OJR - Online Journal Recht
Zitierung: Autor o. Gericht, OJR, Jahrgang,
Dokumentnummer (u. ggf. Randnummer)
OJR - Online Journal Recht
|
Leider konnte ich die Veranstaltung nur am 9. Juni besuchen, da ich am folgenden Tage Gerichts- und Besprechungstermine wahrnehmen mußte. Die nachfolgenden Ausführungen betreffen also nur den 1. Tag der Veranstaltung. Es handelt sich auch immer nur um Splitter aus den Ausführungen, die mir besonders interessant erscheinen. Die schriftlichen Kongreßunterlagen habe ich nicht berücksichtigt. Außerdem gebe ich alles so wieder, wie ich es verstanden habe. Sollte ich etwas falsch verstanden haben, so bitte ich um einen Hinweis per E-Mail. Eigene Anmerkungen und Gesetzestexte sind jeweils über Links aufrufbar und erscheinen in einem separten Fenster des Browsers.
Die größten praktischen Sorgen macht die in der EU-Datenschutzrichtlinie (Art. 25, 26) und demzufolge auch in der Novellierung des BDSG (Bundesdatenschutzgesetz) vorgesehene Regelung für Daten, die den Bereich der EU verlassen. Zu den "Drittländern" gehören auch die USA. Die Übermittlung von Daten in Drittländer wird genehmigungspflichtig (vgl. Art. 26 Abs. 3). Verstöße dagegen werden als Straftaten geahndet.
Man sollte die Grundsätze des Telefongeheimnisses auch auf E-Mail anwenden.
Hinsichtlich der Zweckbestimmung (sog. primary use, vgl. auch § 28 Abs. 1 BDSG) von innerbetrieblichen Daten sei zu beachten, daß Daten über den Zugang zum Internet nur zu dessen Prüfung, Daten über Arbeitszeiten etc. (Lohndaten) nur für die Lohnabrechnung bestimmt seien. Eine Vermischung solcher Daten zum Zwecke der Erstellung eines Persönlichkeitsprofils sei daher ohne ausdrückliche Einwilligung des Arbeitnehmers unzulässig. Bislang gebe es allerdings nur erste Vorentwürfe über gesetzliche Regelung des Zugangs eines Betriebes zu den E-Mail seiner Mitarbeiter. Schon jetzt gelte aber, daß der betriebliche Datenschutzbeauftragte jedenfalls die Daten des Betriebsrates nicht überwachen dürfe, da er Organ des Betriebes und dessen Geschäftsführung unterstellt ist (Rechtsprechung des Bundesarbeitsgerichts BAG).
Zu einem Arbeitnehmerdatenschutzgesetz gebe es bislang nur Vorüberlegungen zu einem Vorentwurf. Darin sei vorgesehen, Regelungen aus vorhandenen Gesetzen zu übernehmen, so daß mit echten Neuerungen nicht gerechnet werden könne.
Die TDSV soll auf Drängen der Bundesregierung so geändert werden, daß Verbindungsdaten angeblich statt bisher 80 Tagen künftig 2 Jahre gespeichert werden müssen. Angeblich sei dies der Wunsch der Diensteanbieter. Die Telekom wisse von einem solchen Wunsch jedenfalls nichts.
Kommentar:
Wenn das stimmen sollte, wäre es natürlich ein dramatischer Schlag gegen den Datenschutz.
Ein Gegendarstellungsanspruch bestehe bei jedem Mediendienst nach dem MDSV, daher z. B. auch bei einer elektronischen Mitarbeiterzeitung.
Kommentar:
Diese Aussage ist zu weitgehend, wie ein kurzer Blick in § 10 Abs. 1 und § 6 Abs. 2 MDSV zeigt. Es kommt z. B. bei der elektronischen Mitarbeiterzeitung entscheidend darauf an, daß sie periodisch erscheint.
Die Abgrenzung zwischen einem Teledienst (TDG) und einem Mediendienst (MDSV) sei praktisch unmöglich, warum man sich darüber eigentlich keine großen Gedanken machen müsse.
Kommentar:
Falsch, weil die Abgrenzung danach vorgenommen werden kann, ob die Inhalte redaktionell gestaltet sind (vgl. auch § 2 Abs. 2 Ziff. 2 TDG).
Richtig, weil im Zweifel gem. Art. 31 GG das Bundesrecht (TDG) dem Landesrecht (MDSV) vorgeht (vgl. hierzu meine Kommentierung von § 2 TDG).
Die Speicherung von IP-Adressen sei als Verarbeitung personenbezogener Daten ohne Einwilligung unzulässig, weil über die IP-Adresse eine natürliche oder juristische Person zumindest bestimmbar sei.
Kommentar:
Dagegen habe ich Bedenken, weil heute IP-Adressen von den meisten Access-Providern und auch von der Telekom ganz überwiegend dynamisch vergeben werden. Zwar könnte man anhand der Dateien, in denen vermutlich gespeichert wird, welchem Kunden wann und wie lange welche IP zugewiesen war, auf eine bestimmte Person zurückschließen. Aber solche Nutzungsdaten sind ja gem. § 6 Abs. 2 Ziff. 1 TDDSG unmittelbar nach Ende der jeweiligen Nutzung zu löschen. Soweit sie für die Abrechnung erforderlich sind (Ziff. 2), dürfen sie jedenfalls auch nur dafür verwendet werden. Eine Bekanntgabe im Rahmen der Datenschutzaufsicht wäre daher meines Erachtens unzulässig. Ich weiß aber auch, daß das in der Praxis anders gehandhabt wird.
