GDD-Infotag 2010

• "Andreas Jaspers" Aus der Arbeit der GDD" und "Ergebnisse des GDD-Privacy-Panels"
• Rolf Hünermann "Schutz vor Wirtschaftskriminalität in Unternehmen - Balanceakt zwischen Compliance und Datenschutz"
• Martin Beckschulze "Ende des Fernmeldegeheimnisses im Arbeitsverhältnis?"
• Prof. Dr. Rainer W. Gerling "SPAM und Viren in der Mail: aktuelle Abwehrstrategien"

Download des GDD-Musters zur Auftragsdatenverarbeitung gemäß § 11 BDSG

• Neues Muster der GDD zur Auftragsdatenverarbeitung gemäß § 11 BDSG

Leitthema „Compliance, Kontrolle und Datenschutz - ein Spannungsverhältnis“

Am 23. Juni und 2. Juli 2010 führte die GDD in Hamburg und in Frankfurt am Main ihren traditionellen Informationstag durch.

Die Veranstaltung war dem Thema „Compliance, Kontrolle und Datenschutz - ein Spannungsverhältnis“ gewidmet und wurde in Hamburg vom Vorstandsvorsitzenden der GDD, Prof. Peter Gola, und in Frankfurt von der stellvertretenden Vorstandsvorsitzenden Dr. Astrid Breinlinger geleitet. Die Gastgeberrolle wurde wie im Vorjahr von den Mitgliedsunternehmen Vattenfall Europe Hamburg AG bzw. Fraport AG übernommen. Die Veranstaltung in Frankfurt wurde zudem durch einen Sponsor, der Firma itWatch GmbH, unterstützt. Der GDD-Vorstand und die Geschäftsstelle danken den genannten Unternehmen an dieser Stelle nochmals für ihre Unterstützung.

Im Rahmen des ersten Vortrags gab der Geschäftsführer der GDD, Rechtsanwalt Andreas Jaspers, einen Überblick über die aktuellen Entwicklungen im Datenschutz. Dabei ging er insbesondere auf den Entwurf des Bundesinnenministeriums für ein Beschäftigtendatenschutzgesetz, die geplante Stiftung Datenschutz und die Diskussionen um die Einführung eines sog. „Datenbriefs“ ein. Herr Jaspers stellte außerdem die Ergebnisse des GDD-Privacy-Panels vor, der webbasierten Datenschutzumfrage der GDD. Er wies darauf hin, dass die Umfrage nicht zeitlich beschränkt sei und forderte die Mitglieder insofern auf, weiterhin rege an der Befragung teilzunehmen.

Rechtsanwalt Rolf Hünermann, Willkie Farr & Gallagher LLP, referierte zum Thema Compliance und Datenschutz und stellte insoweit einen grundsätzlichen Zielkonflikt fest. Praktisch alle Compliance-Maßnahmen verpflichteten das Unternehmen zur präventiven Kontrolle von Geschäftsvorgängen und damit auch zur Nutzung personenbezogener Daten der Mitarbeiter. Das Datenschutzrecht verfolge hingegen einen restriktiven Ansatz, wonach jeder Datenumgang einer Rechtsgrundlage bedürfe und darüber hinaus der Grundsatz der Datensparsamkeit zu beachten sei. Demzufolge habe die Geschäftsleitung einen schwierigen Balanceakt zu vollführen.

Der derzeitige Rechtsrahmen biete hier keinen adäquaten Ausweg. In seiner aktuellen Fassung erlaube § 32 BDSG nur repressive Aufklärungstätigkeiten bei zu dokumentierendem Anfangsverdacht. Nach herrschender Meinung könnten präventive Kontrollen allerdings auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG gestützt werden, solange Transparenz und Verhältnismäßigkeit gewahrt blieben. Insofern seien insbesondere folgende Gesichtspunkte zu beachten:

• soweit möglich: Erst strukturelle Analyse etwaiger Gefährdungspotenziale ohne Zugriff auf personenbezogene Daten,
• stichprobenartige statt flächendeckende Kontrollen,
• Begrenzung auf Mitarbeiter mit strukturellem Gefährdungspotenzial,
• soweit wie möglich: Pseudonymisierung und Verwendung nur der Daten, die für den Abgleich erforderlich sind,
• jedenfalls Benachrichtigung im Nachhinein, wenn vorherige Information den Untersuchungszweck gefährden würde,
• „Treffer“ dürfen weiter verfolgt werden; Nicht-Treffer sind unmittelbar zu löschen.

Ein eindeutiger Rechtsrahmen sei zur Entlastung der für die Einhaltung der Compliance-Anforderungen Verantwortlichen mehr als wünschenswert, so Hünermann. Die gegenwärtig geplanten Regelungen führten allerdings kaum zu mehr Rechtsklarheit.

Rechtsanwalt Martin Beckschulze, Arbeitgeberverbände Ruhr/Westfalen, Bochum, ging in seinem Vortrag zum Themenkreis Internet und E-Mail am Arbeitsplatz unter anderem auf die Reichweite des Fernmeldegeheimnisses ein. Dieses schütze nur den Zeitraum des Übertragungsvorgangs und ende, sobald die Übertragung der Informationen abgeschlossen sei. Eine Anwendung des § 88 TKG im Arbeitsverhältnis setze nicht nur voraus, dass die Nutzung der dienstlichen Kommunikationsmittel für private Zwecke gestattet sei. Vielmehr müsse zudem in einen laufenden Telekommunikationsvorgang eingegriffen werden. Sei der Kommunikationsvorgang hingegen abgeschlossen bzw. ruhe er, so hätten sich etwaige Zugriffe des Arbeitgebers lediglich an § 32 BDSG bzw. am allgemeinen Persönlichkeitsrecht zu orientieren.

Prof. Dr. Rainer W. Gerling stellte aktuelle Abwehrstrategien im Zusammenhang mit SPAM und Viren in E-Mails vor. Er sprach folgende Empfehlungen aus:

• Maileinlieferung über Message Submission for Mail/mapi/NRPC (Verschlüsselung verwenden),
• smtp nur für den Unternehmens-Mailserver in der Firewall öffnen,
• der äußerste Mailserver nimmt nur Mails für gültige Nutzer an (nur so könne Backscatter vermieden werden),
• über Blacklisting oder Greylisting werden SPAM/Viren abgewiesen, wobei Blacklisting zukunftssicherer zu sein scheine,
• unerwünschte Mails, die bei einem zweiten Blick noch erkannt werden, werden aussortiert,
• Viren werden in Quarantäne genommen; Information an Beschäftigte,
• SPAM kommt in einen Ordner Junk-Mail/Spam-Verdacht.

Das Verfahren zur SPAM- bzw. Virenabwehr müsse gegenüber den Beschäftigten kommuniziert werden. Die Rechte der Mitarbeitervertretung seien zu beachten.