35. DAFTA am 17. und 18. November 2011 in Köln

Die 35. Datenschutzfachtagung (DAFTA) stand unter dem Leitthema „Neues Datenschutzrecht aus Brüssel und Berlin“. So bot die DAFTA einmal mehr die Möglichkeit, die aktuellen Entwicklungen im Datenschutz zu beleuchten und diese im Plenum zur Diskussion der Fachöffentlichkeit zu stellen. Der Vorstandsvorsitzende der GDD Prof. Peter Gola wies gleich zur Eröffnung der DAFTA darauf hin, dass mit den aus Berlin erwarteten Neuigkeiten, bei denen es sich vorrangig um Ergänzungen des BDSG und bereichsspezifische Normen zum Beschäftigtendatenschutz handelt, frühestens im Januar 2012 zu rechnen sein werde. Es sei davon auszugehen, dass sich das Parlament erst dann wieder mit diesem Gesetz beschäftigen werde.

>>       Kritik und Lob am Gesetzesentwurf für den Beschäftigtendatenschutz

Aber auch die vorliegende Regelungsalternative bot viel Raum für hochinteressante Fachvorträge, Diskussionen und Erfahrungsaustausch. Herr Prof. Gola wies in seiner Eröffnungsrede darauf hin, dass der aktuelle Gesetzesentwurf nicht so schlecht sei, wie er dargestellt werde. Als Indiz für die Ausgeglichenheit des Entwurfs könne der Umstand gewertet werden, dass der Entwurf sowohl von Seiten der Gewerkschaften als auch von Arbeitgeberverbänden Kritik erfahren habe.

Handwerkliche Schwächen der aktuellen Entwurfsfassung des Beschäftigtendatenschutzgesetzes konnte zwar der Bonner Arbeitsrechtler Prof. Gregor Thüsing erkennen, die beispielsweise einerseits in einigen Redundanzen zu erblicken seien, während auf der anderen Seite innerhalb des Entwurfs auf Regelungsinhalte verwiesen werde, was die Verständlichkeit des Gesetzestextes an einigen Stellen einschränke. Herr Prof. Thüsing pflichtete Herrn Prof. Gola aber insoweit bei, dass es sich inhaltlich um einen ausgewogenen Entwurf handele, der von ihm als Hochschullehrer die Note 1- bis 2+ erhalten würde.

Gola konstatierte ferner, dass sich, obwohl der Bundesgesetzgeber mit Gesetzesvorhaben, die noch Ende 2010 als wesentliche Ergänzung des BDSG vorgestellt wurden, nämlich dem sog. „Rote Linie Gesetz“, nicht mehr beschäftige, obwohl die Notwendigkeit des Schutzes des Persönlichkeitsrechts im Internet nicht geringer beachtenswert sei als der Bedarf nach Beschäftigtendatenschutznormen. Als ein positives Beispiel für die Lernbereitschaft und -fähigkeit des Bundesgesetzgebers wertete Gola jedoch die Nichtfortsetzung des ELENA-Verfahrens. Erwartungen im Hinblick auf gesetzgeberische Veränderungen seien aber ebenso mit Brüssel verbunden, so Gola.

Mit Blick auf die technologische Entwicklung bei gleichzeitig fortschreitender Globalisierung, habe sich die EU-Kommission für eine Revision des EU-Da­ten­schutz­rechts entschieden. Dem vorhandenen Modernisierungs- und Harmonisierungsbedarf solle durch weitere Ergänzungen und Präzisierungen Rechnung getragen werden. Die Antwort auf die Frage, ob eine modernisierte Richtlinie oder sogar eine Verordnung mit unmittelbarer Rechtswirkung für die Mitgliedstaaten erlassen wird, werde mit Spannung erwartet.

>>       Einheitliches Datenschutzrecht in Europa durch Verordnung

Dieses Geheimnis konnte bereits im weiteren Verlauf des Eröffnungsplenums der DAFTA gelüftet werden. Das Datenschutzrecht solle in Europa vereinheitlicht werden, dazu plane die EU-Kommission das Rechtsinstrument der Verordnung, die unmittelbare Geltung für sämtliche Mitgliedstaaten entfaltet, verkündete Paul Nemitz, Direktor der Direktion Grundrecht und für das Datenschutzrecht zuständig.

Nach Darstellung von Nemitz bestehe ein Bedürfnis, den Datenschutz durch eine Verordnung zu regeln, da hierdurch die Komplexität des Datenschutzrechts vermieden und eine EU-weite Vereinheitlichung verwirklicht werden könne. Man komme damit auch einem Wunsch der Wirtschaft nach, die sich einheitliche und verständliche Regelungen wünsche. Insbesondere kleine und mittelständische Unternehmen benötigten verständliche europaweit geltende Normen.

Die geplante EU-Verordnung solle auch die Zuständigkeit der Datenschutzaufsichtsbehörden konkretisieren. Sofern Unternehmen in mehreren Mitgliedstaaten tätig seien, soll diejenige Aufsichtsbehörde zuständig sein, bei der sich der Hauptsitz des Unternehmens befindet („One-Stop-Shop“). Dem Bürger hingegen solle allerdings die Möglichkeit verbleiben, seine Datenschutzrechte bei der für ihn zuständigen Aufsichtsbehörde geltend zu machen. Die Sanktionsmöglichkeiten der Aufsichtsbehörden sollen erheblich verstärkt und effektiver ausgestaltet werden, so Nemitz.

