Startseite » Mitgliedschaft » Infotage » GDD-Infotag 2000
Bereichsbild

Mitgliedschaft

GDD-Infotag 2000

 
Informationen zum GDD-Infotag aus dem Jahre 2000

Leitthema „Daten­schutz­auf­sicht im Zeichen von Globalisierung und Technikentwicklung“ 

Der GDD-Informationstag 2000 fand am 15.06.00 unter dem Leitthema „Daten­schutz­auf­sicht im Zeichen von Globalisierung und Technikentwicklung“ in den Räumen der gastgebenden Industrie- und Handelskammer Rhein-Neckar in Mannheim statt. Die Datenübermittlung ins Ausland, moderne Netzwerke und Datenkommunikation sowie die Modernisierung der Anlage zu § 9 BDSG waren zentrale Themen der von Wolfgang Strubel (GDD-Vorstand) geleiteten Veranstaltung. Damit bot der mit ca. 120 Teilnehmern gut besuchte Informationstag die Gelegenheit, sich über aktuelle und praxisrelevante Themen mit Vertretern der Datenschutzaufsicht auszutauschen.

Zu Beginn berichtete Rechtsanwalt Andreas Jaspers (Geschäftsführer der GDD) über die aktuellen Entwicklungen im Zusammenhang mit der geplanten zweistufigen Novellierung des BDSG. Im Rahmen der ersten Stufe solle möglichst zeitnah die EG-Datenschutzrichtlinie in nationales Recht umgesetzt werden; gleichzeitig sei beabsichtigt, einige innovative Neuregelungen in das BDSG mit aufzunehmen. Mit einer entsprechenden Zielsetzung habe die Bundesregierung am 14.06.2000 einen abgestimmten Entwurf für ein neues BDSG beschlossen. Voraussichtlich werde der Kabinettsentwurf aber erst nach der Sommerpause dem Bundesrat zur Stellungnahme zugeleitet. Hieran anschließend erfolge die parlamentarische Beratung im Bundestag. Im Hinblick auf das parlamentarische Verfahren erwäge die GDD die Abgabe einer weiteren Stellungnahme.

Zur Initiierung der zweiten Stufe, mit der eine Gesamtreform des deutschen Datenschutzrechts an­ge­strebt werde, beginne am 15.06.2000 in Berlin auf Einladung der Bundestagsabgeordneten Struck und Schlauch ein Workshop „Moderner Datenschutz“. Die GDD werde sich bereits im Rahmen dieses Workshops in die Überlegungen für die zweite Stufe einbringen.

In seinem Eröffnungsreferat „Datenübermittlung ins Ausland, insbesondere innerhalb internationaler Konzerne“ stellte Dr. Friedrich Gackenholz (Innen­mi­nisterium Baden-Württemberg) die Ergebnisse des von baden-württembergischen Unternehmen ge­gründeten Arbeitskreises „Daten­weitergabe ins Ausland“ vor. Der Referent hob zunächst auf die Datenübermittlung in den Geltungsbereich der EG-Datenschutzrichtlinie und die dafür einschlägigen Vorschriften des § 28 BDSG-E ab. Neben den dort enthaltenen Erlaubnistatbeständen lasse sich die Daten­übermittlung auch durch eine Einwilligung oder eine entsprechende Betriebsvereinbarung rechtfertigen. Der Referent verdeutlichte, dass die Europäische Union datenschutzrechtlich als einheitlicher Rechtsraum mit „angemessenem Datenschutzniveau“ angesehen werde. Im Fall einer beabsichtigten Drittlandübermittlung führe das Vorliegen eines schutzwürdigen Interesses des Betroffenen zum Ausschluss der Übermittlung. Die Auslegung des schutzwürdigen Interesses werde nach der Angemessenheit des Datenschutzniveaus im Drittland beurteilt. Die positive Beurteilung des Datenschutzniveaus führe wiederum zur Anwendung des § 28 BDSG-E. Bei der Datenübermittlung in ein Drittland ohne angemessenes Datenschutzniveau könne der Ausschluss der Über­mittlung vermieden werden, wenn beim Datenempfänger Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte bestünden; diese Garantien könnten sich insbesondere aus Vertragsklauseln und sog. Codes of Conduct ergeben. Darüber hinaus könne die Europäische Kommission die Angemessenheit des Datenschutzniveaus im Drittland verbindlich feststellen. Eine entsprechende Entscheidung stehe hinsichtlich der USA im Zusammenhang mit dem sog. „Safe Harbor“ bevor.

