GDD-Infotag 2011

Die Vorträge aus Hamburg und Frankfurt sind identisch!

• Jaspers - Das Beschäftigtendatenschutzgesetz
• Ernestus - Technischer Datenschutz - Quo vadis?
• Globig - Datenschutz beim Betrieb von Internet-Angeboten
• Eiermann - Profilneurosen
• Schuster - 1000 Mitarbeiter = 1000 Pressesprecher - Wenn Mitarbeiter in sozialen Netzen aktiv werden

Checklisten aus der Broschüre "Datensicherheit im Unternehmen" als *.rtf-Dateien:

• Schutz personenbezogener Daten
• Die technischen und organisatorischen Maßnahmen nach § 9 BDSG und Anlage
• Mustervertrag zur Fernwartung
• Checkliste zur Erfüllung der Aufgaben nach § 9 BDSG und Anlage

Am 21. Juni und 7. Juli 2011 führte die GDD in Hamburg und Frankfurt am Main ihren traditionellen Informationstag durch.

Die Veranstaltung, die verschiedene aktuelle Datenschutzthemen aufgriff, wurde in Frankfurt a.M. vom GDD-Vorstandsvorsitzenden Herrn Prof. Gola und in Hamburg vom GDD-Vorstandsmitglied Herrn Dieckmann geleitet. Die Gastgeberrolle wurde - wie im Vorjahr - von den Mitgliedsunternehmen Vattenfall Europe Hamburg AG bzw. Fraport AG übernommen. Beide Veranstaltungen wurden dabei durch einen Sponsor, die Firma Recall Germany GmbH, unterstützt. Der GDD-Vorstand und die Geschäftsstelle danken den genannten Unternehmen an dieser Stelle nochmals ausdrücklich für ihre freundliche Unterstützung.

Im Rahmen des ersten Vortrags gab der Geschäftsführer der GDD Herrn Jaspers einen Überblick über die aktuellen Entwicklungen bezüglich des derzeitigen Gesetzgebungsverfahrens zur Verabschiedung eines Beschäftigtendatenschutzgesetzes. Dabei ging er insbesondere auf die Ergebnisse der diesbezüglichen Sachverständigenanhörung des Deutschen Bundestages ein und erläuterte die wesentlichen Punkte der Stellungnahme der GDD. Diese trat in ihrer Stellungnahme für die Einfügung einer Öffnungsklausel für Betriebsvereinbarungen, um jene als Erlaubnistatbestand für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten heranziehen zu können, sowie für die Einführung einer „Konzernklausel“ zur Erleichterung von konzernimmanenten Datentransfers ein. Des Weiteren plädierte die GDD auch für Änderungen im Vorfeld eines Beschäftigtenverhältnisses (z.B. im Hinblick auf Fragerecht und Initiativbewerbungen) und befürwortete ferner Änderungen im Bereich der verdeckten Videoüberwachung, um ein Überhandnehmen der offenen Videoüberwachung zu verhindern. Jaspers wies darauf hin, dass das Gesetzgebungsverfahren sich derzeit in einer Phase befände, in der die Fraktionen Änderungsvorschläge einbringen können. Es sei zu hoffen, dass diese Zeit von den Fraktionen zielführend genutzt werde.

Anlässlich des anschließenden Vortrags „Datensicherheit - Quo Vadis?“ zeigte Herr Walter Ernestus, Regierungsdirektor beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, das essentielle Alterungs-Problem des Bundesdatenschutzgesetzes auf. Auf Grund des Umstands, dass das Konzept des BDSG technikorientiert sei, entstehe angesichts stetigen technologischen Fortschritts regelmäßig Novellierungsbedarf, um die BDSG-Formulierungen den aktuellen tatsächlichen Erfordernissen anzupassen. So habe in der Datenverarbeitung schleichend ein Paradigmenwechsel von der konventionellen rechenzentrumbasierten Datenverarbeitung hin zur allgegenwärtigen Datenverarbeitung stattgefunden. Der Wettlauf „Technologie vs. Gesetzgebung“ sei, Ernestus Ausführungen zufolge, angesichts des steten Wandels der Datenverarbeitungstechnologien allein durch eine monumentale Umorientierung des Datenschutzrechts zu bewältigen. Der Gesetzgeber müsse sich von der bisher vorherrschenden Technologiebezogenheit des BDSG abwenden und technlogieneutrale konkrete Datenschutzziele normieren. Als notwendige Schutzziele sollten seiner Ansicht nach „Transparenz“, „Zweckbindung“ und „Intervenierbarkeit“ definiert werden. 

