F Ü N F Z E H N T E R T Ä T I G K E I T S B E R I C H T

Transkript

1 F Ü N F Z E H N T E R T Ä T I G K E I T S B E R I C H T des Datenschutzbeauftragten des ZDF für die Jahre 2004 und 2005 z Dem Verwaltungsrat vorgelegt gem. 18 Abs. 7 des ZDF-Staatsvertrages

2 I Inhaltsverzeichnis Seite I. Zusammenfassung der wesentlichen Ereignisse 1 und Ergebnisse des Berichtszeitraums II. Datenschutz im ZDF - Stellung und Aufgaben des ZDF-Datenschutzbeauftragten 1. Rechtsgrundlagen der Tätigkeit des ZDF- Datenschutzbeauftragten 3 2. Personelle und praktische Gegebenheiten 5 III. Entwicklung des Datenschutzrechts 1. Europarecht 1.1. Die Europäische Verfassung Vorratsdatenspeicherung Übermittlung von Passagierdaten von Bürgern der Europäischen Union an die US-Zollbehörden Vertragsverletzungsverfahren der Europäischen Kommission gegen die Bundesrepublik Deutschland wegen mangelhafter Umsetzung der EG-Datenschutzrichtlinie Überprüfung der europarechtskonformen Umsetzung der EG-Datenschutzrichtlinie bei den öffentlich-rechtlichen Rundfunkanstalten in Deutschland 13

3 II 2. Nationales Recht 2.1. Telekommunikationsgesetz a StGB: Strafrechtlicher Bildnisschutz Strafprozessordnung (StPO): Gesetz zur Umsetzung des Urteils des Bundesverfassungsgerichts vom ("Akustische Wohnraumüberwachung") Bundes-Informationsfreiheitsgesetz Bundesdatenschutzgesetz / Modernisierung des 20 Datenschutzrechts 2.6. Mediendatenschutz / Telemediengesetz Rechtsprechung 3.1. Bundesverfassungsgericht, Urteil vom zur akustischen Wohnraumüberwachung ("Großer Lauschangriff") 1 BvR 2378/ Bundesverfassungsgericht, Beschluss vom zum Umfang von Beschlagnahmeaktionen bei Berufsgeheimnisträgern Bundesverfassungsgericht, Urteil vom (2 BvR 581/01) zur Nutzung von GPS-Daten als Beweismittel Bundesverfassungsgericht, Urteil vom (1 BvR 668/04) zur vorbeugenden Telefonüberwachung Bundesgerichtshof, Urteil vom zur akustischen Überwachung von Krankenzimmern Bundesarbeitsgericht, Beschluss vom (1 ABR 34/03) zu den Grenzen der Videoüberwachung von Arbeitnehmern 24

4 III IV. Datenschutz im ZDF 1. Datenschutz in der Informations- und Kommunikationstechnik 1.1. Richtlinie für den Einsatz von Passwörtern im ZDF Administratoren-Richtlinie Fernwartungssoftware Bildschirmschoner mit Kennwortschutz Zentraler Verzeichnisdienst Public-Key-Infrastruktur (PKI) / SmartCard Verschlüsselung personenbezogener Daten in DV-Systemen Einsatz eines Spam-Filters Testumgebung im Intel-Umfeld Elektronisches Produktionsprotokoll ZDF-Postbuch DV-System zur Abrechnung der Telefonnutzung Elektronische Auftragsvergabe Multiuser VIP-Office Absicherung der "Infopoints" für ZDF.inside Datensicherheit bei digitalen Kopiergeräten Datenschutzklausel im SAP-Nutzungsvertrag 46

5 IV DV-Systeme GISMO und ARCUS Datenschutz im Personalbereich 2.1. Dienstvereinbarung über die Nutzung von Internet, Intranet und Mitarbeiterumfragen Projekt Teleheimarbeit im ZDF Datenschutzgerechtes E-Learning Outsourcing von Reisedienstleistungen Dispositionssysteme Einsatz von DV-Systemen für das Unternehmenscontrolling Sicherheitsmaßnahmen im Bereich Bank- und Geldgeschäfte Videoüberwachung im Sendezentrum Videoüberwachung im Sendezentrum Bewerbermanagementsystem PERSIS Datenschutzverstoß im ZDF-Kasino Erhebung der Nutzungsdaten für die redaktionellen Datenbanken Datenschutz im Fernseh- und Onlineangebot 3.1. Nutzeridentifizierung bei der Internet-TV-Berichterstattung über Olympia

