der Gesellschaft für Datenschutz und Datensicherung e. V. (GDD)

Transkript

1 Stellungnahme der Gesellschaft für Datenschutz und Datensicherung e. V. (GDD) im Rahmen der Konsultation der Europäischen Kommission zum Rechtsrahmen für das Grundrecht auf Schutz personenbezogener Daten I. Vorbemerkung Die GDD tritt als gemeinnütziger Verein für einen sinnvollen, vertretbaren und technisch realisierbaren Datenschutz ein. Sie verfolgt das Ziel, die Daten verarbeitenden Stellen insbesondere auch deren Datenschutzbeauftragte bei der Umsetzung der vielfältigen mit Datenschutz und Datensicherheit verbundenen rechtlichen, technischen und organisatorischen Anforderungen zu unterstützen. Die GDD wird getragen von mehr als Unternehmen, Behörden und persönlichen Mitgliedern. Sie stellt damit die größte Vereinigung ihrer Art und zugleich einen der größten Verbände in der Informations- und Kommunikationsbranche in Deutschland dar. Im Wesentlichen teilt die GDD die Auffassung der Kommission (COM(2007) 87 final), dass die Grundsätze der Richtlinie 95/46/EG nach wie vor tragfähig sind. Sie nimmt die aktuelle Konsultation der Kommission aber zum Anlass, auf einige Erfahrungswerte hinzuweisen, die insbesondere auf festgestellten Missständen, geänderten Strukturen der Datenverarbeitung in der Wirtschaft bzw. in Konzernen sowie auf Verbesserungspotenzialen im Bereich der Datensparsamkeit und der datenschutzfreundlichen Technikgestaltung basieren. Dabei fokussiert sich die GDD im Rahmen der nachstehenden Ausführungen primär auf die Vorgaben der allgemeinen Datenschutzrichtlinie (95/46/EG).

2 II. Stärkung der Rechtsstellung betrieblicher Datenschutzbeauftragter auf EU-Ebene Aus gegebenem Anlass bedarf es aus Sicht der GDD einer Stärkung der Rechtsstellung des betrieblichen Datenschutzbeauftragten. Die ursprünglich von der GDD mit angeregte Aufnahme des betrieblichen Datenschutzbeauftragten in die EU-Datenschutzrichtlinie (95/46/EG) hat zu einer gewissen Internationalisierung der betrieblichen Selbstkontrolle im Datenschutz geführt (vgl. Klug, RDV 2005, 163). Ersichtlich haben neben Deutschland auch Estland, Frankreich, Luxemburg, Malta, die Niederlande, Schweden und die Slowakei den Datenschutzbeauftragten in ihren Datenschutzgesetzen verankert. So wie es auch in der Richtlinie 95/46/EG angelegt ist, ist die Bestellung von Datenschutzbeauftragten in den meisten Ländern optional. Auch in den USA, wo keine diesbezüglichen gesetzlichen Regelungen bestehen, werden vielfach sog. Corporate Privacy Officers eingesetzt, was den Mehrwert der betrieblichen Selbstkontrolle im Datenschutz untermauert. Inzwischen hat sowohl die EU-Kommission (COM(2003) 265 final Report, S. 18 und 24) als auch die Datenschutzgruppe nach Art. 29 der EU-Datenschutzrichtlinie (WP 106, S. 22 und 23) die Bestellung betrieblicher Datenschutzbeauftragter nicht zuletzt unter dem Blickwinkel der Entbürokratisierung offiziell empfohlen. Die Artikel 29-Gruppe hat mit Blick auf eine mögliche allgemeine Etablierung des Datenschutzbeauftragten im WP 106, S. 24 folgende Aussage getroffen: Bei der Erwägung der Möglichkeit, Datenschutzbeauftragte allgemein zu etablieren, d. h. von administrativer zu interner Aufsicht überzugehen, sind sowohl die bisher in den Mitgliedstaaten mit der Anwendung der Rechtsvorschriften gesammelten Erfahrungen als auch die dortigen Rechtskulturen entsprechend zu berücksichtigen. Dem ist uneingeschränkt zuzustimmen. Aber auch wenn die Bestellung von Datenschutzbeauftragten nach der EU-Datenschutzrichtlinie optional ist, so knüpft die Richtlinie an den Umstand der Bestellung doch gewisse Privilegierungen, speziell