30. DAFTA am 16. und 17. November 2006 in Köln

Über die Zukunftsfähigkeit des Datenschutzes in Zeiten erhöhter Sicherheitsanforderungen und einer sich rasant entwickelnden Informationstechnologie diskutierten Politiker sowie Datenschutzexperten aus Wissenschaft und Wirtschaft anlässlich der 30. Datenschutzfachtagung (DAFTA), die unter dem Titel „Datenschutz in einer sich wandelnden Welt“ vom 16. bis 17. November 2006 in Köln stattfand.

Stärkung des Datenschutzbewusstseins

Der Vorstandsvorsitzende der GDD, Prof. Peter Gola, nahm das Leitthema der Veranstaltung zum Anlass, darauf hinzuweisen, dass sich der Stand des Datenschutzes in den nahezu dreißig Jahren, die das Bundesdatenschutzgesetz nunmehr bestehe, keineswegs verbessert habe. Die Politik messe dem Datenschutz nur unzureichende Bedeutung zu. Dies belege auch die Aussage der Bundesjustizministerin Brigitte Zypries anlässlich des diesjährigen Juristentags, wonach der Datenschutz es „derzeit nicht leicht habe“. Eine Kehrtwende, so Gola, könne nur über eine Stärkung des Datenschutzbewusstseins bei den politischen Entscheidungsträgern erreicht werden.

Datenschutz in der Wertediskussion

Nach Einschätzung von Prof. Dr. Dr. Wolfgang Ockenfels (Universität Trier, Lehrstuhl für Christliche Sozialwissenschaften) bahnt sich in Deutschland eine neue Wertediskussion an. Neun von zehn befragten Eliten sagten, politische Entscheidungen müssten stärker mit Werten begründet werden. Der Schutz der Privatsphäre sei bereits in den zehn Geboten angelegt. Diese enthielten zwar kein explizites Datenschutzgebot, aber implizit finde sich doch die Forderung: „Schütze Dein und Deines Nächsten Privatleben vor Eingriffen.“ Im Zeitalter der Informationsgesellschaft lasse sich dieses Gebot durchaus im Sinne des Datenschutzes und des Rechts auf informationelle Selbstbestimmung interpretieren. Die personal verstandene Würde eines jeden Menschen einschließlich seiner individuellen Freiheit und Selbstbestimmung sei heute stärkstes Argument für den Persönlichkeits- und Datenschutz.

Fortschreitende Erosion des Datenschutzes

Das Mitglied des Nationalen Ethikrates Prof. Dr. Dr. Spiros Simitis warnte vor der Annahme, die gegenwärtig vorhandenen Konzepte seien ausreichend, um einen effektiven Datenschutz auch in Zukunft gewährleisten zu können. Es bedürfe einer grundlegenden Neuregelung des Datenschutzrechts, wobei neben einer Zusammenführung von BDSG und bereichsspezifischen Datenschutzvorschriften insbesondere eine radikale Beschränkung des Zugangs zu personenbezogenen Daten sowie im Hinblick auf die ständig fortschreitende technologische Entwicklung eine Beschränkung der Geltungsdauer gesetzlicher Regelungen erforderlich seien. Der Umstand, dass der Bundesrat nunmehr entgegen ursprünglich gemachter Zusagen die partielle Freigabe der Mautdaten fordere, mache deutlich, dass es in derartigen Fällen eines gesetzlich geregelten Informationsverzichts bedürfe.

Die Erosion des Datenschutzes habe Mitte der 80er Jahre begonnen. Seitdem gebe es immer neue Höhepunkte:

• die Vorratsdatenspeicherung als Vorstufe zu einer beliebigen Datenverarbeitung,
• die Nutzung der datenschutzrechtlichen Einwilligung als Möglichkeit, gesetzliche Verarbeitungsregeln zu umgehen (z.B. Kundenkarten),
• die unaufhaltsame Expansion der Datenverarbeitung durch Dezentralisierung sowie Wegfall von Papierdokumenten und durch eine zunehmend ubiquitäre Verarbeitung,
• der Einsatz von Datawarehouse- und Dataminingverfahren in den Unternehmen.

