Wer geglaubt hat, die 6. Datenschutz-Fachtagung der GDD e. V. müsse in diesem Jahr an Besucherschwund wegen der geänderten politischen Konstellation leiden, der irrte: Über 360 Teilnehmer zählten die Datenschützer vom 27. bis 29. Oktober in Köln. weniger zwar als im Vorjahr, aber keineswegs uninteressierte Besucher. Gerade die Novellierungsworkshops waren besonders gut besucht.
Die breit angelegte Diskussion um die Weiterentwicklung des Datenschutzrechts in der Bundesrepublik war Grund genug für die Einrichtung von sechs Workshops:
- Datenschutzrecht in der öffentlichen Verwaltung (Abschnitt II BDSG)
- Datenschutzrecht in der Wirtschaft (Abschnitt III BDSG),
- Datenschutzrecht in Wirtschaft und Verwaltung (Abschnitt IV BDSG),
- Datenschutz und Medien,
- Forschung und Datenschutz,
- Datenschutzrecht und Datenverarbeitung.
Damit waren alle zur Zeit wichtigen Aspekte einschließlich der Anforderungen an die Sicherheit und Kontrollierbarkeit von DV-Systemen mit eigenen Workshops vertreten. Gerade im Hinblick auf die 1980 von der CDU eingebrachten Vorstellungen, wonach eine als unsicher anzusehende Datenverarbeitung von den Aufsichtsbehörden schlichtweg zu verbieten sein darf, kam der Meinungsbildung der Praktiker vor dem Hintergrund des Bonner Regierungswechsels eine besondere Bedeutung zu - auch wenn der CSU-Innenminister Fritz Zimmermann im Moment der Inneren Sicherheit einen Vorzug vor dem Datenschutz gibt (solange das BDSG noch nicht , "baden-württembergisiert" ist, muß er mit den bisherigen gesetzlichen Anforderungen leben, die ja schließlich auch nicht einfach zu vollziehen sind).
Die einzelnen Workshops berichteten nach ausgiebiger Beratung dem Plenum und den eigens angereisten Bundestagsabgeordneten (Wernitz, SPD; Laufs, CDU; Hirsch, FDP) wie folgt:
Workshop 1: Datenschutzrecht in der öffentlichen Verwaltung
Dr. Auernhammer (Bundesinnenministerium) berichtete über den Stand der Novellierungsarbeit im Innenministerium. Er vertrat keine Thesen der neuen Bundesregierung, sondern zeigte den Stand der Diskussion zur Novelle auf.
Der Anwendungsbereich des Gesetzes wird wohl nach jüngsten Erkenntnissen nicht auf die Erhebung von Daten ausgedehnt. Eine Lösung des Medienprivilegs und die Datenverarbeitung für wissenschaftliche Zwecke bedarf einer weiteren Prüfung. Der unbegrenzte Schadensersatzanspruch ist in der zur Zeit vorgeschlagenen Form nicht durchsetzbar.
Auch die vorgeschlagene Fassung des ° 3 Abs. 2 (Einwilligung) bedarf einer Modifizierung. Bei der Übermittlung würde beim Festhalten am Begriff "erforderlich" in ° 11 Abs. 3 praktisch jede Einführung einer Online-Lösung scheitern. Um dies zu verhindern, muß eine praktikable Lösung gesucht werden. Zur Auskunftspflicht wünschen die Sicherheitsbehörden die Beibehaltung der bisherigen Regelung. Die Unentgeltlichkeit der Auskunft im öffentlichen Bereich wurde akzeptiert.
Für den Städtetag betonte der Beigeordnete Wimmer, daß die Städte zum jetzigen Zeitpunkt eine Novellierung nicht unbedingt für erforderlich halten. Es müßten hinreichend Erfahrungen mit den bestehenden Vorschriften gesammelt werden. Er wies darauf hin, daß die Durchführung der Datenschutzgesetze - besonders im Bereich des Meldewesens - zur Verunsicherung des Personals und Verärgerung der Bürger geführt hätten. Er warnte davor, das BDSG im Sinne einer Datenverkehrsordnung weiterzuentwickeln.