6 V 3.2. Datenschutz beim Kinderkanal Datenschutz bei tivi.de Datenschutz bei Zuschauer-Gewinnspielen Umleitung einer ZDF- adresse an einen Kooperationspartner Drehgenehmigungsverträge mit Polizeibehörden Missbrauch der Daten von Presseausweisen Redaktionsdatenschutz 71 V. Datenschutz beim Rundfunkgebühreneinzug 1. Struktur und Aufgabenstellung der GEZ DV-Projekt DV Datenschutzkontrolle der GEZ durch Landesdatenschutzbeauftragte 75 VI. Vortragstätigkeit und Fortbildung 1. Schulungen im "Datenschutz am Arbeitsplatz" Schulungen im Redaktionsdatenschutz Allgemeine Vortragstätigkeit 77 VII. Zusammenarbeit mit anderen Datenschutzinstanzen 1. Arbeitskreis der Datenschutzbeauftragten von ARD und ZDF (AK DSB) 78

7 VI 2. Landesbeauftragter für den Datenschutz Rheinland-Pfalz Vertretung des AK DSB in der Europäischen Datenschutzgruppe nach Artikel 29 EG-Datenschutzrichtlinie Deutscher Presserat Arbeitsgruppe zur Neuordnung des Datenschutzes bei den Telemedien 81 Anhänge Anhang 1: Stellungnahme AK DSB zum Telemediengesetz 83 Anhang 2: Verfahrenskodex der Rundfunkbeauftragten für den Datenschutz zur Behandlung von Eingaben oder Hinweisen Dritter 85 Anhang 3: Glossar 87

8 1 I. Zusammenfassung der wesentlichen Ereignisse und Ergebnisse des Berichtszeitraums 1. Die unmittelbaren Rechtsgrundlagen für die Tätigkeit des ZDF- Datenschutzbeauftragten sowie die personellen Gegebenheiten haben sich im Berichtszeitraum nicht verändert. Während mehrere höchstrichterliche Entscheidungen das Recht auf informationelle Selbstbestimmung u.a. auch mit Blick auf das berechtigte Interesse der Kriminalitäts- und Terrorbekämpfung gestärkt haben, gibt es bei den legislativen Anstrengungen zur Verbesserung des Datenschutzes - ob auf europäischer oder nationaler Ebene - für die Jahre 2004 und 2005 keine Ergebnisse zu vermelden. Die Hoffnungen, dass auf ein im Jahre 2001 vorgelegtes und positiv aufgenommenes Expertengutachten die überfällige Modernisierung des Datenschutzrechtes im Wege einer Vereinheitlichung und Verschlankung der Datenschutzgesetze folgen würde, haben sich leider auch im jetzigen Berichtszeitraum nicht erfüllt. 2. Aus der Vielzahl der im Verlaufe des Berichtszeitraumes vom Datenschutzbeauftragten unterstützten und initiierten Maßnahmen zur Verbesserung des Datenschutzes im ZDF ist der Abschluss der Dienstvereinbarung über die Nutzung von Internet, Intranet und E- Mail hervorzuheben. Detailliert und eindeutig wird hierdurch den Mitarbeitern des ZDF vorgegeben, welche Verhaltensregeln im Umgang mit den neuen Kommunikationsmöglichkeiten zu beachten sind. Damit leistet die Neuregelung einen wichtigen Beitrag zur Verbesserung der Sicherheit beim Einsatz dieser modernen Medien. Für die in geringem Umfang zugelassene private Mitnutzung der Internet- und -Funktionalitäten bedarf es jetzt einer schriftlichen Erklärung, die den Mitarbeiter auch insoweit uneingeschränkt den Verhaltens- und Sicherheitsstandards des ZDF unterwirft. Für etwa nötige Kontrollen des Nutzungsverhaltens sind Festlegungen getroffen, die den Schutz der Mitarbeiter vor unzulässigen Eingriffen in ihr Recht auf informationelle Selbstbestimmung gewährleisten. 3. Der von mir in den vergangenen Jahren kritisierte Status der Datensicherheit im ZDF hat sich in wesentlichen Punkten verbessert. Dazu beigetragen haben besonders die Initiativen des im Berichtszeitraum vom ZDF erstmals bestellten IT-Sicherheitsbeauftragten. Wichtigster Baustein der technisch-organisatorischen Maßnahmen zum Datenschutz ist die im Jahre 2005 in Kraft getretene Richtlinie zur Regelung des Administratorenwesens mit klaren Vorgaben für die mit der Betreuung der DV-Systeme befassten Mitarbeiter. Die