In dem Maß, in dem nicht öffentliche Stellen ihre Verarbeitung ausweiteten, ließen sie auch Begehrlichkeiten des Staates wachsen.

Im Hinblick auf bereichsspezifische Regelungen wies Simitis darauf hin, dass der Bundesrat die Auffassung vertreten habe, das Fernmeldegeheimnis finde im Hinblick auf die bei der Internetnutzung anfallenden Daten keine Anwendung. Der Entwurf zur Antiterrordatei sei von verfassungsrechtlich gebotener Normenklarheit noch weit entfernt. Ferner sei es bedauerlich, dass auf europäischer Ebene bislang keine allgemeinen Regelungen zum Datenschutz im Rahmen der 3. Säule geschaffen worden seien.

Mit Blick auf die Zukunft des Datenschutzes vertrat Simitis die Auffassung, dass eine Diskussion auf nationaler Ebene nicht genüge. Vielmehr müssten gleichartige Regelungen auf internationaler Ebene angestrebt werden.

Verbraucherschutz durch Rahmenbedingungen und Selbstregulierung

Die Abteilungsleiterin im Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz Dr. Regina Wollersheim stellte fest, dass neben dem Staat in erster Linie die Unternehmen zu den Datensammlern des 21. Jahrhunderts gehörten. Digitaler Verbraucherschutz gehöre zu moderner Wirtschaftspolitik und ebne als vertrauensbildende Maßnahme den Weg für Innovation und Wachstum. Insgesamt seien im Verbraucherschutz Transparenz, Wahlfreiheit und Schutz vor Missbrauch unerlässlich.

Aus den Entwicklungen ergäben sich insbesondere folgende Handlungsfelder:

• Datenschutz bei RFID-Chips,
• Kundenkarten,
• mehr Transparenz beim Scoring,
• Bekämpfung von Spam-Mails und
• Sicherheit beim elektronischen Geschäftsverkehr.

Verbraucherschutz und wirtschaftliche Innovation, so die Referentin, seien nicht etwa Gegensätze, sondern gehörten eng zusammen. Politik und Verwaltung seien bemüht, die Entwicklung durch das Setzen von Rahmenbedingungen voranzubringen. Einen anderen Teil müsse die Wirtschaft z.B. durch Selbstregulierung beitragen.

Im Rahmen der nachfolgenden Diskussion zeigte sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Peter Schaar, „hin- und hergerissen“ zwischen dem Hinweis auf eine Erosion des Datenschutzes einerseits und den ebenfalls aufgezeigten Ansätzen für zukunftsgerichteten Datenschutz andererseits. Zukunftsfähiger Datenschutz müsse an der Förderung des Datenschutzbewusstseins ansetzen. Dem Einzelnen müsse deutlich gemacht werden, dass Datenschutzfragen zunehmend auch Relevanz für ihn persönlich erhielten, wie etwa dann, wenn seine Kreditanfrage wegen eines schlechten Scorewertes abgelehnt oder das Darlehen nur zu schlechteren Konditionen gewährt werde. Ein stärkeres Datenschutzbewusstsein, so Schaar, sei dabei vor allem über einen Bündnisschluss mit Verbraucherschutz und Wirtschaft zu erzielen.

Auf die verschiedentlich geäußerte Kritik an der Disponibilität von Persönlichkeitsrechten über weitreichende Einwilligungserklärungen reagierte Dr. Wollersheim mit dem Hinweis, dass man Entscheidungen von mündigen Verbrauchern akzeptieren müsse.

Angesichts der aktuellen Sicherheitsbedürfnisse und der immensen Potenziale moderner Datenverarbeitung sowie der damit verbundenen Herausforderungen an die informationelle Selbstbestimmung sei eine grundlegend neue Wertediskussion zu führen, konstatierte die stellvertretende Vorsitzende der GDD Dr. Astrid Breinlinger. Aus Sicht der GDD gehe es mit Blick auf eine zunehmende Verlagerung staatlicher Aufgaben auf Unternehmen (z.B. durch die Vorratsdatenspeicherung) darum, den Datenschutz zu verteidigen und unangemessene Belastungen zu vermeiden.