hinsichtlich der ansonsten bestehenden Meldepflicht. Allerdings setzt die Richtlinie in diesem Zusammenhang gleichzeitig eine effektive Datenschutzkontrolle bzw. ihrem Wortlaut nach die Sicherstellung der Umsetzung der nationalen Datenschutzvorschriften durch den Datenschutzbeauftragten voraus. Diese Voraussetzungen sind natürlich nicht erfüllt, wenn die Datenschutzbeauftragten über wichtige Datenverarbeitungsprozesse erst gar nicht informiert werden. Vor diesem Hintergrund bedarf es aus Sicht der GDD einer Stärkung der Rechtsstellung des betrieblichen Datenschutzbeauftragten. Wie der Vorstandsvorsitzende der GDD, Prof. Peter Gola anlässlich der Datenschutzkonferenz der EU-Kommission im Mai 2009 in Brüssel bereits aufzeigen konnte, waren viele der zuletzt bekannt gewordenen Datenschutzskandale dadurch gekennzeichnet, dass die betrieblichen Datenschutzbeauftragten über die geplante Datenverarbeitung nicht oder nicht rechtzeitig informiert waren. Infolgedessen konnten Sie auch nicht, wie von der EU- Datenschutzrichtlinie vorausgesetzt, auf die Einhaltung der Datenschutzvorschriften hinwirken. Um derartigen Umgehungen des Datenschutzbeauftragten in Zukunft vorzubeugen, bietet es sich an, seine unabhängige Kontrollfunktion ggf. durch eine 2

3 explizite Regelung in der EU-Datenschutzrichtlinie dahingehend zu konkretisieren, dass der Datenschutzbeauftragte im Rahmen der Einführung von Verfahren automatisierter Datenverarbeitung zwingend rechtzeitig zu beteiligen ist. Für den Fall einer Zuwiderhandlung sollten in den nationalen Datenschutzgesetzen Rechtsfolgen vorgesehen werden. Dies gilt insbesondere auch im Hinblick auf die von den Datenschutzbeauftragten nach der EU-Datenschutzrichtlinie vorzunehmende Vorabkontrolle. Auch im Rahmen der anlässlich der 31. Internationalen Datenschutzkonferenz verabschiedeten Madrid-Resolution ist auf die zentrale Bedeutung vorbeugender Datenschutzmaßnahmen hingewiesen worden. Hierzu wird ausdrücklich auch die Bestellung von qualifizierten und mit den notwendigen Mitteln und Befugnissen ausgestatteten betrieblichen Datenschutzbeauftragten gezählt. Gemäß Art. 8 Abs. 3 der EU-Grundrechte-Charta muss die Einhaltung der Datenschutzgrundrechte von einer unabhängigen Stelle überwacht werden. Auch dies bedingt im Fall der internen Datenschutzkontrolle durch betriebliche Datenschutzbeauftragte deren rechtzeitige Einbindung in die Datenverarbeitungsprozesse. III. Einführung einer Konzernregelung 1. Ausgangslage Die GDD befürwortet die Aufnahme einer Konzernregelung in die EU-Datenschutzrichtlinie. Gerade in den letzten Jahren ist das Anliegen der Schaffung einer Konzernregelung verstärkt aus dem Kreis ihrer Mitglieder an die GDD herangetragen worden. Zunehmend werden unternehmerische Ziele in nationalen und multinationalen Unternehmensverbünden verfolgt, wobei die Konzerne im wachsenden Maße darauf angewiesen sind, Kunden- und Mitarbeiterdaten im Rahmen ihrer Geschäftstätigkeiten an konzernangehörige Unternehmen zu transferieren. Hinzu kommt, dass die Konzernstrukturen einer großen Dynamik unterworfen sind und konzerninterne Dienstleistungen häufig zentralisiert oder arbeitsteilig erbracht werden (z. B. bei Shared-Service- Centern bzw. bei Matrixstrukturen in der Vorgesetztenhirarchie). Vor dem Hintergrund dieser Entwicklungen bedarf es nach Auffassung der GDD einer zeitgemäßen Fortentwicklung der Vorschriften hinsichtlich der Datenschutzverantwortlichkeiten im Konzern. Während Konzerne sich als wirtschaftliche Einheit verstehen und dementsprechend agieren, ist nach der Begründung des geänderten Richtlinienvorschlags der Kommission (vom 15. Oktober 1992, COM (92) 422 endg. - SYN ABl. Nr. C 311 vom , 30) datenschutzrechtlich das einzelne Unternehmen als juristische Person maßgeblich. In der Begründung heißt es wörtlich: Personen, die in einem anderen Unternehmen arbeiten, auch wenn dieses demselben Konzern oder derselben Holding angehört, dürfen im allgemeinen als Dritte an- 3

