Bereich Struktur- und Regionalpolitik!"# $$% Herausgeber: DGB-Bundesvorstand Bereich Struktur- und Regionalpolitik Verantwortlich: Claus Matecki Henriette-Herz-Platz 2 10178 Berlin Fragen an: Christoph Hahn Tel.: 0 30/2 40 60-244 Fax: 0 30/2 40 60-111 E-Mail: sandra.stark@dgb.de
I. Vorbemerkung Die in jüngster Vergangenheit vermehrt auftretenden Fälle von unberechtigtem Handel mit personenbezogenen Daten, haben die Bundesregierung zu Recht dazu veranlasst, Änderungen des Bundesdatenschutzgesetzes vorzunehmen. Durch die Vorkommnisse der letzten Monate ist deutlich geworden, dass das Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003, welches in seinen Grundstrukturen seit 1977 kaum verändert wurde, den aktuellen Anforderungen an einen effizienten und effektiven Datenschutz nicht gerecht wird. In den letzten Jahren hat sich durch die technische Entwicklung und die elektronischen Medien eine umwälzende Veränderung in der gezielten Ansprache der Verbraucherinnen und Verbraucher zum Zwecke der Werbung oder auch zum Zwecke der Markt- und Meinungsforschung vollzogen. Es hat sich herausgestellt, dass die Übermittlung personenbezogener Daten für Zwecke der Werbung oder der Markt- und Meinungsforschung nahezu flächendeckend zum Erwerb oder zur Nutzung angeboten werden und hier ein neuer Wirtschaftszweig, der unter dem Namen Adress-, Datenhandel beschrieben werden kann, entstanden ist. Der vorliegende Gesetzentwurf zur Änderung des Bundesdatenschutzgesetzes und zur Regelung des Datenschutzaudits ist ein richtiger Ansatz um den Handel mit personenbezogenen Daten der Bürgerinnen und Bürger zu beschränken und eine notwendige Sicherheit im persönlichen Datenschutz zu gewährleisten. Der DGB begrüßt deshalb grundsätzlich die Initiative der Bundesregierung und des Bundesdatenschutzbeauftragten, hier eine Novellierung des Bundesdatenschutzgesetzes vorzunehmen. So begrüßenswert eine Fortschreibung des Datenschutzrechtes auch ist, so reicht sie angesichts der IT-Entwicklung nicht aus. Vielmehr bedarf es einer umfassenderen und tiefgreifenden Reform. Der DGB erwartet von der Bundesregierung, dass sie die notwendigen gesetzlichen Rahmenbedingungen schafft, die Verbraucherinnen und Verbraucher vor dem unberechtigten Handel mit ihren personenbezogenen Daten schützt. Hierbei unterstützt der DGB die konkreten Forderungen des Bundesbeauftragten für den Datenschutz, Schlupflöcher im Datenschutz zu schließen, Einwilligungsregelungen für die Weitergabe von personenbezogenen Daten zu schaffen und eine Kennzeichnungspflicht für die Herkunft von Daten einzuführen. Der aufgedeckte kriminelle Handel mit Kunden- und Kontaktdaten der Verbraucher und Arbeitnehmer zeigt deutlich, dass eine bessere Überwachung und Bekämpfung dieser neuen Form von Datenkriminalität dringend geboten ist. Ein Appell an die Verbraucher 1
vorsichtiger mit der Datenweitergabe umzugehen, reicht dabei nicht aus! Der vorliegende Gesetzentwurf zur Änderung des Bundesdatenschutzgesetzes muss deshalb aus Sicht des DGB neben einer Verschärfung der Sanktionen bei Verstößen gegen das Datenschutzgesetz, besonders den Schutz im Umgang mit personenbezogenen Daten gewährleisten. Die heutigen Arbeits- und Lebensgewohnheiten der Arbeitnehmerinnen und Arbeitnehmer und ihrer Familien sind auf die Nutzung und den Gebrauch moderner Kommunikationstechniken angewiesen. Positive Auswirkungen moderner Technik auf das tägliche Leben dürfen jedoch nicht blind machen für Risiken, vor denen uns allein der Gesetzgeber schützen kann. Der vorliegende Gesetzentwurf regelt nicht ausreichend die nötigen Schutzmechanismen für die Verbraucher und die Arbeitnehmer. II. Zu den Regelungen des Gesetzentwurfes zur Änderung des Bundesdatenschutzgesetzes und zur Regelung des Datenschutzaudits in einzelnen Bereichen Art. 1, Änderung des Bundesdatenschutzgesetzes zu Artikel 1 Nr. 2: Der DGB begrüßt grundsätzlich, dass die Position des Beauftragten für