9 2 Umsetzung der Richtlinie steht allerdings in wichtigen Punkten - vor allem hinsichtlich der geforderten Dokumentation der vergebenen Berechtigungen - noch aus. Eine möglichst baldige Realisierung ist auch zwei weiteren Projekten zu wünschen, nämlich der Verschlüsselung personenbezogener Daten in den DV-Systemen sowie der Lösung des "Multiuser"-Problems. 4. Für den Bereich des Redaktionsdatenschutzes lässt sich vermelden, dass die Bereitschaft, datenschutzrechtliche Aspekte bei der journalistischen Tätigkeit zu berücksichtigen, sichtlich und erfreulich gewachsen ist. 5. Die Entwicklung des ZDF hin zu einem modernen Medienunternehmen schreitet weiter voran, was sich nicht zuletzt auch in einem beschleunigten Ausbau der DV-Technik in den Produktions- wie den Verwaltungsbereichen des Senders abbildet. Immer mehr DV- Systeme werden in immer mehr Bereichen des ZDF eingesetzt. Beispielhaft zu erwähnen sind etwa die vielfältigen Dispositionssysteme, vor allem aber der Einsatz der Datenverarbeitungstechnik für das Unternehmenscontrolling. Da die begonnene Digitalisierung der Fernsehwelt dem ZDF erkennbar weitere, große Anstrengungen abverlangen wird, um den Veränderungen und neuen Herausforderungen gerecht zu werden, gehe ich davon aus, dass der Trend, sämtliche sinnvolle Möglichkeiten einer DV-Unterstützung auszunutzen, sich unausweichlich fortsetzen und intensivieren wird. 6. Die Zahl der Beschwerden und Eingaben hat im Berichtszeitraum zugenommen. Förmliche Beanstandungen aufgrund von Verstößen gegen den Datenschutz mussten jedoch nicht ausgesprochen werden, da die Vorfälle entweder von geringerer Bedeutung waren oder die Mängel unverzüglich behoben wurden. 7. Auch für den jetzigen Berichtszeitraum ist wieder eine ganz erhebliche Steigerung des Arbeitspensums im Amt des ZDF- Datenschutzbeauftragten zu vermelden. Die Zahl der jährlichen Postvorgänge wuchs alleine seit dem letzten Tätigkeitsbericht um mehr als 70 Prozent, im Vergleich zum Jahr 2000 sogar um mehr als 250 Prozent. Das ursprüngliche und bis heute unveränderte Konzept des ZDF-Staatsvertrages, die Aufgaben des Datenschutzbeauftragten einer einzelnen Person, im Nebenamt und ohne weitere personelle Unterstützung zu übertragen, gerät zunehmend an die Grenzen der Realisierbarkeit.

10 3 II. Datenschutz im ZDF - Stellung und Aufgaben des ZDF-Datenschutzbeauftragten 1. Rechtsgrundlagen der Tätigkeit des ZDF-Datenschutzbeauftragten Die Rechtsgrundlagen für die Tätigkeit des Datenschutzbeauftragten des ZDF haben sich im Berichtszeitraum nicht verändert. Der ZDF-Datenschutzbeauftragte wird auf der Grundlage des 18 Abs. 1 des Staatsvertrages über das Zweite Deutsche Fernsehen (ZDF-Staatsvertrag) tätig. Danach tritt der Datenschutzbeauftragte des ZDF an die Stelle des Landesbeauftragten für den Datenschutz und nimmt dessen Aufgaben und Rechte gemäß dem auf das ZDF im Wege des in 16 ZDF-Staatsvertrag festgeschriebenen "Sitzlandprinzips" anzuwendenden Landesdatenschutzgesetz Rheinland-Pfalz (LDSG RP) wahr. Seine Aufgabe besteht nach 18 Abs. 3 ZDF- Staatsvertrag in der Überwachung der Einhaltung der Datenschutzvorschriften des ZDF-Staatsvertrag, des Landesgesetzes zum Schutze des Bürgers bei der Verarbeitung personenbezogener Daten des Landes Rheinland-Pfalz und (sämtlicher) anderer Vorschriften über den Datenschutz. Er unterrichtet über das Ergebnis der Überwachung den Intendanten und kann Vorschläge zur Verbesserung des Datenschutzes damit verbinden ( 18 Abs. 4 ZDF-Staatsvertrag). Um die nötigen Informationen und Erkenntnisse für diese Tätigkeit zu erlangen, ist dem Datenschutzbeauftragten des ZDF - ein Auskunfts- und Einsichtsrecht in alle Unterlagen und Akten, namentlich in die gespeicherten Daten und die Datenverarbeitungsprogramme eingeräumt, sowie - ein jederzeit zu gewährendes Zutrittsrecht zu allen Diensträumen ( 18 Abs. 3 ZDF-Staatsvertrag). Gesetzliche Geheimhaltungsvorschriften können einem Auskunfts- oder Einsichtsverlangen nicht entgegengehalten werden ( 18 Abs. 3, letzter Satz ZDF- Staatsvertrag).

