Stellungnahme der Gesellschaft für Datenschutz und Datensicherung e.v. (GDD) im Hinblick auf eine Evaluierung der EG-Datenschutzrichtlinie (95/46/EG)

Transkript

1 Stellungnahme der Gesellschaft für Datenschutz und Datensicherung e.v. (GDD) im Hinblick auf eine Evaluierung der EG-Datenschutzrichtlinie (95/46/EG) Die Gesellschaft für Datenschutz und Datensicherung e.v. (GDD) tritt seit über 25 Jahren als gemeinnütziger Verein für einen sinnvollen, vertretbaren und technisch realisierbaren Datenschutz ein. Sie hat zum Ziel, die verantwortlichen Stellen, insbesondere auch deren Datenschutzbeauftragte, bei der Lösung und Umsetzung der vielfältigen mit Datenschutz und Datensicherheit verbundenen technischen, rechtlichen und organisatorischen Fragen zu beraten. Die GDD findet die Unterstützung von mehr als Unternehmen, Behörden und persönlichen Mitgliedern. Sie stellt damit die größte Vereinigung ihrer Art und zugleich einen der größten Fachverbände in der Informations- und Kommunikationsbranche in Deutschland dar. Im Hinblick auf den bevorstehenden Bericht der Europäischen Kommission über die Anwendung der EG-Datenschutzrichtlinie nimmt die GDD wie folgt Stellung: Die Normadressaten in Wirtschaft und Verwaltung sind auf ein übersichtliches, verständliches und praktisch umsetzbares Datenschutzrecht angewiesen. Bei einer etwaigen Revision der EG-Datenschutzrichtlinie sollte nicht zuletzt auch der mit der Umsetzung der datenschutzrechtlichen Vorgaben verbundene Aufwand für die Daten verarbeitenden Stellen angemessen berücksichtigt werden. Angesichts der Tatsache, dass die EG-Datenschutzrichtlinie in zahlreichen Mitgliedstaaten erst seit relativ kurzer Zeit in nationales Recht umgesetzt ist, erscheint es aus Sicht der GDD zweifelhaft, ob die Normadressaten bereits in naher Zukunft mit weiteren bzw. geänderten Datenschutzvorgaben der Europäischen Union konfrontiert werden sollten. In Deutschland liegt die Novellierung des Bundesdatenschutzgesetzes auf Grundlage der EG-Datenschutzrichtlinie inzwischen gut ein Jahr zurück und die Normadressaten in Wirtschaft und Verwaltung stehen mit ihren Erfahrungen zur Anwendung der neuen Datenschutzregelungen noch relativ am Anfang. Nachfolgend werden die der GDD bereits vorliegenden Erkenntnisse bzgl. der Anwendung der richtlinienbedingten Datenschutzvorgaben dargelegt. I. Förderung der innerbetrieblichen Selbstkontrolle Das in Deutschland seit über 25 Jahren erfolgreich praktizierte Prinzip der innerbetrieblichen Selbstkontrolle, das sich im Wesentlichen in der Tätigkeit betrieblicher Datenschutzbeauftragter widerspiegelt und auch in Artikel 18 Abs. 2 EG-Datenschutzrichtlinie verankert worden ist, hat sich bewährt. Nach Maßgabe der EG-Datenschutzrichtlinie wurde die Kontrollinstanz des betrieblichen Datenschutzbeauftragten im neuen Bundesdatenschutzgesetz (BDSG 2001) mit neuen Kompetenzen versehen. Im Rahmen der Gesetzesnovelle wurde die Stellung des Datenschutzbeauftragten insofern gestärkt, als er im Rahmen der Meldung von automatisierten Verarbeitungen und hinsichtlich der neuen Aufgabenstellung der Vorabkontrolle der materiellen Rechtmäßigkeit besonders gefahrenträchtiger automatisierter Verarbeitungen gewissermaßen der staatlichen Aufsichtsbehörde vorgeschaltet ist. Hier hat der deutsche Gesetzgeber den ihm von der EG-Datenschutzrichtlinie eingeräumten Spielraum zu Gunsten einer möglichst unbürokratischen, dezentralen Datenschutzkontrolle genutzt. Zudem wurde dem Datenschutzbeauftragten die Zuständigkeit für die Publizität der

