Bereichsbild

DAFTA 2017

26. DAFTA und 21. RDV-Forum

 
Eine Zusammenfassung der DAFTA aus dem Jahre 2002

26. DAFTA am 21. und 22. November 2002 in Köln

Im Zeitalter einer weltweiten und allgegenwärtigen Datenverarbeitung ist effektiver Datenschutz nicht nur für die Betroffenen von Nutzen, sondern letztlich auch für die verantwortlichen Unternehmen und Behörden. Dabei kann die nötige Effektivität des Datenschutzes durch Selbstregulierungsmechanismen entscheidend gefördert werden. Dies waren wesentliche Ergebnisse der 26. Datenschutzfachtagung der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD), die vom 21. bis 22. November 2002 in Köln stattfand, und in deren Mittelpunkt neben dem Nutzenaspekt des Datenschutzes auch dessen Fortentwicklung auf europäischer und nationaler Ebene stand.

In seiner Eröffnungsrede betonte der Vorstandsvorsitzende der GDD, Bernd Hentschel, das Nutzen-Argument im Datenschutz und verwies auf den oft unterschätzten Wettbewerbs- und Wirt­schafts­vor­teil. Das Image eines Unternehmens profitiere von einem gelebten Datenschutz, da hierdurch das Vertrauen der Mitarbeiter und Kunden gewonnen werden könne. In diesem Zusammenhang zitierte Herr Hentschel aus dem DAFTA-Grußwort des Bundesministers für Wirtschaft und Arbeit, Wolfgang Clement, wonach der Datenschutz nicht nur die Akzeptanz und den Erfolg der neuen Technologien in den Betrieben, sondern auch die vertrauensvolle Zusammenarbeit fördert und zudem Rechtssicherheit in einem zunehmend wichtigen Rechtsgebiet schafft.

Nutzen des Datenschutzes

Im Anschluss an die Eröffnungsrede stellte Prof. Dr. Reinhard Voßbein, UIMCert, Wuppertal, den Nutzen des Datenschutzes unter Berücksichtigung der Kostenaspekte aus betriebswirtschaftlicher Sicht dar. Er betonte die Notwendigkeit der At­traktivität des Datenschutzes, der jedoch nicht zum Nulltarif zu erreichen sei.

Den verschiedenen Kostenargumenten, die sich insbesondere aus Personal- und Sachkosten ergäben, setzte der Referent gute Argumente entgegen. Er unterteilte hierbei in internen und ex­ter­nen sowie qualitativen und quan­titativen Nutzen. Der interne Nut­zen sei z.B. darin zu sehen, dass es bei Einhaltung der Datenschutzvorschriften zu einer Reduzierung von Rechtsverstößen kom­me. Die Qualitätssicherung der Pro­zesse beginne bereits beim Kauf von Software. Zudem werde das Vertrauen der Mitarbeiter erhöht. Die Mitarbeiter sollten den Datenschutz ebenso anerkennen, wie sie das Unternehmenseigentum achten würden.

Der externe Nutzen liege insbesondere im Abbau der Ablehnungshaltung beim Verbraucher, denn es sei kein Geheimnis, dass der E-Commerce seine vielversprechenden Prognosen nicht eingehalten habe. Das sich durch ausgeübten Datenschutz erhöhende Vertrauen der Kunden stärke den Nutzen ebenso wie der Beweis der Kompetenz eines Unternehmens, denn, so Prof. Dr. Voßbein, wenn schon der Datenschutz gut sei, dann sei auch der gesamte IT-Bereich des jeweiligen Unternehmens vertrauenswürdig. Datenschutz müsse daher verstärkt Bestandteil des Marketings werden. Den qualitativen Nutzen sah der Referent im Imagegewinn und der Erhöhung der IT-Sicherheit des Unternehmens, den quantitativen Gewinn in Kosteneinsparungen und in der Umsatzgenerierung.

Bei der Planung und Steuerung ihrer Datenschutzsysteme sollten die Unternehmen, den jeweiligen Unternehmensspezifika entsprechend, den Datenschutz umsetzen, der für sie angemessen sei. Insbesondere die Größe und Komplexität der Institution, die Organisation der Datenverarbeitung, der Ab­hängigkeitsgrad des Unternehmens von den betreffenden Daten oder auch die individuellen Risiko- und Gefahrensituationen seien zu prüfende Merkmale.