4 gesehen werden. Dies steht allerdings in einem gewissen Widerspruch zu der Legaldefinition in Art. 2 Buchstabe d der EU-Datenschutzrichtlinie und lässt die gesellschaftsrechtlichen und wirtschaftlichen Zusammenhänge im Wesentlichen unberücksichtigt. Die Begriffsbestimmung in Artikel 2 Buchstabe d der Richtlinie stellt auf den für die Verarbeitung Verantwortlichen ab. Dies ist nach der Legaldefinition die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Diese Entscheidungsgewalt liegt de facto vielfach bei den Konzernmüttern (z.b. auf Grund von Beherrschungsverträgen). Häufig sind Verarbeitungsprozesse aber auch auf verschiedene Konzernteile verteilt, so dass damit einhergehende Entscheidungen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten gemeinsam mit anderen getroffen werden können. Die Aufnahme einer klarstellenden Regelung, die derartige konzerntypische Verarbeitungsprozesse unter klarer Definition der geteilten datenschutzrechtlichen Verantwortlichkeiten abbildet, in die EU-Datenschutzrichtlinie würde sowohl der Rechtsklarheit als auch der betrieblichen Wirklichkeit Rechnung tragen und damit einen zeitgemäßen Beitrag zur Akzeptanz der Richtlinie leisten. Vor diesem Hintergrund und insbesondere mit Blick auf den von der EU-Datenschutzrichtlinie bezweckten freien Datenverkehr innerhalb der EU (vgl. Erwägungsgrund 3 der Richtlinie) erachtet die GDD es als sinnvoll, den gewandelten Gegebenheiten im Rahmen einer Spezialregelung für verbundene Unternehmen unter Wahrung eines angemessenen Datenschutzniveaus Rechnung zu tragen. 2. Umsetzungsprobleme im Konzern a) Abgrenzung Auftragsdatenverarbeitung / Datenübermittlung an Dritte Mit Blick auf die Zulässigkeit der Datenverarbeitung bedarf es im Konzernverbund vielfach der Abgrenzung zwischen einer Datenverarbeitung im Auftrag nach Art. 17 der EU-Datenschutzrichtlinie und einer Datenübermittlung an Dritte. Angesichts der Vielfältigkeit neuartiger Outsourcingkonstellationen fällt diese Beurteilung in der Praxis oft schwer. Dies ist auch darauf zurückzuführen, dass Konstruktionen zugenommen haben, bei denen Auslagerungen nicht nur eine Unterstützungshandlung bei der Datenverarbeitung beinhalten, sondern auch mit der Übertragung inhaltlicher Aufgaben einher gehen (vgl. GDD-Arbeitskreis Datenschutzpraxis, Praxishilfe V, S. 8 f. sowie Arbeitsbericht der Ad-hoc-Arbeitsgruppe Konzerninterner Datenverkehr, abrufbar unter Mit der Schaffung einer Konzernregelung könnten diese Abgrenzungsschwierigkeiten beseitigt und durch klare Verantwortlichkeitsregelungen ersetzt werden. b) Datenschutzrechtliches Vertragsmanagement Nicht zuletzt die Zentralisierung von Datenverarbeitungsprozessen im Konzern führt dazu, dass zahlreiche Konzernabteilungen die Funktion eines internen Dienstleisters im Konzern übernehmen. Dementsprechend fungieren die Konzerngesellschaften 4