In der Diskussion wurden bereichsspezifische Lösungen grundsätzlich für wichtig gehalten. Anhand des SGB X wurde aufgezeigt, wie sehr die zu detaillierten Lösungen zur Rechtsunsicherheit führen. Zur Novellierung des BDSG wurde aus kommunaler Sicht der Wegfall der Veröffentlichspflicht begrüßt. Begrüßt wurde auch der Wegfall der Verpflichtung gemäß ° 5, da die Bediensteten bereits auf die besondere Verschwiegenheit verpflichtet wurden.
Workshop II: Datenschutzrecht in der Wirtschaft
Der III. Abschnitt BDSG in der vorliegenden Fassung hat sich im Prinzip in der Praxis bewährt. Angesichts der verschiedenen Novellierungsvorschläge und in der Öffentlichkeit vorgetragenen Kritikpunkte und Verbesserungsvorschläge nimmt der Workshop zu ausgewählten Fragen wie folgt Stellung:
1. Verarbeitung von Arbeitnehmerdaten ("Personalinformationssystemen" etc.)
Der III. Abschnitt BDSG wird als ausreichend angesehen. Sofern bei der Verarbeitung personenbezogener Daten im Arbeitsleben arbeitsrechtliche Aspekte (Leistungskontrolle, Mitwirkung des Betriebsrates etc.) tangiert sind, wird eine Überfrachtung des BDSG mit entsprechenden Regelungen abgelehnt; hier eignen sich nur bereichsspezifische Lösungen.
Sofern bei bereichsspezifischen Regelungen im Arbeitsleben datenschutzrechtlich relevante Aspekte berührt sind, sollen diese Vorschriften nicht aus der allgemeinen Kontrolltätigkeit des betrieblichen Datenschutzbeauftragten herausgelöst werden.
2. Rechte der Aufsichtsbehörden
2.1 ° 30 Abs. 1 BDSG
Wenn auch anerkannt wird, daß die derzeitige Formulierung zur sogenannten "Anlaßaufsicht" in ° 30 Abs. 1 BDSG die Aufsichtsbehörden nicht befriedigen kann, so muß insoweit doch jede Änderung zurückgewiesen werden, die eine allgemeine Überwachung bewirkt und damit den Grundsatz der internen Kontrolle durchbricht. Sinnvoll erscheint es daher allein, der Aufsichtsbehörde ein Recht zuzugestehen, Einzelfälle zu überprüfen, wenn insoweit (entsprechend der Regelung in ° 152 StPO) hinreichende tatsächliche Anhaltspunkte dafür vorliegen, daß eine Verletzung datenschutzrechtlicher Pflichten vorliegt.
2.2 Die Verbotsvorschriften hinsichtlich der Datenverarbeitung nach ° 30 Abs. 4 des Novellierungsentwurfes werden abgelehnt; die Aufsichtsbehörden sollten aber bei konkreten Bedarfsfällen Maßnahmen zur Durchführung des Datenschutzes und der Datensicherung anordnen dürfen. Die Behörde muß in solchen Fällen aber eine Pflicht zur Begründung und zur Darlegung der festgestellten Gefährdung schutzwürdiger Belange von Betroffenen haben.
3. Zweckbindung und Herkunft von Daten
Der Zweckbindungsgrundsatz ist eins der Ersatzkriterien, die gebildet worden sind, um mit der Schwierigkeit fertig zu werden, daß man nicht weiß, was schutzwürdige Belange sind. Damit wird die Datenverarbeitung mit dem etwas griffigen Begriff "Zweckbindung" in einer Fülle von Fällen erschwert oder unmöglich gemacht, wo der Betroffene entweder überhaupt nicht berührt ist, oder DV vielleicht sogar in seinem Interesse wäre. Und die wenigen Fälle, wo man Probleme definieren könnte, löst man nicht mit dem Verbot der zweckfremden Nutzung, denn die sind schon durch das generelle Verbot des Mißbrauchs (° 1) abgedeckt. Mit dem Verbot der zweckfremden Nutzung wird nur das erreicht, was dem Datenschutz heute immer wieder und zu Recht vorgeworfen wird: daß er die Datenverarbeitung behindert und belastet, ohne daß ein höherer Schutz erreicht wird.