In seinem Resümee wies Prof. Dr. Voßbein darauf hin, dass auf Grund der stärkeren Sensibilisierung der Bevölkerung die Notwendigkeit bestehe, den Datenschutz mehr in die unternehmerischen Planungs- und Entscheidungsprozesse einzubeziehen. Wenn der Datenschutz als ein unabdingbarer Bestandteil der technologisch bedingten und bestimmten Arbeitswelt und Gesellschaft gesehen werde, gewinne er eine Bedeutung, die ihn nicht mehr als lästiges Übel erscheinen lasse.

Dr. Armgard von Reden, Chief Privacy Officer bei IBM, unterstrich in ihrem Vortrag den Nutzenaspekt des Datenschutzes mit der Feststellung, dass dieser - nicht zuletzt mit Blick auf die Kundenzufriedenheit - zu 80 % im unternehmerischen Eigeninteresse liege und nur zu 20 % auf gesetzlichem Zwang beruhe. Insbesondere die im Missbrauch von Daten liegenden Risiken wie Image- bzw. Vertrauensverlust, Gerichtsverfahren, Kosten und Kundenunzufriedenheit sollten im firmeneigenen Interesse vermieden werden.

Folgenabschätzung zum Vorhaben/Datenschutzaudit

Die Deutsche Hochschule für Verwaltungswissenschaft in Speyer ist vom Bundesministerium des In­nern damit beauftragt worden, eine prospektive Ge­setzesfolgenabschätzung zu einem Daten­schutz­audit-Gesetz durchzuführen. Erste Ergebnisse eines hierzu durchgeführten Workshops stellte Prof. Dr. Böhret vor. Demnach wurden zwei Varianten unter Berücksichtigung des Mindestregelungsbedarfs, der sich aus § 9a BDSG ableiten lasse, entwickelt. Hierbei handele es sich um das Produkt- und das Ver­fah­rens­au­dit. Die in die jeweilige Auditierung einzuarbeitenden Regelungsteile sollen insbesondere das Datenschutzkonzept bzw. die Pro­dukt­be­schrei­bung, die gutachtliche Prüfung, die Zer­ti­fi­zie­rungs-/Regis­trie­rungs­stelle, die Zertifizierung, die Auswahl und Zulassung der Gutachter, eine eventuelle Befristung sowie auftretende Änderungsfolgen berücksichtigen.

Fortentwicklung auf nationaler und europäischer Ebene

Zur Frage der Fortentwicklung des Datenschutzes hob der GDD-Vorstandsvorsitzende, Bernd Hentschel, hervor, dass die Pflege und Fortentwicklung der Datenschutzkultur auf den Eckpfeilern Selbstkontrolle und flexible Selbstregulierung basieren müssen. Angesichts der Gesetzesflut und der Bürokratiedichte auf Bundesebene stelle die in der Koalitionsvereinbarung der Bundesregierung angekündigte Schaffung eines Arbeitnehmerdatenschutzgesetzes ein bedenkliches Unterfangen dar, zumal der insoweit bereits bestehende Rechtsrahmen ausreichend sei. Vielmehr müsse die Selbstregulierung auch im Arbeitnehmerdatenschutz, die dort bereits durch Betriebsvereinbarungen praktiziert werde, in sinnvoller, vertretbarer und realisierbarer Weise fortentwickelt werden.

Im Rahmen der Podiumsdiskussion vertrat der medienpolitische Sprecher der SPD-Bun­des­tags­frak­tion, Jörg Tauss, dagegen die Auffassung, dass der Arbeitnehmerdatenschutz gesetzlich geregelt werden sollte. Grietje Bettin, medienpolitische Sprecherin Bündnis 90/Die Grünen, kündigte an, dass entsprechend den Vorgaben des Koalitionsvertrages in naher Zukunft mit der Erarbeitung einer grundlegenden Modernisierung des Bundesdatenschutzgesetzes sowie der Erarbeitung eines Arbeitnehmerdatenschutzgesetzes zu rechnen sei. Entsprechende Gesetzentwürfe sollten nach Möglichkeit bereits im nächsten Jahr vorliegen. Inhaltlich hob sie insbesondere die notwendige Stärkung der Position des betrieblichen Datenschutzbeauftragten hervor. Der stellvertretende Sprecher der Arbeitsgruppe Inneres der CDU/ CSU-Bun­des­tags­frak­tion, Thomas Strobl, unterstützte vom Grundsatz her das angekündigte Gesetzesvorhaben. Ein Beschluss zur Modernisierung sei noch in der letzten Legislaturperiode auch mit Unterstützung der CDU/CSU-Fraktion gefasst worden.