Hinsichtlich der Schaffung von geeigneten Garantien durch Code of Conduct ergäben sich aus Sicht der internationalen Konzerne folgende Zielsetzungen:

  • Die Schaffung eines konzerninternen angemessenen Datenschutzniveaus durch verbindliche Konzernregelungen (Codes of Conduct).
  • Der Code of Conduct müsse im Gesamtkonzern - unabhängig davon, wo die Konzernmutter ihren Sitz habe - akzeptiert werden.
  • Mit dem Code of Conduct müssten - bezogen auf die Teilkonzerne in der Europäischen Union - die Vorgaben der EG-Datenschutzrichtlinie erfüllt werden; bezogen auf Deutschland müsse der Code of Conduct von der Aufsichtsbehörde akzeptiert werden.

Im Anschluss an die Darstellung einiger Maßnahmen zur Erreichung der vorgenannten Ziele stellte Dr. Gackenholz Rahmenvorschläge für einen Code of Conduct vor. Diese Vorschläge orientierten sich an dem Arbeitspapier WP 12 der nach Artikel 29 der EG-Datenschutzrichtlinie zuständigen Datenschutzgruppe.

Abschließend stellte der Referent fest, dass die künftige Bedeutung des Genehmigungsverfahrens zur Übermittlung in Drittstaaten bei der Aufsichtsbehörde gegenwärtig noch nicht abzuschätzen sei. Dadurch, dass der Gesetzgeber verbindliche Unternehmensregelungen grundsätzlich als ausreichende Garantien zur Gewährleistung eines angemessenen Datenschutzniveaus akzeptiere, könnten internationale Konzerne ggf. zur Schaffung einheitlicher Datenschutzregelungen im Rahmen sog. Codes of Conduct motiviert werden. Generell zeige die Diskussion, dass angesichts der Globalisierung des Wirtschaftsverkehrs und der Datenflüsse die Lösung datenschutzrechtlicher Probleme über nationales Datenschutzrecht hinausweise.

Günter Sreball (Datenschutzaufsichtsbehörde Darmstadt) behandelte in seinem Vortrag „Moderne Netzwerke und Datenkommunikation“ praktische Konsequenzen für das Aufgabenfeld des Datenschutzbeauftragten. Einen Schwerpunkt der Aufgaben des Daten­schutzbeauftragten bilde die Überwachung der ordnungsgemäßen Anwendung der DV-Pro­gram­me, mit deren Hilfe personenbezogene Daten verarbeitet würden. In Netzwerken und bei der Nutzung von Informationstechnik werde mit Programm-Verfahren gearbeitet, die vom Datenschutz­beauftragten zu überwachen seien. Der Referent skizzierte die einzelnen Aufgaben des Datenschutzbeauftragten im Hinblick auf interne und die weniger überschaubaren externen Netzwerke. Wesentlich sei, dass der Datenschutzbeauftragte einen Überblick über alle vom Unternehmen genutzten Netzwerke und Datenverarbeitungsanlagen habe.