2 automatisierten Datenverarbeitung (Artikel 21 EG-Datenschutzrichtlinie) zugewiesen. Eine Ausweitung hat das Selbstkontrollprinzip durch Regelungen zur Bestellung von behördlichen Datenschutzbeauftragten im öffentlichen Bereich erfahren. Neben dem deutschen Gesetzgeber haben bislang ersichtlich nur Schweden und die Niederlande Vorschriften zur Bestellung betrieblicher Datenschutzbeauftragter in ihren Datenschutzgesetzen verankert. Nach Auffassung der GDD verdient das Prinzip der innerbetrieblichen Selbstkontrolle, das zur Entlastung der Aufsichtsbehörden und zu einer Effektivierung des Datenschutzes führt, noch mehr Akzeptanz (vgl. hierzu Anlage 1). Am Beispiel der USA, wo keine gesetzliche Verpflichtung zur Bestellung betrieblicher Datenschutzbeauftragter besteht, wird deutlich, dass bei den Unternehmen ein Bedürfnis nach unternehmerischem Datenschutzmanagement besteht. Die dort zunehmend etablierte Funktion des Corporate Privacy Officers trägt dabei wesentlich zur Einhaltung von Datenschutzstandards, zur Akzeptanz des Datenschutzes und damit zur Kundenzufriedenheit bei. In den betreffenden europäischen Ländern und den USA ist der Datenschutzbeauftragte kompetenter Ansprechpartner für die Geschäftsleitung, Mitarbeiter, Aufsichtsbehörden und Betroffene. Im Zeichen der Globalisierung kommt dem Datenschutzbeauftragten im internationalen Konzern auch eine wichtige Funktion bei der Um- und Durchsetzung konzernweiter Codes of Conduct zu. Überdies trägt er als fachlich versierter Ansprechpartner zum rechtmäßigen Datenaustausch bei internationalen Datenflüssen bei. Vor dem Hintergrund der zunehmend wichtigen Rolle des Datenschutzbeauftragten wäre es wünschenswert, wenn sich das Prinzip der innerbetrieblichen Selbstkontrolle in weiteren Mitgliedstaaten etablieren würde. Nach Auffassung der GDD wäre es daher erwägenswert auf EU-Ebene weitere Anreize für die Bestellung betrieblicher Datenschutzbeauftragter zu setzen. Die Funktion des Konzerndatenschutzbeauftragten, der konzernweit als Datenschutzmanager fungiert, verdient nach Auffassung der GDD eine explizite Aufnahme in die EG- Datenschutzrichtlinie. Im Sinne der Entbürokratisierung sollte es im internationalen Konzern möglich sein, Verfahren automatisierter Verarbeitung zentral an den Konzerndatenschutzbeauftragten zu melden und im selben Zuge auf die Meldung an die jeweiligen nationalen Kontrollstellen zu verzichten. II. Förderung flexibler Selbstregulierung Im Zeitalter eines Ubiquitous Computing erscheint es nicht sachgerecht, den Datenschutz allein dem Gesetzgeber zu überlassen, zumal dessen Kompetenzen i. d. R. an den nationalen Grenzen enden. Selbstregulierung kann einen effektiv praktizierten und gelebten Datenschutz sowohl global als auch national fördern. Konzernweite Codes of Conduct bieten die Möglichkeit zur Etablierung eines einheitlichen Datenschutzstandards über die nationalen Grenzen hinweg und ermöglichen zugleich eine konzernweite Durchsetzung der Standards. Sie sollten als angemessene Schutzgarantien beim Drittlandtransfer dienen können und seitens der Europäischen Kommission sollte die Möglichkeit bestehen, derartige Verhaltensregeln offiziell anzuerkennen. Mit Blick auf den Nutzen von Selbstregulierung im Datenschutz erscheint es sinnvoll, den Normadressaten auf EU-Ebene und in den Mitgliedstaaten echte Anreize zum Einsatz von Selbstregulierungsmechanismen zu bieten. Zur Akzeptanz der Selbstregulierung wird es insbesondere darauf ankommen, dass sie sich nicht als bloßes add on zu den datenschutzrechtlichen Vorschriften darstellt. Insbesondere die Wirtschaft sollte Selbstregulierungsmechanismen flexibel handhaben können und hierfür belohnt werden. Insoweit sollte auch eine normersetzende Selbstregulierung in Betracht kommen. Zumindest sollte der gesetzliche Rahmen so allgemein gefasst sein, dass der Wirtschaft ein angemessener Spielraum zur autonomen Regelsetzung verbleibt. 2