den Datenschutz in den Unternehmen gestärkt werden soll. Allerdings reicht die bloße Möglichkeit, an Fort- und Weiterbildungsveranstaltungen teilzunehmen bei weitem nicht aus, um eine solche Stärkung des Datenschutzbeauftragten tatsächlich zu bewirken. Will man das Anliegen tatsächlich verwirklichen und sicherstellen, dass auch die Interessen der Arbeitnehmer durch den Datenschutzbeauftragten gewahrt werden, so ist zum einen zumindest ein grundsätzliches Mitbestimmungsrecht der betrieblichen Interessenvertretung bei Bestellung und Abberufung des Datenschutzbeauftragten notwendig. Die Bestellung zum betrieblichen Datenschutzbeauftragten an sich ist derzeit nicht mitbestimmungspflichtig. Dieser Vorgang kann jedoch eine mitbestimmungspflichtige Versetzung i.s.d. 99 BetrVG darstellen, wenn es sich um einen Arbeitnehmer i.s.v. 5 Abs. 1 BetrVG handelt. "Nebenamtliche" betriebliche DSB benötigen eine eindeutige Regelung zur erforderlichen Freistellung von ihrer vertraglich geschuldeten Leistung. Der DGB fordert, dass die Bestellung zum betrieblichen Datenschutzbeauftragten unabhängig von seinem jeweiligen Status mitbestimmungspflichtig wird. Nur dann kann sichergestellt werden, dass der Datenschutzbeauftragte nicht in erster Linie die Interessen seines Auftraggebers schützt. Zum anderen ist es notwendig, dass der Datenschutzbeauftragte über die bloße Bezeichnung als weisungsfrei seine tat- 2
sächliche Unabhängigkeit dadurch erlangt, dass ihm ein Sonderkündigungsschutz ähnlich dem der Betriebsräte zuerkannt wird. Nur wenn der betriebliche Datenschutzbeauftragte seine Aufgaben erledigen kann, ohne dass er befürchten muss, wegen unbequemer Erkenntnisse und Anforderungen gekündigt zu werden, kann er tatsächlich frei und unabhängig seine gesetzliche Aufgabe erfüllen. zu Art.1 Nr. 5: Die Erweiterung des Bundesdatenschutzgesetzes um klare Regulierungsmechanismen, die die Einwilligung in die Weitergabe von personenbezogenen Daten über die Verbraucher regeln, ist grundsätzlich zu begrüßen. Die gesetzliche Vermutung, dass das schutzwürdige Interesse des Betroffenen gegenüber der wirtschaftlichen Nutzung, Weitergabe bzw. Verarbeitung der personenbezogenen Daten überwiegt, ist zuzustimmen. Der DGB begrüßt, dass die Einwilligung der Weitergabe von personenbezogenen Daten in Zukunft der Schriftform bedarf. Die Regelung, nach welcher die Einwilligung auch elektronisch erklärt werden kann, wenn die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird und der Betroffene den Inhalt der Einwilligung jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann, ist zu begrüßen. Der DGB unterstützt, dass der Gesetzentwurf hier der Entwicklung digitaler Medien Rechnung trägt, indem er eine Einwilligung als wirksam erachtet, wenn der Betroffene durch ankreuzen, durch eine gesonderte Unterschrift oder ein anderes, ausschließlich auf die Einwilligung in die Weitergabe seiner Daten für Werbezwecke bezogenes Tun, zweifelsfrei zum Ausdruck bringt. Dass dafür die Einwilligung bewusst erteilt werden muss, ist zu begrüßen. Das sogenannte Kopplungsverbot in 28 Nr. 3, Abs. 3 Nr. 2, ist ebenfalls zu begrüßen. Dass die verantwortliche Stelle den Abschluss eines Vertrages nicht von der Einwilligung zur Weitergabe der personenbezogenen Daten des Betroffenen abhängig machen darf, ist zu begrüßen. Die Einführung des Kopplungsverbots ist sinnvoll, da dadurch der Missstand abgestellt wird, dass Verbraucher in die Einwilligung zu einer vertragsfremden Nutzung ihrer Daten - beispielsweise zu Werbezwecken - gezwungen werden. Der DGB sieht die Einführung des Kopplungsverbotes nur für marktbeherrschende Unternehmen allerdings kritisch. Moderne Kommunikationstechnologien wie Telefonanbieter und Internetportale knüpfen bspw. ihre Nutzung in der Regel an die Eingabe personenbezogener Daten. Von marktbeherrschender Stellung eines einzelnen Unternehmens kann in diesem Bereich keinesfalls gesprochen werden. 3