Die Regelung in § 38 BDSG, daß eine Prüfung der Datenverarbeiter nur dann vorgenommen werden könne, wenn dafür ein Anlaß gegeben sei, werde, wie schon in § 8 TDDSG geschehen, auch im BDSG beseitigt.
Es sei gut, daß die bisherige Treu-und-Glaubensregelung in § 28 Abs. 1, 2. Satz BDSG endlich durch eine EU-Regelung ersetzt werde. Zwar sei die neue Regelung, wie überhaupt die anstehende Novellierung des BDSG teilweise sehr komplex geraten, aber jedenfalls stehe fest, daß die zuvor genannte Regelung nicht mehr Bestand haben könne, weil so etwas dürfe es im Rahmen der EU einfach nicht mehr geben.
Die EU-Datenschutzrichtlinie habe zur Folge, daß künftig der Datentransfer innerhalb der EU wie der innerhalb eines jeden Nationalstaates, nämlich völlig einheitlich zu behandeln sei (vgl. Art. 1 Abs. 2 Datenschutzrichtlinie).
Der Ausnahmekatalog in § 26 EU-Datenschutzrichtlinie (u. demgemäß in § 4c des Referentenentwurfes zum BDSG) umfasse eigentlich alle Datenverarbeitungen, die überhaupt denkbar seien.
Wegen der genannten Regelungen drohe ein neuer, schwerwiegender Wirtschaftskrieg zwischen der EU und den USA! Wie die EU dazu steht, jedenfalls nach Ansicht von Herrn Heil, erschließt sich aus der Wiedergabe der anliegenden Fragen an den und Antworten des Referenten Helmut Heil. Dabei ging es um die Regelung in § 25 Abs. 1 EU-Datenschutzrichtlinie / § 4b des Referentenentwurfes zum BDSG, also um das ausdrückliche Verbot, Daten in Drittstaaten zu übermitteln, in denen kein "angemessenes Schutzniveau" herrscht.
Frage:
Wie wird das Schutzniveau eines Drittstaates bestimmt und woher bekommt
man diese Informationen?
Antwort Heil:
Das sei noch nicht entschieden, man wolle erst einmal die jeweiligen nationalen Regelungen
in Kraft setzen lassen. Er könne sich aber vorstellen, daß
- eine EU-Beratergruppe das Schutzniveau in allen Staaten prüfen werde, was z. T. auch
schon angelaufen sei (wenn ich mich recht erinnere u. a. für die Schweiz); allerdings
seien die Prüfungskriterien noch unklar
- der EU-Rat dann einen Rechtsakt verabschiede, der unmittelbar für die EU-Staaten, alle
öffentlichen und privaten Stellen, Unternehmen und auch Privatpersonen verbindlich sei
und
- in dem die Kriterien festgeschrieben werden und zu dem es eine Positiv- und eine
Negativliste geben werde (positiv = Schutzniveau "angemessen", negativ = nicht
"angemessen"),
- die gegebenenfalls täglich aktualisiert werden müsse und die man deshalb z. B. ins
Internet stellen könnte
Zwischenruf des Referenten für Datenschutz aus dem Bundesministerium der Verteidigung:
Von alledem wisse man dort nichts - jedenfalls nicht offiziell! Es sei daher verfrüht und
unpassend, sich so weit "aus dem Fenster zu hängen".
Frage:
Was passiert, wenn man vertraglich verpflichtet ist, Daten in ein Land zu liefern, das als
"negativ = kein angemessenes Schutzniveau" eingestuft wird?
Antwort Heil:
Wenn man trotzdem Daten liefert, wird man bestraft!
Frage:
Fördert das die Wirtschaft der EU-Staaten und deren Unternehmen?
Antwort Heil:
Das ist nicht Gegenstand der Richtlinie! Da ist der Gesetzgeber im jeweiligen EU-Staat
gefragt.
Frage:
Was passiert, wenn sich die EU nicht mit USA auf das Safe Harbour Principle einigt?
Müssen dann mit Inkrafttreten der BDSG-Novelle bzw. bei nicht rechtzeitiger Umsetzung mit
dem Auslaufen der dafür gesetzten Frist sofort alle Datenströme in die USA gestoppt
werden?
[redaktioneller Hinweis: Die Richtlinie hätte schon bis zum 01.01.1998 umgesetzt werden
müssen!]
Antwort Heil:
JA! Aber dieser Gedanke quält die Schöpfer der EU-Datenbankrichtlinie auch schon von
Anfang an. Andererseits würde die EU sicher nichts dagegen unternehmen, wenn die
Realität anders wäre, so heißen, wenn sich niemand um die Regelungen der Richtlinie
bzw. der BDSG-Novelle kümmern würde.
Zwischenruf des Vorsitzenden Ulrich Wuermeling:
An der automatisch einsetzenden strafrechtlichen Verfolgung würde aber die
Quasi-Akzeptierung des Verstoßes durch die EU überhaupt nichts ändern!
Kommentar 6: Dem ist wohl nichts hinzuzufügen!
So, das waren die "Höhepunkte" des ersten Tages aus meiner Sicht. Sollte jemand diese Seiten lesen, der noch andere oder welche vom zweiten Tag beitragen möchte, so möge er sich per E-Mail (s. unten) melden. Ich bin gerne bereit, diese hier - natürlich unter Beachtung der urheberrechtlichen Bestimmungen - zu veröffentlichen. Auch andere Meinungen sind natürlich willkommen und können genauso behandelt werden.
weiterlesen  |
Datenschutzkongreß 1999 Kommentar zu Tauss Kommentar zu Heil |
Werbung:
[ Seitenanfang ] [ Seite drucken
] [ Impressum ]
© Verlag f. e-Publikationen - ISSN 1865-4479