GDD-Infotag 2002

• Prof. Dr. Hansjürgen Garstka "Datentransfer ins Ausland"
• Martin Kogel "Die neue Regelung der Videoüberwachung"
• Gesetz zur Änderung des BDSG und anderer Gesetze
• Evelyn Seiffert "Ausgewählte Praxisfragen des neuen BDSG" 
• Code of Conduct für Privacy and Security - Mustertext
• Datenschutz-Policy für die Unternehmenshomepage - Vertrauen durch Transparenz

Leitthema „Das BDSG 2001 aus Sicht der Aufsichtsbehörden“

Der GDD-In­for­ma­tions­tag fand am 27.06.2002 im Schulungszentrum der gastgebenden Fraport AG in Frankfurt statt und stand unter dem Leitthema „Das BDSG 2001 aus Sicht der Aufsichtsbehörden“. Der Datentransfer ins Ausland, die neuen Regelungen zur Videoüberwachung sowie ausgewählte Praxisfragen des neuen BDSG waren zentrale Themen der von Wolfgang Strubel (GDD-Vorstand) geleiteten Veranstaltung. Damit bot der mit ca. 130 Teilnehmern gut besuchte Informationstag auch wieder die Gelegenheit, sich über aktuelle und praxisrelevante Themen mit Vertretern der Datenschutzaufsicht auszutauschen.

Andreas Jaspers (Geschäftsführer der GDD) verdeutlichte eingangs die Bemühungen der GDD, bei der Umsetzung des vor einem Jahr novellierten Bundesdatenschutzgesetzes Unterstützung zu bieten und das Gesetz mit Leben zu füllen. Der von der GDD ins Leben gerufene Arbeitskreis „BDSG 2001“ habe mit der Praxishilfe „Verarbeitungsübersicht, Verfahrensverzeichnis, Vorabkontrolle“ bereits einen wertvollen Beitrag geleistet. Aktuell sei der Arbeitskreis mit der Entwicklung einer Praxishilfe zu den Themen Datenübermittlung ins Ausland, au­to­ma­ti­sier­te Einzelentscheidung, Videoüberwachung, Chipkarten befasst, die den GDD-Mitgliedern im Anschluss an ihre Fertigstellung zur Verfügung gestellt werde.

Herr Jaspers informierte weiterhin über eine Internet-Umfrage der Europäischen Kommission. Die EU-Kommission bereite einen Bericht über die Erfahrungen mit der EG-Datenschutzrichtlinie (95/46/EG) vor, dem eine Datenschutzkonferenz in Brüssel im Oktober 2002 vorausgehen werde. Nicht nur die Aufsichtsbehörden für den Datenschutz seien aufgerufen, ihre Erfahrungen einzubringen, sondern auch die für die Verarbeitung Verantwortlichen und Bürger. In diesem Zusammenhang rief Herr Jaspers die Anwesenden zur regen Beteiligung an dieser Umfrage auf.

In seinem Eröffnungsreferat erläuterte Prof. Dr. Hansjürgen Garstka (Berliner Beauftragter für Datenschutz und Informationsfreiheit) den Diskussionsstand zum Datentransfer ins Ausland. Maßgeblich seien insoweit § 1 Abs. 5 sowie die §§ 4b, c BDSG.

§ 1 Abs. 5 des BDSG enthalte nunmehr eine Kollisionsvermeidungsnorm. Es handele sich um folgende Fallkonstellation: Für eine innerhalb der EU gelegene verantwortliche Stelle, die in Deutschland keine Niederlassung betreibe, aber Daten erhebe, gelte das Recht desjenigen Mitgliedstaates, in dem die verantwortliche Stelle ihren Sitz habe. Als Beispiel führte er folgenden Fall an: Ein französisches Meinungs- und Marktforschungsunternehmen führt in Deutschland, wo keine Niederlassung besteht, eine Umfrage durch, mit der Folge, dass deutsches Recht nicht anwendbar ist, sondern französisches Datenschutzrecht. Der Niederlassungsbegriff setze eine organisatorisch, räumlich und personell ausgestattete Stelle voraus.

Bei der Datenübermittlung ins Ausland sei zwischen Übermittlungen innerhalb und außerhalb des Geltungsbereichs der Richtlinie zu unterscheiden. Datenübermittlungen innerhalb des europäischen Binnenmarktes seien nach den gleichen Zulässigkeitsvoraussetzungen zu beurteilen, wie Datenübermittlungen innerhalb Deutschlands, nämlich nach den §§ 15 Abs. 1, 16 Abs. 1 sowie 28 bis 30 BDSG.

