GDD-Infotag 2007

Prof. Peter Gola "Neues zum betrieblichen Datenschutzbeauftragten" Rolf Bender "Das Neue Telemediengesetz - Anwendungsbereich und Datenschutzregelungen" Frank Wagner "Voice over IP (VoIP) im betrieblichen Einsatz" Prof. Dr. Peter Wedde "Verbot der Privatnutzung der betrieblichen IuK-Technik - Königsweg oder Scheinlösung?"

Leitthema „Neuer Telemediendatenschutz in Recht und Praxis“

Am 6. Juni 2007 veranstaltete die GDD in Frankfurt am Main ihren traditionellen Informationstag, der den Teilnehmern die Möglichkeit eröffnet, aktuelle Datenschutzfragen mit fachkundigen Re­ferenten und Vertretern der Aufsichtsbehörden zu erörtern. Der Informationstag 2007 war dem Leitthema „Neuer Telemediendatenschutz in Recht und Praxis“ gewidmet und fand, wie bereits in den vergange­nen Jahren, im Hause der Fraport AG statt.

Der Vorstandsvorsitzende der GDD, Prof. Peter Gola, eröffnete die Veranstaltung und dankte Frau Dagmar Rebske, Datenschutzbeauftragte der Fraport AG, herzlich für die erneute Übernahme der Gastgeberrolle.

Anschließend machte Prof. Gola einige kurze Ausführungen zum The­menfeld „Neues zum betrieblichen Da­tenschutzbeauftragten“. Er ging zu-nächst auf die Anforderungen an die Fachkunde ein. Mit der Änderung des BDSG in 2006 sei in das Gesetz eine klarstellende Formulie­rung aufgenommen worden, wonach sich das Maß der erforderlichen Fach­kunde nach dem Umfang der Daten­verarbeitung der verantwortlichen Stelle und dem Schutzbedarf der jeweils betroffenen Daten richtet (§ 4f Abs. 2 Satz 2 BDSG). Die Schaffung eines den § 4f Abs. 2 BDSG konkreti­sierenden Mindeststandards lehne die Bundesregierung allerdings ab, wie eine Anfrage der FDP ergeben habe. Aus Sicht der GDD, so Prof. Gola, ste­he allerdings fest, dass eine Berufsbe­fähigung als Datenschutzbeauftragter mit einem zweitägigen Kurs in der Regel nicht zu erreichen sei. Insbe­sondere wegen der erforderlichen Rechtskenntnisse müsse regelmäßig von einem Schulungsaufwand nicht unter einer Woche ausgegangen werden. Zudem griff der Vorstandsvorsit­zende der GDD das aktuelle Urteil des Bundesarbeitsgerichts zur Abberufung eines (Teilzeit-) Da­tenschutzbeauftragten auf. Danach setze der Wi­derruf einer Bestellung zum Datenschutzbeauftragten in Teilzeit regelmäßig eine unter den Einschränkungen des § 4f Abs. 3 BDSG stehende Teilkündigung voraus.

Mit dem Anwendungsbereich und den Datenschutzregelungen des neuen Telemediengesetzes (TMG) befasste sich Rolf Bender, Bundesministerium für Wirtschaft und Technologie. Das TMG, so Bender, gelte für alle elektronischen Informations- und Kommunikationsdienste, soweit es sich nicht um Telekommunikationsdienste oder Rundfunk handele. Diese Negativdefi­nition sei deshalb erforderlich gewe­sen, weil aus Gründen der Gesetzgebungskompetenz nicht aus dem Telemedienrecht heraus auf die Bestimmungen von Rundfunk und Telekommunikation eingewirkt werden könne. Im Hinblick auf den Anwendungsbe­reich des Telemediendatenschutzes wies Bender darauf hin, dass sich die Anwendbarkeit zum einen nicht auf den B2B-Bereich beziehe und zum anderen nicht auf den Fall, in dem die Nutzung im Dienst- oder Arbeitsver­hältnis zu ausschließlich beruflichen oder dienstlichen Zwecken erfolge. Zudem fänden die Vorschriften des TMG weitestgehend keine Anwendung auf Telemedienanbieter, die dem Tele­kommunikationsdatenschutz unterfallen (Access- und E-Mail-Provider). Die Be­fugnis zur Auskunftserteilung über Bestands- und Nutzungsdaten, die bisher nur im Hinblick auf die Straf­verfolgungsbehörden bestanden habe, sei auf die Sicherheitsbehörden (Verfassungsschutz, BND, MAD, Polizeibe­hörden der Länder) sowie mit Blick auf die Durchsetzung der Rechte am geistigen Eigentum ausgedehnt worden. Die Regelung dürfe allerdings nicht dahingehend missverstanden werden, dass damit auch die entsprechenden Auskunftsrechte der Bedarfsträger geregelt seien. Getroffen sei lediglich die Feststellung, dass der Diensteanbieter im Verhältnis zum Nutzer, dessen Daten er verarbeitet, zur Auskunftserteilung befugt ist, wenn ein entsprechender Bedarfsträger ein Auskunftsrecht hat und davon Gebrauch macht.

