Bleibt zu hoffen, dass die öffentliche Diskussion zu diesem wichtigen Thema wieder Fahrt aufnimmt; von den Folgen der Gesetzesänderungen sind schließlich Millionen Arbeitnehmer (und ihre Arbeitgeber) betroffen.

An einigen Stellen wurde gegenüber den Ausschussbeschlüssen zurückgerudert – das gehört zum politischen Geschäft. In die nächste Runde hat es u.a. folgende Forderung geschafft:

[BDSG] § 4f wird folgender Absatz angefügt:
“(6) Soweit eine Interessenvertretung keine andere Person betraut, nimmt der Beauftragte für den Datenschutz nach Absatz 1 die datenschutzrechtliche Kontrolle der Interessenvertretung wahr. Dabei unterliegt der Beauftragte für den Datenschutz der Geheimhaltung.”‘

Die guten Nachrichten: Der Bundesrat will die bisher ungeklärte datenschutzrechtliche Kontrolle der Interessenvertretungen regeln. Diese Kontrolle soll “eigentlich” der Beauftragte für den Datenschutz  übernehmen. Darüber habe ich mich zurecht gefreut.

Die weniger gute Nachricht steht am Anfang der Forderung: “Soweit eine Interessenvertretung keine andere Person betraut, …”  Als kritischer Datenschutzbeauftragter frage ich mich: Was soll das für eine Person ein? Die Begründung führt dazu u.a. aus

[...] In Ergänzung des Aufgabenbereichs des Beauftragten für den Datenschutz wird dazu eine Auffangzuständigkeit für die Überwachung des Datenschutzes bei der Interessenvertretung begründet, soweit diese ihr Wahlrecht zur Übertragung der Datenschutzkontrolle an den betrieblichen oder behördlichen Datenschutzbeauftragten, einen eigenen Beauftragten oder einen externen Dritten nicht ausübt. Ein von der Interessenvertretung benannter Datenschutzbeauftragter unterliegt allerdings nicht den Statusvorschriften des § 4f BDSG (z. B. Kündigungsschutz).

Wir wissen also, welchen Vorschriften der “von der Interessenvertretung benannte Datenschutzbeauftragte” nicht unterliegt. Im § 4f BDSG geht es aber nicht nur um den Kündigungsschutz des Beauftragten, sondern auch um so wesentliche Dinge wie die geforderte Zuverlässigkeit und Fachkunde. Die Anforderungen “irgendwie” erfüllen müssen – den Statusvorschriften nicht unterliegen – wie soll das funktionieren? Nach der wenig hilfreichen “kleinen Fachkunde” (“Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet.”) droht aus meiner Sicht jetzt die Mini-Fachkunde. Das Nur-Betriebsrats-Datenschützerlein. Ein Alibi-Posten. Lass Dich darauf nicht ein, Bundestag!
Eine Einschränkung lasse ich gelten: Wenn die Interessenvertretung selbst “groß genug” für einen eigenen Datenschutzbeauftragten ist, kann sie sich einen leisten. Dann aber bitte einen richtigen…

Jetzt liegt der Ball auf dem Feld des Bundestages. Die nächsten Plenarsitzungen finden vom 24.-26.11. statt.

Wer sicher gehen will, vergleiche die Originaldokumente.

Detailinformationen zu strittigen (und ebenso interessant: unstrittigen) Punkten folgen an dieser Stelle – spätestens nach dem Beschluss des Bundesrates am 5.11.

Neben Korrekturen finden sich auch neue Gedanken (a.a.O., S. 8):

Der Bundesrat fordert die Bundesregierung auf, die Fragen des Konzerndatenschutzes bei den auf EU-Ebene anstehenden Verhandlungen zu einer Reform der EG-Datenschutzrichtlinie einzubringen und in absehbarer Zeit einen Gesetzentwurf zu Regelungen betreffend Datenübermittlungen in-nerhalb von Konzernen vorzulegen.

Die Schaffung eines Konzernprivilegs ist einerseits wünschenswert und spart Datenschutzbürokratie, andererseits kann eine solche Regelung nur europaeinheitlich eingeführt werden. Damit ständen den EU-Muttergesellschaften  die Türen zu den Daten ihrer Mitarbeiter in deutschen Tochterunternehmen ganz weit offen. Bei diesem Gedanken fröstelt es den einen oder anderen praxiserprobten Datenschutzbeauftragten vermutlich, denn das vielbeschworene einheitliche Datenschutzniveau innerhalb der EU zeigt bei näherer Betrachtung bemerkenswerte Höhen und Abgründe.