5 untereinander als Dienstleister. Vor diesem Hintergrund und mit Blick auf die große Dynamik, der Konzernstrukturen unterworfen sind, sollte ein allzu bürokratisches Vertragsmanagement vermieden werden. Art. 17 der EU-Datenschutzrichtlinie fordert detaillierte und individuelle schriftliche Festlegungen, die im Rahmen konzerninterner Dienstleistungen zu einer unüberschaubaren Vielzahl von ggf. alsbald wieder anzupassenden vertraglichen Regelungen führen können. Organisatorische Änderungen im Bereich des Einsatzes konzerninterner Dienstleister (z. B. die Zentralisierung von Rechenzentren bzw. die Verselbständigung von Unternehmensbereichen) müssten jeweils durch neue oder angepasste Datenschutzvereinbarungen flankiert werden, selbst wenn sich die Aufgaben und Zugriffsrechte der Personen durch die Umorganisation nicht verändern. Insofern sollten Rahmenvereinbarungen (ggf. unter Einbeziehung konzernweit geltender Datenschutz- und Datensicherheitsregelungen) möglich bleiben, um den Konzernen einen übermäßigen administrativen Aufwand zu ersparen und ihnen die nötige Flexibilität zu gewährleisten. Art. 17 der Richtlinie verpflichtet die Auftraggeber ferner zu einer sorgfältigen Auswahl und Kontrolle hinsichtlich der vom Auftragnehmer zu treffenden technischen und organisatorischen Sicherheitsmaßnahmen. Zahlreiche GDD-Mitglieder haben darauf hingewiesen, dass die Etablierung gewisser Standards eine ordnungsgemäße Auswahl- und Kontrolle von Auftragnehmern erheblich vereinfachen würde. Vor diesem Hintergrund und angesichts der gewachsenen Bedeutung der Auftragsdatenverarbeitung sollte die Entwicklung von branchenspezifischen Marktstandards im Sinne von Best Practices bzgl. der Auswahl bzw. der Kontrolle von Datenverarbeitungsdienstleistern von der EU-Kommission aktiv gefördert werden. c) Mitarbeiterdaten im Unternehmensverbund Im sog. konzerndimensionalen Arbeitsverhältnis besteht für die entsprechenden Mitarbeiter in der Regel eine hinreichende Transparenz hinsichtlich der konzernweiten Verwendung ihrer Daten. Nicht immer aber stellt sich ein Konzern aus Sicht der Beschäftigten als homogene Einheit dar. Auf Grund des Fehlens einer Konzernregelung in der EU-Datenschutzrichtlinie besteht auch hinsichtlich der datenschutzgerechten Verwendung von Mitarbeiterdaten im Unternehmensverbund erhebliche Rechtsunsicherheit. Der Einsatz eines Shared-Service-Centers Human Ressources, die Datenweitergabe an Matrix-Vorgesetzte, zentralisierte - oder Internet-Server, die Pflege eines konzernweiten Skill-Managements, konzernweite elektronische Kommunikationsverzeichnisse, Whistleblowing und Bonusprogramme wie Aktienoptionspläne seien insofern hier nur beispielhaft genannt. Im Rahmen einer Konzernregelung sollte in Ergänzung zu Art. 8 Buchstabe b der EU-Datenschutzrichtlinie klargestellt werden, dass auch wirtschaftliche Interessen bzw. Interessen an einer Optimierung der Geschäftstätigkeit in Konzernen die Übermittlung von Mitarbeiterdaten rechtfertigen können, soweit berechtigte Interessen der Mitarbeiter nicht entgegenstehen. 5

6 d) Grenzüberschreitende Datenflüsse im Konzern Zunächst ist nochmals darauf hinzuweisen, dass die EU-Datenschutzrichtlinie auch einen freien Datenverkehr im europäischen Binnenmarkt bezweckt und insofern unnötige Hindernisse schon unter Harmonisierungsgesichtspunkten zu vermeiden sind. Aber auch mit Blick auf den Datentransfer an in Drittländern ansässige Konzernunternehmen sollten im Rahmen der Schaffung einer Konzernregelung vorhandene Rechtsunsicherheiten beseitigt werden. So sollte beispielsweise klargestellt werden, dass die Datenweitergabe an in Drittländern ansässige Unternehmen, die ein angemessenes Datenschutzniveau aufweisen, nicht als Datenübermittlung an Dritte anzusehen ist. Wenn die Privilegierung der Auftragsdatenverarbeitung innerhalb der EU bzw. des EWR greift, weil auf Grund der Harmonisierung durch die EU- Datenschutzrichtlinie insofern vom Vorliegen eines angemessenen Datenschutzniveaus auszugehen ist, so sollte Entsprechendes aus Gründen der Gleichbehandlung auch für Unternehmen im Drittland