11 4 Im Falle festgestellter Verstöße gegen den Datenschutz oder sonstiger Mängel bei der Verarbeitung personenbezogener Daten stehen dem Datenschutzbeauftragten des ZDF verschiedene Möglichkeiten zu: Bei einem Vorgang mit seines Erachtens geringerer Bedeutung oder in all den Fällen, in denen die Behebung der Mängel sichergestellt ist, kann der Datenschutzbeauftragte auf eine Beanstandung oder auf eine Stellungnahme des ZDF verzichten ( 18 Abs. 5 Satz 3 ZDF-Staatsvertrag). Alternativ kann der Datenschutzbeauftragte die von ihm festgestellten Verstöße oder Mängel gegenüber dem Intendanten beanstanden und binnen einer angemessenen Frist eine Stellungnahme anfordern. Gleichzeitig unterrichtet er den Verwaltungsrat ( 18 Abs. 5 Satz 1 und 2 ZDF-Staatsvertrag). Die angeforderte Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung getroffen worden sind ( 18 Abs. 6 Satz 1 ZDF-Staatsvertrag). Dem Verwaltungsrat ist eine Abschrift der Stellungnahme zuzuleiten. 18 Abs. 8 ZDF-Staatsvertrag schreibt ein Jedermannsrecht fest, sich an den Datenschutzbeauftragten des ZDF zu wenden. Voraussetzung ist lediglich die - subjektive - Annahme, bei der Verarbeitung der eigenen personenbezogenen Daten durch das ZDF in schutzwürdigen Belangen verletzt zu sein. Schließlich ergibt sich aus 18 Abs. 7 ZDF-Staatsvertrag, dass der Datenschutzbeauftragte dem Verwaltungsrat des ZDF alle zwei Jahre einen Bericht über seine Tätigkeit erstattet. Dieser Verpflichtung wird mit dem hier vorgelegten Bericht für die Kalenderjahre 2004 und 2005 entsprochen. Seit dem 14. Tätigkeitsbericht publiziert der Datenschutzbeauftragte des ZDF seinen Bericht im Internet (als Bestandteil des Onlineangebots des ZDF), um insbesondere dem Erfordernis des Art. 28 Abs. 5 EG-Datenschutzrichtlinie zu entsprechen, der eine Veröffentlichung vorschreibt. Die durch den ZDF-Staatsvertrag vorgegebene Ausgestaltung der Tätigkeit und die gesetzlich eingeräumten Kompetenzen verleihen dem

12 5 Datenschutzbeauftragten des ZDF den Status einer selbständigen Kontrollstelle im Sinne von Art. 28 EG-Datenschutzrichtlinie. In diesem Zusammenhang ist auf die Aussage des Landesbeauftragten für den Datenschutz Rheinland-Pfalz zu verweisen, der in seinem 20. Tätigkeitsbericht (Ziff "Unabhängige Datenschutzkontrolle", Seite 20) hervorhebt: "Mit der Bundesregierung stimmt er [der LfD RP] ü- berein, dass auch nach EG-Recht allein die funktionelle Unabhängigkeit gefordert ist, wie sie beispielsweise auch bei den Datenschutzbeauftragten der Kirchen und der Rundfunkanstalten gewährleistet wird." 2. Personelle und praktische Gegebenheiten Der Verwaltungsrat des ZDF hat mich in seiner Sitzung am 19. September 2003 gemäß 18 Absatz 1 ZDF-Staatsvertrag auf Vorschlag des Intendanten erneut für vier Jahre zum Datenschutzbeauftragten des ZDF bestellt. Diese zweite Amtszeit hat am begonnen und endet am Der Schwerpunkt der Tätigkeit des ZDF-Datenschutzbeauftragten liegt eindeutig in der Beratung und Vorabkontrolle im Zuge der im ZDF geleisteten DV-Projektarbeit. Im Vergleich hierzu tritt die "klassische" anlassbezogene Einzelfallkontrolle deutlich zurück. Die HA Personal hat den bereits in den vergangenen Jahren einsetzenden und von mir aus einer Mehrzahl von Gründen begrüßten Trend, die Einflussnahme des Datenschutzbeauftragten zeitlich weit nach vorne zu verlagern, dadurch weiter verstärkt, dass die Fachbereiche mit einer Handreichung ("Merkblatt über die Einführung neuer und Änderung bestehender DV-Systeme") frühzeitig angehalten werden, die nötigen Informationen bereitzustellen, damit rechtzeitig vor dem Zeitpunkt der geplanten Produktivnahme über sämtliche datenschutzrechtliche Fragen beraten und entschieden werden kann. Die Vorteile sind vielfältig: Den Betroffenen - Zuschauer, Mitarbeiter, Dritte - bleibt so häufig ein (unzulässiger) Eingriff in ihr Recht auf informationelle Selbstbestimmung erspart, und das ZDF vermeidet u.a. das Risiko von Fehlinvestitionen in nicht gesetzeskonforme DV-Systeme.