Anlässlich der 30. DAFTA wurde erstmals der GDD-Wissenschaftspreis verliehen, mit dem herausragende wissenschaftliche Arbeiten auf den Gebieten Datenschutz und Datensicherheit ausgezeichnet werden. Der mit der Verleihung verbundene Geldpreis soll auch zukünftig insbesondere der Förderung von Nachwuchswissenschaftlern dienen. Die GDD fungiert mithin als Schalt­stelle zwischen Wissenschaft und Datenschutzpraxis.

Der erste GDD-Wissenschaftspreis ging an Dr. Jörg Hladjk für seine juristische Dissertation „Online-Profiling und Datenschutz - Eine Untersuchung am Beispiel der Automobilindustrie“. In sei­ner Arbeit beschäftigt sich Hladjk mit dem Da­ten­schutzrecht bei der kundenindividuellen Massenproduktion. Gerade die Individualisierung der Massenproduktion führt zu einer detaillierten Erhe­bung von Kundendaten verbunden mit einer umfassenden Profilerstellung. Wesentliches Ge­stal­tungselement der Individualisierung stelle die Einwilligung des Kunden in die Datenverarbeitung dar.

25. RDV-Forum am 15. November 2006 in Köln

Unter der Leitung von Prof. Peter Gola (RDV-Schriftleitung) fand am 15. November 2006 in Köln das 25. RDV-Forum unter dem Leitthema „Ethics in Business - Datenschutz in der Unternehmenspolitik“ statt. Dem Leitthema entsprechend wurden verschiedene Aspekte des Kunden- und Arbeitnehmerdatenschutzes auch unter wirtschaftsethischen Gesichtspunkten behandelt.

Mit Blick auf den Kundendatenschutz stellte Dr. Ivo Geis (Rechtsanwalt, Hamburg) fest, dass der Datenschutz des BDSG für Kundenprofile und mobile Speichersysteme durch das Transparenz- und Einwilligungskonzept realisiert sei. Im Hinblick auf die Internetkommunikation bestehe aus seiner Sicht hinsichtlich der Verarbeitung von Nutzerdaten zu Kundenprofilen keine Alternative zur Einwilligung.

Dr. Astrid Breinlinger (Rechtsanwältin, Freiburg und GDD-Vorstandsmitglied) erörterte Whistle­blowing-Regelungen im Compliance-Management. Hierbei zeigte sie auf, dass es nach Auffassung der Aufsichtsbehörden der Einhaltung von Datenschutzprinzipien bedarf, um ethisch zweifelhafte Praktiken im Unternehmen durch die Gestaltung von Hinweisgebersystemen zu vermeiden.

Verschiedene Vorträge beschäftigten sich mit weiteren Aspekten der Ethik und des Datenschutzes im Arbeitsrecht. Dietrich Boewer (Rechtsanwalt, Köln) gab einen Überblick über die diesbezügliche Gesetzgebung und Rechtsprechung und richtete den Fokus auf die Verwendung allgemeiner Geschäftsbedingungen, die Arbeitsvertragsgestaltung sowie das neue Allgemeine Gleichbehandlungsgesetz (AGG). Prof. Peter Gola (RDV-Schriftleitung, Vorstandsvorsitzender der GDD) erörterte mit Blick auf das AGG, ob und inwieweit der Datenschutzbeauftragte als Beschwerdestelle im Sinne des AGG fungieren kann. Aus seiner Sicht erscheint es nicht abwegig, dem betrieblichen Datenschutzbeauftragten über die ihm sowieso zugeschriebene Funktion der Datenschutzkontroll- und -beschwerdestelle hinausgehend auch die Aufgabe der Kontrolle von Verstößen gegen das AGG zu übertragen.

Rechtsanwalt Christoph Klug (stellv. Geschäftsführer der GDD) zeigte die Konsequenzen der im Jahre 2006 erfolgten BDSG-Änderungen für betriebliche Datenschutzbeauftragte auf. Der Vortrag von Thomas Zerdick (Europäische Kommission) verdeutlichte insofern, dass die EU-Kom-
mission sich gegebenenfalls veranlasst sehen wird, die BDSG-Neuregelungen zur Lockerung der Pflicht zur Bestellung betrieblicher Datenschutzbeauftragter bei gleichzeitiger Lockerung der Meldepflicht auf eine Richtlinienkonformität hin zu überprüfen.