2         Datenschutzgesetzgebung auf Bundesebene

2.1         Defizit Arbeitnehmerdatenschutz

Die letzten Monate haben den von den Daten­schutzbeauftragten seit Jahren angemeldeten Daten­schutzbedarf auch für Nichtexperten offensichtlich werden lassen: Die bei der Telekom öffentlich gewordenen Datenschutzverstöße zeigten technisch-organisatorische und strukturelle Defizite. Die unzulässige Beobachtung von Mitarbeitern durch einen in der gesamten Republik agierenden Lebens­mitteldiscounter offenbarte ein mangelndes daten­schutzrechtliches Problembewusstsein und unge­nügende Sanktionsfurcht (Tz. 5.3). Skandale kom­men selten allein: In zeitlicher Nähe wurden aus dem Einzelhandel in unterschied­lichen Ländern weitere Datenschutzverstöße bekannt, die darauf hinwiesen, dass nicht nur für eine Unternehmensgruppe, sondern für große Teile einer Branche Datenschutz noch ein unbekanntes und unbeackertes Feld ist.

Das Fehlen eines sich direkt an Arbeitgeber adressierenden Arbeitnehmerdaten­schutzgesetzes wurde offenbar. Die praktischen Probleme der rechtlichen Bewer­tung von klassischen Abläufen in Betrieben wurden schlaglichtartig erkennbar: Die weitverbreitete Videoüberwachung von Arbeitnehmern lässt sich über die Rege­lung im Bundesdatenschutzgesetz nur begrenzt legitimieren. Dabei wird die spezifische Abhängigkeit zum Arbeitgeber bisher völlig ignoriert. In vielen Unter­nehmen, teilweise selbst in internationalen Konzernverbünden, wird mit „Einwil­ligungen“ gearbeitet, bei denen es keine Freiwilligkeit gibt. Die Nutzung von Telekommunikations- und Telemediendiensten durch Arbeitnehmer zwingt Arbeit­geber zu einem komplexen Regelungsgeflecht, um sich einerseits nicht rechtswidrig zu verhalten, andererseits die eigenen Direktionsbefugnisse nicht aufzugeben. Heimliche und damit unzulässige Gesundheits- und Drogenkontrollen finden nicht nur in Einzelfällen statt. Der Rückgriff auf die arbeitsrechtliche Rechtsprechung sowie betriebliche Vereinbarungen können in vielen Bereichen die schlimmsten Persönlichkeitsbeeinträchtigungen im Arbeitsverhältnis abwenden. Rechtssicherheit für die Beteiligten – Arbeitgeber wie Arbeitnehmer – wird damit aber nicht geschaffen.

So offensichtlich der Bedarf an arbeitsspezifischen Datenschutzregelungen ist, so verblüffend ist, wie dieser durch die Politik ignoriert wird. Die Bundesregierun­gen hatten seit dem Volkszählungsurteil im Jahr 1983 über Jahre hinweg solche Regelungen versprochen. Einige Male bestand die konkrete Hoffnung, dass die vorliegenden Schubladenentwürfe des zuständigen Ministeriums das Licht eines Gesetzgebungsverfahrens erblicken würden. Doch im Ergebnis war die Lobby­arbeit der Arbeitgeber so effektiv, dass sich keine Regierung auf den absehbaren Konflikt einlassen wollte. Die aktuelle Regierungskoalition auf Bundesebene hat dieses Gesetzgebungsprojekt erstmals nicht mehr in ihren Absichtskatalog aufge­nommen.
Die Ablehnung durch die Arbeitgeber stand derweil immer offensichtlicher im Widerspruch zu den eigenen objektiven Interessen an einem sozial verträglichen und zugleich effektiven IT-Einsatz in den Unternehmen. Mit den teilweise rigiden Vorgaben der Arbeitsrechtsprechung wird beim Einsatz neuer Technologien nicht hinreichend Rechtssicherheit geschaffen. Dass nun gleich eine Vielzahl von Ver­stößen keine ernsthaften politischen Aktivitäten auslöste, lässt sich nur mit schwe­rer Resignation und Hoffnungslosigkeit erklären, die alle Kräfte erfasst hat, die für einen Ausgleich von Arbeitgeber- und Arbeitnehmerinteressen beim betrieblichen IT-Einsatz eintreten. Rationale Gründe für eine weitere Untätigkeit gibt es nicht.

