GDD-Infotag 1999

Leitthema "Aktuelle Entwicklungen im allgemeinen und bereichsspezifischen Datenschutzrecht"

Der GDD-Informationstag 1999 fand am 21. Juni 1999 unter dem Leitthema „Aktuelle Entwicklungen im allgemeinen und bereichsspezifischen Datenschutzrecht“ in Berlin statt. Die Novellierung des BDSG, der Datenschutz in der Telekommunikation und Unternehmen als Internetdienstleister waren zentrale Themen der von Prof. Dr. Reinhard Voßbein (GDD-Vorstand) geleiteten Veranstaltung. Damit bot der mit ca. 80 Teilnehmern gut besuchte Informationstag der GDD auch im Berichtsjahr die Gelegenheit, sich über aktuelle politische und datenschutzrechtliche Entwicklungen mit Vertretern der Datenschutzaufsicht auszutauschen.

In seinem Eröffnungsreferat skizzierte Prof. Dr. Hansjürgen Garstka, Berliner Beauftragter für Datenschutz und Akteneinsicht, den Stand und die Reformperspektiven der Novellierung des BDSG. Der Referent wies auf den durch die EG-Daten­schutz­richt­linie vorgegebenen Zeitdruck im Hinblick auf die Umsetzung in nationales Recht hin und berichtete über den Stand der derzeitigen Beratungen. Die beteiligten Bundesministerien, die Fraktionen sowie andere Beteiligte seien darin übereingekommen, die Novellierung in einem zweistufigen Verfahren durchzuführen. Im Rahmen der ersten Stufe gehe es um die zügige Verabschiedung eines BDSG, das auf dem Entwurf der vorherigen Bundesregierung basiere und darüber hinaus einige innovative Neuregelungen beinhalte, die u. a. auch Gegenstand von Vorschlägen der Datenschutzbeauftragten des Bundes und der Länder gewesen seien. Noch in dieser Legislaturperiode solle das BDSG in einer zweiten Stufe neu strukturiert und modernisiert werden. Nach den vorangegangenen Beratungen und Koalitionsgesprächen plane man für die erste Stufe neben dem Rückgriff auf den Entwurf der alten Bundesregierung auch die Aufnahme von Neuregelungen zu folgenden Inhalten:

• Prinzip der Datenvermeidung und Datensparsamkeit,
• Präzisierung der Vorabkontrolle,
• Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen,
• mobile personenbezogene Speicher- und Verarbeitungsmedien,
• freiwilliges Datenschutzaudit,
• besondere Erhebungs- und Verarbeitungsvorschriften für sensitive Daten,
• Kennzeichnungspflicht bei Widerspruch gegen die Veröffentlichung in elektronischen Verzeichnissen,
• Wegfall des Widerspruchsrechts gegen die Kontrolle durch den Bundesbeauftragten für den Datenschutz bei Personalakten,
• Stärkung der Unabhängigkeit der Aufsichtsbehörden, allerdings unter Rechtsaufsicht „der Landesregierung oder der zuständigen Obersten Landesbehörde“.

Mit Blick auf den Grundsatz der Datenvermeidung und Datensparsamkeit wies der Referent auf die Möglichkeit hin, dass Aufsichtsbehörden zukünftig verstärkt auf eine datenvermeidende bzw. datensparsame Technikgestaltung in den Unternehmen hinwirken könnten. Die vorgesehenen Regelungen zur Videoüberwachung beträfen die reine Beobachtung und die sich hieran anschließende Speicherung des Bildmaterials. Daneben sei aus Gründen der Transparenz eine Aufklärungspflicht gegenüber den Betroffenen vorgesehen. Zum Chipkarteneinsatz seien Unterrichtungspflichten der ausgebenden Stelle bzw. Informationsrechte der Betroffenen geplant.

Mit der Aufnahme eines Grundrechts auf informationelle Selbstbestimmung, einer Gleichstellung des öffentlichen und des nicht-öffentlichen Bereichs, Regelungen zur völligen Unabhängigkeit und zu den Exekutivbefugnissen der Aufsichtsbehörden, einer abstrakteren und damit zeitgemäßeren Formulierung der technischen und organisatorischen Maßnahmen, der Schaffung eines Rechts auf Informationszugang und der „Internetfähigkeit“ des Datenschutzes nannte Garstka einige mögliche Reformansätze der zweiten Novellierungsphase. In diesem Zusammenhang wies der Referent aber auch darauf hin, dass derartige Reformansätze derzeit weitgehend spekulativ seien.