Für das Kontrolldefizit im Bereich der Interessenvertretungen machen die Ausschüsse folgenden Vorschlag (a.a.O., S. 15):

§ 4f (Anm.: BDSG) wird folgender Absatz angefügt:
“(6) Soweit eine Interessenvertretung keine andere Person betraut, nimmt der Beauftragte für den Datenschutz nach Absatz 1 die datenschutzrechtliche Kontrolle der Interessenvertretung wahr. Dabei unterliegt der Beauftragte für den Datenschutz der Geheimhaltung.”‘

Eine solche Regelung halte ich für vernünftig und überfällig.

Zu guter Letzt will der Bundesrat ins BDSG schreiben lassen, die Datenschutzaufsichtsbehörden “nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr” (a.a.O. S. 45) . Damit würde die Entscheidung des EuGH ausdrücklich auch im Bundesdatenschutzgesetz umgesetzt.

Eine Stellungnahme kam noch nicht zustande, stattdessen hat der Bundesrat einen Antrag auf Fristverlängerung gestellt (Download: zu535/10 – pdf).

Die dortige Begründung:

Mit dem Gesetzentwurf soll erstmals seit jahrzehntelanger Diskussion eine umfassende gesetzliche Regelung für den Arbeitnehmerdatenschutz getroffen werden. Bisher existieren nur wenige spezifische gesetzliche Regelungen. Der rechtliche Rahmen ergibt sich aus verschiedenen allgemeinen Gesetzen und einer Vielzahl von gerichtlichen Einzelentscheidungen.
Daraus ergibt sich eine hohe Komplexität der Materie und ein erheblicher Beratungsbedarf, der eine Verlängerung der Frist zur Stellungnahme erforderlich macht.

Damit verzögert sich der parlamentarische Prozess nach Artikel 76 des Grundgesetzes um weitere drei Wochen:

Der Gesetzesentwurf wurde dem Bundesrat am 3. September zugeleitet.  Eine Stellungnahme ist nun nach spätestens 9 Wochen, also am 5. November abzugeben.

Update am 15.10.: Der federführende Bundesratsausschuss für Innere Angelegenheiten berät in seiner Sitzung am 21.10. über den Entwurf, siehe Tagesordnung (pdf).
Bereits am 19.10. hat der Ausschuss für Arbeit und Soziales das Thema auf der Agenda (pdf); am 20.10. der Gesundheitsausschuss (pdf). Am 21.10. tagt letztlich auch der Wirtschaftsausschuss dazu (pdf).

26.11.2009 – 17/69 – Gesetzentwurf der Fraktion der SPD

Text des Gesetzentwurfes: pdf
Pressemitteilung Deutscher Bundestag (Original hier):

Die SPD-Fraktion fordert strengere Regelungen zum Schutz der Arbeitnehmer vor dem Missbrauch persönlicher Daten und hält dazu ein eigenständiges Gesetz für notwendig. ”Die Defizite der gesetzlichen Regelungen des Bundesdatenschutzgesetzes begründen die Notwendigkeit eines eigenständigen Beschäftigtendatenschutzgesetzes“, heißt es in einem Gesetzentwurf der SPD-Fraktion (17/69). Anlass des Vorstoßes sind die Datenschutzskandale in der Wirtschaft in den vergangenen Monaten. Im Umgang mit Arbeitnehmerdaten werde immer weniger Rücksicht auf Persönlichkeitsrechte der Beschäftigten genommen, heißt es in der Begründung. Beispiele dafür seien die ”erzwungene“ freiwillige Einwilligungen von Arbeitnehmern in umfassende Erhebungen und Verarbeitung von Daten durch Arbeitgeber, insbesondere im Bereich der Gesundheitsinformation, die unklare Situation bezüglich des Einsatzes von Videoanlagen außerhalb öffentlicher Räume oder auch das Fortbestehen der Möglichkeit heimlicher Überwachungen durch den Arbeitgeber, schreibt die Fraktion.

Daher ”sollen Unternehmen stärker als bisher verpflichtet werden, die Persönlichkeitsrechte des Einzelnen zu achten“, heißt es in dem Entwurf. Die SPD-Fraktion hält eine ”Ausweitung der Mitbestimmungsrechte bei Erhebung, Speicherung und Verarbeitung von Daten“ für erforderlich, ebenso die Stärkung der Individualrechte der Arbeitnehmer. Ziel sei es, ”mehr Rechtsklarheit und Rechtssicherheit“ zu schaffen. Dazu müsse klar geregelt werden, ”welche Daten eines Bewerbers im Einstellungsverfahren erhoben und verwendet werden dürfen“, heißt es weiter. Durch das Gesetz würden erstmals die Grenzen des Fragerechts des Arbeitgebers klar definiert – etwa bei Fragen nach der Religion, der sexuellen Identität, der politischen Einstellung oder gewerkschaftlicher Betätigung. ”Bei Dritten darf der Arbeitgeber Auskünfte über einen Bewerber nur mit dessen Einwilligung einholen“, schreibt die Fraktion. Gesundheitliche Untersuchungen sollten im Einstellungsverfahren nur noch unter klar benannten Voraussetzungen möglich sein.

