29. DAFTA am 17. und 18. November 2005 in Köln

Unter dem Leitthema „Datenschutz - ein Dispositionsfaktor?“ veranstaltete die GDD am 17. und 18. November 2005 in Köln ihre 29. Datenschutzfachtagung (DAFTA).

In seiner Eröffnungsrede griff der Vorstandsvorsitzende der GDD, Prof. Peter Gola, das Leitthema der DAFTA auf und wies darauf hin, dass in einigen Bereichen das Fragezeichen hinter dem Wort Dispositionsfaktor bereits weggefallen sei. Im Spannungsfeld zwischen „Sicherheit durch Kontrolle“ und „Freiheit vor Kontrolle“ habe sich die Politik vielfach zu Gunsten der Sicherheit entschieden. Für ihn ergebe sich daraus die Frage, welches Ver­trauen bzw. Misstrauen der Staat seinen Bürgern entgegenbringe. Datenschutz, so Prof. Gola, werde nicht zum Täterschutz, nur weil nachgefragt werde, ob es tatsächlich berechtigt sei, jeden Bürger unter den Dauerverdacht zu stellen, ein potenzieller Steuerhinterzieher, Sozialschmarotzer oder krimineller Terrorist zu sein.

Bundesverfassungsgericht und Recht auf Privatheit

Im Anschluss an die Eröffnungsrede referierte Prof. Dr. Elke Gurlit zum Thema „Die Verfassungsrechtsprechung zur Privatheit im gesellschaftlichen und technologischen Wandel“.

Als Grundrechte mit Privatheitsbezug, so Gurlit, se­ien einerseits das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz) mit seinen Ausprägungen Recht auf informationelle Selbstbestimmung, Schutz der Privatsphäre, Recht am eigenen Wort und am eigenen Bild und andererseits die Kommunikationsgeheimnisse (Art. 10 Grundgesetz) und der Schutz der Wohnung (Art. 13 Grundgesetz) anzusehen. In der Be­stim­mung der Schutzbereiche der Grundrechte habe das Bundesverfassungsgericht überaus filigrane Abgrenzungen getroffen, was vor dem Hintergrund der unterschiedlichen verfassungsrechtlichen Schranken der betroffenen Grundrechte auch unmittelbar einleuchtend sei. Bei der Bestimmung der Eingriffsschranken lasse sich das Gericht demgegenüber von einer grundrechtsübergreifenden Dog­matik leiten, die die Vorgaben des Volkszählungsurteils in Bezug nehme. Es spreche für die Zeitlosigkeit dieser aus dem Jahre 1983 stammenden Entscheidung, dass ihre Vorgaben an den grundrechtsbeschränkenden Gesetzgeber sich als flexibel und sachgerecht auch für künftige Konfliktlagen erwiesen hätten.

Die Schrankenanforderungen, die das Bundesverfassungsgericht grundrechtsübergreifend zu Grun­de lege, seien ganz überwiegend prozeduraler Natur. Dies beginne bei Verfahrenspflichten des Gesetzgebers in Gestalt von Beobachtungspflichten und setze sich fort in Anforderungen an die Beschaffenheit der Norm hinsichtlich ihrer Bestimmt­heit und Klarheit. Jedenfalls im Bereich der staatlichen Sicherheit und Strafverfolgung sei zu­dem der Richtervorbehalt eminent wichtig. Auch substanzielle Schranken blieben aber von Bedeutung. Dies zeige sich besonders deutlich an den Grenzen des Großen Lauschangriffs, der von Verfassungs wegen bei einer abhörfreien Kernzone enden müsse. Zu berücksichtigen sei allerdings, dass die Vorstellung z.B. einer abhörfreien Kernsphäre der Persönlichkeit nicht dauerhaft gegen die Bürger verteidigt werden könne, die gerade diesen Kern nicht selten freigäben oder sich - eben­falls nicht selten - geschwätzig über Intimitäten Dritter verbreiteten.