13 6 Im Berichtszeitraum hat sich eine enge Zusammenarbeit mit dem seit dem Jahre 2004 berufenen IT-Sicherheitsbeauftragten des ZDF (vgl. 14. Tätigkeitsbericht, Ziff. III.4.2.), Herrn Uwe Metzroth, entwickelt. Dessen Aufgabe ist es, Empfehlungen für die Geschäftsleitung des ZDF zu erarbeiten, die dem Schutz von Daten, Anwendungen, Systemen und Infrastrukturen im Zusammenhang mit dem Einsatz von Informations- und Systemtechnologie vor Zerstörung, unzulässiger Nutzung und Entwendung dienen. Er bewertet hierfür die IT- Sicherheitsrisiken und beobachtet die Sicherheitsstandards, definiert sie als Richtlinie und unterbreitet Vorschläge zur Priorisierung von Sicherheitsmaßnahmen. Die Kooperation mit dem Datenschutzbeauftragten des ZDF ist ihm als eine ausdrückliche Aufgabe zugewiesen. Die Tätigkeit des IT-Sicherheitsbeauftragten steht in engem Zusammenhang mit dem dem Datenschutz zuzurechnenden Erfordernis, durch technisch-organisatorische Maßnahmen den Schutz der personenbezogenen Daten sicher zu stellen (so 9 Landesdatenschutzgesetz Rheinland-Pfalz - LDSG RP). Ich bin daher außerordentlich dankbar, dass das ZDF meiner langjährigen Forderung nach Einrichtung einer solchen Position nachgekommen ist und mit dem jetzigen Stelleninhaber ein kompetenter und erfahrener Mitarbeiter gefunden werden konnte, der solides Fachwissen mit der Fähigkeit verbindet, für seine Belange überzeugend einzutreten und Lösungen durchzusetzen, die die Datensicherheit im ZDF bereits in dem bislang überschaubaren Zeitraum seines Wirkens deutlich verbessert haben. Der Datenschutz im ZDF hat hierdurch eine Verstärkung erfahren, die mit Blick auf in die Vergangenheit zurückreichende Versäumnisse im Bereich der IT-Sicherheit, aber auch den weiterhin ungebremsten quantitativen und qualitativen Ausbau der DV-Systeme dringend von Nöten war.

14 7 In den Jahren 2004 und 2005 fortgesetzt hat sich - auf bereits zuvor hohem Niveau - die Steigerung der Zahl der zu bearbeitenden Einzelvorgänge. Einen Eindruck von der auch im jetzigen Berichtszeitraum weiter angewachsenen Zahl der zu bewältigenden Postvorgänge vermittelt die folgende Tabelle: 1960 Anzahl Postvorgänge Besonders in den letzten beiden Jahresmonaten wird praktisch täglich seitens der DV-einsetzenden und DV-entwickelnden Fachbereiche meine Mitwirkung in Anspruch genommen, zum einen wegen des auf den Jahreswechsel terminierten Abschlusses von DV-Projekten bzw. für den Jahresbeginn vorgesehener Produktivnahmen, zum anderen aber offenbar auch wegen auf das ZDF-Haushaltsjahr orientierter zeitlicher Planungen. Diese zeitliche Auslastung mit Angelegenheiten des Datenschutzes hat im Berichtszeitraum erstmals - wenn auch auf Einzelfälle und den genannten Zeitraum begrenzt - Kollisionen mit mir vom Justitiar übertragenen Aufgaben hervorgerufen, dem ich bei z.b. während der Dienstzeiten anstehenden Besprechungs- und Erörterungsterminen nicht zeitgleich zur Verfügung stehen konnte. Ich