Hinsichtlich der Nutzung von E-Mail-Diensten sprach sich der Referent für den Abschluss von detaillierten Betriebsvereinbarungen aus. Soweit eine derartige Vereinbarung im Unternehmen noch nicht vorliege, sei es Aufgabe des Datenschutzbeauftragten Vorschläge für eine solche Regelung zu unterbreiten. Neben dem Schutz der Persönlichkeitsrechte der Arbeitnehmer gehe es auch um die Gewährleistung einer größtmöglichen Datensicherheit. Vor diesem Hintergrund ergebe sich für den Datenschutzbeauftragten die Aufgabe, die Mitarbeiter hinsichtlich möglicher Gefahren zu schulen und zu sensibilisieren. Im Bereich der Internetnutzung habe der Datenschutzbeauftragte zu überprüfen, welcher Datenart (Vertrags-, Abrech-nungs-, Bestands- und Nutzungsdaten) die angefallenen Daten hinzuzurechnen seien, bevor die Rechtmäßigkeit der Speicherung, Verarbeitung oder Nutzung überprüft werden könne.

Abschließend sprach sich Sreball für ein vom Datenschutzbeauftragten geprägtes Netzmanagement aus, das auf die Belange des Unternehmens abgestellte Vorgaben enthalte und deren Einhaltung testiere. Im Rahmen eines schriftlichen Verfahrens sollten die für einen ordnungsgemäßen Betrieb zuständigen Mitarbeiter in das Netzmanagement mit eingebunden werden.

Walter Ernestus (Referent beim Bundesbeauftragten für den Datenschutz) ging in seinem Referat der Frage nach, ob die Anlage zu § 9 BDSG einer Modernisierung bedarf. Einleitend stellte der Referent fest, dass das Bundesdatenschutzgesetz und die Datenschutzgesetze der Länder technisch-organisatorische Regelungen beinhalteten, die sich an einer zentralen Großrechnerwelt orientierten und die insbesondere in Anbetracht der neuen Technologien und einer weltweiten Vernetzung nicht mehr zeitgemäß seien. Vor diesem Hintergrund gestalte sich die Anwendung der gesetzlichen Regelungen in einer veränderten IT-Welt als schwierig, was durch zahlreiche Beispiele belegt wurde. Anlässlich der anstehenden Novellierungen der Datenschutzgesetze der Länder und des Bundes sei in dem Arbeitskreis „Technische und organisatorische Datenschutzfragen“ der Datenschutzbeauftragten der Länder und des Bundes eine Empfehlung erarbeitet worden, die sich mit der Vereinheitlichung der Regelungen zum technischen und organisatorischen Datenschutz befasse. Mit Blick auf die gleichgelagerten Zielsetzungen von IT-Sicherheit und den Technikregelungen in den Datenschutzgesetzen habe man sich die Frage gestellt, warum die gleichen Sachverhalte mit unterschiedlichen Begriffen belegt worden seien. Dabei sei man zu dem Ergebnis gekommen, dass eine Abkehr von den in den „Zehn Geboten“ zusammengefassten Sicherheitsmaßnahmen zu Guns­ten einer modernen Definition, die sich ausschließlich an Sicherheitszielen orientiere und das notwendige Bindeglied zwischen IT-Sicherheit und Datenschutz darstellen könne, sinnvoll sei. Auch die europäische Datenschutzrichtlinie zeige, dass Ansatzpunkt nicht mehr Kontrollen sondern Sicherheits­ziele seien. So würden in den Artikeln 16 und 17 die Sicherheitsziele Verfügbarkeit, Vertraulichkeit und Integrität definiert. Ergänzt würden diese Ziele noch durch den Aspekt der Revisionssicherheit (Prüfbarkeit).

Abschließend erörterte der Referent die Problematik, inwieweit die Sicherheitsziele noch durch konkrete Maßnahmen ergänzt werden sollten. Die Frage wurde dahingehend beantwortet, dass eine Verordnungsermächtigung für den Fall von besonderen Gefährdungen grundsätzlich gegenüber der Aufnahme von ergänzenden konkreten Maßnahmen in das BDSG vorzugswürdig sei.