Datenschutz im Spannungsfeld von Privatsphärenschutz, Sicherheit und Informationsfreiheit

Der Bundesbeauftragte für den Datenschutz, Peter Schaar, nahm Stellung zu wichtigen Datenschutzfragen.

Eine der vordringlichen Aufgaben des Datenschutz­es, so Schaar, sei es, das vom Bundesverfassungs­gericht entwickelte Grundrecht auf informationelle Selbstbestimmung auch vor dem Hintergrund der immer rasanter werdenden technischen Entwicklung zu gewährleisten. Im Volkszählungsurteil habe das Gericht festgestellt, dass das Grundrecht auf informationelle Selbstbestimmung die Befugnis des Einzelnen garantiere, grundsätzlich selbst über die Verwendung seiner personenbezogenen Daten zu entscheiden. Diese Befugnis sei - so die Vorgabe des Gerichtes - „unter den heutigen und künftigen Bedingungen der automatischen Datenverarbeitung in besonderem Maße“ zu schützen. Zwar, so Schaar, seien die zunehmende Vernetzung, RFID, Satellitenortung, Handys etc. keine wirklich neuen Entwicklungen mehr. Er sehe aber eine neue Qualität darin, dass die Systeme mittlerweile nahezu beliebig kombiniert würden und so Verfahren ermöglichten, die über alles Bisherige hinausgingen. Dies gelte für den Nutzen - aber auch für die mit den Verfahren verbundenen Gefahren und Überwachungsmöglichkeiten. Der Begriff „ubiquitous computing“ bezeichne die dargestellte Entwicklung zutreffend. Zu denken sei in diesem Zusammenhang etwa an sog. Location Based Services, die zukünftige digitalisierte Speicherung von biometrischen Daten in Ausweisdokumenten, die Gebührenerfassung und -abrechnung durch das Mautsystem, die bevorstehende Einführung der elektronischen Gesundheitskarte oder die mit Sicherheitsbelangen begründete Ausweitung der Videoüberwachung.

Eine ständige Herausforderung für die Datenschützer bestehe auch darin, dass Spannungsverhältnis zwischen dem Datenschutz und den nationalen bzw. internationalen Sicherheitsinteressen zum Ausgleich zu bringen. Richtig sei etwa, dass zur Verhütung und Bekämpfung der internationalen Kriminalität eine Intensivierung der informationellen Zusammenarbeit auf nationaler, europäischer und internationaler Ebene unverzichtbar sei. Unerlässlich sei aber auch, im Rahmen dieser Kooperation die Grundrechte und Grundfreiheiten des EU-Verfassungsvertrages zu gewährleisten. Erste Schritte in die richtige Richtung seien insoweit durch die datenschutzrechtlichen Ausführungen im „Haager Programm zur Stärkung von Freiheit, Sicherheit und Recht in der Europäischen Union“ unternommen worden. Zu begrüßen sei auch, dass die EU-Kommission inzwischen einen Vorschlag für einen Rahmenbeschluss über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, vorgelegt habe. Für bedenklich halte er, dass auf europäischer Ebene immer noch die Vorratsspeicherung von bei Telekommunikations- und Multimediadiensten an­fal­lenden Verkehrsdaten im Raum stehe. Eine derart umfassende Kontrolle der Online-Akti­vi­tä­ten, wie sie zur Zeit erwogen werde, halte er für nicht hinnehmbar. Zum einen sei zu beachten, dass sich die Überwachungsdichte mit den sich abzeichnenden neuen elektronischen Diensten ständig erweitern werde. Zum anderen halte er es für kritisch, wenn Regierungen, die mit entsprechenden Vorgaben auf nationaler Ebene gescheitert seien, nunmehr den Umweg über Europa suchten. Im Hinblick auf die derzeitigen politischen Ambitionen, die geltenden Datenschutzbestimmungen darauf zu überprüfen, ob sie die Terrorbekämpfung behindern, warne er vor einer übereilten Beschneidung wesentlicher Grundrechts­positionen. Er halte es für wesentlich dringlicher, darüber zu diskutieren, ob die mit der Terrorbekämpfung begründeten neuen Maßnahmen diesem Ziel wirklich dienen, ob sie effektiv, effizient und verhältnismäßig sind.