4. Dateibegriff
Angesichts einer rasanten technologischen Entwicklung ist der vorhandene Dateibegriff auf Dauer nicht haltbar. Textverarbeitung, Textvermittlungssysteme, Termincomputer für den privaten Bedarf und ähnliche deuten darauf hin, daß auf Dauer der Datenschutz unterlaufen wird. Wenn man dem Rechnung trüge und den Datenschutz generell auf die Verarbeitung personenbezogener Daten (oder auf die automatisierte Verarbeitung personenbezogener Daten) bezöge, so würden viele Vorschriften im BDSG, die auf traditionelle Großrechneranwendungen zielen, zu unsinnigen Ergebnissen führen. Aus diesem Grunde sind die im Regierungsentwurf vorgelegten Vorschläge nicht brauchbar.
Der Workshop schlägt vor, die Frage des Dateibegriffs angesichts der Diskussion im Bereich Btx und der sonstigen technologischen Entwicklung aufmerksam zu verfolgen, es jedoch zunächst bei der bisherigen Formulierung zu belassen. Hierfür spricht auch, daß es inzwischen keine ernsthaften Abgrenzungsprobleme in der Praxis mehr bei der Bestimmung einer Datei gibt.
5. Konzernklausel und Abgrenzung
Der Konzern wird in vielen Rechtsgebieten als Einheit betrachtet. Dies sollte auch für das BDSG gelten. Begründung: Die Konzernunternehmen unterliegen einer einheitlichen Leistungsmacht, die den umfassenden Konzernzweck definiert und vorschreibt. Datenverarbeitung im Konzern kann häufig nicht einem einzelnen Unternehmen gutgeschrieben werden und ihre rechtliche Zuordnung im einzelnen Unternehmen oder ihr Betrieb in eigener Rechtsform hängt häufig von Zufälligkeiten, Traditionen oder speziellen Konzernzwecken ab. Die Datenverarbeitung dient also immer und überwiegend dem umfassenden, einheitlichen Konzernzweck. Eine Übermittlung in fremde Herrschaftsbereiche erfolgt also dabei nicht. Aus diesem Grunde ist auch Datenverarbeitung im Konzern für Zwecke des Konzerns stets Datenverarbeitung für eigene Zwecke und sollte damit immer unter den m. Abschnitt des BDSG fallen.
6. Stellung und Tätigkeit des Datenschutzbeauftragten
Der Workshop begrüßt ausdrücklich die Absicht des Gesetzgebers, die Stellung des betrieblichen Datenschutzbeauftragten zu stärken. Er tut dies um so mehr, als eine Ausdehnung der Fremdkontrolle in dem m. Abschnitt ausdrücklich abgelehnt wird. Eine solche Ablehnung ist nur begründbar, wenn die Funktion des betrieblichen Datenschutzbeauftragten nach wie vor ernst genommen wird und bestehende Probleme abgebaut werden.
Der Workshop kommt zu dem Ergebnis, daß die Hauptprobleme zur Funktion des betrieblichen Datenschutzbeauftragten, die immer wieder in der Praxis vorgetragen werden, folgende sind:
1. informiert sein
2. sich durchsetzen.
Alles, was im Rahmen der Novellierung getan wird, um in diesen beiden Punkten die Tätigkeit des DSB effektiver zu machen und seine Stellung zu stärken, wird ausdrücklich begrüßt. Alles, was geeignet ist, ihn in zusätzliche Konflikte zu bringen, wird abgelehnt.
Workshop 3: Datenschutzrecht in Wirtschaft und Verwaltung
1. Datenerhebung
Keine einheitliche Auffassung
2. Dateibegriff
Der im Entwurf enthaltene Dateibegriff nimmt zwar auf neue Medien und Textverarbeitung Rücksicht, wirft jedoch beim Begriff "Erschließen" und bei Heimcomputern neue Probleme auf, weswegen die neue Definition abgelehnt wird.
3. Übermittlung
Statt der konkreten Prüfung, ob schutzwürdige Belange des Betroffenen beeinträchtigt werden, wird eine pauschale Prüfung wie im ° 321, 1 BDSG befürwortet.
4. Einwilligung
Die Entwurfsformulierung, ,.der Widerruf der Einwilligung kann nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden', stößt allseits auf Bedenken.