Das Prinzip der Selbstkontrolle durch betriebliche Datenschutzbeauftragte solle europaweit vereinheitlicht werden. Die EU-Kommission plane eine verpflichtende Bestellung von betrieblichen Datenschutzbeauftragten bei Unternehmen, die die Größe eines kleinen oder mittelständischen Unternehmens überschreiten. Zugleich sollen diese Unternehmen bei ihrem IT-Einsatz auf eine Folgenabschätzung im Datenschutz verpflichtet werden. Ein entscheidender Punkt der Verordnung solle die Verpflichtung zur datenschutzfreundlichen Grundeinstellung der IT sein.

„Privacy by default“ soll eine Verpflichtung darstellen. Die EU-Kommission verspreche sich hiervon auch wirtschaftliche Wachstumspotenziale, da dem Bürger und Verbraucher die IT-Nutzung ohne Sorgen und Bedenken vor einem Missbrauch seiner personenbezogenen Daten ermöglicht werde. Die EU-Kommission gehe davon aus, dass die Bedeutung des Datenschutzes als Wettbewerbsvorteil zukünftig weiter steigen werde. Die Vorstellung der Verordnung sei für den 25. Januar 2012 geplant.

>>       Bundesregierung setzt auf Selbstregulierung bei sozialen Netzwerken

Dass die Bundesregierung das Allheilmittel beim Thema Datenschutz nicht immer in der Schaffung neuer Gesetze sieht, war vom Ministerialdirektor des Bundesinnenministeriums (BMI) von Knobloch zu erfahren. Beispielsweise sollen die Anbieter von sozialen Netzwerken den Datenschutz im Wege der Selbstregulierung kodifizieren. Das BMI halte die Selbstregulierung für ein effektives und flexibles Mittel, um eine Datenschutzfreundlichkeit der Anbieter von sozialen Netzwerken durchzusetzen. Diese Bestandteile des Datenschutzkodexes soll die Transparenz von Datenschutzeinstellungen sowie die leichte Wahrnehmung von Datenschutzrechten sein. Das BMI setze auf eine gerichtliche Klärung der Verwendung des „Gefällt mir“-Buttons. Eine gesetzliche Regelung sei hierzu nicht geplant.

30. RDV-Forum am 16. November 2011 in Köln

Das RDV-Forum, dessen Veranstaltung sich 2011 zum 30. Mal jährte, stand unter dem Leitthema „Beschäftigtendatenschutz - Auf der Suche nach der roten Linie“. Prof. Peter Gola (Vorstandsvorsitzender der GDD sowie RDV-Schriftleitung), der die gesamte Veranstaltung moderierte, leitete mit seinen Ausführungen zu neuen Anforderungen an die Personalaktenführung eine Reihe von Vorträgen rund um das Themenfeld des Beschäftigtendatenschutzes ein.

Im Anschluss an die Ausführungen von Prof. Gola zeigte Prof. Dr. Gregor Thüsing LL.M (Direktor des Instituts für Arbeitsrecht und Recht der Sozialen Sicherung, Universität Bonn) den Anwesenden Wege auf, datenschutzrechtliche Fallstricke zu umschiffen, sofern bei der Arbeitnehmerüberwachung Video & Co. zum Einsatz gelangten.

Danach erläuterte Paul Gürtler (Targobank AG & Co. KGaA, Datenschutz & Informationssicherheit, Düsseldorf) den datenschutzkonformen Umgang mit Mitarbeiterdaten außerhalb eines Beschäftigungsverhältnisses.

Der darauf folgende Vortrag von Prof. Dr. Rolf Schwartmann (Kölner Forschungsstelle für Medienrecht, Fakultät für Wirtschaftswissenschaften, Fachhochschule Köln) befasste sich mit der auf Grund der stetig zunehmenden Verbreitung der Internetnutzung immer größere Bedeutung erlangenden Frage, „Was ist privat und was ist öffentlich?“. Dabei ging er auf die Fragestellung ein, ob online und offline dieselben rechtlichen Maßstäbe bzw. Kriterien zur Bewertung des Allgemeinen Persönlichkeitsrechts herangezogen werden können.

Dem explosionsartigen Anstieg der Nutzung von sozialen Netzwerken durch Arbeitnehmer und Arbeitgeber trug Prof. Dr. Rainer Gerling (Datenschutz- und IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft, München) Rechnung, indem er die Anwesenden über den datenschutzkonformen Einsatz sowie mögliche Risiken der Nutzung von sozialen Netzwerken in Unternehmen informierte.

In dem darauf folgenden Vortrag zeigte Oberstaatsanwalt Dr. Hans Richter (Staatsanwaltschaft Stuttgart) strafrechtliche Risiken bei unternehmensseitiger Aufklärung auf, wobei er insbesondere die Unterschiede zwischen unternehmensinternen Ermittlungen und sog. „Cross-Border-Investigations“ heraus arbeitete. 

Der Vortrag von Prof. Michael Kort (Lehrstuhl für Bürgerliches Recht, Wirtschaftsrecht, Gewerblichen Rechtsschutz und Arbeitsrecht, Universität Augsburg) über die Stellung des Betriebsrats im System des Beschäftigtendatenschutzes rundete das Portfolio des RDV-Forums gebührend ab.