Die Datenschutzbeauftragten haben den Arbeitnehmerdatenschutz zum Thema des Europäischen Datenschutztages Ende Januar 2009 gewählt. Die Sommerakademie Ende August 2009 wird sich dem Thema „Arbeitnehmer – Freiwild der Über­wachung?“ widmen. Vielleicht können wir damit Impulse setzen, die in der nächsten Legislaturperiode zu einer vernünftigen Regulierung führen.

 

2.2         Defizit Bundesdatenschutzgesetz

In zwei Bereichen hat das Bundeskabinett für das Bundesdatenschutzgesetz (BDSG) Vorschläge vorgelegt. Der erste befasst sich mit Kredit-Scoring und Auskunfteien, der zweite mit dem sogenannten Permission Marketing und dem Datenschutz-Audit.

Der Referentenentwurf zu Scoring und Auskunfteien vom September 2007 war zunächst systematisch wie inhaltlich ein Desaster. Es hat sich gelohnt, diesen Entwurf konstruktiv zu kritisieren. Im Juli 2008 wurde ein Regierungsentwurf beschlossen, der insgesamt eine brauchbare Antwort darauf enthält, wie bei der Erfassung von Kreditrisiken der Verbraucherschutz gewahrt werden kann. In der Finanzwirtschaft hatte sich allmählich eine intransparente Praxis der Verbraucher­benotung eingeschlichen. Spätestens seit 2006 ist nach der Veröffentlichung unse­res Gutachtens zum Kredit-Scoring (28. TB, Tz. 8.8) nicht mehr zu bestreiten, dass diese Praxis Betroffenenrechte verletzt und weitgehend rechtswidrig ist.

Der Entwurf legalisiert den Einsatz der Scoring-Methode; der von der Wirtschaft hierfür zu bezahlende Preis ist eigentlich nur erhöhte Transparenz. Alle voran­gegangenen Versuche, die Finanzdienstleister zu einer freiwilligen Selbstver­pflichtung zu veranlassen, blieben erfolglos. Der vorliegende moderate Entwurf der Bundesregierung wird von den Wirtschaftsverbänden und den maßgebenden Unternehmen dennoch weiter heftig bekämpft. Es ist schon verblüffend, mit welcher Dreistigkeit diese Unternehmen einerseits den Verbraucher gläsern machen und sich andererseits weigern, sich hierbei in die Karten schauen zu lassen. Die Benotung der Menschen bezüglich ihrer Kreditwürdigkeit birgt ein gewaltiges Diskriminierungspotenzial und existenzielle Risiken für die Betroffenen bei zugleich fragwürdiger Aussagekraft. Öffentliche Kontrolle von Banken und etwas Selbstkritik stünde der Branche – gerade in der aktuellen Krisenzeit – gut zu Gesicht und brächte einen großen Gewinn für die informationelle Selbstbestim­mung der Verbraucher (Tz. 5.1.1).

/www.datenschutzzentrum.de/scoring/20080620-bdsg-e.html

Mit 17.000 über die Verbraucherzentrale Schleswig-Holstein vermittelten Daten­sätzen aus einem Callcenter wurde ein Kontodatenskandal öffentlich, der schließ­lich dem ULD aus unterschiedlichen Quellen über 7 Millionen illegal gehandelte Datensätze bescherte (Tz. 5.4 und Tz. 6.5). Dieses Mal konnte der Bundespolitik nicht der Vorwurf des Zögerns gemacht werden. Es wurde noch im Dezember 2008 ein Gesetzentwurf vorgelegt, der bei der Datennutzung für Werbezwecke die bisherige Widerspruchsregelung durch das Einwilligungserfordernis ersetzt. Dieses sogenannte Permission Marketing ist die adäquate Antwort darauf, dass der Austausch von Personendaten für Werbezwecke immer undurchsichtiger und invasiver und gleichzeitig die schutzwürdigen Verbraucherinteressen immer mehr ignoriert werden.