5. Schadensersatz
Ein Ersatz von immateriellen Schäden über die allgemeinen Rechtsgrundsätze hinaus wird abgelehnt. Gegen die Gefährdungshaftung wurden Bedenken geltend gemacht. Sollte ein verschuldensunabhängiger Schadensersatzanspruch erwogen werden, wäre er auf die ADV zu beschränken sowie auf einen Höchstbetrag begrenzen.
6. Online-Zugriff
Die Regelung des Entwurfes zu ° 32 IV wird begrüßt. Es bestehen allerdings erhebliche Bedenken gegen die Bestimmbarkeit des Begriffs "Erforderlichkeit".
7. Befugnisse der Aufsichtsbehörden
Gegen die Formulierungen des Entwurfes zu ° 30 IV bestehen erhebliche Bedenken. Es wird zur Kenntnis genommen, daß Initiativen der Bundesländer bestehen, diese Bestimmungen praktikabel zu gestalten.
8. Kostenfreiheit der Auskunft an den Betroffenen
Es bestand keine einheitliche Meinung. Einer grundsätzlichen Kostenfreiheit wird wegen der bekannten Mißbrauchsmöglichkeiten nicht zugestimmt.
Workshop 4: Datenschutz und Medien
1. "Neue Medien - insbesondere Btx - decken sich nicht mit den in ° 1 III. BDSG privilegierten Medien; das Privileg des ° I (3) BDSG kann nur in Betracht kommen, wenn die Information, also der Inhalt der über den technischen Weg "Btx" vermittelten Botschaft presse- beziehungsweise rundfunkrechtlichen Kriterien unterliegt. Hierüber bestand einhellige Auffassung.
2. Strittig blieb, ob bereits jetzt - trotz der großenteils schon erkannten Möglichkeiten der neuen Medien (insbesondere Btx) - datenschutzrechtliche Vorkehrungen im Sinn gesetzlicher oder staatsvertraglicher Regelungen getroffen werden sollen: Eine Meinung geht dahin, bereits rechtzeitig im Vorfeld von Gefahrenherden obrigkeitlich - gegebenenfalls auch im Weg der Lizensierung! - tätig zu werden; die andere plädiert für vorherige Erfahrungswerte mit neuen Medien, gegebenenfalls Ausloten der Chancen einer freiwilligen Selbstkontrolle und will datenschutzrechtliche Regelungen erst als Reaktion ( Kein Datenschutzrecht auf Vorrat ).
3. Sofern man allerdings bereits jetzt datenschutzrechtliche Regelungen für die neuen Medien schaffen will wurde geäußert, daß das ursprüngliche BDSG-Konzept nicht übernommen werden kann: Als erforderlich wird zum Beispiel die Ablösung vom Dateibegriff oder eine "Neustrukturierung" der Einwilligung angesehen.
4. Einigkeit bestand, daß eventuell die neuen Medien betreffende datenschutzrechtliche Regelungen nicht in das "Auffanggesetz" BDSG aufgenommen werden sollen, sondern bereichsspezifisch erfolgen müssen.
5. Kritische Anmerkungen erfolgen zur "Philosophie" des ° 3 BDSG. Soll und kann noch das Verbotsprinzip aufrechterhalten werden? Muß angesichts der neuen technologischen Entwicklungen - denen gegebenenfalls mit Datenschutzregelungen Rechnung getragen werden sollte - generell ein neuer Ansatz erfolgen? (Stichwort: Datenverkehrsordnung)
6. Nicht abschließend konnten kompetenzrechtliche Fragen geklärt werden (Bund - Länder).
7. Noch ungelöst sind verschiedene Medien - und datenschutzrechtliche Probleme, die die Btx-Nutzung von Medien- (Presse-)Archiven betreffen.
Workshop 5: Forschung und Datenschutz
Forschungsvorhaben (zum Beispiel in der Epidemionologie) werden im wesentlichen nicht durch die Forderungen der Datenschutzgesetze, sondern durch andere Vorschriften zum Datenschutz, insbesondere das Patientengeheimnis (° 203 StGB) und die Statistikgesetze, erschwert.
Ein Patientengeheimnis wird zunehmend stärker diskutiert. Damit soll nicht die notwendige wissenschaftliche Forschung blockiert werden. Gewarnt wird jedoch ausdrücklich vor der Aufweichung des Patientengeheimnisses durch Ausnahmeregelungen.