Eine Videoüberwachung am Arbeitsplatz soll ebenso wie der Einsatz von Ortungssystemen und die Verwendung biometrischer Daten ”an konkrete Voraussetzungen“ geknüpft werden, heißt es in dem Entwurf. Eine gezielte Videoüberwachung soll grundsätzlich verboten werden und nur zulässig sein, wenn Anhaltspunkte den Verdacht einer Straftat im Beschäftigungsverhältnis begründen. Die Erstellung von Persönlichkeitsprofilen will die SPD-Fraktion verbieten. Nutzen Beschäftigte Telefon, E-Mail und Internet am Arbeitsplatz, ”darf der Inhalt der Nutzung nicht erhoben werden“.

Beschäftigte, deren Daten unzulässig oder unrichtig erhoben oder verwendet wurden, sollen Anspruch auf Korrektur und Schadenersatz haben. In Betrieben mit fünf oder mehr Mitarbeitern soll nach dem Willen der SPD-Fraktion ein Beschäftigtendatenschutzbeauftragter bestellt werden.

Die Reaktionen auf den Entwurf werden wohl ähnlich ausfallen wie beim Scholz-Diskussionspapier Anfang September. Auf jeden Fall ein neuer Impuls, um das Thema Arbeitnehmerdatenschutz (oder auch Beschäftigtendatenschutz) in der parlamentarischen Diskussion zu halten.

Der Berufsverband der Datenschutzbeauftragten (BvD) e.V. erhofft sich deutliche Signale vom angekündigten Vier-Augen-Gespräch zwischen dem neuen Bundesinnenminister Thomas de Maiziére und dem Bundesdatenschutzbeauftragten Peter Schaar. Die Aussagen im Koalitionsvertrag und erste Äußerungen de Maiziéres zum Datenschutz klingen vielversprechend, müssen aber zügig in Recht und Praxis umgesetzt werden.

Der BvD-Vorstand teilt die Ansicht des Bundesdatenschutzbeauftragten, dass die Auslegungsspielräume des veralteten Datenschutzrechts und die ungenügenden Vorgaben an den Beruf des Datenschutzbeauftragten die ordnungsgemäße Überwachung von Datenverarbeitungsvorgängen vor praktische Schwierigkeiten stellt.

Der BvD schließt sich der Erwartungshaltung der Aufsichtsbehörden an die neue Bundesregierung an, dass vor allem für die Verarbeitung von Daten im Beschäftigungsverhältnis umgehend neue Vorgaben gemacht werden, um den Ausgleich zwischen Unternehmen und Beschäftigten rechtssicher herzustellen. „Bluttests, GPS-Ortung, RFID-Chips oder mobile Endgeräte sind ungeklärte Datenschutzthemen im Beschäftigtenverhältnis“, so Thomas Spaeing, Vorsitzender des Berufsverbandes.

Marco Biewald, stellvertretender Vorsitzender, betont: „Nach Datenschutzskandalen steigt die Sensibilität für den richtigen Umgang mit Daten in Unternehmen zunehmend, derzeit müssen betriebliche Datenschutzbeauftragte aber die Lücken des Gesetzes durch eigene Standpunkte füllen.“ Konkrete Fragen („Darf ich oder darf ich nicht“) müssen mangels konkreter gesetzlicher Vorgaben weiter mit Interessensabwägungen und Angemessenheitsprüfungen entschieden werden. „Die Bewertung führt bei jedem Unternehmen zu einem anderen Ergebnis.“, so Biewald dazu. „Hier erwarten unsere Mitglieder klare Regelungen.“

Ob Datenschutz im Unternehmen als Last empfunden wird oder vorteilhaft umgesetzt werden kann, hängt in hohem Maße von der Kompetenz des Datenschutzbeauftragten ab. Der BvD teilt die Ansicht Peter Schaars, der fehlende Definitionen zum Beruf des Datenschutzbeauftragten festgestellt und ein entsprechendes Berufsbild gefordert hatte, das gesetzlich verankert werden könnte.

Der Berufsverband hat längst vorgelegt: Sein im September verabschiedetes berufliches Leitbild definiert bundesweit erste Maßstäbe und wurde auch vom Bundesdatenschutzbeauftragten begrüßt. „Wir warnen deutlich davor, sich nach einem Schnellkurs bei ominösen Seminaranbietern zum Datenschutzbeauftragten bestellen zu lassen“, betont Thomas Spaeing, Vorsitzender des Berufsverbandes. „Es besteht Konsens zwischen Berufsverband, Aufsichtsbehörden und Politik, dass Datenschutzbeauftragte bestimmte Qualifikationen besitzen müssen. Welche das sind, legen diese Stellen fest, nicht ein beliebiger Seminaranbieter!“

Der Arbeitnehmerdatenschutz muss geregelt werden. Dringend. Nur wie und wo?