15 8 selbst bedauere diese Konfliktfälle, sehe jedoch mit Blick auf die gesetzlich mir - vorrangig - zugewiesenen Aufgaben im Datenschutz, aber auch wegen der (häufig z.b. auch in finanzieller Hinsicht) großen Bedeutung der DV-Projekte für das ZDF keine Handhabe, mein für die gesetzliche Vorabkontrolle oder die datenschutzrechtliche Beratung gefordertes Engagement zurückzustellen. Bereits im zurückliegenden Tätigkeitsbericht hatte ich erwähnt, dass ich ohnehin solche Tätigkeiten, bei denen ich nicht - wegen der Zusammenarbeit mit anderen ZDF-Bereichen - auf die im ZDF regulären Arbeitszeiten angewiesen bin (so das Aktenstudium oder die nötige kontinuierliche eigene Fortbildung in technischen Fragen, etc.) bereits in die Abendstunden und auf die Wochenenden verlagert habe. In diesem Sinne ist die Tätigkeit des ZDF-Datenschutzbeauftragten im Zuge gestiegener Fallzahlen längst zu einer "außerdienstlichen" Beschäftigung geworden, mit allerdings steigender Tendenz und der Erkenntnis, dass die Grenzen der (Mehr-)Belastung durch das "Nebenamt" (so 18 Abs. 1 Satz 4 ZDF-Staatsvertrag) des Datenschutzbeauftragten wohl schon überschritten sind. Zu danken habe ich den Personalräten des ZDF, dem Leiter der Hauptabteilung Personal und seinen Mitarbeiterinnen und Mitarbeitern und dem Justitiar, die neben vielen anderen meine Tätigkeit vielfältig unterstützt und erleichtert haben. Ohne die effektive und erfreuliche Zusammenarbeit mit diesen und vielen anderen Stellen des Hauses wären die Aufgaben des ZDF-Datenschutzbeauftragten in der jetzigen Form nicht zu bewältigen gewesen.

16 9 III. Entwicklung des Datenschutzrechts 1. Europarecht 1.1. Die Europäische Verfassung Der am von den Staats- und Regierungschefs der EU- Mitgliedstaaten sowie den drei Kandidatenländern unterzeichnete Vertrag über eine Verfassung für Europa vom sieht - insofern das Grundgesetz der Bundesrepublik Deutschland überholend - eine zweifache Verankerung des Rechts auf informationelle Selbstbestimmung vor. Neben der Festschreibung des Rechts auf Datenschutz in der bereits am in Nizza proklamierten Charta der Grundrechte der Europäischen Union ist in Teil I des Verfassungstextes - Grundlegende Verfassungsbestimmungen - ein gesonderter Artikel vorgesehen, der den Schutz personenbezogener Daten mit Verfassungsrang festschreibt: Artikel I-51 "Schutz personenbezogener Daten" (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Durch Europäisches Gesetz oder Rahmengesetz werden Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr festgelegt. Die Einhaltung dieser Vorschriften wird von unabhängigen Behörden überwacht. Geplant war, die EU-Verfassung nach der Ratifizierung in den einzelnen Mitgliedstaaten mit dem in Kraft treten zu lassen. Dem folgend ist in der Bundesrepublik Deutschland die Ratifizierung

17 10 am durch den Bundestag und am durch den Bundesrat erfolgt, jeweils mit deutlicher Mehrheit. Anschließend scheiterten aber die Referenden zunächst in Frankreich, am und sodann in den Niederlanden, am Ein den zeitlichen Planungen gerecht werdendes Inkrafttreten der EU-Verfassung ist durch diese politischen Entscheidungen ausgeschlossen worden. Die europäische Politik denkt derzeit darüber nach, wie das Projekt der EU-Verfassung wieder aktiviert werden könnte. Allerdings erscheinen diese Überlegungen zum jetzigen Zeitpunkt weder konkret noch erfolgversprechend genug, um eine Prognose darüber wagen zu können, wann mit einer verfassungsrechtlichen Verankerung des Rechts auf informationelle Selbstbestimmung auf EU-Ebene nunmehr gerechnet werden kann Vorratsdatenspeicherung Gestalt angenommen hat hingegen mit der Verabschiedung durch das Europäische Parlament am die nach den Anschlägen des 11. September 2001 forcierte Richtlinie über die Vorratsdatenspeicherung von Kommunikationsdaten. Ziel ist die Ermittlung, Feststellung und Verfolgung von schweren Straftaten. Hierzu werden die Mitgliedstaaten verpflichtet, den Telekommunikationsanbietern eine Speicherfrist von mindestens sechs Monaten, maximal 24 Monaten für alle Verbindungsdaten aufzuerlegen. Das Vorhaben hat meines Erachtens zurecht eine grundsätzliche Diskussion über das Verhältnis von Sicherheitsbelangen und den Anforderungen einer effektiven Terrorismusbekämpfung einerseits und den unverzichtbaren Ausprägungen des Rechts auf informationelle Selbstbestimmung andererseits ausgelöst. So sieht - wie eine Vielzahl nationaler Datenschutzgesetze - die Europäische Datenschutzrichtlinie vor, dass personenbezogene Daten dann zu löschen sind, wenn und sobald sie nicht mehr benötigt werden. Für Kommunikationsdaten bedeutet das eine Löschung unmittelbar nach Abschluss des Kommunikationsvorganges bzw. spätestens dann, wenn die Daten zur Ab-

