GDD-Infotag 2003

• Peter Büttgen "Fortschreibung des Datenschutzrechts in der Telekommunikation sowie bei Tele- und Mediendiensten"
• Renate Hillenbrand-Beck "Aktuelle Erfahrungen aus der Prüfpraxis des Regierungspräsidiums Darmstadt"
• Evelyn Seiffert "Prüfpraxis der technischen und organisatorischen Maßnahmen nach dem BDSG 2003"

Leitthema „Datenschutzgesetzgebung und aufsichtsbehördliche Prüfpraxis“

Am 16. Juni 2003 veranstaltete die GDD im Schulungszentrum der gastgebenden Fraport AG in Frankfurt am Main ihren traditionellen Informationstag, der GDD-Mitgliedern die Möglichkeit eröffnet, aktuelle Fragen des Datenschutzes mit Vertretern der Datenschutzaufsichtsbehörden zu erörtern. Die Fortschreibung des Datenschutzrechts für die Telekommunikation und das Internet sowie die Prüftätigkeit der Aufsichtsbehörden in Hessen und Hamburg standen bei der mit 170 Teilnehmern abermals gut besuchten und von Prof. Peter Gola (GDD-Vorstand) geleiteten Veranstaltung thematisch im Vordergrund.

Peter Büttgen (Leiter des Referats Telekommunikations-, Tele- und Mediendienste beim Bundesbeauftragten für den Datenschutz) berichtete über die aktuellen gesetzgeberischen Aktivitäten im Bereich des sog. Tele-Da­ten­schutzrechts. Hinsichtlich der notwendigen Umsetzung der sog. E-Kommunikations-Da­ten­schutz­richt­linie (2002/58/EG vom 12.07.2002) bedürfe es einer nationalen Gesetzgebung, die u.a. folgende Punkte berücksichtigen müsse:

• Schaffung eines einheitlichen Rechtsregimes für den Datenschutz bei allen Arten der elek­tro­nischen Kommunikation,
• Regelung über die datenschutzgerechte Aus­ge­staltung von Cookies gemäß Art. 5 Abs. 3 der Richtlinie,
• Bestimmung zur datenschutzgerechten Nutzung von Standortdaten nach Art. 9 der Richtlinie,
• Regelung unerbetener Werbung gemäß Art. 13 der Richtlinie.

Das federführende Bundesministerium für Wirtschaft und Arbeit beabsichtige, die europäischen Vorgaben hauptsächlich durch eine Novellierung des TKG und zum Teil durch neue Vorschriften im Tele-/Mediendiensterecht sowie ferner im UWG umzusetzen. Der Referentenentwurf des BMWA vom 30.04.2003 lasse erkennen, dass die TDSV in das TKG integriert werden soll. Im Rahmen seiner Ausführungen zu der geplanten Ausgestaltung des TKG skizzierte der Referent die wesentlichen vorgesehenen Änderungen. Dabei wurde deutlich, dass geschäftsmäßige Anbieter von Telekommunikationsdiensten auch weiterhin zur Wahrung des Fernmeldegeheimnisses sowie des Schutzes personenbezogener Daten verpflichtet sein sollen. Im Hinblick auf die Vorschriften zur TK-Über­wachung sprach sich Büttgen gegen den Wegfall von Unternehmensstatistiken bzgl. durchgeführter Überwachungsmaßnahmen aus. Aus Sicht des BfD würde hierdurch ohne Not auf eine wichtige Quelle für die politische Diskussion über die Rechtswirklichkeit und Effizienz von TK-Über­wach­ungs­maß­nah­men verzichtet.

Der Referent skizzierte des Weiteren den aktuellen Verfahrensstand zum Datenschutz bei Tele- und Mediendiensten. Ersten Strukturüberlegungen des BMWA zufolge solle ein einheitliches Da­ten­schutzgesetz für Tele- und Mediendienste geschaffen werden. Das neue Gesetz werde voraussichtlich eine Regelung zur datenschutzgerech­ten Gestaltung von Cookies enthalten. An die Einführung einer Mindestspeicherfrist für Nutzungsdaten zu Zwecken der Strafverfolgung sei derzeit hingegen nicht gedacht. Im Hinblick auf die Abgrenzung des Anwendungsbereichs im Verhältnis zum Telekommunikations-Da­ten­schutz­recht verdeutlichte Büttgen, dass nach Auffassung des BfD Internet-Zugangsdienste, Angebote von Internet-Telefonie und E-Mail-Dienste nicht zu den Tele- bzw. Mediendiensten gehören.