3 III. Privilegierung der Datenübermittlung im Konzern Nach der Begründung des geänderten Kommissionsvorschlags zu Artikel 2 lit. f) der EG- Datenschutzrichtlinie sind Unternehmen, die einem Konzern bzw. einer Holding angehören im Allgemeinen als Dritte anzusehen. Von diesem Grundsatz gibt es allerdings Ausnahmen, wie die in der Begründung in Bezug auf die Kundenverwaltung durch Bankfilialen in unmittelbarer Verantwortung des Hauptsitzes gemachte Einschränkung zeigt. Vor diesem Hintergrund wäre es erwägenswert eine Konzernklausel explizit in der EG-Richtlinie zu verankern. Diese kann selbstverständlich nur im Geltungsbereich der Richtlinie zum tragen kommen, würde aber den mit der Richtlinie bezweckten freien Datenverkehr im europäischen Wirtschaftsraum fördern und dem Umstand Rechnung tragen, dass die Ausgliederung von Unternehmensteilen vielfach lediglich einen wirtschaftlichen Hintergrund hat und die Unternehmensleitung faktisch weiterhin von der Konzernspitze wahrgenommen wird. IV. Vereinfachung von Drittlandtransfers Der Transfer personenbezogener Daten in Drittländer stellt für die betroffenen Unternehmen unter Datenschutzgesichtpunkten ein komplexes Thema dar. Die praktische Umsetzung der EU-Vorgaben zum Drittlandtransfer ist für die datenschutzrechtlich verantwortlichen Unternehmen nicht immer einfach zu bewerkstelligen. Dies liegt nicht zuletzt daran, dass oft nicht ersichtlich ist, ob das Eingreifen von Ausnahmen nach Art. 26 EG- Datenschutzrichtlinie die Schaffung von Schutzgarantien entbehrlich macht. Aus diesem Grunde sollte der Ausnahmekatalog in Art. 26 konkreter gefasst bzw. praxisbezogen ergänzt werden. Neben den bereits angesprochenen Codes of Conduct können auch vertragliche Regelungen den Drittlandtransfer vereinfachen. Die von der Europäischen Kommission verabschiedeten Standardvertragsklauseln stoßen in Drittländern nicht immer auf Akzeptanz. Von daher sollten auch alternative - an den Realitäten des Wirtschaftslebens orientierte - Vertragsklauseln die Anerkennung der Europäischen Kommission finden. Hinsichtlich der nach Art. 26 Abs. 2 EG-Datenschutzrichtlinie möglichen Genehmigung von Drittlandtransfers durch die nationalen Kontrollstellen, die auch in Bezug auf Codes of Conduct möglich sein sollten wäre es empfehlenswert, dass eine klare Zuständigkeitsregelung vorgesehen werde, damit sichergestellt ist, dass die betroffenen Unternehmen den richtigen Adressaten eines Genehmigungsantrags kennen und damit Kompetenzkonflikte und Doppelprüfungen vermieden werden können. In diesem Zusammenhang sollte die neue Richtlinie die Fiktion regeln, dass die Genehmigung der für den Hauptsitz zuständigen Kontrollstelle die Genehmigung der anderen Kontrollstellen in demselben oder auch in einem anderen EU-Mitgliedstaat entbehrlich macht. Zudem sollte klargestellt werden, dass es - wie im Übrigen auch bei der Safe Harbor- Lösung - ausreicht, wenn der Datenempfänger im Drittland ein angemessenes Schutzniveau bietet und es nicht darauf ankommt, dass das Land an sich durch seine datenschutzrechtlichen Vorgaben ein angemessenes Datenschutzniveau gewährleistet. V. Verarbeitung sensitiver Daten Art. 8 Abs. 1 statuiert ein grundsätzliches Verbot der Verarbeitung sensitiver Daten. Nach Abs. 2 lit. h) der Vorschrift können die Verarbeitungen aber durch eine Einwilligung des Betroffenen legitimiert werden. Da die Einholung einer Einwilligung allerdings vielfach sehr bürokratisch ist, kommt dem Ausnahmetatbestand des Art. 8 Abs. 2 lit. e) EG- Datenschutzrichtlinie eine wichtige Bedeutung zu. Danach besteht eine Ausnahme vom 3