Zunächst eine Zusammenfassung des bisherigen Geschehens:

1. In der vergangenen Legislaturperiode konzentrierten sich die Aktivitäten auf das Bundesministerium für Arbeit und Soziales (BMAS). Von dort legte Ex-Minister Olaf Scholz kurz vor Toresschluss der Großen Koalition noch einen – nach meiner Meinung halbgaren – Entwurf für ein Beschäftigtendatenschutzgesetz vor.

2. Im Koalitionsvertrag einigten sich die Regierungsparteien im Oktober darauf, den Arbeitnehmerdatenschutz in einem eigenen Kapitel des Bundesdatenschutzgesetzes (BDSG) zu verankern. Nebenbei rutscht damit die Verantwortung ins Bundesministerium des Innern (BMI).

3. Der neue Bundesinnenminister wird am 02.11. u.a. in der BILD-Zeitung mit der Aussage zitiert, umgehend den Entwurf für ein neues Arbeitnehmerdatenschutzgesetz vorzulegen. Auf Anfrage berichtigt die Pressestelle am 04.11., der Minister sei falsch zitiert worden und plane weiter einen Abschnitt zum  Arbeitnehmerdatenschutz im BDSG.

4. In der Aussprache zur Regierungserklärung der Kanzlerin gelingt dem Innenminister am 11.11. die Quadratur des Kreises:  “Ich werde im nächsten Jahr einen Gesetzentwurf im Rahmen des Bundesdatenschutzgesetzes für ein Arbeitnehmerdatenschutzgesetz vorlegen.”

Jetzt hat sich auch Justizministerin Sabine Leutheusser-Schnarrenberger vom Verwirrspiel anstecken lassen.

Im gestrigen Interview für Deutschlandradio hatte sie sich wörtlich für ein Arbeitnehmerdatenschutzgesetz ausgesprochen – heute rudert sie in einer Meldung auf ihrer Webseite zurück und formulierte die Überschrift unverbindlicher “FDP will Arbeitnehmerdatenschutz stärken”. Im Text der Meldung findet sich dann allerdings ein neues Beispiel kreativer Ministerialgrammatik:

Bundesjustizministerin Sabine Leutheusser-Schnarrenberger will den Arbeitnehmerdatenschutzgesetz stärken und auch für Fragen bei Bewerbungsgesprächen eine verbindliche Rechtsgrundlage schaffen.

Deutschlehrer stöhnen auf – Ich bleibe standhaft: Hauptsache, es kommt bald was! Und die Justizministerin ist so oder so nicht federführend. Schade eigentlich

Auch die Opposition hält das Thema am Köcheln: Eine erste Kleine Anfrage der GRÜNEN greift neben dem Datenmissbrauch bei der BA auch den Arbeitnehmerdatenschutz auf.

Übrigens: Der neue Bundesarbeitsminister hat sich zum Thema noch nicht zu Wort gemeldet. Bleibt zu hoffen, dass seine kompetenten, weil langjährig mit dem Thema befassten Mitarbeiter in die Erarbeitung der neuen Vorschriften mit einbezogen werden.

Weil Unternehmen Bewerbungen oft anhand von Name, Geschlecht, Alter oder Adresse des Bewerbers ausscheiden lassen, sollen diese Kategorien in anonymen Lebensläufen ab sofort weggelassen werden. In Frankreich sollen jetzt solche CVs getestet werden, damit vielmehr anhand der Qualifikation als auf Basis banaler Gründe entschieden wird. Experten sind von dieser Aktion überzeugt. Denn aktuellen Erhebungen nach scheitern Bewerber auf eine freie Stelle oft schon bei der Vorauswahl.

Natürlich sind anonyme Lebensläufe nicht in jeder Branche einsetzbar und spätestens beim Vorstellungsgespräch können sich die Arbeitgeber dann das gewünschte Bild machen. Ich bin gespannt auf die praktischen Ergebnisse in Paris und den sechs Test-Départements.

Vielleicht auch ein Thema für die geplanten deutschen Regelungen zum Arbeitnehmerdatenschutz?

