GDD-Infotag 2009

• Andreas Jaspers "Überblick zur Novellierung des Datenschutzrechts"
• Tom Köhler "Microsoft-Studie 'Bewusstseinswandel im Datenschutz'"
• Wilhelm Caster / Uwe Dieckmann "Neuer GDD-Ratgeber 'Geschäftsprozessorientierter Datenschutz'"

Anlage dazu:

1. Wilhelm Caster / Uwe Dieckmann "Excel-Tabelle als PDF"
2. Excel-Tool (XLS-Datei)

• Thomas Müthlein "Mitarbeiterkontrolle zwischen Compliance und Datenschutz"BDSG-Gesetztestext mit Novelle I

Leitthema „Brennpunkt Datenschutz im Unternehmen“

Am 19. und 24. Juni 2009 führte die GDD in Frankfurt am Main und in Hamburg ihren traditionellen Informationstag durch.

Die diesjährigen Veranstaltungen waren dem Thema „Brennpunkt Datenschutz im Unternehmen“ gewidmet und wurden in Frankfurt von der stellvertretenden Vorstandsvorsitzenden der GDD, Dr. Astrid Breinlinger, und in Hamburg vom Vorstandsvorsitzenden der GDD, Prof. Peter Gola, geleitet. Wie bereits in den Vorjahren hatte die Gastgeberrolle für die Veranstaltung in Frankfurt die Fraport AG übernommen. Im Rahmen der Veranstaltung in Hamburg, die von der Firma McAfee unterstützt wurde, waren die GDD-Mit­glie­der bei der Vattenfall Europe Hamburg AG zu Gast. Der Vorstand sowie die Geschäftsstelle der GDD danken den genannten Unternehmen an dieser Stelle nochmals für ihre Unterstützung.

Frau Dr. Breinlinger nutzte die Veranstaltung in Frankfurt u.a. dazu, die Verdienste der Datenschutzbeauftragten der Fraport AG, Dagmar Rebske, um die GDD zu würdigen. Frau Rebske, die demnächst in Ruhestand gehe, habe in verschiedenen GDD-Arbeitskreisen aktiv mitgearbeitet und sei der GDD stets ein Ansprechpartner in Fragen des praktikablen Datenschutzes gewesen. Auf Grund des Engagements von Frau Rebske habe der GDD-Informationstag insgesamt zehnmal im Hause der Fraport AG stattfinden können. Auch der Erfa-Kreis Hessen habe mehrfach dort getagt.

Im Rahmen des ersten Vortrags der diesjährigen Veranstaltung gab der Geschäftsführer der GDD, Andreas Jaspers, einen Überblick über die aktuellen Entwicklungen im Datenschutz. Die sog. BDSG-Novelle I habe inzwischen sowohl den Bundestag als auch den Bundesrat passiert, so Jaspers. Diese BDSG-Novelle regele insbesondere die Zulässigkeit und Transparenz von Scoringverfahren sowie die Übermittlung personenbezogener Daten an Auskunfteien.

So werde der Anwendungsbereich des § 6a BDSG dahingehend konkretisiert, dass eine ausschließlich auf eine automatisierte Verarbeitung gestützte Entscheidung insbesondere dann vorliege, wenn keine inhaltliche Bewertung und darauf ge­stützte Entscheidung durch eine natürliche Person stattgefunden hat. Soweit eine negative Entscheidung gefällt werde, bestehe im Rahmen des § 6a BDSG in Zukunft zudem die Verpflichtung, dem Be­troffenen auf Verlangen die wesentlichen Gründe zu offenbaren.

Die Übermittlung sog. Negativmerkmale einschließlich nicht titulierter Forderungen an Auskunfteien werde nunmehr eine eigenständige gesetzliche Regelung erfahren (§ 28a Abs. 1 BDSG), so Jaspers. Für Kreditinstitute werde außerdem bezüglich bestimmter Bankgeschäfte, nämlich Kredit-, Garantie- und Girogeschäfte, eine spezielle Erlaubnisnorm zur Übermittlung von Po­si­tiv­daten an Auskunfteien geschaffen (§ 28a Abs. 2 BDSG). Statt einer Einwilligung genüge damit in­sofern künftig die reine Information des Betroffenen über die Weitergabe der Positivinformationen. Gesetzlich klargestellt werde, dass Daten über Verhaltensweisen des Betroffenen, welche der Herstellung von Markttransparenz dienen (z.B. Anfragen von Betroffenen nach Kreditkonditionen bei mehreren Banken), nicht zu Auskunftszwecken an Auskunfteien weitergegeben werden dürfen. Um sicherzustellen, dass die Datenbestän­de der Auskunfteien aktuell und richtig seien, wür­den die verantwortlichen Stellen darüber hinaus verpflichtet, nachträgliche Änderungen im Hin­blick auf an Auskunfteien gemeldete Informationen diesen innerhalb eines Monats nach Kennt­nis­erlangung mitzuteilen.

