Am 6. Juni 2007 veranstaltete die GDD in Frankfurt am Main ihren traditionellen Informationstag, der den Teilnehmern die Möglichkeit eröffnet, aktuelle Datenschutzfragen mit fachkundigen Referenten und Vertretern der Aufsichtsbehörden zu erörtern. Der Informationstag 2007 war dem Leitthema „Neuer Telemediendatenschutz in Recht und Praxis“ gewidmet und fand, wie bereits in den vergangenen Jahren, im Hause der Fraport AG statt.
Der Vorstandsvorsitzende der GDD, Prof. Peter Gola, eröffnete die Veranstaltung und dankte Frau Dagmar Rebske, Datenschutzbeauftragte der Fraport AG, herzlich für die erneute Übernahme der Gastgeberrolle.
Anschließend machte Prof. Gola einige kurze Ausführungen zum Themenfeld „Neues zum betrieblichen Datenschutzbeauftragten“. Er ging zu-nächst auf die Anforderungen an die Fachkunde ein. Mit der Änderung des BDSG in 2006 sei in das Gesetz eine klarstellende Formulierung aufgenommen worden, wonach sich das Maß der erforderlichen Fachkunde nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der jeweils betroffenen Daten richtet (§ 4f Abs. 2 Satz 2 BDSG). Die Schaffung eines den § 4f Abs. 2 BDSG konkretisierenden Mindeststandards lehne die Bundesregierung allerdings ab, wie eine Anfrage der FDP ergeben habe. Aus Sicht der GDD, so Prof. Gola, stehe allerdings fest, dass eine Berufsbefähigung als Datenschutzbeauftragter mit einem zweitägigen Kurs in der Regel nicht zu erreichen sei. Insbesondere wegen der erforderlichen Rechtskenntnisse müsse regelmäßig von einem Schulungsaufwand nicht unter einer Woche ausgegangen werden. Zudem griff der Vorstandsvorsitzende der GDD das aktuelle Urteil des Bundesarbeitsgerichts zur Abberufung eines (Teilzeit-) Datenschutzbeauftragten auf. Danach setze der Widerruf einer Bestellung zum Datenschutzbeauftragten in Teilzeit regelmäßig eine unter den Einschränkungen des § 4f Abs. 3 BDSG stehende Teilkündigung voraus.
Mit dem Anwendungsbereich und den Datenschutzregelungen des neuen Telemediengesetzes (TMG) befasste sich Rolf Bender, Bundesministerium für Wirtschaft und Technologie. Das TMG, so Bender, gelte für alle elektronischen Informations- und Kommunikationsdienste, soweit es sich nicht um Telekommunikationsdienste oder Rundfunk handele. Diese Negativdefinition sei deshalb erforderlich gewesen, weil aus Gründen der Gesetzgebungskompetenz nicht aus dem Telemedienrecht heraus auf die Bestimmungen von Rundfunk und Telekommunikation eingewirkt werden könne. Im Hinblick auf den Anwendungsbereich des Telemediendatenschutzes wies Bender darauf hin, dass sich die Anwendbarkeit zum einen nicht auf den B2B-Bereich beziehe und zum anderen nicht auf den Fall, in dem die Nutzung im Dienst- oder Arbeitsverhältnis zu ausschließlich beruflichen oder dienstlichen Zwecken erfolge. Zudem fänden die Vorschriften des TMG weitestgehend keine Anwendung auf Telemedienanbieter, die dem Telekommunikationsdatenschutz unterfallen (Access- und E-Mail-Provider). Die Befugnis zur Auskunftserteilung über Bestands- und Nutzungsdaten, die bisher nur im Hinblick auf die Strafverfolgungsbehörden bestanden habe, sei auf die Sicherheitsbehörden (Verfassungsschutz, BND, MAD, Polizeibehörden der Länder) sowie mit Blick auf die Durchsetzung der Rechte am geistigen Eigentum ausgedehnt worden. Die Regelung dürfe allerdings nicht dahingehend missverstanden werden, dass damit auch die entsprechenden Auskunftsrechte der Bedarfsträger geregelt seien. Getroffen sei lediglich die Feststellung, dass der Diensteanbieter im Verhältnis zum Nutzer, dessen Daten er verarbeitet, zur Auskunftserteilung befugt ist, wenn ein entsprechender Bedarfsträger ein Auskunftsrecht hat und davon Gebrauch macht.