„Datenschutzkontrolle im Umbruch?“

 Prof. Gola eröffnete die nachfolgende Podiumsdiskussion zum Thema „Datenschutz im neuen Koalitionsvertrag - Datenschutzkontrolle im Umbruch?“ mit dem Hinweis auf die Absichtserklärung der Koalition, das betriebliche Beauftragtenwesen zum Zwecke des Bürokratieabbaus reduzieren zu wollen. Es ergebe sich somit die Frage, inwieweit von dieser Aussage auch der betriebliche Datenschutzbeauftragte betroffen sein solle und dürfe. Keine Aussage treffe der Koalitionsvertrag demgegenüber hinsichtlich der im Streit stehenden notwendigen Unabhängigkeit der staatlichen Datenschutzaufsicht.

Der Bundesbeauftragte für den Datenschutz befand, dass es im Koalitionsvertrag durchaus Ansätze für einen „guten“ Datenschutz gebe. So sei es zutreffend, dass das Datenschutzrecht vor dem Hintergrund der technischen Entwicklungen der Überprüfung und Fortentwicklung bedürfe. Auch die Absicht der Koalition, das Datenschutzrecht auf Redundanzen überprüfen zu wollen, sei grund­sätzlich begrüßenswert. Nicht unbedenklich sei allerdings die Aussage der Koalition, die Verpflichtung zur Bestellung von betrieblichen Beauftragten reduzieren zu wollen. Der betriebliche Da­ten­schutzbeauftragte sei kein bürokratisches Unwesen. Vielmehr werde dadurch, dass mit der Be­stellung die Meldepflicht gegenüber der staatlichen Aufsichtsbehörde entfalle, überflüssige Bürokratie gerade vermieden. Die wachsende Ver­brei­tung die­ser Erkenntnis sei auch der Grund dafür, warum sich die Figur des betrieblichen Da­ten­schutzbeauftragten zunehmend zum internationalen Erfolgsmodell entwickele. Zwar, so Schaar, habe er Verständnis für Stimmen, die die derzeitige Bestellungspflicht für überzogen hielten, im Grundsatz müsse diese aber jedenfalls da erhalten bleiben, wo auf Grund der vorgenommenen Datenverarbeitungen faktische Risiken für das Persönlichkeitsrecht bestünden.

Im Hinblick auf das Thema Unabhängigkeit der Datenschutzaufsicht sprach sich Schaar vehement gegen eine diesbezügliche Änderung der EU-Da­ten­schutzrichtlinie aus. Die Richtlinie müsse insoweit umgesetzt und nicht geändert werden.

Auch Bettina Gayk von der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen lehnte eine Reduzierung der in der Richtlinie enthaltenen Anforderungen an die Unabhängigkeit der Aufsichtsbehörden kategorisch ab. Im Übrigen vertrat sie den Standpunkt, dass Datenverarbeitung immer auch ein Machtfaktor sei und das Datenschutzrecht das Instrument, um diese Macht zu begrenzen. Der Aufwand des Datenschutzes, der den Menschen nütze, dürfe nicht als Bürokratie verurteilt werden.

Ulrich Strack (Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V.) setzte sich dafür ein, vorrangig Selbstregulierungsmechanismen der Wirtschaft auszuschöpfen bevor man zu gesetzgeberischen Maßnahmen greife. Soweit die EU-Daten­schutz­richt­linie einem sinnvollen Bürokratieabbau entgegenstehe, müsse gegebenenfalls auch in diesem Bereich über Änderungen nachgedacht werden. Eine Ansiedlung der Datenschutzaufsicht über die Privatwirtschaft in den Innenministerien halte er unter dem Gesichtspunkt der Unabhängigkeit für unbedenklich. Immerhin, so Strack, seien bei den Innenministerien nicht nur die Themen Sicherheit und Polizei verortet, sondern auch der Bereich der Verfassung.