In der Praxis entsteht viel Arger durch die mangelnden Kenntnisse der Forschenden über die Vorschriften zum Datenschutz und deren Umsetzung in Forschungsvorhaben. Gefordert wird mehr Beratungskapazität (zum Beispiel auch an den Hochschulen). Die Forscher erwarten auch Hilfe von den für die Forschung und Wissenschaft zuständigen Ministerien zum Beispiel in Form von Richtlinien oder Musterunterlagen für die Gestaltung von Vorhaben. Als Beispiel sei hier der "Kodex für die Forschung im Verkehrsbereich" des Bundesbeauftragten für den Datenschutz genannt.
Die Vertreter der ärztlichen Berufsverbände zeigten sich an einer verstärkten Aufklärung in dieser Richtung sehr interessiert. Sie betonten ihre Bereitschaft, im konkreten Einzelfall beratend tätig zu werden und auch dort zu helfen, wo Daten aus Bequemlichkeit verweigert werden.
Es gibt eine Reihe von Fragen, die weiterhin unklar sind, und intensiver Diskussion anhand praktischer Beispiele bedürfen. Genannt sei hier zum Beispiel
- Wie können die Daten von Verstorbenen, die dem Datengeheimnis unterliegen, retrospektiv für die Forschung genutzt werden?
- Können Probanden, die die Erlaubnis für die Verwendung ihrer Daten nicht geben, damit die Nutzung für soziologische oder psychiatrische Forschungsvorhaben ausschließen?
Workshop 6: Datenschutzrecht und Datenverarbeitung
Leitthema dieses Workshops war: Nicht die Daten, sondern die Information und ihre Nutzung sind in den Mittelpunkt des Gesetzes zu stellen. Das ist das Grundanliegen des Datenschutzes.
Aus dein Leitthema folgt unmittelbar: Das BDSG muß die Kontrolle der Nutzung der Daten insgesamt regeln, nicht die Kontrolle einzelner Vorgänge der Datenverarbeitung.
Es wird bezweifelt, daß das BDSG in seiner jetzigen Form wie auch in den
Vorschlägen zur Novellierung dem Grundanliegen hinreichend entspricht. Zwar ist der Grundgedanke im BDSG anzutreffen, allerdings fast überall nur in Ansätzen und nur implizit. Die Regelung über die Nutzung der Daten sind stark durchsetzt und häufig überdeckt von Aussagen zu technischen Einzelheiten der Datenverarbeitung. Wenn im BDSG oder in den Vorschlägen zur Novellierung Nutzung der Daten gemeint ist, dann muß dies explizit gesagt werden, wo immer es gefordert wird.
Novellierung
Abweichende Ansichten gab es zur Frage, ob das BDSG zum gegenwärtigen Zeitpunkt novelliert werden muß. Einige Teilnehmer können mit dem vorhandenen Gesetz befriedigend arbeiten. Andere bezweifeln, ob die bisher bekannten Vorschläge zur Novellierung das Gesetz in eine Form bringen können, die den Anforderungen der Praxis genügt. Das Beispiel der Mikrocomputer und ihres unkontrollierten - und bisher unkontrollierbaren - Einsatzes in den Betrieben, vor allem aber im privaten Bereich, zeigt, wie ungeeignet Gesetzestexte sind die sich am Stand der Technik orientieren.
Akzeptanz des Datenschutzgedankens
Zwei Aussagen stehen sich gegenüber:
- Durch intensive Schulung läßt sich das Problem der Akzeptanz lösen.
- Präzisere Formulierungen im Gesetz sind notwendige Voraussetzung für eine bessere Akzeptanz des Datenschutzgedankens.
Schlußbemerkung:
Man bedenke, daß unsere abendländische Gesellschaft mehrere hundert Jahre gebraucht hat, um die Fragen des Eigentums 60 zu regeln, wie wir es heute kennen. Man kann nicht erwarten, daß gesetzliche Regelungen über den Umgang mit dem immateriellen Gut Information im ersten Anlauf zu einem Datenschutzgesetz ein für allemal gelöst werden können.
Die Novellierung des BDSG sollte grundsätzliche Korrekturen der Vorgehensweise, so wie das Leitthema sie definiert, ins Auge fassen, denn dadurch sind voraussichtlich viele Schwierigkeiten vermeidbar.