Sicher war und ist der Handel mit Kontodaten schon vor der Gesetzesnovelle ille­gal. Doch das, was inzwischen als legale Datennutzung für Werbezwecke prakti­ziert wird, missachtet derart die informationelle Selbstbestimmung der Menschen, dass die Novelle überfällig ist. Wieder überraschten die Vehemenz des Wider­stands und die falschen Argumente großer Teile der Wirtschaft bei ihrer öffentli­chen Lobbyarbeit gegen den Entwurf. Eine ganze Branche, die sich Dialogmarke­ting nennt, behauptet genau zu wissen, welche Werbung die Menschen wollen, und weigert sich, diese Betroffenen um Erlaubnis zu bitten bzw. mit diesen in den Dialog zu treten. Nach einer gesetzlich zugestandenen Übergangsphase werden die Unternehmen feststellen, dass die geplante Gesetzesänderung auch für sie von Vorteil ist. Diese trennt die schwarzen Schafe klar von den weißen im Gewerbe. Über den Dialog mit den Verbrauchern wird letztlich eine qualifiziertere Werbung möglich (Tz. 5.1.2).

www.datenschutzzentrum.de/wirtschaft/20081125-permission-marketing.html

Was bleibt, sind die vielen weiteren Defizite des BDSG. Als dieses Gesetz im Jahr 2001 wegen europarechtlicher Vorgaben überarbeitet wurde, waren sich alle Beteiligten über den vorläufigen Charakter des bisher Erreichten bewusst. Es war erklärter Wille des Bundesgesetzgebers, in einer zweiten Stufe eine Modernisie­rung des Datenschutzrechtes vorzunehmen: Anpassung an die technische Ent­wicklung, systematische Neuordnung und Erhöhung der Verständlichkeit, Ein­führung marktwirtschaftlicher Instrumente sowie Anerkennung des Datenschutzes als Verbraucherschutz. Passiert ist seitdem in dieser Hinsicht praktisch nichts. Inzwischen pfeifen es die Spatzen von den Dächern: Das BDSG wird den techni­schen Herausforderungen des Internets nicht mehr gerecht (30. TB, Tz. 2). Der Einsicht sollten endlich Taten folgen. Nur so kann die nötige Rechtssicherheit für alle Beteiligten geschaffen werden, die das Internet zum Rückgrat eines florieren­den E-Commerce und eines vertrauenswürdigen E-Governments macht.

www.datenschutzzentrum.de/bdsg-novellierung/

Anlässlich der Entscheidung über die Online-Durchsuchung im Verfassungsschutz­gesetz Nordrhein-Westfalen hat das Bundesverfassungsgericht im Februar 2008 aus dem allgemeinen Persönlichkeitsrecht ein „Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme“ abgeleitet. Damit hat es nicht nur rechtliche, sondern auch technische Kompetenz demonstriert und gezeigt, dass es adäquate rechtliche Antworten auf die Verlagerung vieler vertrauensbedürftiger Lebensbereiche in die Welt der Informationstechnik gibt. Dieses Urteil sollte ein weiterer Anlass für den Bundesgesetzgeber sein, seine Hausaufgaben zu machen und der vom Bundesverfassungsgericht festgestellten Schutzpflicht für seine Bür­gerinnen und Bürger gerecht zu werden. Dabei genügt es nicht, staatliche Eingriffe in diesen neu geschaffenen Grundrechtsbereich zu verhindern und im äußersten Notfall sauber gesetzlich geregelt zu erlauben (Tz. 4.2.2). Vielleicht wichtiger ist es noch, durch gesetzliche Regelungen die Menschen dazu rechtlich, technisch und strukturell in die Lage zu versetzen, sich der Invasion in diesen neu geschaffenen Schutzbereich, insbesondere durch private Angreifer, zu erwehren.

www.datenschutzzentrum.de/grundrecht/neues-grundrecht.pdf

 

2.3         Defizit Datenschutz-Audit

Seit 2001 verspricht eine Regelung im BDSG das Audit als präventive markt­wirtschaftliche Methode zur Verbesserung des Datenschutzes. Seit 2001 werden vom ULD erfolgreich Datenschutz-Gütesiegel und Auditzertifikate verliehen. Seitdem steigt die Nachfrage nach diesen Instrumenten wie auch die positive Erfahrung hiermit. Nichts läge näher, die bisherige schleswig-holsteinische Praxis, die inzwischen europaweit anerkannt wird, in einen normativen Rahmen zu gießen und so die nötige Rechtssicherheit für IT-Anbieter, Daten verarbeitende Stellen, Verbraucher, Aufsichtsbehörden und die Öffentlichkeit zu schaffen.