Andreas Bothe (FDP-Fraktion) betonte, dass man sich seitens der FDP ein anderes Verständnis des Datenschutzes im Koalitionsvertrag gewünscht hätte. Statt vordringliche Themen wie die Modernisierung des Datenschutzrechtes und das Thema Datenschutzaudit anzusprechen, diffamiere man den Datenschutzbeauftragten als Bürokratie und den Datenschutz als Hindernis bei der Verbrechens­bekämpfung. Den Glauben des Herrn Strack an die Innenministerien teile er nur bedingt. Seiner Einschätzung nach würden die Innenministerien weniger als Verfassungsstellen als als Polizeistellen geführt.

Prof. Dr. Ralf B. Abel (Vorsitzender des Präsidiums der GDD-Datenschutz-Akademie) wies darauf hin, dass die Einführung des betrieblichen bzw. behördlichen Datenschutzbeauftragten eine wichti­ge Maßnahme gewesen sei, um den Datenschutz in die Breite und Tiefe zu tragen. Die Datenschutzbeauftragten vor Ort seien auch mehr und mehr in der Lage, steuernd einzugreifen und Fehler zu vermeiden. Basis für eine kompetente Aufgabenwahrnehmung sei insofern die hinreichende Qualifikation der Datenschutzbeauftragten.

GDD-Datenschutz-Award 2005

Die DeTeImmobilien ist Preisträger des GDD-Datenschutz-Award 2005, der anlässlich der
29. DAFTA vergeben wurde. Mit dem Datenschutz-Award werden Unternehmen oder Behörden ausgezeichnet, die Beispielhaftes für den Da­tenschutz geleistet haben. Dabei bildet die Mehrheitsentscheidung der DAFTA-Teilnehmer die Grundlage der Preisvergabe.

Im Jahr 2005 wurde der Award für das überzeugendste Konzept zur datenschutzkonformen Entsorgung von Datenträgern vergeben. Der Datenschutzbeauftragte der DeTeImmobilien, Walter Lichterbeck, erläuterte, dass es in seinem Haus Unternehmensvorgaben zur Klassifizierung der Vertraulichkeit von Informationen gebe. Diese reichten von offen bis streng vertraulich. Speichermedien mit personenbezogenen Inhalten seien dabei immer mindestens als vertraulich einzustufen. Entsprechend der Klassifizierung der Datenträger erfolge die Entsorgung derselben gemäß den Sicherheitsstufen DIN 32757. Die Löschung von Papierdatenträgern erfolge nach deren Zerkleinerung durch Vermengung und Verwirbelung. Die Papierabfälle würden der Papierindustrie zur Herstellung von hochwertigem Recyclingpapier zugeführt. Bei der DeTeImmobilien seien zugleich strenge Anforderungen an Unternehmen entwickelt worden, die im Auftrag Datenträger löschen. Nach Maßgabe dieses Entsorgungskonzepts stelle die DeTeImmobilien im Rahmen ihres infrastrukturellen Facility Managements ihre Dienstleistungen für den Konzern Deutsche Telekom aber auch Dritten zur Verfügung.

Auch die anderen Bewerber um den GDD-Award 2005 gaben hilfreiche Anregungen im Hinblick auf Methoden und Verfahren einer datenschutzkonformen Entsorgung. Deshalb gingen weitere Auszeichnungen an Lutz Neundorf (ABB-Konzern), Jürgen Brockhausen (Berliner Wasserbetriebe), Angelika Heimstädt (Klinikum Augsburg) und an Wilhelm Caster (Gerling Beteiligungs-GmbH). 