Mit Blick auf die Fortentwicklung des Datenschutzes auf europäischer Ebene und in den Mit­glied­staa­ten verdeutlichte Jaana Temmler, Referentin für Datenschutz bei der Europäischen Kommission, die Absicht der EU-Kommission, auf eine einheitlichere Anwendung der EG-Datenschutz­richtlinie in den einzelnen EU-Staaten hinzuwirken, da die bisher erfolgte Harmonisierung noch nicht zufriedenstellend sei. Eine grundlegende Revision der Richtlinie werde aber derzeit von der Kommission nicht angestrebt.

Datenschutz-Trends

Der Bundesbeauftragte für den Datenschutz, Dr. Joachim Jacob, warnte vor dem Trend zu immer umfangreicheren Datensammlungen und Datenverbünden. Das Netz von allen möglichen Warndateien werde immer dichter. Zwar bestehe ein legitimes Interesse der Wirtschaft, sich vor Betrügern, schwarzen Schafen und zahlungsunfähigen oder -unwilligen Kunden zu schützen. Gefahren sah der Bundesbeauftragte aber dort, wo die einzelnen Systeme zusammengeschaltet werden können und so jeder einzelne Kunde für sich „gläsern“ werden könne. Es dürften auf Grundlage solcher Datensammlungen keine „elektronischen Unpersonen“ geschaffen werden.

Im Bereich der elektronischen Identifikation des Bürgers gegenüber der Verwaltung müsse allen Überlegungen entgegengetreten werden, die darauf hinausliefen, jedem Bürger eine individuelle Kennung, d.h. eine persönliche PIN zuzuweisen. Gefordert sei der Datenschutz darüber hinaus im Bereich der Nutzung der biometrischen Daten. Es dürfe keine zentrale Speicherung solcher Daten geben, die dann zu unterschiedlichen Zwecken ge­nutzt werden könnten. Der Bundesbeauftragte hielt es darüber hinaus für dringend geboten, einem Miss­brauch bei der Entschlüsselung des menschlichen Genoms entgegenzutreten. Auf die Gefahren wei­terer Möglichkeiten des Missbrauchs durch die schein­­bar unanfechtbaren Beweiswerte von Genomalysen verweisend, beschrieb er den Fall des Le­gens falscher Spuren: „Wie soll ein Mensch beweisen, dass er nicht am Tatort eines Verbrechens war, wenn der wahre Täter mittels Haaren etc. dort dessen genetischen Fingerabdruck hinterlegt hat?“.

Datenschutz-Award 2002 „Datenschutzfreundlicher Internetauftritt“  

Die Gothaer Allgemeine Versicherung AG, Köln, ist Preisträger des GDD-Datenschutz-Awards 2002, der anlässlich der 26. Datenschutzfachtagung der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) am 22. November vergeben wurde. Grundlage der Vergabe bildete die Mehrheitsentscheidung der Teilnehmer der Datenschutzfachtagung.

Mit dem GDD-Datenschutz-Award werden Unternehmen und Behörden ausgezeichnet, die Beispielhaftes für den Datenschutz geleistet haben. In diesem Berichtsjahr wurde der Award für einen datenschutzfreundlichen Internetauftritt vergeben.