gelten, soweit diese ihrerseits ein angemessenes Datenschutzniveau hergestellt haben (vgl. Müthlein/Heck, Outsourcing und Datenschutz, 3. Aufl. 2006, S. 73 f.; Klug, RDV 2000, 212, 2215). Aus Gründen der Harmonisierung bzw. der Rechtseinheitlichkeit innerhalb der EU sollte auch die insofern bestehende Folgeverpflichtung der Mitgliedstaaten betont werden. Gleiches gilt hinsichtlich der Akzeptanz von EU-Standardverträgen durch die nationalen Datenschutzaufsichtsbehörden. Ferner sollte zeitnah ein koordiniertes möglichst unbürokratisches Genehmigungsverfahrens bei der Verwendung von Binding Corporate Rules (BCRs) etabliert werden, da ansonsten die Gefahr besteht, dass die Unternehmen von dieser Möglichkeit der Gewährleistung angemessener Datenschutzgarantien nicht in dem gewünschten Umfang Gebrauch machen. Gegebenenfalls sollte die Garantiefunktion von BCRs ausdrücklich in Art. 26 Abs. 2 der Richtlinie erwähnt werden. Aus gutem Grund ist in der Madrid-Resolution insgesamt auf die Notwendigkeit einer Vereinheitlichung des Datenschutzes durch eine verstärkte Kooperation und Koordinierung der Datenschutzaufsichtsbehörden sowohl auf internationaler als auch auf nationaler Ebene hingewiesen worden. IV. Informationspflicht bei Datenverlusten / Security Breach Notification Soweit auf EU-Ebene erwogen werden sollte, die für Provider nach der E-Privacy- Richtlinie (2002/58/EG) bereits geltende Informationspflicht bei bestimmten Datenverlusten auch auf andere Unternehmen zu erstrecken, so ist zunächst darauf hinzuweisen, dass dies in Deutschland mit der Einfügung von 42a BDSG bereits erfolgt ist. Allerdings sieht die deutsche Regelung vom Grundsatz her eine unverzügliche Information sowohl der Datenschutzaufsichtsbehörde als auch der Betroffenen vor. Unter dem Aspekt der Verhältnismäßigkeit ist im Rahmen einer Benachrichtigungspflicht bei Datenverlusten aber ein zweistufiges Verfahren anzuraten, wie es im Übrigen auch in der Datenschutzrichtlinie für die elektronische Kommunikation angelegt 6

7 ist. Danach ist primär die Aufsichtsbehörde zu benachrichtigen. Wird der zuständigen Datenschutzbehörde nachgewiesen, dass die verantwortliche Stelle bereits geeignete Schutzmaßnahmen für die Daten der Betroffenen ergriffen hat, ist eine Information der Betroffenen entbehrlich bzw. gegebenenfalls unter dem Gesichtspunkt der unnötigen Beunruhigung der Betroffenen sogar kontraproduktiv. Ferner sollten die Informationspflichten gleichermaßen für nicht-öffentliche und öffentliche Stellen gelten, da für eine unterschiedliche Behandlung dieser Bereiche kein sachlicher Grund erkennbar ist. V. Datenschutz durch Technik / Privacy by Design Angestrebt werden sollte eine gewisse Privilegierung pseudonymer Datenverarbeitung, um die Anwendung des Grundsatzes der Datenvermeidung und Datensparsamkeit zu fördern bzw. um das Mitführen der Identität der Betroffenen im Rahmen von Datenverarbeitungsprozessen zu reduzieren. Wenn die Verarbeitung pseudonymisierter Daten stets zur vollen Anwendbarkeit sämtlicher Vorschriften der EU- Datenschutzrichtlinie führt, mangelt es den Unternehmen gegebenenfalls an der nötigen Motivation, die Daten zunächst ohne unmittelbaren Personenbezug und damit auf datenschutzfreundliche Art und Weise zu verarbeiten. Hier könnten neue Anreize gesetzt werden. Die rechtzeitige Berücksichtigung des Datenschutzes schon bei der Entwicklung von IT-Systemen sollte nachhaltig gefördert werden. VI. Beibehaltung technologieneutraler Regelungen Im Hinblick auf die Zukunftsfähigkeit der EU-Datenschutzregelungen sollte auch weiterhin auf technologieneutrale Regelungen gesetzt werden. Bonn, den 17. Dezember