Übermittlungen in Drittländer dürften nicht stattfinden, wenn der Betroffene ein schutzwürdiges Interesse am Ausschluss der Übermittlung habe. Dies sei insbesondere dann der Fall, wenn beim Datenempfänger kein angemessenes Datenschutzniveau gewährleistet sei, was von der verantwortlichen Stelle zu überprüfen sei, da sie gemäß § 4b Abs. 5 BDSG die Verantwortung für die Zulässigkeit der Übermittlung trage. Vorrangig zu beachten habe die verantwortliche Stelle jedoch verbindliche Feststellungen der Europäischen Kommission. Die­se treffe ihre Entscheidungen zumeist auf Grund­lage der jeweiligen innerstaatlichen Rechtsvor­schrif­ten (so geschehen für die Schweiz, Ungarn und mit Einschränkung für Kanada) oder auf Grund von Verhandlungen wie im Fall der Safe-Harbor-Lösung mit den USA. Als weitere Möglichkeit der Legitimation der Datenübermittlung kämen Einwilligungserklärungen und ggf. auch Betriebsvereinbarungen in Betracht.

Bestehe im Empfängerland kein ausreichendes Datenschutzniveau, dann müsse die verantwortliche Stelle das Vorliegen ausreichender Garantien darlegen. Als solche kämen Datenschutzverträge oder verbindliche Unternehmensregelungen (Codes of Conduct) in Betracht.

Würden die EU-Standardvertragsklauseln benutzt, dann sei eine Genehmigung nicht erforderlich, jedoch liege es im Ermessen der jeweiligen Aufsichtsbehörde, sich diese vorlegen zu lassen.

Im Rahmen der Diskussion erwies sich das Auffinden der für die Genehmigung zuständigen Aufsichtsbehörde im Fall von Konzerngesellschaften mit Sitz in verschiedenen Bundesländern als nicht unproblematisch.

Peter Kogel, Aufsichtsbehörde für den Datenschutz Baden-Württemberg, stellte die neuen Regelungen zur Videoüberwachung dar. Zunächst skizzierte der Referent die Tatbestandsvoraussetzungen des § 6b BDSG, um sie anschließend anhand praktischer Fälle zu verdeutlichen.

Nicht alle Videoüberwachungsanlagen stellten zwangsläufig eine Datenverarbeitungsanlage i.S.d. § 1 Abs. 2 Nr. 3 BDSG dar (z.B. analoge Aufnahmetechniken). Da der Gesetzgeber jedoch jede Art von Videoüberwachung unter das Gesetz habe stellen wollen, sei die Vorschrift analog anzuwenden. Eine Datenerhebung für ausschließlich persönliche und familiäre Tätigkeiten falle nicht in den Anwendungsbereich des § 6b BDSG.

Das Beobachten öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen beinhalte eine Erhebung personenbezogener Daten, vorausgesetzt dass dabei auch Daten über natürliche Personen beschafft würden. Insofern finde das BDSG grundsätzlich gemäß § 1 Abs. 2 Nr. 3 BDSG Anwendung. Anders verhalte es sich jedoch, wenn die Beobachtung zu einem anderen Zweck erfolge, beispielsweise wenn bei der Überwachung des Ablaufs eines technischen Vorgangs Personen zu­fäl­lig in den Blickwinkel der Videokamera gelangten, ohne dass insoweit eine weitere Datenverarbeitung erfolge. Als Beispiel diente die Beobachtung eines Bahnsteigs durch den Zugführer mittels eines Monitors zu dem Zweck, vor der Abfahrt zu überprüfen, ob alle Türen geschlossen sind. Die ein- und aussteigenden Personen würden bei dieser Verarbeitung nicht „beobachtet“.

Voraussetzung für die Anwendbarkeit des § 6b BDSG sei, dass öffentlich zugängliche Räume mit optisch-elektronischen Einrichtungen beobachtet werden. Öffentlich zugänglich seien Räume, die nach dem Willen des Verfügungsberechtigten grundsätzlich zugänglich seien, sei es auch erst nach dem Lösen einer Eintrittskarte. Kein öffentlich zugänglicher Raum liege vor, wenn der zutrittsberechtigte Personenkreis begrenzt sei. Danach sei ein Werksgelände in der Regel nicht öffentlich zugänglich, ein Verkaufsraum auf dem Werksgelände, der von jedermann betreten werden dürfe allerdings schon.