Gabriele Löwnau-Iqbal, Referentin beim Bundesbeauftragten für den Datenschutz, behandelte in ihrem Vortrag die aktuellen Entwicklungen im Datenschutz der Telekommunikation. In absehbarer Zeit werde es zum Erlass von zwei wichtigen Rechtsverordnungen kommen. Die Telekommunikations-Datenschutzverordnung (TDSV) basiere auf § 89 Abs. 1 TKG und bedürfe der Zustimmung des Bundesrates. Die Telekommunikations-Über­wachungsverordnung (TKÜV) finde in § 88 Abs. 2 Satz 2 TKG ihre Ermächtigungsgrundlage und sei nicht zustimmungsbedürftig.

Mit der TDSV solle eine Anpassung an das TKG und zugleich eine Umsetzung der EG-Tele­kom­muni­ka­tions-Datenschutzrichtlinie erfolgen. Der hierzu vom Bundesministerium für Wirtschaft und Technologie vorgelegte Verordnungsentwurf beziehe - abweichend von der derzeit geltenden TDSV - alle geschäftsmäßigen Erbringer von Telekommunikationsdiensten (z.B. auch Nebenstellenanlagen in Betrieben, soweit sie auch zur privaten Nutzung zur Verfügung gestellt würden) in den Anwendungsbereich mit ein. Im Wirtschaftsministerium werde allerdings geprüft, ob die Möglichkeit bestehe, die Anwendbarkeit einiger Regelungen auf gewerbsmäßige Telekommunikationsdienste zu beschränken. Bezüglich verschiedener Regelungen des Entwurfs sei bereits ein Anpassungsbedarf in sprachlicher Hinsicht bzw. ein Änderungsbedarf inhaltlicher Art ins Feld geführt worden. Danach sei etwa die Definition der Kundenkarte (§ 2 Nr. 5 TDSV-E) ebenso überarbeitungsbedürftig wie die Formulierung in § 9 Abs. 2 TDSV-E, der die Verhütung und Aufdeckung missbräuchlicher Inanspruchnahme betreffe. An die Stelle der ursprünglich vorgesehenen Regelung zur Übermittlung personenbezogener Daten ins Ausland (§ 3 Abs. 5 TDSV-E) solle eine dynamische Verweisung auf die Vorschriften des BDSG treten. Da eine Rücknahmemöglichkeit in Bezug auf die elektronisch erklärte Einwilligung im Teledienstedatenschutzgesetz nicht vorgesehen sei, werde auch dieser Punkt nochmals überprüft. Die Nutzung von Bestandsdaten für Zwecke der Werbung, Beratung und Markt­forschung solle entsprechend der Vorgabe des TKG von einer Einwilligung abhängig gemacht werden. Des Weiteren habe das Wirtschaftsministerium bereits angekündigt die vorgesehene Jahresfrist für die Speicherung von Verbindungsdaten noch zu verkürzen. Hinsichtlich der in § 11 TDSV-E geregelten Rufnummernanzeige und deren Unterdrückung bestünden einige technische Probleme, die von den Unternehmen nicht gelöst werden könnten. Die Referentin informierte darüber, dass die beim Ministerium eingegangenen Stellungnahmen - soweit ihnen gefolgt werden könne - eingearbeitet werden sollen. Eine Versendung des überarbeiteten Entwurfs an die Ressorts sei für Juli 1999 vorgesehen.