Als Abschlussredner des Vormit­tags referierte Frank Wagner, Deutsche Telekom AG, Darmstadt, zum Thema „Voice over IP (VoIP) im betrieblichen Einsatz“. In der betrieblichen Praxis, so Wagner, herrsche das Geschäftsmodell von VoIP innerhalb einer „geschlossenen Benutzergruppe“ (nicht öffentlicher Telekommunikationsdienst) wie z.B. Corporate Networks vor. Insofern seien zum einen die Bestimmungen des Telekommunikati­onsgesetzes über das Fernmeldegeheimnis (§ 88 TKG) zu beachten. Zum anderen seien angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutz des Fernmeldege­heimnisses und personenbezogener Daten sowie der Telekommunikations- und Datenverarbeitungssysteme ge­gen unerlaubte Zugriffe zu treffen (§ 109 Abs. 1 TKG). Würden die Telekommunikationsdienste geschäftsmä­ßig erbracht, seien darüber hinaus die in §§ 91 ff. TKG enthaltenen datenschutzrechtlichen Regelungen zu be­rücksichtigen. Aus Datensicherheitssicht kämen bei VoIP neben den speziellen Tücken der Protokolle SIP und H.323 vor allem die klassischen An­griffsszenarien der IP-Welt (DDos-Attacken, Wurmbefall, Man-in-the-Middle-Angriffe, MAC-Flooding) zum Tragen. Um bei VoIP Signalisierung und Inhalte hart verschlüsseln zu kön­nen, werde derzeit noch an sog. Midcom-Boxen gearbeitet. Die leichte Abhörbarkeit der via IP übertragenen Gesprächsinhalte halte er allerdings für ein Schreckgespenst. Da sich die VoIP-Anwendungen regelmäßig zu einer Leistungs- bzw. Verhaltenskon­trolle eigneten, seien bei deren Ein­führung schließlich die Beteiligungs­rechte der Interessenvertretungen der Mitarbeiter zu berücksichtigen.

Am Nachmittag befasste sich Prof. Dr. Peter Wedde, Fachhochschule Frankfurt am Main, mit der Frage „Ver­bot der Privatnutzung der betriebli­chen IuK-Technik - Königsweg oder Scheinlösung“. Der Umstand, dass eine Erlaubnis der privaten Nutzung betrieblicher Kommunikationsmittel zu einer Anwendbarkeit des TKG führe, so Prof. Dr. Wedde, werde von Unternehmen vielfach zum Anlass genommen, die Privatnutzung von E-Mail und Internet zu verbieten. Als Argument für derartige Verbote werde vor allem angeführt, dass man sich umfassende Kontrollmöglichkeiten im Hinblick auf die Systeme erhalten und etwa im Falle des unvorhergesehenen Ausfalls von Mitarbeitern auf deren E-Mail-Postfächer zugreifen wolle. Selbst ein völliges Verbot der Privatnutzung führe allerdings nicht dazu, dass der Arbeitgeber pauschal auf alle E-Mails der Beschäftigten zugreifen dürfe. Proble­me bereiteten in diesem Zusammenhang insbesondere „dienstlich persönliche“ Daten wie E-Mails zwischen einem Arbeitnehmer und dem Be­triebsrat oder E-Mails, bei denen rein dienstliche Inhalte mit persönlichen vermischt werden. Vor einem Zugriff sei sicherzustellen, dass sich dieser rein auf dienstliche Inhalte beschränke, was z.B. über entsprechende Abla­gekonzepte möglich sei. Sei eine derartige Trennung nicht sichergestellt, müsse der Zugriff unterbleiben.

Der Informationstag der GDD wurde durch eine lebhafte Podiums- und Publikumsdiskussion abgeschlossen. Kontrovers wurde vor allem die Frage diskutiert, inwieweit ein Arbeitnehmer im Hinblick auf das Erfordernis der Freiwilligkeit der Einwilligung in eine Einschränkung des Fernmeldegeheimnisses einwilligen kann. Weitere Diskussionspunkte waren u.a. der Einsatz sog. Webwasher-Tools und die Schwie­rigkeiten, die dadurch entstehen, das auch durch ein Verbot der Privatnutzung nicht verhindert werden kann, dass den Mitarbeitern unverlangt private E-Mails zugesandt werden.