Der DGB ist sich bewusst, dass Verbraucher im Falle von gekoppelten Vertragsabschlüssen (Vertrag kommt nur zustande, wenn der Verbraucher zusätzlich personenbezogene Daten angibt) von ihrem Verbraucherrecht alternative Angebote einzuholen und auszuwählen, Gebrauch machen können. Da die Verbraucherinnen und Verbraucher in der Regel über keinen umfassenden Marktüberblick verfügen, und viele Konsumenten im Vertrauen auf den ordnungsgemäßen und vertraulichen Umgang mit ihren Daten bauen, wäre ein generelles Kopplungsverbot zu begrüßen. Der DGB fordert deshalb die Bundesregierung auf, das Kopplungsverbot auf alle Unternehmen auszudehnen. zu Artikel 1 43 und 44: Der DGB begrüßt, dass Art.1 43 wie folgt geändert wird: Das Wort fünfundzwanzigtausend wird durch das Wort fünfzigtausend und das Wort zweihundertfünfzigtausend durch das Wort dreihunderttausend ersetzt. Die Regelung, dass die Höhe der Geldbußen bei Verstößen gegen das Bundesdatenschutzgesetz den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat übersteigen soll, ist zu begrüßen. Darüber hinaus wird Art.1 44 dahingehend erweitert, dass für Unternehmen eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten besteht. Die Unternehmen, die unrechtmäßig übermittelte Daten über Dritte erlangt haben, haben dies unverzüglich der zuständigen Aufsichtsbehörde sowie dem Betroffenen mitzuteilen. Art.1 44 macht darüber hinaus deutlich, dass die Benachrichtigung unverzüglich erfolgen muss, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden sind und die Strafverfolgung nicht mehr gefährdet wird. Hier bleibt der Gesetzentwurf aus Sicht des DGB unklar, da nicht deutlich wird, was angemessene Maßnahmen zur Sicherung der Daten sein sollen. Darüber hinaus wird in der Benachrichtigung der Betroffenen eine Klausel eingebaut, die aus Sicht des DGB so nicht zielführend ist. So heißt es im 44 Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere auf Grund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information an die Öffentlichkeit durch Anzeigen, die mindestens eine halbe Druckseite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen. Hier sieht der DGB weiteren Verbesserungsbedarf, da aus unserer Sicht die Betroffenen nicht nur über bundesweit erscheinende Tageszeitungen informiert werden sollten, sondern unverzüglich persönlich über den Umgang bzw. Missbrauch mit ihren personenbezogenen Daten informiert werden sollten. In einigen Fällen, gerade wenn es eine Vielzahl von Betroffenen gibt, hat eine öffentliche Information über Tages- 4
zeitungen den Vorteil, dass damit gleichzeitig die Öffentlichkeit informiert wird. Um sicher zu gehen, dass der Betroffene tatsächlich Kenntnis von einer unrechtmäßigen Übermittlung erlangt, kann die Veröffentlichung in zwei bundesweit erscheinenden Tageszeitungen dennoch nur eine zusätzliche Auflage zu der persönlichen Unterrichtung sein. Zumindest wäre aber zu erwägen, einen Schwellenwert (z. B. mehr als 1.000 Betroffene) einzuführen. Darüber hinaus sollte die Novellierung des Bundesdatenschutzgesetztes folgende Punkte für einen besseren Verbraucherdatenschutz umfassen: Es sind Untersagungen für unzulässige Verfahren der Erhebung, Verarbeitung und Nutzung personenbezogener Daten seitens der betrieblichen Datenschutzbeauftragten und der Aufsichtsbehörden vorzusehen. Es sind Sanktionsmaßnahmen für die Nichterfüllung der unabdingbaren Rechte der Betroffenen (Auskunft, Berichtigung, Löschung und Sperrung) vorzusehen. Der Umfang der Schadensersatzansprüche nach 7 BDSG ist für materielle und immaterielle Schäden konkreter zu bestimmen. Nach dem aktuellen Stand der Technik ist als Datenschutzmaßnahme bezgl. des 9 BDSG und Anlage die Verschlüsselung zwingend vorzusehen. Zu Art. 2 Datenschutzauditgesetz (DSAG): Der DGB begrüßt, dass Anbieter von Datenverarbeitungssystemen und -programmen und verantwortlichen Stellen die nichtöffentliche Stellen im Sinne des Bundesdatenschutzgesetzes sind, ihr Datenschutzkonzept und ihre technischen Einrichtungen nach Maßgabe dieses Gesetzes prüfen und bewerten lassen können. Es ist zu begrüßen, dass die Vergabe eines Siegels nur dann erfolgen soll, wenn über die Einhaltung der Gesetze hinaus Richtlinien zur Verbesserung des Datenschutzes und der Datensicherheit erfüllt werden. Das sogenannte Datenschutzauditsiegel, das die Anbieter verwenden dürfen, wenn sie sich an Vorgaben halten, kann ein weiterer Schritt sein um Sicherheit zu gewährleisten. Die in Art. 2 2 geklärte Zuständigkeit für die Zulassung der Kontrollstellen und die Entziehung der Zulassung sowie die Vergabe einer Kennnummer an die Kontrollstellen ist als Zuständigkeit beim Bundesbeauftragten für Datenschutz zu begrüßen. 5
Der DGB fordert die Bundesregierung jedoch auf, den Bundesbeauftragten für den Datenschutz für dieses neue und erweiterte Aufgabenfeld mit mehr Ressourcen auszustatten, personell wie monetär. Unverzichtbar ist es, den Datenschutzbeauftragten des Bundes und die Datenschutzbeauftragten der Länder von der Dienstaufsicht und der Behördeneinbindung des jeweiligen Innenministeriums zu befreien, damit sie effektiver ihre Aufgaben wahrnehmen können. Der DGB ist nicht der Auffassung, dass das gesetzlich geregelte unbürokratische Datenschutzaudit für die Unternehmen auf freiwilliger Basis geregelt sein sollte. Die Überprüfung durch zugelassene Kontrollstellen in regelmäßigen Abständen, ob Datenschutzkonzepte und technische Einrichtungen den Kriterien des Datenschutzes entsprechen, sollte für alle Unternehmen verpflichtend gelten. Fazit: Der DGB nimmt den Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und zur Regelung des Datenschutzaudits im Großen und Ganzen zustimmend zur Kenntnis. Der Gesetzentwurf weist in die richtige Richtung. Bei der Umsetzung des neuen Datenschutzgesetzes und der Regelung des Datenschutzaudits wird darauf zu achten sein, dass die angestrebten Verbesserungen des Verbraucherdatenschutzes auch tatsächlich erreicht werden. Der DGB unterstützt, dass die Bundesregierung umgehend gehandelt hat und das Bundesdatenschutzgesetz aufgrund der in der Vergangenheit zunehmenden Fälle von kriminellem Handel mit personenbezogenen Daten einer Novellierung zuführen will. Eine einheitliche Regelung im Bundesdatenschutzgesetz, wie sie nun angestrebt wird, beugt der Gefahr vor, dass verschiedene Regelungen in den Bundesländern Geltung haben, die die Verbraucherinnen und Verbraucher sowie Arbeitnehmerinnen und Arbeitnehmer im Umgang mit ihren personenbezogenen Daten verwirren würden. Der DGB begrüßt, dass die Erlaubnis zur Verarbeitung und Nutzung personenbezogener Daten zum Zwecke der Werbung, der Markt- und Meinungsforschung ohne Einwilligung der Betroffenen - mit Ausnahme auf beschränkte Werbung durch die die Daten im Rahmen eines Vertrages oder vertragsähnlichen Verhältnissen erhebende verantwortliche Stelle nur für eigene Angebote oder die eigene Markt- und Meinungsforschung sowie Spendenwerbung von steuerbegünstigten Organisationen - begrenzt wird. 6
Der DGB befürwortet, dass die Verarbeitung und Nutzung personenbezogener Daten für fremde Werbezwecke oder fremde Marktund Meinungsforschung ansonsten nur mit ausdrücklicher Einwilligung der Betroffenen, möglich ist. Das neu eingeführte Kopplungsverbot, wonach marktbeherrschende Unternehmen die Einwilligung nicht durch Kopplung mit dem Vertragsabschluss erzwingen dürfen, wird vom DGB grundsätzlich begrüßt. Es ist jedoch nicht nachvollziehbar, warum die Einführung des Kopplungsverbotes nur für marktbeherrschende Unternehmen gelten soll. Der DGB begrüßt grundsätzlich, dass die Position des Beauftragten für den Datenschutz in den Unternehmen gestärkt werden soll. Allerdings reicht die bloße Möglichkeit an Fort- und Weiterbildungsveranstaltungen teilzunehmen bei weitem nicht aus, um eine solche Stärkung des Datenschutzbeauftragten tatsächlich zu bewirken. Der