Jetzt liegt der Text der heutigen Erklärung vor. Hier die (leider kurzen) Auszüge zum Thema Datenschutz:

Eine große Herausforderung für unser Zusammenleben sind die rasanten Entwicklungen in der Informations- und Kommunikationstechnologie. Das Internet kann zu mehr Teilhabe und sogar zu neuen Formen gemeinschaftlichen Handelns führen. Das fördert die Bundesregierung selbst nach Kräften. Auch mit der Gewährleistung sicherer Abläufe und der Erhaltung der Funktionsfähigkeit unserer IT-Infrastruktur müssen wir uns weiter befassen. Es geht zunehmend nicht mehr um die alte Debatte, ob der Staat hier in Freiheitsrechte zu stark eingreift. Auf private Daten wird heute nicht vor allem vom demokratischen Staat zugegriffen,  sondern eher von anderen Privaten, auch wegen manchmal eigener Leichtfertigkeit und auch wegen der Unauslöschlichkeit der Spuren der Internetnutzung. Da brauchen wir neue Antworten und nicht alte Frontstellungen.

Schade, wieder kein selbstkritischer Innenminister, was die Datenverarbeitung durch öffentliche Stellen angeht. Dazu hier mehr. In der Beurteilung der Hauptgefahr für private Daten stimmt er interessanterweise mit Bruce Schneier überein: Private sammeln! Okay, Schneier sagt weiter: … und der Staat bedient sich bei ihnen.

Immer wichtiger wird deshalb die Informationssicherheit. Die Gewährleistung sicherer Kommunikation ist für mich eine neue staatliche Aufgabe. Daher wird der Datenschutz ‑ ich glaube, wir sollten lieber von Datensicherheit sprechen ‑ ein Schwerpunkt der Arbeit in dieser Legislaturperiode sein.

Arrgh. Bitte,  liebes Referat V II 4 im BMI, erklärt Eurem Minister schnellstens den Unterschied zwischen Datenschutz und Datensicherheit.

Gesetzlicher Regelungsbedarf besteht zum Beispiel beim Arbeitnehmerdatenschutz. Ich werde im nächsten Jahr einen Gesetzentwurf im Rahmen des Bundesdatenschutzgesetzes für ein Arbeitnehmerdatenschutzgesetz vorlegen.

Die Auflösung der Frage ist also die Quadratur des Kreises: Es wird ein Arbeitnehmerdatenschutzgesetz im Bundesdatenschutzgesetz geben.

Juristen stöhnen bei dieser Formulierung auf – egal. Hauptsache, es kommt bald was!

Google weiss was Du suchst, Facebook kennt Deine Freunde, Amazon weiss was Du liest, last.fm kennt Deinen Musikgeschmack, Twitter weiss was Du gerade machst, Dein Blog weiss, wie Du denkst, 23andMe, Navigenics oder deCODEme kennen die Sequenzen kurzer, definierter DNA-Stücke Deines Genoms.

Tobias Meier untersucht zunächst die Datenschutzversprechen der führenden Genotyping-Unternehmen. Er gibt einen kurzen Einblick in geltendes US-amerikanisches Recht und verweist dann auf die Bestimmungen in Deutschland (Stichwort Gendiagnostikgesetz). Unter der Überschrift “Was mache ich und andere aus meinen Daten?” stellt er die Gretchenfrage unserer Käuflichkeit: “Gentest gegen Beitragsrabatt”?

Wäre es denkbar, dass Versicherungen Produkte auflegen, speziell für Kunden, die ihre genetischen Daten freiwillig zur Verfügung stellen? Wie günstig müssten die Konditionen sein, wie viel individueller Service müsste geboten werden um mit maßgeschneiderten, personalisierten Versicherungsprodukten [sic], basierend auf den SNPs, Kunden zu Vertragsabschlüssen zu bewegen?

Beide Teile des Artikels sind lesens- und vor allem nachdenkenswert, findet auch netzpolitik.

Von mir zwei Anmerkungen:

1. Neben Versicherungen haben auch (potentielle) Arbeitgeber Interesse an den Erbinformationen der Bewerber und Mitarbeiter, hier greift ebenfalls das Gendiagnostikgesetz als ein Verbot mit Hintertürchen.

2. Beim Thema DNA und Datenschutz werde ich immer an den Welt-Artikel “Tyrannei des Datenschutzes” erinnert, in dem allen Datenschützern Gen-Defekte attestiert werden.  Kaum zu glauben, aber erst drei Jahre her.

Heute schlugen bei mir zwei Meldungen so zeitnah beeinander auf, dass ich automatisch auf dumme Gedanken  – äh – ein neues Geschäftsmodell kommen musste:

1. Die Bundesnetzagentur plant laut Wikileaks einen gemeinsamen Bestandsdatenpool aller TK-Anbieter. Das soll diskutiert werden, …

… um entsprechende Abfragen gemaess Paragraph 112 TKG zu vereinfachen. In einem solchen Datenpool waeren also die Daten aller Telefon-, Handy-, DSL- und E-Mail-Kunden in Deutschland versammelt. Vor dem Hintergrund des Datenschutzes erscheint eine solche Datensammlung aeusserst bedenklich.