Für Scoringverfahren werde ebenfalls eine eigene gesetzliche Erlaubnisnorm eingeführt (§ 28b BDSG), erklärte Jaspers weiter. Zum Zwecke der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses dür­fe danach ein Wahrscheinlichkeitswert für ein be­stimmtes künftiges Verhalten des Betroffenen nur verwendet werden, wenn der Ermittlung ein wissenschaftlich anerkanntes mathematisch-sta­tis­ti­sches Verfahren zu Grunde liege und im Übrigen die Voraussetzungen der §§ 28, 29 BDSG erfüllt seien. Ein Scoring zu den vorgenannten Zwecken ausschließlich auf Basis von Anschriftendaten werde für unzulässig erklärt.

Um die Transparenz im Zusammenhang mit Scoringverfahren zu erhöhen, würden schließlich be­son­dere Auskunftspflichten sowohl für die Nutzer von Scoringverfahren (§ 34 Abs. 2 BDSG) als auch für diesbezügliche Anbieter (§ 34 Abs. 4 BDSG) eingeführt.

Mit der sog. BDSG-Novelle II habe die Bundesregierung vor allem den Adresshandel zu Werbezwecken einschränken wollen. Geplant gewesen seien überdies Regelungen zum Arbeitnehmerdatenschutz, zum Kündigungsschutz für Datenschutz­be­auftragte und zu Informationspflichten bei Datenschutzpannen sowie die Schaffung von erweiterten Anforderungen an die Auftragsdatenverarbeitung. Da ein zwischen CDU/CSU- und SPD-Politikern ausgehandelter Kompromiss zum
Adresshandel auf Widerstand bei den Verbraucherschützern in der SPD gestoßen sei, stelle sich nunmehr allerdings die Frage, ob bzw. in welcher Form das Gesetzesvorhaben noch umgesetzt wer­de. Jedenfalls die Schaffung eines Datenschutz­au­dit­gesetzes - ursprünglich ebenfalls als Bestandteil der BDSG-Novelle II geplant - sei inzwischen vom Tisch. Stattdessen solle es insoweit ein dreijähriges Pilotprojekt geben.

Relativ unbekannt sei, so Jaspers zum Abschluss, dass auch das Gesetz zur Umsetzung der Ver­brau­cherkreditrichtlinie etc. (BT-Drs. 16/11643) zu Änderungen im BDSG führen werde („BDSG-No­velle III“). Eingeführt werde insbesondere eine spezielle Auskunftspflicht der verantwortlichen Stelle für den Fall, dass der Abschluss eines Ver­braucherdarlehensvertrags oder eines Vertrages über eine entgeltliche Finanzierungshilfe mit einem Verbraucher infolge der Einholung von Informationen bei einer Auskunftei abgelehnt wird.

Tom Koehler, Direktor Strategie Informationssicherheit & Kommunikation, Microsoft Deutschland GmbH, stellte die Ergebnisse einer von Microsoft durchgeführten Studie zum Datenschutz im Internet vor. Am häufigsten werde das Internet nach wie vor zum Schreiben oder Lesen von E-Mails oder zur Informationssuche genutzt, so Koehler. Die Bereitschaft zur Veröffentlichung per­sönlicher Daten im Internet hänge stark mit dem Alter der Internetnutzer zusammen. Für jüngere Nutzer sei es fast schon Standard, in Online-Netzwerken und -Portalen persönliche Vor­lieben oder auch Fotos preiszugeben. Knapp die Hälfte der Internetnutzer mache sich Sorgen um einen möglichen Datenmissbrauch im Internet. Hintergrund hierfür sei vor allem die Angst vor fi­nan­zieller Schädigung. Einen Verlust der Privatsphäre fürchteten dagegen nur wenige Nutzer. Mit der Sorge um den Datenschutz gehe im Übrigen nicht zwangsläufig auch eine Anpassung des eigenen Verhaltens einher. Das Thema Datenschutz im Internet werde von vielen als zu zeitaufwendig und komplex empfunden, weshalb auch die Datenschutzbestimmungen der Anbieter häufig nicht gelesen würden.

Das GDD-Vorstandsmitglied, Uwe Dieckmann (In­fo­tag in Frankfurt), bzw. Herr Wilhelm Caster, HDI-Gerling, Köln (Infotag in Hamburg), stellten die bisherigen Ergebnisse des GDD-Projekts „Geschäftsprozessorientierter Datenschutz“ vor. Zielsetzung des Projekts sei es, eine Prüfung der Da­ten­schutzkonformität von Geschäftsprozessen zu ermöglichen. Das Verfolgen des Datenflusses in den Prozessen ermögliche einen besseren Einblick als die pauschale Prüfung einer organisatorischen Unternehmenseinheit.

