage weiterführender Beratungen und einer weiteren Bewertung bilden, so Zerdick. Die Kommission rufe alle Beteiligten und die Öffentlichkeit dazu auf, sich bis zum 15. Januar 2011 zu ihren Vorschlägen zu äußern. Sie plane auf dieser Grundlage im Jahre 2011 Vorschläge für eine neue allgemeine Datenschutzregelung zu unterbreiten, über die in letzter Konsequenz das Europäische Parlament und der Rat zu entscheiden hätten.

>>       Datenschutz als wachsendes Politikfeld

Mit Blick auf das demnächst vom Bundestag zu behandelnde Beschäftigtendatenschutzgesetz regte die stellvertretende Vorsitzende der FDP-Bundestagsfraktion Gisela Piltz die Vorlage konkreter Vorschläge für die Ausgestaltung einer Konzernregelung an. Angesichts der Kritik an dem Regierungsentwurf wies die Abgeordnete darauf hin, dass noch kaum ein Gesetz den Bundestag so verlassen habe, wie es hineingekommen sei.

Piltz informierte ferner darüber, dass der Haushaltsausschuss des Deutschen Bundestages im November die Bereitstellung von 10 Millionen Euro für die Errichtung der Stiftung Datenschutz beschlossen habe. Union und FDP würden die Stiftung noch im Jahr 2011 auf den Weg bringen. Diese solle als unabhängige und staatsferne Institution dem Datenschutz in Deutschland neue Impulse geben. Aufgabe der Stiftung solle es sein, die Einhaltung hoher Datenschutzstandards zu honorieren und bei Missständen den Finger in die Wunde zu legen. Gütesiegel mit bundesweiter Geltung und vergleichende Tests unter Datenschutzaspekten sollen dem Verbraucher bei Bedarf eine Richtschnur an die Hand geben. Durch mehr Aufklärung solle der Selbstdatenschutz gefördert und jeder Einzelne zu einem behutsameren Umgang mit den eigenen personenbezogenen Daten animiert werden.

Schließlich gab die Bundestagsabgeordnete einen Überblick über die inzwischen zahlreich gewordenen Politikfelder mit Bezug zum Datenschutz, die vom Beschäftigtendatenschutz über den Umgang mit Geodaten durch Unternehmen bis hin zur staatlich verordneten Vorratsdatenspeicherung durch Provider reichten.

>>       Fazit

Dass der Gesetzgeber sein selbst gestecktes Ziel der Schaffung eines EU-konformen, interessen- und praxisgerechten Beschäftigtendatenschutzgesetzes nicht aus den Augen verlieren darf und insofern noch Nachbesserungsbedarf besteht, war schließlich ein wesentliches Ergebnis der 34. DAFTA. Am Ende der Diskussion stand der Appell an den Gesetzgeber, sich Zeit für ein qualitativ besseres Gesetz zu nehmen. Man habe nun schon so viele Jahre auf ein Beschäftigtendatenschutzgesetz gewartet, dass es auf einige wenige Monate mehr nicht ankommen könne.

29. RDV-Forum am 17. November 2010 in Köln

Das von Prof. Peter Gola (Vorstandsvorsitzender der GDD sowie RDV-Schrift­lei­tung) moderierte 29. RDV-Forum stand unter dem Leitthema „Tatort Personaldatenverarbeitung“.

Der Schwerpunkt des 29. RDV-Forums lag in der Darstellung des Zielkonflikts zwischen Compliance und Datenschutz, welche insbesondere nach den „Datenskandalen“ der jüngeren Vergangenheit durch Screening-Maßnahmen der Deutschen Bahn wieder in den Mittelpunkt des Interesses gerückt war.

Prof. Ronellenfitsch (Hessischer Datenschutzbeauftragter Wiesbaden) verdeutlichte den sich ergebenden Zielkonflikt, in dem er darstellte, dass die verantwortlichen Stellen zum Aufbau eines Compliance-Systemes bereits durch Sondervorschriften aus dem Bereich des Risikomanagements zur Durchführung der Innenrevision gezwungen sind. Diese Sondervorschriften bildeten damit zwar eine Eingriffsermächtigung, die jedoch trotz allem auf Grundgesetzebene durch Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG beschränkt werden müsse. Damit gehöre zur Compliance auch die Einhaltung des Datenschutzes, insbesondere die Einhaltung der Datenschutzgrundsätze des BDSG (Datensparsamkeit, Datenvermeidung, Zweckbindung etc.).

Frau Krader (Konzerndatenschutzbeauftragte Deutsche Post World Net; GDD-Vorstand, Bonn) erweiterte das von Herrn Prof. Ronellenfitsch eröffnete Thema um eine EU-weite Perspektive und stellte die Problematik des Mitarbeiterscreenings nach den EU-Antiterrorlisten und die damit verbundenen Erwartungen an die Unternehmen vor.

Prof. Dr. Hoeren (Westfälische Wilhelmsuniversität Münster, Institut für Telekommunikations- und Medienrecht, Münster) rundete das Thema ab, in dem er einen Bogen zum sozialen Netzwerk Facebook schlug und die datenschutzrechtlichen Verquickungen mit den zu erwartenden typischen Datenschutzrisiken im sog. Web 2.0., mögliche Fehler bei der Gestaltung von Einwilligungsklauseln darstellte, nicht ohne eine Zukunftsprognose hinsichtlich der möglichen Entwicklungen auf dem Gebiet des UWG und des Verbraucherschutzes zu wagen.

Von praktischen Erwägungen war das Referat von Herrn Dr. Ulmer (Konzerndatenschutzbeauftragter, Deutsche Telekom AG, Bonn) getragen, der die aktuellen Neuerungen im Telemediengesetz darstellte und einen Ausblick auf deren Auswirkungen in der Praxis warf.

Die zweite Tageshälfte stand ganz im Zeichen der aktuellen datenschutzrechtlichen Entwicklungen aus Berlin. Diese wurden von Herrn RA Schulz (Referent der stellvertretenden Vorsitzenden der FDP-Bundestagsfraktion Gisela Piltz, MdB, Berlin) dargestellt, wobei der Schwerpunkt der Ausführungen auf der Stiftung Datenschutz, dem zur Debatte stehenden Datenschutzbrief und einem zukünftigen Beschäftigtendatenschutzgesetz lag.

In den weiteren Tagespunkten fanden der Datenschutz bei Unternehmenstransaktionen (Due-Dilligence) und auch ein Ausblick auf die Datenschutzregeln bei dem ELENA- und ELSTER-Verfahren ihren Platz.