Sozusagen eine Bundestelekommunikationskundendatenbank (Dank an @olba]

2. Nicht nur Daimler, sondern auch der “NDR lässt bluten” (netzpolitik.org) :

Datenschützer und Arbeitsrechtler kritisieren die Maßnahme bereits. Es handele sich um einen Verstoß gegen das Datenschutzrecht. Dort sei geregelt, dass Arbeitgeber nur die “erforderlichen” Daten erheben dürften. Auf die Frage, welche “erforderlichen” Informationen aus den Bluttests gewonnen werden können, heißt es beim NDR, die Blutwerte lieferten Anhaltspunkte, ob der jeweilige Beschäftigte “die vorgesehene Wochenarbeitszeit wird bewältigen können”.

Vermutlich nutzen auch weitere Unternehmen diese Informationsquelle.  Mal legal, oft illegal.

Wer bei Bluttests “nur an die üblichen Krankheiten” denkt und sich deshalb noch nicht genug gruselt, lese über den parawissenschaftlichen Aspekt zum Thema “Japanische Blutgruppendeutung” bei Wikipedia:

Die fehlende wissenschaftliche Untermauerung war kein Hindernis für eine Entwicklung eines blühenden Marktes von Partnervermittlungen, die nach Blutgruppe vermitteln, und Personalberatern, die Unternehmern in der Aufgabe beistehen, die richtige Mischung von Blutgruppen in ihrem Personal zu finden.

Was folgt daraus, wenn wir 1 und 2 zusammenzählen? Der Bedarf an Blutproben ist riesig (Wachstumsmarkt!), die Blutmenge bei Stellenbewerbern begrenzt. Von Kosten, infizierten Kanülen und blauen Flecken wollen wir gar nicht erst reden.

Der Ausweg ist eine zentrale Blutprobenbank! Eine Bundesblutprobenbank!!

Ich muss nur einmal meine Blutprobe abgeben – und jeder potentielle Arbeitgeber kann sich die gewünschte Auskunft einholen.  Die Abwicklung der Anfragen könnte unkompliziert und unbürokratisch über die Arbeitsagentur erfolgen. Dort kann sich jeder als interessierter Arbeitgeber registrieren, und dann…

Ohne diese Datenschutzbedenkenträger und Oberverdachtschöpfer könnte alles so einfach sein.

Rechtsvereinfachung: “Hierzu werden wir das Bundesdatenschutzgesetz unter Berücksichtigung der europäischen Rechtsentwicklung lesbarer und verständlicher machen sowie zukunftsfest und technikneutral ausgestalten.” In diesem Zusammenhang hat sich auch meine Vermutung bestätigt, dass es kein separates Arbeitnehmerdatenschutzgesetz geben wird: “Hierzu werden wir den Arbeitnehmerdatenschutz in einem eigenen Kapitel im Bundesdatenschutzgesetz ausgestalten.”
Die Aussagen versprechen nichts weniger als den großen Wurf: eine komplette Überarbeitung des Bundesdatenschutzgesetzes in Richtung eines Datenschutzgesetzbuches. Mutig, mutig – und überfällig. Hier sollte die Koalition nicht zu spät starten – der Weg wird lang genug. Nach der neuen Regierungs-Gemengelage dürfte ein Entwurf dazu eher aus dem Justizministerium als aus dem Innenministerium zu erwarten sein.
Schade, dass seit dem Gutachten von Roßnagel, Pfitzmann und Garstka (“Modernisierung des Datenschutzrechts”) schon wieder 8 Jahre vergangen sind.

Datenschutzkontrolle: Der Koalitionsvertrag verspricht: “Wir werden beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die personelle und sächliche Ausstattung verbessern. Die Unabhängigkeit
der Datenschutzaufsicht steht für uns dabei im Mittelpunkt.” Die Bundesregierung kann selbst nur für den BfDI reden (und hoffentlich auch handeln) – dennoch ist das ein Signal auch an die Landesfürsten. Hier können schnell Ergebnisse erzielt werden.
Ein dicker Wermutstropfen ist der fehlende Bezug zur Stärkung der betrieblichen und behördlichen Datenschutzbeauftragten, wie auch Jens Ferner seufzend feststellt:

[...] anmerken möchte ich aber, dass es schade ist, dass man erneut die Gelegenheit verschlafen wird, die Position “Datenschutzbeauftragter” allgemeinverbindlich zu normieren bzw. ein Gütesiegel zu schaffen – evt. wird die genannte Stiftung diese Lücke mal ausfüllen, doch wird das sicherlich Zeit kosten.