18 11 rechnung nicht mehr benötigt werden. Artikel 15 der EG-Datenschutzrichtlinie sieht allerdings Ausnahmen hiervon als zulässig an für Zwecke der Aufrechterhaltung der öffentlichen Ordnung, sowie bei einem nachgewiesenen Bedarf für die nationale Sicherheit, die Landesverteidigung, die öffentliche Sicherheit oder die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten einschließlich des unzulässigen Gebrauchs von elektronischen Kommunikationsmitteln. Die Datenschutzbeauftragten in Europa und Deutschland begründen ihre grundsätzliche Ablehnung damit, dass durch die Vorratsdatenspeicherung das u.a. in der Europäischen Menschenrechtskonvention niedergelegte Recht auf freie und unbeobachtete Kommunikation verletzt wird. Für die Medien und damit das ZDF ist von Bedeutung, dass nach der Richtlinie zur Vorratsdatenspeicherung die Träger von Berufsgeheimnissen geschützt werden sollen. Der Datenschutzbeauftragte des ZDF setzt sich dafür ein, dass im Zuge der Umsetzung der Richtlinie in deutsches Recht der Quellen- und Informantenschutz umfänglich verteidigt und gewahrt bleibt. Es ist Aufgabe des deutschen Gesetzgebers, die ihm zugestandenen Gestaltungsspielräume in der Weise zu nutzen, dass die journalistischen Arbeitsmöglichkeiten erhalten bleiben. Das gebietet der hohe Stellenwert, den das Grundgesetz nach der Rechtsprechung des Bundesverfassungsgerichts der Presse- und Rundfunkfreiheit beimisst, damit die Medien ihre öffentliche Aufgabe effektiv wahrnehmen und so das Funktionieren des demokratischen Gemeinwesens sichern können (vgl. hierzu die Aussagen des Bundesverfassungsgerichts schon im Jahre 1961, 1. Fernsehurteil, BVerfGE 12, 205, 260) Übermittlung von Passagierdaten von Bürgern der Europäischen Union an die US-Zollbehörden Auf der Basis eines Abkommens vom 17. Mai 2004 zwischen dem Rat der Europäischen Union mit der Regierung der Vereinigten Staaten regelt eine bilaterale Vereinbarung die Übermittlung von Passagierdaten durch die Fluggesellschaften an die amerikanischen Zoll- bzw.

19 12 Grenzschutzbehörden. Betroffen hiervon sind u. a. der Name des Reisenden, Abreise- und Zielort, die Nummer der Kreditkarte, etwaige Hotel- oder Mietwagenreservierungen, aber auch Angaben zu körperlichen Behinderungen oder Erkrankungen oder Essenswünsche während des Fluges. Die Daten sollen über zweiundvierzig Monate gespeichert bleiben. Europäische und deutsche Datenschutzbeauftragte haben gegen die Vereinbarung protestiert und festgestellt, dass ein ausreichender und angemessener Schutz der Persönlichkeitsrechte der Betroffenen durch das gewählte Verfahren nicht sichergestellt ist. Das Europäische Parlament hat die Kritik aufgegriffen und im Wege einer Klage vor dem Europäischen Gerichtshof dafür gesorgt, dass eine europarechtliche Prüfung auf der Grundlage der Grundsätze der EG- Datenschutzrichtlinie stattfindet. Da von der Passagierdatenübermittlung selbstverständlich auch Journalisten betroffen sind, da z. B. deren Gesundheitsdaten und deren Reiseverhalten den US-Behörden offenbart werden muss, stellen sich hier auch grundsätzliche Fragen der Presse- und Medienfreiheit Vertragsverletzungsverfahren der Europäischen Kommission gegen die Bundesrepublik Deutschland wegen mangelhafter Umsetzung der EG-Datenschutzrichtlinie Die EU-Kommission hatte mit Schreiben vom den Bundesminister des Inneren zur Stellungnahme zu einer - allerdings nicht konkretisierten - Beschwerde wegen fehlerhafter Umsetzung der Vorgaben der EG-Datenschutzrichtlinie bezüglich der Einrichtung einer unabhängigen Datenschutzkontrolle aufgefordert. Das Bundesministerium des Innern wandte sich daraufhin - mit der Bitte um Zulieferungen - zwar an die Innenminister der Bundesländer sowie die Landesdatenschutzbeauftragten, nicht aber an die Rundfunkbeauftragten für den Datenschutz, obwohl diese nach dem System der deutschen Datenschutzaufsicht eigenständige Träger von