Renate Hillenbrand-Beck (Dezernatsleiterin Datenschutzaufsicht RP Darmstadt) berichtete über aktuelle Erfahrungen aus der Prüfpraxis ihrer Be­hörde. Die Selbstregulierung durch betriebliche Datenschutzbeauftragte, die werbliche Nutzung von Daten, der internationale Datenverkehr und der Datenschutz bei der Schufa, Auskunfteien und deren Vertragspartnern bildeten dabei die Themenschwerpunkte. Im Hinblick auf den betrieblichen Datenschutz bemängelte die Referentin eine oftmals unzureichende Unterstützung des Datenschutzbeauftragten durch das Unternehmen. Verstöße gegen die Bestellungspflicht werde die Aufsichtsbehörde verstärkt mit Bußgeldern ahnden. Hinsichtlich der werblichen Nutzung von Daten seien Defizite im Hinblick auf die Unterrichtungspflichten nach dem BDSG (§ 4 Abs. 3, § 28 Abs. 4) feststellbar. In Bezug auf E-Mail-, Fax- und Telefonwerbung verdeutlichte die Referentin, dass nach dem Entwurf für eine UWG-Novelle auch weiterhin grundsätzlich eine (mutmaßliche) Einwilligung der Betroffenen notwendig sei. Eine Ausnahme bestehe bei der E-Mail-Werbung insoweit, als dass E-Mail-Adressen, die im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen erlangt worden seien, zur Werbung für eigene ähnliche Waren oder Dienstleistungen genutzt werden dürften. Voraussetzung sei aber ein klarer Hinweis auf das jederzeitige Widerspruchsrecht bei der Erhebung. Hinsichtlich der Verwendung von Standardvertragsklauseln im Zusammenhang mit dem Datentransfer in Drittländer vertrat die Referentin die Auffassung, dass bei wörtlicher Verwendung weder eine Genehmigungs- noch eine Anzeigepflicht gegeben sei. Bei Abweichungen hingegen bestehe ein Genehmigungserfordernis. Bislang habe das Regierungspräsidium Darmstadt zwei Genehmigungen erteilt. Hinsichtlich des Einsatzes von verbindlichen unternehmensinternen Vorschriften als Schutzgarantien beim Drittlandtransfer machte die Referentin auf das WP 74 der Datenschutzgruppe nach Art. 29 aufmerksam. Abschließend wies Frau Hillenbrand-Beck darauf hin, dass Da­ten­über­mittlungen an die Schufa nur mit Zustimmung des Betroffenen erfolgen dürften, wenn es sich um sog. Positivdaten handele oder wenn das Bankgeheimnis betroffen sei. Ansonsten seien die §§ 28 Abs. 1 Nr. 2, 4 Abs. 3 BDSG zu beachten.

Evelyn Seiffert (Referentin beim Hamburgischen Datenschutzbeauftragten) erläuterte die Prüfpraxis ihrer Behörde nach dem BDSG 2003. Das Prüf­ver­fahren beginne mit einer schriftlichen Terminankündigung einschließlich der Übersendung eines Technikfragebogens. Sodann erfolge die Prüfung vor Ort bei den Hauptsitzen der Unternehmen. Gegenstand der Prüfung sei insbesondere:

• Verpflichtung zur Bestellung eines Datenschutzbeauftragten und seine Fachkunde,
• Verfahrensverzeichnis nach § 4g Abs. 2 BDSG,
• Verpflichtung auf das Datengeheimnis,
• technische und organisatorische Maßnahmen nach § 9 BDSG,
• Auftragsdatenverarbeitung.

Begleitend würden ein Prüfprotokoll und ein Schlussbericht erstellt. Ggf. stehe ein Gebührenbescheid am Ende des Prüfverfahrens.