Die Referentin behandelte weiterhin die vom Bundesministerium für Wirtschaft und Technologie ent­wickelten „Eckpunkte für den Regelungsrahmen der Rechtsverordnung nach § 88 TKG“. Der vor­an­gegangene Entwurf einer Telekommunikations-Überwachungsverordnung vom Mai 1998 habe hinreichende Ausnahmeregelungen zum Umfang der die Unternehmen treffenden Verpflichtungen nicht vorgesehen, was u. a. auch von der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) in ihrer Stellungnahme zu dem Verordnungsentwurf kritisiert worden sei (vgl. GDD-Informationen, Beilage zu RDV 4/98). Aus dem aktuellen Eckpunktepapier ergebe sich jedoch die begrüßenswerte Absicht, von vorhandenen Ausnahmemöglichkeiten Gebrauch zu machen, was sich insbesondere daran zeige, dass geschäftsmäßige Erbringer von Telekommunikationsdiensten (z.B. Corporate Networks) nicht mehr verpflichtet sein sollen, die technischen Vorrichtungen zur Überwachung der Telekommunikation permanent vorzuhalten. Welche Belastungen auf die genannten Stellen zukämen, wenn sie externe Einrichtungen im Einzelfall bereitstellen müssten, sei bislang nicht klar. Der Bundesbeauftragte für den Datenschutz werde sich darum bemühen, dass die Verordnung aus Sicht des Datenschutzes möglichst wenig Belastung bringe.

Dr. Friedrich Gackenholz, Innenministerium Baden-Württemberg, stellte in seinem Vortrag Konstellationen dar, bei denen Unternehmen als Internetdienstleister in Erscheinung treten können. Mit Blick auf den Schutz der Persönlichkeitsrechte der Mitarbeiter stand die Anwendbarkeit der Vorschrif­ten des Teledienstedatenschutzgesetzes (TDDSG) im Arbeitsverhältnis im Vordergrund.

Der Referent differenzierte zunächst danach, ob dem Mitarbeiter die Internetnutzung (einschl. E‑Mail) ausschließlich für geschäftliche oder auch für private Zwecke zur Verfügung gestellt wird.

Für den erstgenannten Fall wurde festgestellt, dass Mitarbeiter des Unternehmens nicht Nutzer i.S.d. TDDSG seien. Die Mitarbeiter seien in Bezug auf ihre geschäftliche Kommunikation (quasi als Erfüllungsgehilfen) rechtlich dem Unternehmen zuzurechnen. Im Verhältnis des Unternehmens zu den Mitarbeitern sei das BDSG anwendbar. Im Rahmen des allgemeinen Datenschutzrechts und der Grundsätze des Arbeitnehmerdatenschutzes seien auch Kontrollen der Internetnutzung zulässig. Die Mitarbeiter seien aus Transparenzgründen jedoch über die Kontrollmöglichkeiten zu informieren. Betriebsvereinbarungen und Benutzerrichtlinien wurden als mögliche betriebsinterne Regelwerke genannt.

Andererseits sei ein Diensteanbieter-Nutzerver­hältnis i.S.d. TDDSG gegeben, wenn dem Mitarbeiter auch die private Internetnutzung gestattet werde. Einschlägig sei neben dem Telediensterecht auch das telekommunikationsrechtliche Fernmeldegeheimnis. Im Gegensatz zur rein geschäftlichen Nutzung dürfe grundsätzlich kein Einblick in Kommunikationsinhalte durch das Unternehmen erfolgen.

Soweit eine Trennung der geschäftlichen und privaten Nutzung von E-Mail und Internet - etwa durch getrennte Zugänge (Geschäfts- und Privat­account) - nicht erfolge, müsse sichergestellt sein, dass die Kontrollen der geschäftlichen Kommunikation nicht auf die private Nutzung ausgedehnt würden. Die Auswertung der privaten Internetnutzung sei auch keiner Einwilligung zugänglich, da die Möglichkeit des Eingriffs in die informationelle Selbstbestimmung des Mitarbeiters grundsätzlich durch Inhalt und Zweck des Arbeitsverhältnisses begrenzt sei. Im Fall einer nicht getrennten Nutzung seien Protokolldaten frühestmöglich zu löschen. Soweit unterschiedliche Zugänge bestünden, könne es aus betrieblichen Zwecken zulässig sein, die privat verbrauchte Zeit zu erfassen, um Missbrauchsmöglichkeiten einschränken zu können.