Aussagen zum Datenschutzbewusstsein finden sich gleich an mehreren Stellen, so soll die “Stiftung Datenschutz” die “Bildung im Bereich des Datenschutzes” stärken und “den Selbstdatenschutz durch Aufklärung verbessern”. Damit dürfte auch klar sein, wer aus Sicht der Bundesregierung folgende Aufgabe übernimmt: “Wir wollen deshalb die Sensibilität und Selbstverantwortung der Bürgerinnen und Bürger für ihre eigenen Daten stärken.” Eine “Stiftung Datenschutz” macht Sinn, wenn sie nicht nur Stempelchen für Internetseiten verteilt, dazu in Kürze mehr auf diesem Blog.

Gleichlautend sind einige Aussagen im Abschnitt “Informations- und Mediengesellschaft” des Koalitionsvertrages: “Wir werden dabei insbesondere unser Augenmerk auf Aufklärung legen. Die Sensibilität für den Schutz der eigenen Daten muss gestärkt, der Selbstdatenschutz erleichtert werden, um Datenmissbrauch vorzubeugen. Wir werden deshalb prüfen, wie durch die Anpassung des Datenschutzrechts der Schutz personenbezogener Daten im Internet verbessert werden kann, erwarten dabei aber auch von jedem Einzelnen einen verantwortungsvollen Umgang mit seinen persönlichen Daten im Internet.” Dabei gefällt mir besonders die Aussage, dass der Selbstdatenschutz nicht nur “gestärkt”, sondern “erleichtert” werden soll. Das bedeutet in der Praxis zum Beispiel ein Umdenken bei Programm- und Leistungsanbietern in Richtung datenschutzfreundlicher Produkte und Dienstleistungen (Stichworte Datensparsamkeit, Pseudo- und Anonymisierung); aber auch allgemein mehr Transparenz, ohne die keine – ebenfalls verstärkt geforderten – informierten und freiwilligen Einwilligungen möglich sind.
Deutlich wird hierbei: Datenbesitzer und Datenverarbeiter, verantwortliche Stelle und Betroffener – beide Seiten müssen ihren Beitrag leisten.

Reflexartig wiederhole ich meine Ansicht, dass ein wesentlicher Beitrag für ein stärkeres Datenschutzbewusstsein von den betrieblichen und behördlichen Datenschutzbeauftragten vor Ort geleistet werden kann (sofern sie dazu in der Lage sind bzw. in die Lage versetzt werden).

Kleiner Exkurs: Zur Verantwortung der Anbieter findet sich an anderer Stelle eine interessante Bemerkung: “Wir werden die Haftung von System- und Diensteanbietern für die IT-Sicherheit ihrer Angebote anpassen, um einer unbilligen Abwälzung von Risiken auf die Endanwender vorzubeugen.” Gleiches sollte für die Verpflichtung zu datenschutzfreundlichen Angeboten gelten; ich erinnere hier an die jüngsten Aussagen der 78. Konferenz der Datenschutzbeauftragten zum Datenschutz bei Krankenhausinformationssystemen.

Fazit: Insgesamt finden sich einige Lichtblicke für den Datenschutzalltag. Halten wir als Datenschutzpraktiker und datenschutzsensibilisierte Netzgemeinde die Augen offen, aber nutzen wir auch die Ansatzpunkte für eine konstruktive Zusammenarbeit.

Interessant finde ich die Aussagen zur zukünftigen Vorbildrolle der Bahn:

Der neue Unternehmensvorstand hat demgegenüber den Datenschutz zu einer seiner obersten Prioritäten erklärt. Positiv hervorzuheben ist, dass jetzt der Datenschutz auf höchster Management-Ebene in einem eigenen Vorstandsressort „Compliance, Datenschutz und Recht“ angesiedelt ist. Das Unternehmen hat sich zum Ziel gesetzt, nicht nur die vorgeschriebenen technischen und organisatorischen Vorkehrungen gegen datenschutzrechtliche Verstöße zu treffen, sondern darüber hinaus in Sachen Datenschutz eine Modellfunktion zu übernehmen. Ein erster Schritt hierzu ist die eingeleitete Stärkung des Konzerndatenschutzbeauftragten. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, begrüßt diese Entwicklung ausdrücklich.

Datenschutzmodel(l) Deutsche Bahn – daran muss ich mich erst gewöhnen. Positiv anzumerken ist die Erwähnung der “eingeleiteten Stärkung des Konzerndatenschutzbeauftragten”.  Der betriebliche Datenschuztzbeauftragte ist nun einmal die gesetzlich verankerte Instanz – die man leider zu oft am ausgestreckten Arm zappeln lässt.

Die bußgeldbestraften kriminellen Abenteuer der Bahn betrafen vor allem Mitarbeiterdaten. Ich bin insbesondere gespannt, wie sich die neue Linie auf den Umgang mit Kundendaten auswirkt:

Schon vor den Skandalen im letzten Jahr hatte sich die DB nicht mit Ruhm bekleckert und im Jahr 2007 den BigBrotherAward erhalten. Die damalige Laudatio ist lesenswert – u.a. an der wiedergeschaffenen Möglichkeit zum anonymen Reisen müssen sich die angekündigten Bemühungen der Bahn in Zukunft messen lassen.