Die zur Stimmabgabe aufgerufenen Teilnehmer der Datenschutzfachtagung überzeugte mehrheitlich die vom Datenschutzbeauftragten der Gothaer Allgemeine Versicherung AG, Günther Otten, erl­äuterte Konzeption des Datenschutzes beim Internetauftritt seines Unternehmens (www.gothaer.de). Das Thema „Sicherheit + Da­ten­schutz“ sei von jeder Seite des Internetauftritts aufrufbar. Mit Hilfe einer übersichtlichen Gliederung der Themen und eines umfassenden Informations­angebots zum Thema Datenschutz würden die Internet-User über ihre Rechte aufgeklärt. Für weitergehende Fragen und Mitteilungen an den Datenschutzbeauftragten stehe ein gesicherter Kommunikationsweg zur Verfügung. Über­dies sei die Sicherheit der Kommunikation zertifiziert worden. Ein ausführliches Impressum runde den Internetauftritt ab. Auch die anderen Bewerber um den GDD-Datenschutz-Award 2002 konnten mit ihrem Konzept eines datenschutzfreundlichen In­ter­net­auf­tritts überzeugen. Weitere Auszeichnungen gingen deshalb an: Harald Eichsteller (Kidstation), Jürgen Heck (Brau und Brunnen AG), Georg Kraft-Wölfel (HEW Hamburgische Electricitäts-Werke AG) und Dirk Ritter (Stadtwerke Bielefeld GmbH).

21. RDV-Forum am 20. November 2002 in Köln

Das von Prof. Peter Gola (GDD-Vorstand) moderierte 21. RDV-Forum stand unter dem Leitthema „Neuer Datenschutz zwischen Anspruch und Wirklichkeit“. Assessor Steffen Schöne (Abt. Arbeitsrecht, BDA, Berlin) stellte die Ergebnisse einer aktuellen Arbeitgeberstudie zum Datenschutzniveau in der Unternehmenspraxis vor. Die Umfrage, an der knapp 400 Unternehmen beteiligt gewesen seien, habe gezeigt, dass die deutschen Unternehmen vor allem Schwierigkeiten auf Grund der in den Mitgliedstaaten stark voneinander abweichenden Umsetzung der Datenschutzrichtlinie haben. Die Hauptprobleme lägen u.a. bei der Frage nach dem Anwendungsbereich der datenschutzrechtlichen Vorschriften, bei der Beurteilung der Wirksamkeit einer Einwilligung des Betroffenen und bei den unterschiedlichen Notifizierungsverfahren. Insbesondere auf dem Gebiet des internationalen Geschäftsverkehrs seien die Verfahren für den Transfer personenbezogener Daten zu aufwendig. Wesentliche Erleichterung könne hier die Anerkennung unternehmensinterner Regeln (Codes of Conduct) bringen. Des Weiteren habe die Umfrage verdeutlicht, dass kein gesetzgeberischer Handlungsbedarf im Hinblick auf die Schaffung neuer Vorschriften über den Arbeitnehmerdatenschutz bestehe.

Diese Auffassung wurde von Prof. Dr. Wolfgang Däubler (Prof. für Deutsches und Europäisches Arbeitsrecht, bürgerliches Recht und Wirtschaftsrecht an der Universität Bremen) nicht geteilt. Der Schwerpunkt seines Vortrages lag speziell auf der Verwendung von Gendaten im Arbeitsverhältnis. Anhand eines vom VGH Baden-Württemberg entschiedenen Falles, verdeutlichte der Referent die praktische Relevanz der Themenstellung. Das Gericht hatte entschieden, dass eine DNA-Analyse von Speichelresten eines Mitarbeiters zwecks Ermittlung des Verfassers anonymer, diffamierender Schreiben unzulässig ist. Im Rahmen seiner Ausführungen zu einschlägigen Gesetzesinitiativen wies der Referent auf aktuelle Bestrebungen der EU-Kommission hin, die Verwendung von Gendaten im Arbeitsverhältnis im Rahmen einer Arbeitnehmerdatenschutzrichtlinie zu regeln. Gentests, so Däubler, könnten zu einem „genetischen Personenkennzeichen“ führen, also den Einzelnen „rubrizieren und katalogisieren“ und damit zu einem total durchleuchteten Beobachtungsobjekt machen. Vor diesem Hintergrund hielt er die Verwendung von Gendaten sowohl in der Einstellungssituation als auch gegenüber dem Arbeitnehmer für nicht gerechtfertigt. Auch die Einwilligung des Bewerbers bzw. Arbeitnehmers vermöge die Verwendung von Gendaten vielfach nicht zu legitimieren, da es in aller Regel an der nötigen Entscheidungsautonomie fehle. Abschließend stellte Däubler fest, dass die betriebliche Personalpolitik wohl auch in Zukunft ohne Gentests auskommen müsse.