Die Vermittlung des Internetzugangs durch einen sog. Konzern-Service-Provider stelle eine weitere Fallkonstellation dar. Wenn ein Konzern-Service-Provider anderen Unternehmen den Zugang zum Internet vermittele, sei dieser Diensteanbieter i.S.d TDDSG. Nutzer seien die Unternehmen. Für die Transporte gelte das Fernmeldegeheimnis, das auch gegenüber der Konzernmutter zu wahren sei. Soweit im Rahmen der Teledienstnutzung Mitarbeiterdaten anfielen, gelte im Verhältnis Mitarbeiter/Unternehmen allgemeines Datenschutzrecht. Häufig beauftrage das Beschäftigungsunternehmen den Konzern-Service-Provider mit der Verarbeitung von Mitarbeiterdaten (z.B. Protokollierung von Nutzungsdaten). In diesem Fall liege eine Auftragsdatenverarbeitung mit den entsprechenden datenschutzrechtlichen Konsequenzen vor.

Auch in dem Fall, wo der Konzern-Service-Provi­der Informations- und Geschäftsangebote ins Internet vermittele, liege ein Anbieter-Nutzerverhältnis i.S.d. TDDSG vor. Nutzer seien allerdings außenstehende Dritte, an die sich die Angebote richteten. Im Verhältnis zum Dritten träfen den Konzern-Service-Provider die datenschutzrechtlichen Verpflichtungen aus dem TDDSG. Soweit es aufgrund der Angebote des Unternehmens zu Vertragsbeziehungen komme, gelte im Verhältnis der anbietenden Unternehmen zu den Kunden allgemeines Datenschutzrecht.

Ermögliche ein Konzern-Service-Provider Mitarbeitern anderer Unternehmen die private Nutzung des Internets, gelte das TDDSG im Verhältnis Mitarbeiter/Konzern-Service-Provider, wobei letztgenannter die Abrechnungsdaten der Mitarbeiter an das Unternehmen weitergebe. Die Daten seien da­bei soweit zu anonymisieren, dass zwar die Abrech­nung beim Unternehmen erfolgen könne, aber keine weitergehenden Informationen mehr enthalten seien.

Abschließend stellte Gackenholz fest, dass das gel­tende Recht für die dargestellten Fallkonstellationen sachgerechte Lösungen bereithalte. Die vorhandenen Regelwerke seien geeignet, den Belangen des Datenschutzes ausreichend Rechnung zu tragen. Allerdings sei der Gesetzgeber aufgerufen die Möglichkeit einer Vereinfachung des Datenschutzrechts zu prüfen.

Im Vorfeld der Diskussion stellte Rechtsanwalt Christoph Klug, stellvertretender Geschäftsführer der GDD, die Sichtweise der GDD zu aktuellen Entwicklungen im Datenschutzrecht dar. Die im Rahmen der BDSG-Novellierung geplante gesetzliche Regelung eines Datenschutzaudits sei nach Auffassung der GDD nur insoweit sinnvoll, als das bewährte Prinzip der innerbetrieblichen Selbstkontrolle nicht gefährdet werde. Von daher solle sich eine Regelung zum Datenschutzaudit nicht generell auf datenverarbeitende Stellen beziehen. Hinsichtlich des Datenschutzes in der Telekommunikation sei es begrüßenswert, dass die vielfältige - u. a. auch von der GDD geübte - Kritik dazu geführt habe, dass der Entwurf einer Telekommunikations-Überwachungsverordnung (TKÜV) vom Mai 1998 zurückgezogen worden sei und das aktuelle Eckpunktepapier des Bundesministeriums für Wirtschaft und Technologie eine stärkere Orientierung am Grundsatz der Verhältnismäßigkeit erkennen lasse. Auch die neue Telekommunikations-Datenschutzverordnung müsse dem Grundsatz der Verhältnismäßigkeit Rechnung tragen und unangemessene Belastungen für die Wirtschaft vermeiden. Dies gelte erst recht vor dem Hintergrund, dass eine Ausdehnung des Anwendungsbereichs der TDSV auf das geschäftsmäßige Erbringen von Telekommunikationsdiensten erfolgen werde. Die GDD setze sich daher im Rahmen ihrer Stellungnahme zu dem aktuellen Verordnungsentwurf für differenzierte Lösungen und eine sachgerechte Einordnung der Unternehmenskommunikation ein.