Stattdessen legte zunächst das Bundesinnenministerium und dann die Bundes­regierung einen Auditgesetzentwurf vor, der an Praxisferne kaum zu überbieten ist: ein bürokratisches und zugleich äußerst konfliktträchtiges Verfahren Einset­zung eines teilweise fachfremden, sich gegenseitig blockierenden Ausschusses, keine Transparenz über die durchgeführten Kontrollen und die eingesetzten daten­schutzfreundlichen Techniken und Verfahren, keine Anreize für einen möglichst hohen Datenschutzstandard, keine unabhängige Qualitätskontrolle – letztendlich kein Anlass für Vertrauen und Marktvorteil. Die Anleihen hat man nicht im Tech­nikrecht gesucht, etwa bei der Zertifizierung des Bundesamtes für die Sicherheit in der Informationstechnik (BSI), sondern, so tatsächlich die Kabinettsvorlage, beim „ökologischen Landbau“. Ein Billigsiegel liegt weder im Interesse der Verbraucher noch der Wirtschaft Das ULD hat dem federführenden Bundesinnenministerium immer wieder seine Unterstützung angeboten. Das Unterstützungsangebot besteht weiterhin (Tz. 9.1).

 

2.4         Internationale Regulierung als nationale Aufgabe

Die Verarbeitung unserer Daten erfolgt nicht nur in den engen Grenzen separierter informationstechnischer Systeme und auch nicht räumlich in den nationalen Gren­zen, sondern global. Diesen globalen Charakter unserer IT-Struktur machen sich viele nutzbar, um sich der Verantwortung von verursachten Persönlichkeitsgefähr­dungen und -verletzungen zu entziehen (Tz. 7.4). Allgemein anerkannt ist, dass das Internet kein rechtsfreier Raum sein darf, aus dem heraus bzw. in dem ohne Verfolgungs- und Sanktionsrisiko Straftaten begangen werden können. Es wurde ein internationales Instrumentarium geschaffen, um „Cyber Crime“ zu bekämpfen. Verblüffend ist, dass von politischer Seite bisher keine ernsthaften Anstrengungen erkennbar sind, um ein verbindliches internationales Regelwerk zur Wahrung der Privatsphäre im Internet zu schaffen (Tz. 11).

Hindernis bei der Entwicklung eines solchen Regelwerkes sind die immer noch weit auseinandergehenden Vorstellungen von Datenschutz und von digitaler Privatsphäre in den unterschiedlichen Kulturen und das teilweise gänzliche Fehlen von Regelungen zum Datenschutz auf nationaler Ebene. Dies sollte die Vereinten Nationen nicht daran hindern, den Datenschutz global voranzubringen und internationale Empfehlungen zu erarbeiten, aus denen sich eine internationale Konvention entwickeln kann. Möglicherweise ist es sinnvoll, den Geltungsbereich von spezifischen Regelungen auf das Internet zu beschränken. Hierbei wird nicht zu verhindern sein, dass zunächst nur ein minimaler Schutzstandard vereinbart werden kann, was aber gegenüber dem bisherigen ungeregelten Zustand eine Verbesserung wäre. Die Bundesregierung sollte mit dieser Zielsetzung die Initia­tive ergreifen.

Zusätzlich zu den notwendigen globalen Bestrebungen für mehr Datenschutz sollten die höher technisierten Nationen mit einer vergleichbaren Datenschutzkultur weitergehende multinationale Regelungen ausarbeiten, bei denen nicht nur mate­rielle Aspekte, sondern auch Verfahren und Standards festgelegt werden müssen, z. B. die Sicherung der Unabhängigkeit der Datenschutzkontrolle, die Verstän­digung auf eine einheitliche Sprache bei der Kommunikation oder die Festlegung von Verfahrensabläufen. Dabei muss eine eurozentristische Sicht vermieden werden, ohne dass hinter dem Datenschutzniveau Europas zurückgeblieben wird.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel