S E C H Z E H N T E R T Ä T I G K E I T S B E R I C H T

S E C H Z E H N T E R T Ä T I G K E I T S B E R I C H T des Datenschutzbeauftragten des ZDF für die Jahre 2006 und 2007 z Dem Verwaltungsrat vorgelegt gem. 18 Abs. 7 des ZDF-Staatsvertrages

I Inhaltsverzeichnis Seite I. Zusammenfassung der wesentlichen Ereignisse 1 und Ergebnisse des Berichtszeitraums II. Datenschutz im ZDF - Stellung und Aufgaben des ZDF-Datenschutzbeauftragten 1. Rechtsgrundlagen der Tätigkeit des ZDF- Datenschutzbeauftragten 3 2. Personelle und praktische Gegebenheiten 5 III. Entwicklung des Datenschutzrechts 1. Europarecht 1.1. Datenschutz in der Europäischen Verfassung 7 1.2. Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15.03.2006 zur Vorratsdatenspeicherung 8 1.3. Vertrag über die grenzüberschreitende polizeiliche Zusammenarbeit vom 27.05.2005 (Vertrag von Prüm) 8 1.4. Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das US-Department of Homeland Security (PNR-Abkommen) 9 1.5. EG-Verordnung über die Überwachung von Barmitteln, die in die Gemeinschaft oder aus der Gemeinschaft verbracht werden vom 25.11.2005, 1889/2005 (EG) 10

II 2. Nationales Recht 2.1. Änderung des Bundesdatenschutzgesetzes 10 2.2. Telemediengesetz 12 2.3. Neunter Rundfunkänderungsstaatsvertrag 12 2.4. Terrorismusbekämpfungsergänzungsgesetz 13 2.5. Telekommunikationsüberwachungsgesetz 14 3. Rechtsprechung 3.1. Europäischer Gerichtshof, Urteil vom 30.05.2006 Az.: C-317/04 und C-318/04 (PNR-Abkommen) 15 3.2. Bundesverfassungsgericht, Urteil vom 02.03.2006 Az.: 2 BvR 2099/04 (Wohnungsdurchsuchung) 16 3.3. Bundesverfassungsgericht, Beschluss vom 04.04.2006 Az.: 1 BvR 518/02 (Rasterfahndung) 16 3.4. Bundesverfassungsgericht, Beschluss vom 23.02.2007 Az.: 1 BvR 2368/06 (Videoüberwachung) 17 3.5. Bundesgerichtshof, Beschluss vom 26.10.2006 Az.: III ZR 40/06 (IP-Adressen) 18 3.6. Bundesgerichtshof, Beschluss vom 31.01.2007 Az.: StB 18/06 (Online-Durchsuchung) 19 3.7. Bundesarbeitsgericht, Urteil vom 13.03.2007 Az.: 9 AZR 612/05 (Datenschutzbeauftragter) 20

III IV. Datenschutz im ZDF 1. Datenschutz beim IT-Einsatz 1.1. Umsetzung der Administratorenrichtlinie 21 1.2. Projektmanagement-Richtlinie 21 1.3. Organisationsanordnung IT-Sicherheitsbeauftragter 22 1.4. Verwaltungsanordnung "Nutzung der IT-Endgeräte im ZDF" 23 1.5. Abhandengekommene DV-Hardware 24 1.6. Viren-Scan-Stationen 25 1.7. Datenschutzaspekte bei Outsourcing-Überlegungen 26 1.8. ZDF-Smartcard 28 1.9. Multiuser 29 1.10. Internettelefonie (VoIP) im ZDF 30 1.11. DV-Verfahren Vertragspartnermanagement 31 1.12. Elektronisches Produktionsprotokoll für Auftragsproduzenten (epp) 31 1.13. Änderung des Fragebogens zu den Besucherführungen 32 1.14. Datenschutzkonformer Umgang mit den Papierabfällen 33 1.15. DV-System der ZDF-Pensionskasse 34 1.16. Bargeldloses Bezahlsystem im Casino des Hauptstadtstudios Berlin 35 1.17. Fuhrparkmanagementsystem 35 1.18. Software "Schließmanagement / Schlüsselverwaltung" 36

IV 2. Datenschutz im Personalbereich 2.1. Dienstvereinbarung über die Nutzung von Internet, Intranet und E-Mail 37 2.2. Datenerhebung bei privaten Reisebuchungen 38 2.3. DV-System der ZDF-Pensionskasse 39 2.4. Betriebliches Eingliederungsmanagement 40 2.5. Webcam-Bilder im Intranetangebot 41 2.6. Tarifvertrag Telearbeit 42 2.7. Elektronisches Zutrittskontroll- und Zeiterfassungssystem bei der ZDF-Casino GmbH 43 2.8. Abrechnung privater Telefonate über dienstl. Fernsprecheinrichtungen / Aufbewahrungen für Einzelverbindungsnachweise 43 2.9. Reisekostenabrechnung ORKA / Datenschutz bei SAP 45 2.10. Verwaltung der sog. "Selbstfahrgenehmigungen" 46 2.11. Bewerbermanagementsystem Persis 46 2.12. Crystal Reports - Auswertungen für den Betriebsarzt? 47 2.13. Einsatz des sog. Twin-Bill-Verfahrens bei ZDF-Diensthandys 48 2.14. ZDF-Sicherheitskonzeption 48 2.15. Datenschutz bei der Beihilfeabrechnung 50 2.16. Videoüberwachung im ZDF 52 2.17. Fehler beim Einsatz der Videoüberwachung im Sendezentrum 2 55

V 2.18. Verkehrs- und Parkordnung für das Sendezentrum Mainz 56 2.19. Rahmenvertrag über die Vermittlung und Erbringung von Reisedienstleistungen für ZDF und ARD 56 2.20. Firmenkundenidentifizierung (FKI) der Deutschen Bahn 56 2.21. Gebot der Datenminimierung gilt auch bei Personalakten 57 2.22. Datenaustausch über Gehalts- und Urlaubsansprüche freier Mitarbeiter zwischen dem ZDF und ARD-Anstalten 58 3. Datenschutz im Fernseh- und Onlineangebot 3.1. Geburts- und Interviewdaten von Zeitzeugen 59 3.2. Tipp-Spiel zur Fußball-Weltmeisterschaft 2006 59 3.3. Gewinnspiel im Rahmen des ZDF-Fernsehgarten 60 3.4. Datenschutzfragen bei der Berichterstattung über den G8-Gipfel in Heiligendamm 61 3.5. Webcam im Sony Center Berlin 61 3.6. Personendatenbank VIP-Office im Redaktionseinsatz 62 3.7. Mailing der Deutschen Krebshilfe zu einem gemeinsam mit dem ZDF unternommenen Spendenaufruf 63 3.8. Zuschauerumfrage der WISO-Redaktion zur "Haushaltskasse" 63 3.9. Datenschutz bei "Wetten, dass?" 64 3.10. Fehlerhafter Verteiler beim Versand eines Newsletters 64 3.11. Datenschutz bei der E-Mail-Korrespondenz mit den Zuschauern 65 3.12. Verwendung von im Rahmen von TV-Gewinnspielen erhaltenen Adressdaten 65

VI 3.13. Internet-Nutzungsforschung 65 3.14. Staatlicher Datenschutz für das ZDF-Programm? 67 3.15. Datenschutz bei tivi.de 68 3.16. Datenschutz beim ARD/ZDF-Kinderkanal KiKa 69 V. Datenschutz beim Rundfunkgebühreneinzug 71 VI. Vortragstätigkeit und Fortbildung 1. Schulungen im "Datenschutz am Arbeitsplatz" 73 2. Schulungen im Redaktionsdatenschutz 73 VII. Zusammenarbeit mit anderen Datenschutzinstanzen 1. Arbeitskreis der Datenschutzbeauftragten von ARD und ZDF, Deutschlandradio und Deutsche Welle (AK DSB) 75 2. Landesbeauftragter für den Datenschutz Rheinland-Pfalz 77 3. Vertretung des AK DSB in der Europäischen Datenschutzgruppe nach Artikel 29 EG-Datenschutzrichtlinie 79 4. Deutscher Presserat 79

VII Anhänge: Anhang 1: 16-18 Staatsvertrag über das ZDF (ZDF-Staatsvertrag) vom 31. August 1991, in der Fassung des 10. Rundfunkänderungsstaatsvertrags, in Kraft seit 01. September 2008 81 Anhang 2: Liste der Datenschutzbeauftragten von ARD, ZDF, Deutsche Welle, Deutschlandradio, Arte Deutschland und GEZ 84 Anhang 3: Verfahrenskodex der Rundfunkbeauftragten für den Datenschutz 85 Anhang 4: Glossar 88

1 I. Zusammenfassung der wesentlichen Ereignisse und Ergebnisse des Berichtszeitraums 1. Die unmittelbaren Rechtsgrundlagen für die Tätigkeit des ZDF- Datenschutzbeauftragten sowie die personellen Gegebenheiten haben sich im Berichtszeitraum im Wesentlichen nicht verändert. Die Verfassungsrechtsprechung hat wie bereits in den Vorjahren das Recht auf informationelle Selbstbestimmung weiter konkretisiert und anhand der zur Entscheidung stehenden Einzelfälle gestärkt. Gleichzeitig haben die durch den Gesetzgeber ausgeweiteten Möglichkeiten, personenbezogene Daten zu polizeilich-präventiven Zwecken zu erheben und zu speichern, das Grundrecht auf Datenschutz mit dem Argument der Sicherheitserfordernisse in bislang nicht gekanntem Ausmaße eingeschränkt. Das hat in der Gesamtheit gravierende Auswirkungen auch auf die journalistische Tätigkeit und besonders den Quellen- und Informantenschutz. Den staatlichen Stellen werden die im Zuge einer Kontaktaufnahme und des Informationsaustausches mit einem Informanten anfallenden Telekommunikations- und Bewegungsdaten schon aufgrund der bereits bislang bestehenden Vorschriften, besonders aber durch die jetzigen Neuregelungen in einer immer größeren Zahl von Fällen und in immer größerem Umfang zugänglich. Damit kann der Informantenschutz den Betroffenen kaum noch garantiert werden. 2. Auch im jetzigen Berichtszeitraum hat die Zahl der Beschwerden und Eingaben abermals zugenommen. Förmliche Beanstandungen aufgrund von Verstößen gegen den Datenschutz mussten jedoch in Anwendung des 18 Abs. 5 ZDF-Staatsvertrag nicht ausgesprochen werden, da die Vorfälle entweder von geringerer Bedeutung waren oder die Mängel unverzüglich behoben wurden. 3. Die Erarbeitung und begonnene Umsetzung einer Sicherheitskonzeption durch den Betriebsschutz des ZDF ist aus Sicht des Datenschutzes zu begrüßen. So zählt etwa eine effektive Zutrittskontrolle zu den Datenverarbeitungseinrichtungen (d.h. letztlich auch den einzelnen Arbeitsplatzrechnern) zu den vorrangigen Bausteinen der sog. "technisch-organisatorischen Maßnahmen" für die Gewährleistung des Datenschutzes. Allerdings ist zu beobachten, dass es - etwa bei den Forderungen nach Videoüberwachung oder Aufzeichnung von Bewegungsdaten - den Verantwortlichen mitunter an der nötigen Sensibilität für die Beachtung des (Mitarbeiter-)Datenschutzes fehlt. Man kann sogar den Eindruck gewinnen, dass der auf hoher Ebene geführte politische Kampf zwischen den Sicherheits- und Datenschutzinteressen hier - in kleinteiligster Form - nachgebildet werden soll. Für eine derartige "sicherheitspolitische Positionsbestimmung" besteht im ZDF jedoch weder der Anlass

2 noch - bei Betrachtung der rechtlichen Ausgangslage - der nötige Spielraum: Von der Sendeanstalt durchgeführte Überwachungsmaßnahmen müssen sich an der geltenden Rechtslage ausrichten und die Rechte der Betroffenen uneingeschränkt achten. 4. Auffällig ist die steigende Zahl der Fälle, in denen das Online- Angebot bzw. generell die Nutzung des Internets (durch Mitarbeiter des ZDF oder durch Dritte) zum Anlass für eine Befassung des Datenschutzbeauftragten wird. Auch wenn keine besonders gravierenden Vorfälle zu vermelden sind, ist schon heute abzusehen, dass sich hieraus ein neuer, weiterer Schwerpunkt für die datenschutzrechtliche Beratung und Kontrolle entwickelt. Ich habe entschieden, der Betreuung der hierfür verantwortlichen Fachbereiche, etwa der HR Neue Medien oder der Abteilung Medienforschung, künftig noch mehr Aufmerksamkeit (und Zeit) zu widmen. Der in der gesetzlichen Ausgestaltung nur als Randthema behandelte Redaktionsdatenschutz gewinnt zunehmend an Bedeutung. 5. Bei der Datenverarbeitung im engeren Sinne waren es die Outsourcing-Überlegungen, die im Berichtszeitraum - bei ohnehin allgemein steigenden Fallzahlen - dem Datenschutzbeauftragten einen nicht unerheblichen Arbeitsaufwand in Form von Beratungstätigkeit beschert haben. Festzuhalten ist, dass ein Outsourcen der Datenverarbeitung nach den hierbei zu beachtenden datenschutzrechtlichen Vorschriften in sehr weitem Maße zulässig ist. Die dadurch entstehende "Auftragsdatenverarbeitung" muss sich allerdings an rechtlichen Anforderungen orientieren, die in dieser Form an eine hausinterne Datenverarbeitung wegen der einfacheren Weisungs- und Kontrollmöglichkeiten nicht gestellt werden. Ich werde weiter an die Verantwortlichen appellieren, den Aufwand für eine datenschutzkonforme Umsetzung etwaiger Outsourcing-Entscheidungen nicht zu unterschätzen, sondern in die unternehmensstrategischen Überlegungen ebenso einzubeziehen wie in die Betrachtung der Kosten. 7. Die Fortschritte, die das ZDF nach den in die früheren Berichtszeiträume zurückreichenden Anfängen im Bereich der IT-Sicherheit inzwischen erzielt hat, bewerte ich als sehr beträchtlich. Die für den von der IT-Sicherheit abhängigen Datenschutz wichtigen Erfolge beruhen auf den Bemühungen aller Beteiligten, besonders denen des Produktionsdirektors und seiner Mitarbeiter. Sie sind aber auch in weiten Teilen einem Einzelnen, nämlich dem IT-Sicherheitsbeauftragten des ZDF, geschuldet. Allerdings steigen auch die technisch bedingten Risiken weiter an, so dass die Anstrengungen fortgesetzt und intensiviert werden müssen. Nach meiner Prognose wird dies ohne einen zunehmenden personellen und finanziellen Aufwand nicht gelingen.

3 II. Datenschutz im ZDF - Stellung und Aufgaben des ZDF-Datenschutzbeauftragten 1. Rechtsgrundlagen der Tätigkeit des ZDF-Datenschutzbeauftragten Die Rechtsgrundlagen für die Tätigkeit des Datenschutzbeauftragten des ZDF haben sich im Berichtszeitraum nicht wesentlich verändert. Die am 01.03.2007 in Kraft getretene Änderung des Landesdatenschutzgesetzes Rheinland-Pfalz (1. Landesgesetz zur Änderung des Landesdatenschutzgesetzes vom 13.02.2007, GVBl. S. 41) betrifft die Rechtsstellung des Landesdatenschutzbeauftragten von Rheinland- Pfalz (insbesondere die nunmehr eingeführte Dienstaufsicht des Präsidenten des Landtages) und hat für den Datenschutzbeauftragten des ZDF, dessen Rechtsstellung gesondert im ZDF-Staatsvertrag geregelt ist, keine Bedeutung. Der ZDF-Datenschutzbeauftragte wird auf der Grundlage des 18 Abs. 1 des Staatsvertrages über das Zweite Deutsche Fernsehen (ZDF-Staatsvertrag) tätig. Danach tritt der Datenschutzbeauftragte des ZDF an die Stelle des Landesbeauftragten für den Datenschutz und nimmt dessen Aufgaben und Rechte gemäß dem auf das ZDF in 16 ZDF-Staatsvertrag für den Datenschutz festgeschriebenen "Sitzlandprinzip" anzuwendenden Landesdatenschutzgesetz Rheinland- Pfalz (LDSG RP) wahr. Seine Aufgabe besteht nach 18 Abs. 3 ZDF- Staatsvertrag in der Überwachung der Einhaltung der Datenschutzvorschriften des ZDF-Staatsvertrages, des Landesgesetzes zum Schutze des Bürgers bei der Verarbeitung personenbezogener Daten des Landes Rheinland-Pfalz und sämtlicher anderer Vorschriften über den Datenschutz. Nach 18 Abs. 4 ZDF-Staatsvertrag unterrichtet er über das Ergebnis der Überwachung den Intendanten und kann Vorschläge zur Verbesserung des Datenschutzes damit verbinden.

4 Die dem ZDF-Datenschutzbeauftragten vom Gesetz zugewiesene Überwachungsaufgabe erstreckt sich gemäß 18 Abs. 3 Satz 1 ZDF- Staatsvertrag auf den "Datenschutz bei der gesamten Tätigkeit des ZDF". Daraus ergibt sich eine Zuständigkeit nicht nur für die Sendeanstalt selbst, sondern darüber hinaus auch für die vom ZDF gemeinschaftlich mit den Landesrundfunkanstalten der ARD unterhaltenen Einrichtungen ohne eigene Rechtspersönlichkeit wie die Gebühreneinzugszentrale GEZ (dazu unten Ziffer V.) und die Partnerprogramme Kinderkanal, Phoenix, 3sat. Einbezogen sind nach 2 Abs. 1 Satz 2 Landesdatenschutzgesetz Rheinland-Pfalz auch die privatwirtschaftlichen Tochterunternehmen des ZDF wie die ZDF-Casino GmbH oder die ZDF-Enterprises GmbH. Um die nötigen Informationen und Erkenntnisse für seine Tätigkeit zu erlangen, ist dem Datenschutzbeauftragten des ZDF - ein Auskunfts- und Einsichtsrecht in alle Unterlagen, namentlich in die gespeicherten Daten und die Datenverarbeitungsprogramme eingeräumt, sowie - ein jederzeit zu gewährendes Zutrittsrecht zu allen Diensträumen ( 18 Abs. 3 ZDF-Staatsvertrag). Gesetzliche Geheimhaltungsvorschriften können einem Aufsichts- oder Einsichtsverlangen des ZDF-Datenschutzbeauftragten nicht entgegengehalten werden ( 18 Abs. 3, letzter Satz, ZDF-Staatsvertrag). Im Falle festgestellter Verstöße gegen den Datenschutz oder sonstiger Mängel bei der Verarbeitung personenbezogener Daten stehen dem Datenschutzbeauftragten des ZDF verschiedene Möglichkeiten zu: Bei einem Vorgang mit seines Erachtens geringerer Bedeutung oder in denjenigen Fällen, in denen die Behebung der Mängel sichergestellt ist, kann der Datenschutzbeauftragte auf eine Beanstandung oder auf eine förmliche Stellungnahme des ZDF verzichten ( 18 Abs. 5 Satz 3 ZDF-Staatsvertrag). Der Datenschutzbeauftragte kann aber nach seinem Ermessen alternativ hierzu die von ihm festgestellten Verstöße oder Mängel gegenüber dem Intendanten beanstanden und binnen einer angemessenen Frist eine Stellungnahme anfordern. Gleichzeitig unterrichtet er hierüber den Verwaltungsrat ( 18 Abs. 5

5 Satz 1 und 2 ZDF-Staatsvertrag). Gemäß 18 Abs. 6 Satz 1 ZDF- Staatsvertrag soll die angeforderte Stellungnahme auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung getroffen worden sind. Dem Verwaltungsrat ist eine Abschrift dieser Stellungnahme zuzuleiten. 18 Abs. 8 ZDF-Staatsvertrag schreibt ein Jedermannsrecht fest, sich an den Datenschutzbeauftragten des ZDF zu wenden. Voraussetzung ist lediglich die - subjektive - Annahme, bei der Verarbeitung der eigenen personenbezogenen Daten durch das ZDF in schutzwürdigen Belangen verletzt zu sein. Gemäß 18 Abs. 7 ZDF-Staatsvertrag erstattet der Datenschutzbeauftragte dem Verwaltungsrat des ZDF alle zwei Jahre einen Bericht über seine Tätigkeit. Dieser Verpflichtung wird mit dem hier vorgelegten Bericht für die Kalenderjahre 2006 und 2007 entsprochen. Seit dem 14. Tätigkeitsbericht publiziert der Datenschutzbeauftragte des ZDF seinen Bericht als Bestandteil des Onlineangebots des ZDF im Internet, um insbesondere dem Erfordernis des Art. 28 Abs. 5 EG- Datenschutzrichtlinie zu entsprechen, der eine Veröffentlichung vorschreibt. Der Datenschutzbeauftragte des ZDF ist eine datenschutzrechtliche Kontrollstelle im Sinne von Art. 28 der EG-Datenschutzrichtlinie. 2. Personelle und praktische Gegebenheiten Der Verwaltungsrat des ZDF hat mich in seiner Sitzung am 09. November 2007 gemäß 18 Absatz 1 ZDF-Staatsvertrag auf Vorschlag des Intendanten erneut für vier Jahre zum Datenschutzbeauftragten des ZDF bestellt. Diese dritte Amtszeit hat am 01.01.2008 begonnen und endet am 31.12.2011. Wie bereits in den Vorjahren lag der Schwerpunkt der Tätigkeit des ZDF-Datenschutzbeauftragten auch im Berichtszeitraum eindeutig in

6 der Beratung und Vorabkontrolle im Zuge der im ZDF geleisteten DV- Projektarbeit (also der Planung, Entwicklung, Umsetzung und Einführung datenverarbeitungstechnischer Systeme). Daneben stellten allerdings auch datenschutzrechtliche Einzelfallprüfungen sowohl des DV-Einsatzes als auch der nicht DV-basierten Datenverarbeitung, die Kontrolle der Datensicherheit sowie die Bearbeitung von Anfragen und Beschwerden wesentliche Teile der Tätigkeit dar. Hinzuzurechnen sind die vom Datenschutzbeauftragten im Berichtszeitraum durchgeführten Schulungen und Informationsveranstaltungen zum Datenschutz. Gestiegen ist auch der zeitliche und fachliche Aufwand für die Datenschutzkontrolle von Einrichtungen außerhalb des ZDF (GEZ, Partnerkanäle, generell der mit der Auftragsdatenverarbeitung für das ZDF betrauten Unternehmen). Zeit beanspruchte zudem die Mitarbeit und Zusammenarbeit mit Institutionen des Datenschutzes (Arbeitskreis der Rundfunkbeauftragten für den Datenschutz, Kontakte und Treffen mit einzelnen Landesbeauftragten für den Datenschutz, Zusammenarbeit mit dem Deutschen Presserat). Die im vorangegangenen Berichtszeitraum aufgenommene Zusammenarbeit mit dem erstmals im Jahr 2004 berufenen IT- Sicherheitsbeauftragten des ZDF hat sich kontinuierlich fortentwickelt. Als besonders erfreulich betrachte ich es, dass der Übergang des Amtes von Herrn Uwe Metzroth auf seinen Nachfolger, Herrn Claus Bayer, in keiner Weise eine Unterbrechung oder gar Schwächung der Bemühungen um eine Verbesserung der IT-Sicherheit im ZDF zur Folge hatte. Herr Bayer, der zuvor ähnliche Aufgaben beim Hessischen Rundfunk wahrgenommen hat, füllt von Beginn an das Amt des IT-Sicherheitsbeauftragten mit großer Fachkunde und - fast noch wichtiger - ebensolchem Überzeugungsvermögen aus. Seine Empfehlungen an die Geschäftsleitung des ZDF und besonders an die mit der Datenverarbeitung befassten Fachbereiche stoßen auf große Akzeptanz. Die ihm als ausdrückliche Verpflichtung aufgegebene Kooperation mit dem Datenschutzbeauftragten des ZDF erweist sich als eine beachtliche Unterstützung meiner gesetzlichen Aufgabe, für den Schutz der personenbezogenen Daten u.a. auch durch geeignete technisch-organisatorische Maßnahmen Sorge zu tragen.

7 Die intensive Beratung der DV-Projekte des ZDF zwischen dem Datenschutzbeauftragten und dem IT-Sicherheitsbeauftragten hat dazu beigetragen, dass in der Vergangenheit festgestellte Versäumnisse im Bereich der IT-Sicherheit in großen Teilen bereits behoben sind und insgesamt die Sicherheit der Datenverarbeitung im ZDF ein qualitativ nachweisbar höheres Niveau erreicht hat. Da die Abstimmung mit dem IT-Sicherheitsbeauftragten einen eigenen, bei der großen Vielzahl von DV-Projekten nicht unerheblichen Zeitaufwand mit sich bringt, hat auch dies Anteil daran, dass die zeitliche Belastung durch das "Nebenamt" des ZDF-Datenschutzbeauftragten weiter zugenommen hat (vgl. hierzu auch 15. Tätigkeitsbericht, Seite 7 f.). Allerdings habe ich auch im jetzigen Berichtszeitraum wieder vielfältige Unterstützung bei meiner Tätigkeit durch die Personalräte des ZDF, den Leiter der Hauptabteilung Personal und seine Mitarbeiterinnen und Mitarbeiter sowie den Justitiar erfahren. Die auch im jetzigen Berichtszeitraum sehr effektive und erfreuliche Zusammenarbeit mit diesen und vielen anderen Stellen des Hauses hat es erst ermöglicht, die Aufgaben des ZDF-Datenschutzbeauftragten erfolgreich wahrzunehmen. III. Entwicklung des Datenschutzrechts 1. Europarecht 1.1. Datenschutz in der Europäischen Verfassung Meine aus persönlichen Erfahrungen in der mehr als 10jährigen Betreuung des Europarechts im ZDF-Justitiariat nicht ganz ohne Sachkunde gewagte Prognose, dass der Zeitpunkt des in Kraft Tretens der EU-Verfassung nach den gescheiterten Referenden in Frankreich und den Niederlande nicht abzusehen ist, hat sich - leider - bewahrheitet. Ich betrachte es im Hinblick auf die faktisch weit fortgeschrittene Verlagerung von datenschutzpolitischen Grundsatzentscheidungen (etwa zur Vorratsdatenspeicherung, siehe unten) auf die

8 europäische Ebene als nachteilig, dass die mit der EU-Verfassung beabsichtigte Verankerung des Anspruchs auf Schutz der personenbezogenen Daten (Art. I - 51 des Entwurfs der EU-Verfassung) weiterhin und ohne ein ersichtliches Datum aussteht. 1.2. Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15.03.2006 zur Vorratsdatenspeicherung Mit der im Berichtszeitraum in Kraft getretenen (vgl. bereits 15. Tätigkeitsbericht, Ziff. III. 1.2.) werden die Regelungen der Mitgliedstaaten zu den Pflichten von Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste für eine Vorratsspeicherung bestimmter Daten, die von ihnen erzeugt oder verarbeitet werden, harmonisiert. Ziel ist es, sicher zu stellen, dass die Daten für die Ermittlung, Feststellung und Verfolgung von schweren Straftaten (was hierunter zu verstehen ist, bleibt jedem Mitgliedstaat zur Regelung im nationalen Recht überlassen) zur Verfügung stehen. Die dem Mitgliedstaat erteilte Vorgabe lautet, dass die in Art. 5 der EG-Richtlinie konkret angegebenen Datenkategorien für einen Zeitraum von mindestens 6 Monaten und höchstens 2 Jahren ab dem Zeitpunkt der Kommunikation unabhängig von einem konkreten Anlass hierzu gespeichert werden. Zu den Einzelheiten der in Datenschutzkreisen fast einhellig geäußerten Kritik an der konkreten Ausgestaltung der Richtlinie darf ich auf den 15. Tätigkeitsbericht, Seite 10 f. verweisen. 1.3. Vertrag über die grenzüberschreitende polizeiliche Zusammenarbeit vom 27.05.2005 (Vertrag von Prüm) Sieben europäische Staaten haben am 27.05.2005 ein zwischenstaatliches Abkommen geschlossen, dass der grenzüberschreitenden Zusammenarbeit der Vertragsparteien bei der Bekämpfung des Terrorismus, der grenzüberschreitenden Kriminalität und der illegalen Migration dienen soll. Geregelt werden gegenseitige Online-Zugriffsberechtigungen auf Datenbanken mit DNA-Profilen, Kraftfahrzeugdaten, Kraftfahrzeughalterdaten, Fingerabdrücken und ggf. weiteren Daten

9 über Identitäts-, Aufenthalts- und Wohnsitzfeststellungen oder zur Telekommunikation. Mit der Regelung zur präventiven Übermittlung von personenbezogenen Daten bei Großveranstaltungen mit grenzüberschreitendem Bezug erfasst das Abkommen auch die Daten von Journalisten, etwa bei Veranstaltungen der Europäischen Ratspräsidentschaft oder bei G8-Gipfeln. Der Vertrag erwähnt zwar die gegenseitige Pflicht zur Einhaltung eines einheitlichen Mindeststandards im Datenschutz oder zur Zweckbindung der übermittelten Daten, enthält aber selbst keinerlei konkrete Datenschutzbestimmungen. Die Forderung aus dem Kreise der Datenschutzbeauftragten der Mitgliedstaaten, datenschutzrechtliche Ergänzungen in das Abkommen aufzunehmen, wurde nicht berücksichtigt. 1.4. Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das US-Department of Homeland Security (PNR-Abkommen) Nachdem mit Urteil vom 30.05.2006 der Europäische Gerichtshof die bis dahin geltende Vereinbarung (aus formellen Gründen) für rechtswidrig erklärt hatte, ist mit dem jetzigen Übereinkommen vom 26.07.2007 eine neue rechtliche Grundlage geschaffen. Das Abkommen wird in Datenschutzkreisen weiter kritisiert, da zum einen unter der Vielzahl zu übermittelnder Daten auch "sensitive" wie etwa die Religionszugehörigkeit zu finden sind, vor allem aber Festlegungen fehlen, welche Behörden für welche Zwecke auf die Daten zugreifen dürfen. Die geforderte strikte Begrenzung auf Ziele der Terrorismusbekämpfung wurde von Seiten der Vereinigten Staaten nicht akzeptiert, obgleich die Speicherdauer von 15 Jahren den Verdacht offen lässt, dass ein Missbrauch des Datenbestandes nicht ausgeschlossen werden kann. Selbstverständlich sind auch die Reiseaktivitäten von Journalisten auf Grund dieses Abkommens über lange Zeit nachvollziehbar. Da davon ausgegangen werden muss, dass die Daten von einer Vielzahl von

10 Behörden oder anderen Stellen ausgewertet und mit anderen Daten verknüpft werden, ist die darin liegende Gefahr für den unverzichtbaren Informanten- und Quellenschutz nicht zu übersehen. 1.5. EG-Verordnung über die Überwachung von Barmitteln, die in die Gemeinschaft oder aus der Gemeinschaft verbracht werden vom 25.11.2005, 1889/2005 (EG) Am 15.09.2007 in Kraft getreten ist die als unmittelbares nationales Recht wirkende Europäische Verordnung über die Überwachung von Barmitteln. Hiernach sind alle Personen, die in die EU einreisen oder ausreisen und dabei Barmittel in Höhe von 10.000 oder mehr mit sich führen, verpflichtet, hierüber eine selbstständige schriftliche Anzeige zu machen. Benannt werden müssen Eigentümer und Empfänger des Geldes, dessen Herkunft, die Identitätsdaten des Anmelders, aber auch der Verwendungszweck des Geldes sowie Reiseweg und Verkehrsmittel. Die Regelung hat insofern Bezug zur journalistischen Tätigkeit, als eine Ausnahme hierfür nicht vorgesehen ist und somit auch der Geldeinsatz für Reportagezwecke von staatlicher Seite erfasst und in Dateien gespeichert wird. Im Einzelfall sind somit Angaben notwendig, die nach geltendem nationalen Recht nicht einmal im Zuge eines Gerichtsverfahrens einem unabhängigem Richter offenbart werden müssen, da sie Gegenstand des journalistischen Zeugnisverweigerungsrechts nach den Vorschriften der Strafprozessordnung und der Zivilprozessordnung sind. 2. Nationales Recht 2.1. Änderung des Bundesdatenschutzgesetzes Das Bundesdatenschutzgesetz (BDSG) wurde durch das "erste Gesetz zum Abbau bürokratischer Hemmnisse insbesondere der mittelständischen Wirtschaft" vom 22.08.2006 (BGBl. I. S. 1790) geändert. Festgelegt wurde u. a. in 4 f Abs. 2 BDSG, dass sich das Maß der erforderlichen Fachkunde betrieblicher Datenschutzbeauftragten nach

11 dem Umfang der Datenverarbeitung des Unternehmens und dem Schutzbedarf der Daten bestimmt. Die Erstellung von den Anforderung der Praxis genügenden Mindeststandards, die an den Erwerb der angemessenen Fachkunde anzulegen sind, ist allerdings bislang nicht erfolgt. Ausdrücklich entschieden wurde, dass auch Berufsgeheimnisträger wie Ärzte, Apotheker, Rechtsanwälte und Steuerberater die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten trifft. Dies war von den jeweiligen Standesorganisationen in der Vergangenheit zum Teil bestritten worden. Als Bürokratieabbau bezeichnet wurde das Heraufsetzen des sogenannten "Beschäftigten- Schwellenwertes", nach dem nunmehr mindestens 10 Personen eines Betriebes ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sein müssen, um die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten zu begründen. Diese Regelung ist umstritten, da durch die moderne Datenverarbeitungstechnik ein besonderer datenschutzrechtlicher Kontroll- und Beratungsbedarf wegen entsprechend großer und/oder problematischer Datenmengen auch durchaus bei einer geringen Personenanzahl in einem Unternehmen damit befasster Beschäftigter anfallen kann. Für die Arbeit der Datenschutzbeauftragten der Rundfunkanstalten sind diese Änderungen, die ausschließlich betriebliche Datenschutzbeauftragte sowie die behördlichen Datenschutzbeauftragten des Bundes betreffen, von keiner praktischen Relevanz. Zu bedauern bleibt, dass auch die jetzige Änderung des Bundesdatenschutzgesetzes nicht als Anlass für eine nachhaltige Novellierung des datenschutzrechtlichen Vorschriftenkatalogs genutzt wurde. Die Modernisierung des Datenschutzrechtes steht somit weiterhin aus, obgleich sowohl die Europäische Kommission als auch der Bundesdatenschutzbeauftragte hieran zu Recht erinnert haben (Mitteilung der Kommission an das Europäische Parlament und den Rat über die Verbesserung des Datenschutzes durch Technologien zum Schutz der Privatsphäre vom Mai 2007, KOM (2007) 228 endg.; Bundesbeauftragter für den Datenschutz, 10 Thesen für eine datenschutzfreundliche Informationstechnik, veröffentlicht unter: www.bfdi. bund.de).

12 2.2. Telemediengesetz Das zum 01.03.2007 in Kraft getretene Telemediengesetz (BGBl. I 2007, 179) hat zusammen mit dem gleichzeitig in Kraft getretenen Neunten Rundfunkänderungsstaatsvertrag den bisherigen Mediendienste-Staatsvertrag, das Teledienstegesetz und das Teledienstedatenschutzgesetz ersetzt. Als besonderer Vorteil wird das Entfallen der komplizierten Abgrenzung von Tele- und Mediendiensten betrachtet. Ob tatsächlich der Rechtsrahmen hierdurch vereinfacht wurde, kann insofern bezweifelt werden, als die bisher für die Teledienste und Mediendienste jeweils getroffenen Vorgaben im Wesentlichen aus den abgelösten Gesetzen in das Telemediengesetz übernommen wurden. Dies betrifft etwa die Informationspflicht, die Haftungsfragen und die datenschutzrechtlichen Verpflichtungen der Anbieter von Telemedien. Es trifft zu, dass damit inhaltlich ein übergreifendes und einheitliches Datenschutzkonzept für Rundfunk und Telemedien geschaffen wurde, wobei allerdings die Diensteanbieter ergänzend eine Pflicht zur Herausgabe von Bestandsdaten nicht nur wie bislang zu Zwecken der Strafverfolgung trifft. Die Herausgabepflicht kann nunmehr auch zur Gefahrenabwehr, für nachrichtendienstliche Zwecke sowie ggf. zur Durchsetzung privatrechtlicher (Copyright)Ansprüche geltend gemacht werden. Zu begrüßen ist, dass die Regelung gegen den Versand von Massenmails ("Spam") nunmehr durch einen entsprechenden Bußgeldtatbestand unterstützt wird. 2.3. Neunter Rundfunkänderungsstaatsvertrag Der wie das Telemediengesetz zum 01.03.2007 in Kraft getretene Rundfunkänderungsstaatsvertrag hat dem Rundfunk-Staatsvertrag die Überschrift "Staatsvertrag für Rundfunk und Telemedien" eingebracht, da in einem neuen Abschnitt ( 54 ff.) die bisherigen Regelungen des aufgehobenen Mediendienste-Staatsvertrages übernommen wurden und gleichzeitig ein Verweis auf das Telemediengesetz des Bundes erfolgt. Entgegen den Forderungen der Rundfunkbeauftragten für den Datenschutz hat sich der Gesetzgeber nicht entschließen können, in

13 die Regelung zur datenschutzrechtlichen Aufsicht über die Telemedienangebote der öffentlich-rechtlichen Rundfunkanstalten eine Klarstellung aufzunehmen. Es bedarf daher angesichts des insofern vagen Wortlautes der Gesetzesinterpretation, derzufolge der Bundesbeauftragte wie auch die Landesbeauftragten für den Datenschutz nur Zuständigkeiten für diejenigen Medien innehaben, die von öffentlichen Stellen des Bundes oder der Länder (außerhalb der öffentlichrechtlichen Rundfunkanstalten, aber auch etwa der Kirchen) verantwortet werden (so auch die Rechtsauffassung des Landesbeauftragten für den Datenschutz Rheinland-Pfalz, 21. Tätigkeitsbericht, Ziffer 20.3). 2.4. Terrorismusbekämpfungsergänzungsgesetz Der Bundestag hat mit dem Terrorismusbekämpfungsergänzungsgesetz vom 05.01.2007 (BGBl. I 2007, S. 2) die seit dem Jahre 2002 auf fünf Jahre befristet eingeführten Regelungen fortgeschrieben und darüber hinaus weitere Erleichterungen für die Datenerhebung und Datenspeicherung beschlossen. Auch die Voraussetzungen, unter denen in grundrechtlich geschützte Positionen betroffener Bürger eingegriffen werden darf, wurden erleichtert. Zudem wurde die Aufgabenstellung auf schwere Straftaten - neben der Bekämpfung des Terrorismus - ausgeweitet. Die bislang nur den Strafverfolgungsbehörden zur Strafverfolgung zugestandene heimliche Videoüberwachung kann nunmehr auch durch den Verfassungsschutz, den Bundesnachrichtendienst und den militärischen Abschirmdienst sowie den Zoll zur Aufgabenerfüllung eingesetzt werden. Da die Überwachungsmaßnahmen auch gegenüber Kontaktpersonen der als Straftäter beobachteten Menschen greifen, kann nicht ausgeschlossen werden, dass auch Journalisten im Rahmen ihrer Tätigkeit zum Gegenstand einer derartigen Videoüberwachung werden. Eine Ausnahmeregelung, dass derartige Überwachungen dann, wenn hierdurch der verfassungsrechtlich geschützte Informantenschutz ausgehebelt wird, zu unterbleiben haben, existiert nicht.

14 2.5. Telekommunikationsüberwachungsgesetz Zum 01. Januar 2008 ist das "Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten der elektronischen Kommunikation" in Kraft getreten. Die Vorschriften verpflichten die Anbieter von Telekommunikationsdiensten, im Zusammenhang mit der Nutzung stehende Daten sechs Monate lang zu speichern und bei Bedarf an die Strafverfolgungsbehörden herauszugeben. Neben den Telefonnummern und der Zeit und Dauer von Telefongesprächen sind auch Standortdaten bei Mobiltelefonaten umfasst. Sowohl auf europäischer als auch auf nationaler Ebene haben nicht nur die zu Grunde liegende EG-Richtlinie, sondern auch die nationalen Umsetzungsmaßnahmen erhebliche Kritik ausgelöst. Diese stützt sich zum einen auf die Skepsis, ob von den gespeicherten Daten tatsächlich ein ausreichender Nutzen für die Terrorismus- und Kriminalitätsbekämpfung zu erwarten ist, diskutiert aber auch die grundsätzliche Frage, ob derart weitreichende Grundrechtseingriffe von Verfassungswegen erlaubt sein können. Da die Auswirkungen auf die journalistische (Recherche-)Arbeit vielfältig sind und insbesondere der Informantenschutz nicht mehr gewährleistet ist, hatte ein Bündnis der Medienverbände und -unternehmen, dem sich auch das ZDF angeschlossen hatte, seine Kritik an dem Gesetzgebungsvorhaben vorgetragen. Auch die Rundfunkbeauftragten für den Datenschutz hatten sich im Vorfeld der Gesetzgebung mit den Neuregelungen befasst und diese deutlich kritisiert. Aus ihrer Sicht stellt die uneingeschränkte, verdachts- und anlassunabhängige Speicherung der Verbindungsdaten dann, wenn Journalisten betroffen sind, eine akute Bedrohung der durch Art. 5 Abs. 1 Satz 2 GG garantierte Rundfunkfreiheit dar. Die abschreckende Wirkung auf mögliche Informanten liegt auf der Hand. Zudem verlieren Journalisten hierdurch in der Praxis letztlich sogar den bislang von der Verfassung garantierten Schutz der redaktionellen Kommunikation. Der Forderung

15 der Rundfunkbeauftragten für den Datenschutz, die Speicherung der Verkehrsdaten auf Fälle des Verdachts besonders schwerer Straftaten zu begrenzen, wurde nur sehr eingeschränkt entsprochen. Auch ist nach der jetzt geltenden Rechtslage nicht ausreichend gewährleistet, dass im Zuge einer Auswertung der Daten durch die Sicherheitsund Strafverfolgungsbehörden der Informantenschutz oder die journalistische Unabhängigkeit vor staatlicher Einflussnahme bewahrt bleiben. 3. Rechtsprechung 3.1. Europäischer Gerichtshof, Urteil vom 30.05.2006, Az.: C-317/04 und C-318/04 Auf Antrag des Europäischen Parlaments hat der Europäische Gerichtshof (EuGH) festgestellt, dass das ursprüngliche Abkommen über die Übermittlung von Flugpassagierdaten an US-Behörden (PNR- Abkommen) auf keiner geeigneten Rechtsgrundlage beruht und daher von der Europäischen Kommission gekündigt werden muss. Die Kritik des Parlaments richtete sich dagegen, dass in dem Abkommen die Übermittlung der Daten nicht nur an die USA, sondern darüber hinaus an Drittstaaten erlaubt wurde. Zudem fehlte es in der Vereinbarung an ausreichenden Maßnahmen, um die betroffenen Bürger vor einem Missbrauch der Daten in den USA zu schützen. Hintergrund des Abkommens waren die Rechtsvorschriften, die die USA im November 2001, nach den Terroranschlägen des 11. September, in Kraft gesetzt hatten und durch die Fluggesellschaften, die Flüge aus oder in die Vereinigten Staaten oder durch deren Luftraum durchführten, verpflichtet wurden, den Behörden der Vereinigten Staaten einen elektronischen Zugriff auf die Daten ihrer automatischen Reservierungsund Abfertigungssysteme zu gewähren. Der Europäische Gerichtshof urteilte, dass Art. 95 des EG-Vertrages die Zuständigkeit der Gemeinschaft für den Abschluss des Abkommens nicht ausreichend begründen kann. Das Abkommen musste damit auf eine neue Rechtsgrund-

16 lage gestellt und in geänderter Form neu verabschiedet werden (vgl. oben Ziff. III.1.4.). 3.2. Bundesverfassungsgericht, Urteil vom 02.03.2006, Az.: 2 BvR 2099/04 Das Bundesverfassungsgericht hatte sich mit dem Fall einer Amtsrichterin zu befassen, deren Wohnung auf der Basis einer gerichtlichen Anordnung wegen des Verdachts der Verletzung von Dienstgeheimnissen durchsucht worden war. Im Rahmen dieser Ermittlungsmaßnahme war u. a. auf die in dem Computer der Richterin gespeicherten Daten sowie auf die Einzelverbindungsnachweise des Handys zugegriffen worden. Das Bundesverfassungsgericht gab der Beschwerde statt und hob die entsprechenden Beschlüsse des Amtsund Landgerichts auf. Zur Begründung verwies das Bundesverfassungsgericht darauf, dass nach Abschluss des Kommunikationsvorgangs die im Herrschaftsbereich des Kommunikationsteilnehmers gespeicherten Verbindungsdaten zwar nicht durch das Fernmeldegeheimnis, aber durch das Rechts auf informationelle Selbstbestimmung und ggf. - und im vorliegenden Fall relevant - durch das Recht auf Unverletzlichkeit der Wohnung geschützt sind. Auf diese Daten darf jedoch nur unter bestimmten Voraussetzungen und insbesondere nach Maßgabe des Verhältnismäßigkeitsgrundsatzes zugegriffen werden. Diese Vorgabe war hier nicht beachtet worden. 3.3. Bundesverfassungsgericht, Beschluss vom 04.04.2006, Az.: 1 BvR 518/02 Das Bundesverfassungsgericht stellte fest, dass eine präventive polizeiliche Rasterfahndung mit dem Grundrecht auf informationelle Selbstbestimmung nur dann vereinbar ist, wenn eine konkrete Gefahr für hochrangige Rechtsgüter den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leib, Leben oder Freiheit einer Person gegeben ist. Die entsprechende Vorschrift des nordrheinwestfälischen Polizeirechtes, die diese Eingrenzung nicht vorsagt, wurde wegen des Verstoßes gegen das Grundrecht auf informatio-

17 nelle Selbstbestimmung für mit der Verfassung unvereinbar erklärt. Aus Sicht des Bundesverfassungsgerichts scheidet eine entsprechende Rasterfahndung im Vorfeld einer Gefahrenabwehr aus, da sie verdachtslose und mit hoher Streubreite erfolgende Grundrechtseingriffe zur Folge hätte. Für die Anordnung einer derartigen Rasterfahndung reiche eine allgemeine Bedrohungslage, wie sie im Anschluss an die Anschläge des 11. September 2001 festgestellt worden sei, genauso wenig aus wie außenpolitische Spannungslagen, urteilte das Gericht. Erforderlich sei vielmehr das Vorliegen weiterer konkreter Tatsachen. Das Bundesverfassungsgericht bewegt sich mit dieser Entscheidung auf der Linie seiner bisherigen Rechtsprechung, nach der es Aufgabe des Gesetzgebers ist, im Spannungsverhältnis zwischen den staatlichen Pflichten zum Rechtsgüterschutz und dem Interesse des Einzelnen an der Wahrung seiner verfassungsrechtlich abgesicherten Rechtspositionen einen abstrakten Ausgleich der widerstreitenden Interessen herzustellen. Die Verfassung verlange vom Gesetzgeber, eine angemessene Balance zwischen Freiheit und Sicherheit herzustellen. Damit sei die Verfolgung des Zieles absoluter Sicherheit ausgeschlossen, wenn diese nur um den Preis einer Aufhebung der Freiheit zu erreichen wäre. Das Grundgesetz unterwerfe auch die Verfolgung derart bedeutsamer Ziele rechtsstaatlichen Bindungen, zu denen insbesondere das Verbot unangemessener Eingriffe zähle. Es bleibe dabei, dass besonders intensive Grundrechtseingriffe erst bei bestimmten Verdachts- oder Gefahrenstufen erfolgen dürfen. 3.4. Bundesverfassungsgericht, Beschluss vom 23.02.2007, Az.: 1 BvR 2368/06 Zur Entscheidung an das Bundesverfassungsgericht herangetragen wurde die Frage der Verfassungsmäßigkeit einer Videoüberwachung eines Kunstwerks im öffentlichen Raum. Konkret ging es um ein öffentlich zugängliches Bodenrelief über den Resten einer mittelalterlichen Synagoge. Die beabsichtigte Videoüberwachung sollte belastende hoheitliche Maßnahmen gegen Personen vorbereiten, die in

18 den von der Videoüberwachung erfassten Bereich unerwünschte Verhaltensweise zeigte. Dieses Ziel genügte aus Sicht des Bundesverfassungsgerichts nicht, den damit verbundenen Eingriff in das durch Art. 2 Abs. 1 und Art. 1 Abs. 1 GG geschützte allgemeine Persönlichkeitsrecht der Betroffenen zu rechtfertigen. Dieses Recht umfasse, so das Gericht unter Verweis auf seine ständige Rechtsprechung, die Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart würden und selbst über die Preisgabe und Verwendung persönlicher Daten zu bestimmen. Mit der Aufzeichnung des durch die Videoüberwachung gewonnen Materials würden jedoch die beobachteten Lebensvorgänge technisch fixiert und damit die Möglichkeit eröffnet, die Daten aufzubereiten, auszuwerten und mit anderen Daten zu verknüpfen. Hierdurch könnten im Extremfall Profile des Verhaltens der Betroffenen in dem überwachten Raum entstehen. Aus Sicht des Gerichts ist eine derartige Einschränkung des Rechts auf informationelle Selbstbestimmung nur im überwiegenden Allgemeininteresse und auf gesetzlicher Grundlage möglich, an der es in dem hier zur Entscheidung anstehenden Fall aber fehlte. Von Bedeutung ist die klarstellende Aussage des Gerichts, dass auch eine Beschilderung, die die Betroffenen über die Videoüberwachung informieren würde, kein Einverständnis der Betroffenen impliziert. Vielmehr sei das Unterlassen eines Protestes gegen eine solche Information und Ankündigung nicht mit einer Einverständniserklärung gleich zu setzen. 3.5. Bundesgerichtshof, Beschluss vom 26.10.2006, Az.: III ZR 40/06 Der Bundesgerichtshof entschied im vorliegenden Fall über die Klage eines Internetnutzers gegen seinen Diensteanbieter (Internet- Provider). Geklagt wurde auf Unterlassung, das bei der Nutzung des Internetzugangs bekannt gewordene Volumen der übertragenen Daten zu erheben und auf Datenträgern jeglicher Art zu speichern. Des Weiteren sollten alle Daten, die eine Verbindung zwischen der für die Nutzung zugeteilten IP-Adresse und dem Kläger herstellen, umgehend gelöscht und auch die bereits bekannt gewordenen und gespei-

19 cherten Daten des Klägers vernichtet werden. Nachdem bereits das Berufungsgericht den Internet-Provider entsprechend der Klage verurteilt hatte, wurde die Beschwerde beim BGH als unzulässig verworfen, sodass die Entscheidung mit dem Beschluss des Bundesgerichtshofs rechtskräftig wurde. 3.6. Bundesgerichtshof, Beschluss vom 31.01.2007, Az.: StB 18/06 Der o. g. Beschluss des Ermittlungsrichters am Bundesgerichtshof beinhaltet, dass die heimliche Durchsuchung der im Computer eines Beschuldigten gespeicherten Daten mit Hilfe eines Programms, dass ohne Wissen des Betroffenen aufgespielt wird, nach der Strafprozessordnung unzulässig ist. Da es an der erforderlichen Ermächtigungsgrundlage für diese sogenannte verdeckte Online-Durchsuchung fehlt. 102 der Strafprozessordnung (Durchsuchung beim Verdächtigen) sei nicht einschlägig, da diese Vorschrift nur offene und nicht wie hier bewusst heimliche Ermittlungsmaßnahmen erfasst. Vielmehr seien für heimliche Ermittlungsmaßnahmen deutliche höhere formelle und materielle Anforderungen an die Anordnung und Durchführung zu stellen. Dies belege der Vergleich mit der Überwachung der Telekommunikation oder mit der Wohnraumüberwachung ( 100 a, b, c, d StPO) Da die letzterwähnten Vorschriften die hier durchgeführte verdeckte Online-Durchsuchung nicht beinhalten, bleibe eine derartige Maßnahme bis zur Schaffung einer konkreten gesetzlichen Befugnisnorm unzulässig. Der hier geplante, besonders schwerwiegende Eingriff in das Recht des Betroffenen auf informationelle Selbstbestimmung durch das heimliche Ausspähen der auf einem Computer abgelegten Daten bedürfe nach dem für solche Eingriffe in die Grundrechte geltenden Grundsatz des Gesetzesvorbehaltes nämlich einer konkreten gesetzlichen Befugnisnorm.

20 3.7. Bundesarbeitsgericht, Urteil vom 13.03.2007, Az.: 9 AZR 612/05 In dem vom Bundesarbeitsgericht zu entscheidenden Rechtsstreit ging es um die Frage, ob der Widerruf der Bestellung eines betrieblichen Datenschutzbeauftragten, der gleichzeitig als Arbeitnehmer auch für andere Aufgaben zuständig war, alleine nach den (sehr einschränkenden) Bestimmungen des BDSG erfolgen kann oder ob zugleich eine Kündigung des arbeitsvertraglichen Grundverhältnis zu erfolgen hat. Nach Auffassung des Bundesarbeitsgerichtes ändert die Bestellung zum betrieblichen Datenschutzbeauftragten nach 4 f BDSG regelmäßig den Inhalt des Arbeitsvertrages dahin, dass die Aufgabe des Datenschutzbeauftragten zu einer weiteren, zusätzlichen Arbeitsaufgabe wird. Die Tätigkeit als Datenschutzbeauftragter werde hierdurch zum arbeitsvertraglichen Pflichtenkreis des Arbeitnehmers. Daher könne die Bestellung zum Datenschutzbeauftragten nur bei gleichzeitiger Teilkündigung der arbeitsvertraglich geschuldeten Sonderaufgabe wirksam widerrufen werden. Der Grund liege darin, dass das schuldrechtliche Grundverhältnis des Arbeitsvertrages und die Bestellung zum Datenschutzbeauftragten nach dem BDSG unlösbar miteinander verknüpft sind. Eine derartige Teilkündigung sei bei Vorliegen eines wichtigen Grundes grundsätzlich zulässig. Im konkreten Falle war die gleichzeitige Teilkündigung des Arbeitsvertrages nicht erfolgt, sodass das Bundesarbeitsgericht feststellte, dass der Kläger weiterhin betrieblicher Datenschutzbeauftragter der Beklagten (ein Krankenhaus unter Trägerschaft eines Landkreises) war.

21 IV. Datenschutz im ZDF 1. Datenschutz beim IT-Einsatz 1.1. Umsetzung der Administratorenrichtlinie Bereits im letzten Tätigkeitsbericht (15. Tätigkeitsbericht, Ziffer IV 1.2) hatte ich kritisiert, dass die Umsetzung der einen ganz wesentlichen Baustein der IT-Sicherheit, aber auch des Datenschutzes bildenden "Regelung für die Administratoren der informationstechnischen Systeme des ZDF" (Administratorenrichtlinie) aus dem Jahre 2005 noch nicht abgeschlossen werden konnte. Leider ist auch für den jetzigen Berichtszeitraum zu vermelden, dass die in der Richtlinie als Umsetzungsaufgabe hervorgehobene "Administratorenliste" weiterhin nicht in einer Form existiert, die eine wirksame Kontrolle, ob die einzelnen, den Administratoren wie den datenverarbeitenden Fachbereichen auferlegten Vorgaben eingehalten werden, ermöglicht. Die Umsetzungsarbeiten haben sich als erheblich aufwendiger als zunächst angenommen erwiesen. Aus meiner Sicht stellt sich aber zudem die Frage, ob von den zuständigen Fachbereichen dieser Aufgabe die hier angemessene Priorität eingeräumt wurde. Ich bin mit den Verantwortlichen im Gespräch und werde weiter darauf hinwirken, dass nunmehr die Umsetzung möglichst rasch abgeschlossen wird. 1.2. Projektmanagement-Richtlinie In die Entwurfsarbeiten zu einer "Richtlinie für die Realisierung von Projekten der Informations- und Systemtechnologie" wurde ich seitens der damit befassten Produktionsdirektion und der ZDF-Unternehmensplanung frühzeitig eingebunden. Die aus den Entwürfen entstandene Verwaltungsanordnung enthält daher nunmehr nicht nur modernen Erkenntnissen folgende Vorgaben, nach denen sich die Vorgehensweise für die DV-Entwicklungsabteilung des ZDF und den auftraggebenden Fachbereich ableitet. Sie legt dem Auftraggeber ei-

22 nes DV-Projektes zudem auf, rechtzeitig einen schriftlichen Nachweis darüber zu erbringen, dass die erforderliche Zustimmung des Datenschutzbeauftragten im Falle der Verarbeitung personenbezogener Daten eingeholt wurde. Die in der Vergangenheit aufgetretenen Fälle, dass DV-Systeme produktiv genommen wurden, ohne dass die gesetzlich geforderte Vorabkontrolle durch den Datenschutzbeauftragten stattgefunden hätte, sollten demnach der Vergangenheit angehören - oder zumindest viel seltener auftreten. Von der neuen Projektmanagement-Richtlinie und der von ihr geforderten professionellen Vorgehensweise bei der Konzeption, Planung und Realisierung verspreche ich mir ein strukturiertes und in den Zuständigkeiten und Verantwortlichkeiten eindeutiges Herangehen, welches eine gute Grundlage auch dafür bietet, den Datenschutzbelangen ausreichend Beachtung zu schenken. Die ersten guten Erfahrungen mit der neuen Verwaltungsanordnung erscheinen mir der Beleg dafür zu sein, dass diese Hoffung berechtigt ist. 1.3. Organisationsanordnung IT-Sicherheitsbeauftragter Im Anschluss an die von mir lange erbetene Bestellung eines IT-Sicherheitsbeauftragten (vgl. 14. Tätigkeitsbericht, Ziff. III.4.2.) hat der Intendant des ZDF im jetzigen Berichtszeitraum dessen Aufgaben und Stellung im Wege einer Organisationsanordnung Einrichtung der Funktion eines IT-Sicherheitsbeauftragten im ZDF festgeschrieben. Der IT-Sicherheitsbeauftragte ist unmittelbar dem Produktionsdirektor unterstellt und ausschließlich der Geschäftsleitung berichtspflichtig. Gewährleistet ist, dass ihm alle zur Ausübung seiner Tätigkeit erforderlichen Informationen und Unterlagen von den Fachbereichen des ZDF zur Verfügung gestellt werden. Zu seinen Aufgaben gehört die Erarbeitung von Vorschlägen für die Geschäftsleitung, die Erstellung und Fortschreibung des IT-Sicherheitskonzeptes und daraus abgeleitete IT-Sicherheitsrichtlinien und generell die Überwachung der Maßnahmen zur Gewährleistung der IT-Sicherheit im ZDF. In Fragen der IT-Sicherheit ist ihm ein weitreichendes Weisungsrecht zugeschrieben, das von Auskunftsansprüchen und Zutrittsrechten flankiert