Als Abschlussredner des Vormittags referierte Frank Wagner, Deutsche Telekom AG, Darmstadt, zum Thema „Voice over IP (VoIP) im betrieblichen Einsatz“. In der betrieblichen Praxis, so Wagner, herrsche das Geschäftsmodell von VoIP innerhalb einer „geschlossenen Benutzergruppe“ (nicht öffentlicher Telekommunikationsdienst) wie z.B. Corporate Networks vor. Insofern seien zum einen die Bestimmungen des Telekommunikationsgesetzes über das Fernmeldegeheimnis (§ 88 TKG) zu beachten. Zum anderen seien angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutz des Fernmeldegeheimnisses und personenbezogener Daten sowie der Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu treffen (§ 109 Abs. 1 TKG). Würden die Telekommunikationsdienste geschäftsmäßig erbracht, seien darüber hinaus die in §§ 91 ff. TKG enthaltenen datenschutzrechtlichen Regelungen zu berücksichtigen. Aus Datensicherheitssicht kämen bei VoIP neben den speziellen Tücken der Protokolle SIP und H.323 vor allem die klassischen Angriffsszenarien der IP-Welt (DDos-Attacken, Wurmbefall, Man-in-the-Middle-Angriffe, MAC-Flooding) zum Tragen. Um bei VoIP Signalisierung und Inhalte hart verschlüsseln zu können, werde derzeit noch an sog. Midcom-Boxen gearbeitet. Die leichte Abhörbarkeit der via IP übertragenen Gesprächsinhalte halte er allerdings für ein Schreckgespenst. Da sich die VoIP-Anwendungen regelmäßig zu einer Leistungs- bzw. Verhaltenskontrolle eigneten, seien bei deren Einführung schließlich die Beteiligungsrechte der Interessenvertretungen der Mitarbeiter zu berücksichtigen.
Am Nachmittag befasste sich Prof. Dr. Peter Wedde, Fachhochschule Frankfurt am Main, mit der Frage „Verbot der Privatnutzung der betrieblichen IuK-Technik - Königsweg oder Scheinlösung“. Der Umstand, dass eine Erlaubnis der privaten Nutzung betrieblicher Kommunikationsmittel zu einer Anwendbarkeit des TKG führe, so Prof. Dr. Wedde, werde von Unternehmen vielfach zum Anlass genommen, die Privatnutzung von E-Mail und Internet zu verbieten. Als Argument für derartige Verbote werde vor allem angeführt, dass man sich umfassende Kontrollmöglichkeiten im Hinblick auf die Systeme erhalten und etwa im Falle des unvorhergesehenen Ausfalls von Mitarbeitern auf deren E-Mail-Postfächer zugreifen wolle. Selbst ein völliges Verbot der Privatnutzung führe allerdings nicht dazu, dass der Arbeitgeber pauschal auf alle E-Mails der Beschäftigten zugreifen dürfe. Probleme bereiteten in diesem Zusammenhang insbesondere „dienstlich persönliche“ Daten wie E-Mails zwischen einem Arbeitnehmer und dem Betriebsrat oder E-Mails, bei denen rein dienstliche Inhalte mit persönlichen vermischt werden. Vor einem Zugriff sei sicherzustellen, dass sich dieser rein auf dienstliche Inhalte beschränke, was z.B. über entsprechende Ablagekonzepte möglich sei. Sei eine derartige Trennung nicht sichergestellt, müsse der Zugriff unterbleiben.
Der Informationstag der GDD wurde durch eine lebhafte Podiums- und Publikumsdiskussion abgeschlossen. Kontrovers wurde vor allem die Frage diskutiert, inwieweit ein Arbeitnehmer im Hinblick auf das Erfordernis der Freiwilligkeit der Einwilligung in eine Einschränkung des Fernmeldegeheimnisses einwilligen kann. Weitere Diskussionspunkte waren u.a. der Einsatz sog. Webwasher-Tools und die Schwierigkeiten, die dadurch entstehen, das auch durch ein Verbot der Privatnutzung nicht verhindert werden kann, dass den Mitarbeitern unverlangt private E-Mails zugesandt werden.