DGB fordert, dass die Bestellung zum betrieblichen Datenschutzbeauftragten mitbestimmungspflichtig wird. Darüber hinaus begrüßt der DGB, dass sich Unternehmen in Zukunft einem Datenschutzaudit kontrolliert durch den Bundesbeauftragten für Datenschutz unterziehen können. Es bleibt für den DGB dennoch nicht nachvollziehbar, warum diese angeblich unbürokratische und schnelle Datenschutzauditierung auf freiwilliger Basis durchgeführt werden soll. Auch wenn der grundsätzliche Ansatz des Gesetzesentwurfes unterstützt wird, bleibt ein wesentlicher Teil des Lebens weiterhin im Hinblick auf den Datenschutz ungeregelt: Nämlich die Beschäftigungsverhältnisse. Zu einer wirklichen Reform gehört auch die gesetzliche Regelung des Arbeitnehmerdatenschutzes. Der DGB und seine Mitgliedsgewerkschaften fordern erneut und nachdrücklich, dass auch für den Bereich der Arbeitsverhältnisse Regelungen geschaffen werden, die das allgemeine Persönlichkeitsrecht und das informationelle Selbstbestimmungsrecht schützen. Gerade die Vorkommnisse bei verschiedenen Discountern, die Bespitzelung von Betriebsräten bei Siemens, aber auch die vielen Datenpannen bei der Telekom machen deutlich, dass ein Unrechtsbewusstsein, was den Datenschutz insbesondere von Beschäftigten anbetrifft, wenn überhaupt nur sehr gering ausgeprägt ist. Es ist nicht länger hinnehmbar, dass die Grundrechtspositionen von Beschäftigen im Beschäftigungsverhältnis ständig missachtet werden. Es müssen klare, transparente und verständliche Regelungen in einem eigenen Arbeitnehmerdatenschutzgesetz getroffen werden, die sicherstellen, dass Überwachungen und Kontrollen nur dort zulässig sind, wo sie wegen des Schutzes höherrangiger 7
Rechtsgüter zwingend geboten sind. In allen anderen Fällen müssen dem Arbeitgeber klare Schranken gesetzt und es müssen Sanktionen vorgesehen werden, für den Fall, dass diese Schranken überschritten werden. Auch im Bundesdatenschutzgesetz sollte der Arbeitnehmerdatenschutz (ANDS) darüber hinaus verankert werden. Dies kann als Rahmenvorschrift für die Länder in einem Abschnitt oder jeweiligen Unterabschnitt für den öffentlichen und privaten Bereich ergänzt werden. Andernfalls ist zu befürchten, dass der ANDS mit der Entwicklung im Datenschutzrecht nicht mehr Schritt hält und abgekoppelt wird. Folgende Punkte sollten hierbei Berücksichtigung finden: Die freiwillige Einwilligungserklärung kann in Beschäftigungsverhältnissen ausschließlich nach einer Regelung in einer Betriebsvereinbarung oder Dienstvereinbarung gegeben werden. Die Personalvertretungsgesetze sind bezüglich der Zulassung von Dienstvereinbarungen zu ergänzen. In Betrieben und Behörden in denen kein Betriebsrat oder Personalrat existiert, setzt das Einholen der Einwilligungserklärung eine vorherige Prüfung und Bescheid der jeweiligen Aufsichtsbehörde voraus. Die Rechtmäßigkeit und das Zustandekommen von freiwilligen Einwilligungserklärungen sind von den betrieblichen Datenschutzbeauftragten zu überprüfen. Die Angaben nach den gesetzlichen Meldepflichten bezüglich der Personaldaten der Beschäftigten sind von dem betrieblichen Datenschutzbeauftragten neben der verantwortlichen Stelle, auch den Betriebsräten und Personalräten, mitzuteilen. Alle DV-Systeme, die personenbezogene Daten der Beschäftigten verarbeiten, bedürfen der Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten. Arbeitnehmerdaten benötigen den gleichen Schutz wie empfindliche Betriebs- oder Geschäftsgeheimnisse oder Finanzdaten. Für sie müssen die gleichen strengen Maßstäbe wie in den Grundsätzen ordnungsgemäßer DV-gestützter Buchführungssysteme (BMFi) gelten. Hierzu zählen auch die personenbezogenen Daten von Bewerberinnen und Bewerbern, bei denen die Bewerbung zu keinem späteren Beschäftigungsverhältnis führt. Personaldaten sind wie Finanzdaten (zumal sie meist auch einen Personenbezug aufweisen und so zu personenbezogenen Daten werden) bestmöglich zu schützen! 8