Der Referent erläuterte, dass die Videoüberwachung in der Privatwirtschaft nur zulässig sei, wenn sie zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich sei und keine Anhaltspunkte dafür vorlägen, dass schutzwürdige Interessen der Betroffenen überwiegen. Als Hausrecht sei das umfassende Recht, den Zutritt zu erlauben oder zu verwehren, zu verstehen. Berechtigte Interessen seien solche, die nach vernünftiger Erwägung durch die Sachlage ge­recht­fertigt seien, also tatsächliche Interessen, die wirtschaftlicher oder ideeller Natur sein könnten. Der Zweck müsse allerdings vor dem Beginn der Maßnahmen konkret festgelegt und dokumentiert werden, was anhand des vom betrieblichen Datenschutzbeauftragten zu erstellenden Verfahrensverzeichnisses für jedermann überprüfbar sein müsse. Soweit objektiv zumutbare Alternativen für die Videoüberwachung bestünden, sei die Erforderlichkeit nicht gegeben. Im Übrigen machte Herr Kogel auf den Grundsatz des Verbots der Zweckänderung aufmerksam.

Eine Benachrichtigungspflicht sei nach § 6b Abs. 4 BDSG nur dann erforderlich, wenn die durch die Videoüberwachung erhobenen Daten einer Person nicht nur zugeordnet sondern auch genutzt würden. Das alleinige Erkennen mache eine Benachrichtigung noch nicht erforderlich. Die in § 6b Abs. 4 BDSG normierte Löschungspflicht sei nicht erfüllt, wenn ein Löschen durch zu spätes Überspielen mit einer neuen Aufzeichnung erfolge. Insbesondere Kaufhäuser oder sonstige Verkaufsräume hätten bei der Installation von Videoüberwachungseinrichtungen auf diese hinzuweisen. Der Umstand der Beobachtung sei durch deutlich sichtbare Schilder vor dem Eintritt in den bewachten Bereich kenntlich zu machen. Im Rahmen der anschließenden Diskussion machte Herr Kogel darauf aufmerksam, dass eine Vorabkontrolle nur im Einzelfall, nicht jedoch generell durchzuführen sei.

Evelyn Seiffert, Referentin beim Hamburgischen Datenschutzbeauftragten, berichtete über „Ausgewählte Praxisfragen des neuen BDSG“. Sie skizzierte den Anwendungsbereich und verdeutlichte, dass die Geschäftsmäßigkeit der Verarbeitung per­so­nen­be­zo­gener Daten keine Rolle mehr spiele. Mithin falle jetzt auch die Datenverarbeitung der Vereine unstreitig in den Anwendungsbereich des BDSG. Mit Blick auf einige neue Begriffsdefinitionen des § 3 BDSG wurde festgestellt, dass der Begriff des Empfängers nicht identisch mit dem des Dritten ist. Empfänger sei jeder, der Daten erhalte. Darunter fielen auch die verschiedenen Organisationseinheiten innerhalb der speichernden Stelle und die nach § 11 BDSG eingesetzten Auftragsdatenverarbeiter.

Neu im BDSG sei auch der Grundsatz der Datenvermeidung und -sparsamkeit (§ 3a), der bei der Abwägung der schutzwürdigen Interessen der Betroffenen im Rahmen der Zulässigkeitsvorschriften für die Datenerhebung, -verarbeitung und -nutzung von Bedeutung sein könne.

Die Referentin wies ferner darauf hin, dass das zu erstellende Verfahrensverzeichnis vom Datenschutzbeauftragten auf Wunsch jedermann in geeigneter Weise verfügbar zu machen sei (vgl. § 4g Abs. 2 S. 2). Dies könne durch das Bereithalten des Verzeichnisses zur Einsicht im Unternehmen geschehen, aber auch durch das Zugänglichmachen im Internet.

Hinsichtlich der Änderungen für die Werbewirtschaft rief Frau Seiffert in Erinnerung, dass der Betroffene nunmehr bei der Ansprache zu Werbezwecken über sein Widerspruchsrecht informiert werden müsse. Ein Anspruch auf Löschung der Daten bestehe jedoch i. d.R. nicht, vielmehr sei die Sperrung das probate Mittel.

Abschließend informierte die Referentin darüber, dass durch die Aufsichtsbehörde Hamburg bisher keine Strafanträge wegen Datenschutzverstößen gestellt worden seien. Allerdings sei ein Bußgeldverfahren wegen unbefugter Offenbarung eingeleitet worden. Damit wurde deutlich, dass von den Bußgeld- und Strafvorschriften zunächst offenbar nur relativ moderat Gebrauch gemacht wird. Spätestens nach Ablauf der Übergangsfrist von 3 Jahren (beginnend mit dem In-Kraft-Treten des BDSG 2001), so die Referentin, könne sich dies aber ändern.