20 13 Aufsichtsbefugnissen im Sinne der EG-Richtlinie sind. Die aus eigener Initiative dem Bundesinnenministerium zugeleiteten Überlegungen der Rundfunkbeauftragten für den Datenschutz haben leider sodann auch nur in einer extremen Kurzfassung in die Stellungnahme der Bundesrepublik Deutschland Aufnahme gefunden. Aus der Sorge heraus, dass die von Verfassungs wegen gebotene besondere Ausgestaltung des Datenschutzes bei den Rundfunkanstalten im weiteren Verfahren von der Europäischen Kommission nicht ausreichend gewürdigt werden könnte, hat der Arbeitskreis der Datenschutzbeauftragten von ARD und ZDF schließlich eine eigene Stellungnahme gefertigt und über seinen Vertreter in der Expertengruppe nach Artikel 29 an die EU-Kommission adressiert. Die Europäische Kommission vertritt weiterhin die Auffassung, dass die Stellung der Aufsichtsbehörden für den nicht-öffentlichen Bereich in den Bundesländern gegen Artikel 28 der EG-Datenschutzrichtlinie 95/46/EG verstößt. Darum hat sie nunmehr - im Juli ein Vertragsverletzungsverfahren eingeleitet. Die Bundesregierung hat in der oben erwähnten Stellungnahme zu diesem Verfahren den Standpunkt bekräftigt, dass das System der Datenschutzkontrolle gerade im nichtöffentlichen Bereich durch das Inkrafttreten der EG-Datenschutzrichtlinie nicht verändert werden sollte. Die Europäische Kommission wird voraussichtlich den Europäischen Gerichtshof anrufen. Abzuwarten bleibt, welche Auswirkungen eine Entscheidung des Gerichts auf die Struktur der Datenschutzaufsicht in Deutschland haben wird Überprüfung der europarechtskonformen Umsetzung der EG-Datenschutzrichtlinie bei den öffentlich-rechtlichen Rundfunkanstalten in Deutschland Während die Rundfunkbeauftragten für den Datenschutz von dem o. g. Vertragsverletzungsverfahren nicht betroffen sind, hat sich zu einem anderen Regelungspunkt der EG-Datenschutzrichtlinie die Generaldirektion Justiz explizit an die Datenschutzbeauftragten der Rundfunkanstalten gewandt. Der Rüge eines nicht genannten Beschwerde-

21 14 führers folgend hat die Kommission in ihrem Auskunftsverlangen thematisiert, dass die Datenschutzbeauftragten von ARD und ZDF ggf. dadurch gegen die EG-Datenschutzrichtlinie verstoßen würden, dass die Tätigkeitsberichte nicht (ausreichend) veröffentlicht würden. Ich habe in meiner Antwort deutlich gemacht, dass der Vorwurf - bezogen auf das ZDF - nicht zutrifft, da der Tätigkeitsbericht in das Online-Angebot des ZDF aufgenommen und somit von jedermann über das Internet abrufbar ist. Da nach bisheriger Praxis eine Mehrzahl der Datenschutzbeauftragten der Rundfunkanstalten ihre Tätigkeitsberichte regelmäßig nur einem eingeschränkten Kreis von Teilnehmern, etwa den Organen der Rundfunkanstalten oder im Intranet den Mitarbeiterinnen und Mitarbeitern der Rundfunkanstalten, zugänglich gemacht hatten, wurde hierzu eine Verständigung im Arbeitskreis der Datenschutzbeauftragten von ARD und ZDF herbeigeführt. Die Folge ist, dass sämtliche Datenschutzbeauftragten von ARD und ZDF künftig dem Anliegen der Europäischen Kommission nachkommen und ihre Tätigkeitsberichte zusätzlich auch im Internet veröffentlicht werden. Die verbleibende Frage, inwieweit die EG-Datenschutzrichtlinie eine formelle gesetzliche Grundlage für die Veröffentlichung des ZDF- Datenschutzberichtes, z. B. im Wege einer Umsetzung im ZDF- Staatsvertrag verlangt, ist bei der hier gewählten Lösung offen geblieben. Ich habe hierzu die Anregung an den Verwaltungsrat des ZDF adressiert, zu gegebener Zeit eine Anpassung und Klarstellung im ZDF-Staatsvertrag vorzunehmen. Als erfreulich ist es anzusehen, dass das Auskunftsverlangen der Europäischen Kommission impliziert, dass sie die Rundfunkbeauftragten für den Datenschutz als "amtliche Kontrollstelle" im Sinne des 28 der EG-Datenschutzrichtlinie betrachtet. Bekanntlich kritisiert eine Minderheit der deutschen Landesbeauftragten für den Datenschutz die Sonderstellung der Rundfunkbeauftragten für den Datenschutz und erklärt sie für EG-rechtswidrig. Insoweit ist die klarstellende Pra-