Anschließend referierten zwei Vertreter des Landesbeauftragten für den Datenschutz Rheinland-Pfalz in Mainz zum Thema „Datenschutz beim Betrieb von Internetangeboten“. Herr Dr. Klaus Globig, Leitender Ministerialrat, verdeutlichte mit seinem Vortrag „Datenschutzgerechte Website-Gestaltung - rechtliche Aspekte“ die historische Entwicklung des deutschen Rechts bezüglich Website-Gestaltung von den Anfängen des WWW im Jahr 1991 bis hin zur Schaffung des Telemediengesetzes (TMG) im Jahre 2007. Dabei erläuterte Herr Globig, dass neben den TMG-Vorschriften je nach inhaltlicher Ausgestaltung der Webpräsenz u.U. auch Vorschriften des Bundesdatenschutzgesetzes (BDSG) und des Rundfunkstaatsvertrags (RStV) zu beachten sein können, und wies explizit auf die Vorschriften zur Impressumspflicht hin (§§ 5, 6 TMG sowie § 55 RStV). Des Weiteren sprach er den inhaltlich dem § 4 BDSG entsprechenden § 12 TMG an, und schlüsselte im weiteren Verlauf des Vortrags die Bedeutung der einzelnen Absätze des § 13 TMG auf, in denen u.a. die Informationspflichten (Stichwort: „Datenschutzerklärung“) geregelt sind, wonach Betreiber von Websites die Nutzer über Art, Umfang und Zweck der jeweils stattfindenden Datenverarbeitung in allgemein verständlicher Form in Kenntnis setzen müssen.

Anschließend arbeitete Herr Helmut Eiermann, Ministerialrat, mit seinem Vortrag „Profilneurosen - datenschutzgerechter Einsatz von Werkzeugen zur Web­si­te-Ana­ly­se“ am Beispiel der Webanalyse-Software „Google Analytics“ heraus, dass der Einsatz dieser Software zur Reichweitenmessung von Webseiteninhalten in datenschutzrechtlicher Hinsicht problematisch sein kann. Nachdem Herr Eiermann kurz auf die Personenbeziehbarkeit von IP-Adressen eingegangen war, veranschaulichte er, dass neben IP-Adressen weitere personenbeziehbare Daten der Webseitennutzer beim Einsatz der Software „Google Analytics“ an außerhalb der EU befindliche Server der Fa. Google Inc. gesendet werden und kritisierte diesbezüglich, dass Datenübermittlungen in Länder mit niedrigeren Datenschutzniveaus stattfinden. Er kritisierte ferner, dass die Software standardmäßig keine Anonymisierung der erfassten Nutzerdaten vornehme, und dass das zum Einsatz erforderliche Google-Analytics-Script ohne Maskierung der IP-Adresse des Nutzers geladen werde. Ferner beanstandete er, dass es an einer Möglichkeit für die Nutzer fehle, wirksam von seinem Widerspruchsrecht nach § 15 Abs. 3 Telemediengesetz Gebrauch zu machen. Ein datenschutzkonformer Einsatz dieser Software sei erst dann denkbar, wenn die Fa. Google Inc. die „Google Analytics“- Anonymisierungsprozesse auditieren lasse, das sog. Opt-Out-PlugIn korrigiere und für zusätzliche Browser-Varianten zur Verfügung stelle, als auch die Nutzungsbedingungen sowie den Musterauftrag zur Auftragsdatenverarbeitung überarbeite.  

(Redaktioneller Hinweis: Unter bestimmten Voraussetzungen ist seit 15.09.2011 ein datenschutzkonformer Einsatz von Google Analytics möglich. Nähere In­formationen dazu finden Sie auf der Website des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) unter http://www.datenschutz-hamburg.de/news/detail/article/beanstandungsfreier-betrieb-von-google-analytics-ab-sofort-moeglich.html)

Frau Schuster, Max-Planck-Gesellschaft, München, arbeitete mit ihrem Vortrag „1.000 Mitarbeiter = 1.000 Pressesprecher? - Wenn Mitarbeiter in sozialen Netzen aktiv werden“ mit zahlreichen Beispielen heraus, dass die Technologie im Bereich der sozialen Netzwerke die Unternehmen zwangsläufig transparenter macht. Allerdings wies sie gleichfalls auf die Chance des gezielten Einsatzes dieser Medien hin. Auf Grund der steigenden Nutzerzahlen und immer stärker sich verwischender Grenzen zwischen privaten und beruflich getätigten Äußerungen trat Frau Schuster deshalb dafür ein, dass sich Firmen proaktiv mit sozialen Netzwerken auseinandersetzen, um einer Rechtsunsicherheit der Mitarbeiter bereits im Vorfeld vorzubeugen.