Der Begriff des Prozesses werde im BDSG nicht verwendet. Kennzeichnend für einen Prozess seien ein definierter Anfang, eine Verarbeitung unter Verwendung von Ressourcen sowie ein kon­kre­tes Ergebnis. Es könne zwischen Kern-, Management- und Unterstützungsprozessen differenziert werden, wobei natürlich nicht alle Unternehmensprozesse datenschutzrelevant seien.

Zur Prüfung der Datenschutzkonformität sei ein Ablauf entwickelt worden, der sich an den Maßnahmenkatalog anlehne, den das BSI im Rahmen des IT-Grundschutz-Bausteins Datenschutz aufgestellt habe. Zu den einzelnen Maßnahmen seien Kontrollfragen mit entsprechenden Bewertungshinweisen entwickelt worden. Mittels der Bewertungshinweise könne der Prüfer nachvollziehen, wie sich die Beantwortung einzelner Kontrollfragen jeweils auf die Einhaltung bzw. Nichteinhaltung der Gesamtmaßnahme auswirkt. Über eine entsprechende Kreuztabelle ergebe sich dann wiederum, wie sich die Einhaltung einzelner Maßnahmen auf die im IT-Grundschutz-Baustein Datenschutz dargestellten möglichen Gefährdungen auswirkt. Eine Schwierigkeit der Prozessprüfung liege in der Darstellung der Ergebnisse gegenüber dem verantwortlichen Leitungsorgan bzw. dem Ma­nagement. Eine gute Möglichkeit biete hier ein Spinnennetzdiagramm, da dieses optisch ansprechend eine Vielzahl von Maßnahmen und ihre Er­füllungsgrade (bzw. die entsprechende Gefährdung für das Unternehmen) darstellen könne.

Auf der GDD-Homepage werde ein Excel-Tool bereitgestellt, das die konkrete An­wendung der vorgeschlagenen Vorgehensweise erleichtere.

Thomas Müthlein, GDD-Vorstandsmitglied, referierte zum Thema Mitarbeiterkontrolle zwischen Compliance und Datenschutz. Unternehmen in Deutschland, so Müthlein, träfen diverse „Überwachungspflichten“. Zum Teil existierten insoweit auch konkrete Vorgaben zur Zielerreichung, so wie z.B. im Bereich

• der (Steuer-)Abrechnungen des Unternehmens und der Unterstützung staatlicher Statistiken durch dieses,
• der EU-„Anti-Terror“-Verordnungen,
• der Verpflichtung zur Bestands-/ Vorratsdatenspeicherung sowie des Geheimschutzes.

Oft enthielten die gesetzlichen „Überwachungspflichten“ aber auch nur Hinweise darauf, welche Ziele zu erreichen seien. Welche Maßnahmen kon­kret zu ergreifen seien, bleibe jedoch weitgehend offen. Dies gelte etwa für die Vorgaben des Geldwäschegesetzes, aber auch für die Compliance-Vorgaben aus KontrAG, BilMoG, SOX bzw. EuroSOX.

Soweit die Unternehmen eine Wahlmöglichkeit bezüglich der Art und Weise der Zielerreichung hätten - was auch gelte, wenn die Unternehmen diese Überwachungsmaßnahmen nicht auf Grund einer rechtlichen Verpflichtung sondern im Eigeninteresse vornähmen -, sei aus Datenschutzsicht regelmäßig die Einhaltung eines Stufenkonzepts geboten, so Müthlein. Dies bedeute, dass Auswertungen und Kontrollen grundsätzlich zunächst nur in statistischer Form erfolgen sollten. Bei Vorliegen hinreichender Anhaltspunkte für Verstöße könne dann mit der konkreten Überprüfung des Verdachts begonnen werden. Die Auswertungs- und Kontrollmechanismen hätten darüber hinaus die datenschutzrechtlichen Grundprinzipien der Zweckbindung und Transparenz der personenbezogenen Datenverarbeitung zu wahren.

Hinsichtlich der Details einer sachgerechten Ausgestaltung von Analyseverfahren wies Müthlein er­gänzend auf eine Veröffentlichung von Prof. Dr. Felicitas G. Albers hin: „Compliance der Compliance: Elektronische Analyseverfahren personenbezogener Daten zur Prävention und Aufdeckung geschäftsschädigender Handlungen in Unternehmen - Diskurs aus Anlass des sogenannten ‚Datenskandals’ der Deutschen Bahn AG“ (erschienen als Forschungsbericht des Fachbereichs Wirtschaft der FH Düsseldorf).