24. RDV-Forum am 16. November 2005 in Köln

Unter der Leitung von Prof. Peter Gola (RDV-Schriftleitung) fand am 16. November 2005 in Köln das 24. RDV-Forum unter dem Leitthema „Neue Gesetzgebung - Auswirkungen auf den Datenschutz“ statt. Themenschwerpunkte der Veranstaltung waren die Antidiskriminierung im Arbeitsverhältnis, aktuelle Überlegungen zur Änderung der Pflicht zur Bestellung von betrieblichen Datenschutzbeauftragten und der Verbraucherdatenschutz.

Dietrich Boewer (Vors. Richter i.R., Rechtsanwalt Kanzlei CMS Hasche Sigle, Köln) erinnerte an die Notwendigkeit der Umsetzung von vier die Antidiskriminierung betreffenden EU-Richtlinien in nationales Recht. Im Rahmen einer Kurzbetrachtung des arbeitsrechtlichen Teils der Richtlinien verdeutlichte er, dass bei Vorliegen eines Rechtfertigungsgrundes eine Ungleichbehandlung weiterhin möglich sei. Erfolge diese aber in rechtswidriger Weise, drohten Sanktionen, die auch Schadensersatzleistungen an die Opfer umfassen könnten. Insofern wies der Referent darauf hin, dass die Beweislastverteilung für die Unternehmen relativ ungünstig geregelt sei. Im Übrigen bestehe die Notwendigkeit der Einrichtung von Antidiskriminierungsstellen.

RA Andreas Jaspers (Geschäftsführer der GDD) behandelte das Thema „Antidiskriminierung und betriebliches Eingliederungsmanagement aus datenschutzrechtlicher Sicht“. Bereits die Datenerhebung bei Bewerbern müsse diskriminierungsfrei erfolgen. Insofern sei insbesondere bei der Gestaltung von Bewerberfragebögen auf die Er-

hebung bestimmter Daten zu verzichten. Bisherige Standardfragebögen seien insofern zu überprüfen. Im Übrigen müsse das AGG auch im laufenden Arbeitsverhältnis im Hinblick auf die Gestaltung von Personalfragebögen, Personalauswahlentscheidungen, die Beurteilung von Mitarbeitern, Zielvereinbarungen und Skill-Da­ten­banken Berücksichtigung finden.

Des Weiteren äußerte sich der Referent in Bezug auf das sog. betriebliche Eingliederungsmanage­ment nach § 84 SGB IX dahingehend, dass sich der Abschluss einer Integrationsvereinbarung unter gleichzeitiger Umsetzung der gesetzlichen Vorgaben des § 84 Abs. 2 SGB IX anbiete.

Diethelm Gerhold (Referatsleiter beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit) skizzierte und bewertete aktuelle Überlegungen zur Änderung der Pflicht zur Bestellung von betrieblichen Datenschutzbeauftragten. Ausgelöst durch einige Berufsverbände habe die Politik einen Handlungsbedarf dahingehend erkannt, den Schwellenwert für die Pflicht zur Bestellung von Datenschutzbeauftragten aus Gründen des Bürokratieabbaus heraufzusetzen. Die Bundesratsinitiative für eine parallele Anhebung des Schwellenwertes für das Eingreifen der Melde- und der Bestellungspflicht auf 20 Arbeitnehmer beurteilte der Referent als entbehrlich und überdies als europarechtswidrig, da die EG-Da­ten­schutz­richtlinie Ausnahmen von der Meldepflicht nur unter sehr engen Voraussetzungen zulasse.

Dr. Johann Bizer (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) berichtete über die Ergebnisse einer Umfrage des ULD zum Verbraucherdatenschutz. Angesichts festgestellter Mängel plädierte der Referent u.a. für eine Verbesserung der Transparenz für die Verbraucher, für eine stark einwilligungs- und zweckbindungsbezogene Datenverarbeitung sowie für eine Stärkung von Aufsicht und Kontrolle.