4 grundsätzlichen Verarbeitungsverbot, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich ist. Nach Auffassung der GDD wird zu Recht die Ansicht vertreten, dass auch die außergerichtliche Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche nach dem Zweck der Richtlinienvorgabe mit umfasst ist (vgl. Dammann, in: Dammann/Simitis, EG- Datenschutzrichtlinie, Kommentar, Art. 8 Erl. 17; Klug, BDSG-Interpretation, S. 128). Auch ist der Begriff rechtliche Ansprüche weit zu interpretieren (Dammann, a.a.o.). Aus Gründen der Rechtsklarheit wäre es wünschenswert, dass diese Gesichtspunkte in der EG- Datenschutzrichtlinie deutlicher zum Ausdruck kommen. Zu Bedenken ist auch, dass die restriktiven Vorgaben zur Verarbeitung sensitiver Daten z. B. im Fall von Unternehmensfusionen oder- verkäufen für die betroffenen Institutionen einen erheblichen bürokratischen Aufwand mit sich bringen können. Vor diesem Hintergrund darf das grundsätzliche Verbot der Verarbeitung sensitiver Daten nach Auffassung der GDD nicht dazuführen, dass Transaktion im Bereich von Mergers & Acquisitions unangemessen erschwert werden. VI. Einführung eines Datenschutz-Gütesiegels Hinsichtlich der Vergabe von Datenschutz-Gütesiegeln hat sich im Rahmen einer GDD- Umfrage eine differenzierte Betrachtungsweise als sinnvoll erwiesen: Ein Gütesiegel für datenschutzgerechte Produkte würde danach positiv zu dem Ziel beitragen, datenschutzfreundliche Technologien auf dem Markt zu fördern. Die Anbieter von Datenverarbeitungstechnologien und -produkten könnten eine Zertifizierung ihrer Produkte bei ihren Marketingüberlegungen auch positiv zur Geltung bringen. Ein Datenschutz-Gütesiegel für verantwortliche Stellen kann nach unseren Erkenntnissen auch für bestimmte Dienstleistungen und Branchen, bei denen die Verarbeitung personenbezogener Daten zum Kerngeschäft gehört bzw. wo der Vertrauensfaktor eine besondere Rolle spielt, geeignet sein. Dort könnte es sich als Qualitäts- und Wettbewerbsfaktor für die Unternehmen im Rahmen ihrer Präsentation und Werbung nach außen herausstellen. Vor diesem Hintergrund erscheint die Einführung eines Gütesiegels beispielsweise für datenschutzgerechte Websites erwägenswert. Neben dem Aspekt der Verbesserung des Datenschutzes wird es für die wirtschaftlich ausgerichteten Unternehmen jedenfalls darauf ankommen, ob die Kosten der der Gütesiegelvergabe vorausgehenden Auditierung durch externe Gutachter durch den werblichen Effekt eines Gütesiegels aufgefangen werden können. VII. Arbeitnehmerdatenschutz Die EG-Datenschutzrichtlinie bietet nach Auffassung der GDD einen hinreichenden Schutz von Arbeitnehmerdaten. Die Grundsätze der Zweckbindung, Erforderlichkeit und Transparenz gelten auch im Arbeitsverhältnis. Im Übrigen fordert Art. 8 Abs. 2 lit. d) EG- Datenschutzrichtlinie die Schaffung von angemessenen Schutzgarantien im einzelstaatlichen Recht. Das auf Grundlage der Richtlinie novellierte BDSG verlangt zum rechtmäßigen Umgang mit Arbeitnehmerdaten die Einhaltung der vorgenannten Grundsätze. Die Verarbeitung sensitiver Daten ist auch im Arbeitsverhältnis nur nach Maßgabe von Art. 8 EG- Datenschutzrichtlinie zulässig. Der Umgang mit Arbeitnehmerdaten ist in Deutschland überdies in spezialgesetzlichen Arbeitnehmerschutzvorschriften geregelt. Ergänzt wird der Arbeitnehmerdatenschutz durch die Kompetenz der Tarif- und Betriebspartner zur Regelung von Arbeitnehmerdatenschutzvorschriften im Rahmen von Tarifverträgen bzw. Dienst- und Betriebsvereinbarungen. Zudem gibt es in Deutschland eine gefestigte Rechtsprechung zur 4

5 Zulässigkeit der Erhebung, Verarbeitung und Nutzung von Arbeitnehmerdaten. Auch die Arbeitnehmerüberwachung durch technische Einrichtungen ist durch Spezialgesetze und vielfach auch durch interne Vereinbarungen innerhalb der Daten verarbeitenden Stellen geregelt. Im Übrigen werden demnächst die europäischen Vorgaben über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Richtlinie 2002/58/EG) in nationales Recht umzusetzen sein. Von daher ist nach Auffassung der GDD die Regelung des Arbeitnehmerdatenschutzes in einer eigenständigen EU-Richtlinie nicht notwendig. Überlegenswert wäre es u. E. den Arbeitnehmerdatenschutz zum Gegenstand der Selbstregulierung zu machen, anstatt ihn in einer speziellen EG-Richtlinie festzuschreiben. Bonn, den