Dr. Thilo Weichert (stellv. Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein) untersuchte in seinem Vortrag die datenschutzrechtliche Zulässigkeit von Kundenbindungsprogrammen. Datenschützer müssten solchen Programmen mit einer Grundskepsis begegnen, soweit diese sich nicht auf reine Rabattgewährung beschränkten, sondern eine Personalisierung der Kundenbeziehung bezweckten. Die tatsächlich nicht aufhaltbare Ökonomisierung personenbezogener Daten bringe Risiken und Chancen. Tatsächlich laufe die Praxis derzeit fast durchgängig darauf hinaus, dass der Kunde bezüglich seiner Daten übervorteilt werde. Vor diesem Hintergrund müssten sich Datenschutzaufsichtsbehörden und Verbraucherverbände der Thematik verstärkt stellen und die noch gewaltigen Informationsdefizite bei dem Konsumenten durch Aufklärungskampagnen beheben. Auf der Basis einer noch zu schaffenden ausreichenden Transparenz könnten sich datensparsame Kundenbindungssysteme am Markt durchsetzen. Bei der rechtlichen Beurteilung sei insbesondere § 28 Abs. 1 Nr. 1 BDSG, der die Datenverarbeitung im Rahmen der Zweckbestimmung eines Vertragsverhältnisses erlaube, und § 4a BDSG, der die Datenverarbeitung bei Vorliegen der Einwilligung des Betroffenen gestatte, zu berücksichtigen. Sowohl bei der Frage nach dem Gegenstand des Vertrages als auch bei der Einwilligung komme daneben den Regelungen des Rechts der allgemeinen Geschäftsbedingungen (§ 305 ff. BGB) hohe Relevanz zu.

Prof. Dr. Ralf Bernd Abel (Fachbereich Wirtschaftsrecht der Fachhochschule Schmalkalden/Thüringen) stellte die Regelungen zur datenschutzrechtlichen Selbstregulierung nach dem BDSG 2001 dar. Er behandelte dabei sowohl Codes of Conduct als Grundlage für die Genehmigung von Datentransfers in Drittländer (§ 4c Abs. 2 Satz 1 BDSG) als auch branchenspezifische Verhaltensregeln nach § 38a BDSG, dessen Normadressaten Berufsverbände und andere Vereinigungen seien. Die Regeln könnten der Aufsichtsbehörde zur Stellungnahme vorgelegt werden. Anhand eines bei der zuständigen Aufsichtsbehörde gestellten Antrags auf „Konformitätserklärung“ bezüglich vom Bundesverband Deutscher Inkassounternehmen (BDIU) vorgelegter Verbandsregeln verdeutlichte er das Prüfverfahren bei der Aufsichtsbehörde sowie die im konkreten Fall gestellten Anforderungen an einen notwendigen „Mehrwert“ eines solchen Regelwerks. Abschließend kam der Verfasser zu dem Ergebnis, dass die bisherigen Erfahrungen die Wirtschaftskreise nicht unbedingt zur Selbstregulierung ermutigten.

Dr. Georg Wronka (Hauptgeschäftsführer des Zentralverbandes der Deutschen Werbewirtschaft) thematisierte die Selbstregulierung in der Werbung und stellte den Leitfaden der Direktmarketingbrache vor. Der Leitfaden diene auf der Grundlage einer pragmatischen Auslegung der neuen Vorschriften des BDSG als Orientierungshilfe für die Praxis.

RA Gregor Scheja (wissenschaftlicher Mitarbeiter am Institut für Rechtsinformatik, Universität Hannover) referierte über den Datenfluss im Allfinanzkonzern. Seiner Auffassung nach bestehen drei Möglichkeiten für den freien Datenfluss im Allfinanzkonzern: Datenverarbeitung im Auftrag, Aufnahme in den Vertragszweck sowie auf Grund einer wirksamen Einwilligung. Ansonsten sei der Datenfluss im Allfinanzkonzern auf allgemeine Listendaten für Werbung bzw. Markt- und Meinungsforschung beschränkt.