[Update 23.10.2009] In einer Presseerklärung der Bahn ist von der Vorbildfunktion nichts zu lesen. Allerdings will man bis Ende November mit dem Betriebsrat neue Leitlinien zum Arbeitnehmerdatenschutz vereinbaren.

[Update 23.10.2009] Die Bahn hat das Bußgeld akzeptiert: Link zur Pressemitteilung

Michael Bauchmüller berichtet in der Sueddeutschen:

Der Datenskandal bei der Deutschen Bahn hat für das Unternehmen ein teures Nachspiel. Nach Informationen der Süddeutschen Zeitung ging am Montag ein Bußgeldbescheid des Berliner Datenschutzbeauftragten Alexander Dix bei der Bahn ein. Darin fordert die Behörde eine Geldbuße von rund 1,1 Millionen Euro. Diese beziehe sich allein auf die schon früh bekannt gewordenen Verstöße gegen Datenschutzgesetze, hieß es bei der Behörde.

Wie zu Anfang des Jahres bekannt geworden war, hatte die Bahn seit 1998 insgesamt dreimal ihre Mitarbeiter sogenannten Massen-Screenings unterzogen. Diese sollten Fälle aufdecken, in denen Mitarbeiter sich über Scheinfirmen selbst lukrative Aufträge zuschanzen.

Reaktion Nummer 1: Werden jetzte die Tickets schon wieder teurer?

Reaktion Nummer 2: Spätestens seit dem Fall Lidl wissen wir, das auch Millionen-Bußgelder nicht automatisch zur Läuterung der Abgestraften führen.  Immerhin gibt es jetzt eine Hausmarke a la “Bußgeld je illegal überprüftem Mitarbeiter”:  Wenn wir grob von 3x 173.000 Mitarbeitern ausgehen, dann landen wir bei etwa 2 Euro pro Nase und Überprüfung. Ein gutes Argument,  warum eine Unternehmensleitung VOR einer geplanten Mitarbeiterüberprüfung ihren betrieblichen Datenschutzbeauftragten einbeziehen sollte. Datenschutz steht der Korruptionsbekämpfung nicht grundsätzlich im Weg: Es geht um das “Wie”.

Aber: Wie viel Datenschutzbeauftragte sind fachkundig genug, ihre Chefs entsprechend zu beraten? Der neue §32 im BDSG hilft hier wenigstens ansatzweise weiter; im Netz dürften diverse Stellungnahmen und Checklisten zu finden sein. Hat jemand was konkretes zur Hand?

Die Koalitionsverhandlungen haben begonnen und mit Recht werden die unterschiedlichen Standpunkte in Fragen der Bürgerrechte und des Datenschutzes als mögliches Spannungsfeld dargestellt, so auch in diesem Blog.

Die grundsätzlichen Differenzen in zentralen Fragen sollen aber nicht über bestehende Gemeinsamkeiten hinwegtäuschen. Ja, es gibt sie, man muss sie nur finden . Legt man die Wahlprogramme beider Parteien nebeneinander, so ergeben sich einige Ansatzpunkte.

Quellen siehe hier: Regierungsprogramm von CDU/CSU – siehe da Deutschlandprogramm der FDP für alle folgenden Zitate.

Rechtsvereinfachung
„Der Bürger muss das Recht verstehen können, wenn er es befolgen soll. Wir fordern ein übersichtlicheres und verständlicheres Recht. CDU und CSU wollen, dass Gesetze und Bescheide der Verwaltung in einer für den Bürger verständlichen Sprache verfasst werden.“ Die Datenschutzgesetzgebung und besonders das Bundesdatenschutzgesetz sind (leider) prägnante Beispiele für unübersichtliche Schwerverständlichkeit. „Die FDP setzt sich für ein modernes, leicht verständliches, übersichtliches und effektives Datenschutzrecht ein. Sie strebt die Verankerung allgemeiner Datenschutzgrundsätze in nur einem Gesetz an. An die Stelle von hunderten von speziellen Gesetzen soll ein neues Bundesdatenschutzgesetzbuch treten.“
Darf man also hoffen? Beide Standpunkte deuten nebenbei an, dass es für ein separates Arbeitnehmerdatenschutz schwer wird, so wichtig klärende Regelungen in diesem Bereich sind und bleiben – und von der FDP konkret gefordert werden.

Datenschutzkontrolle

Die FDP will beide Säulen stärken – Aufsichtsbehörden und Datenschutzbeauftragte. „Die FDP setzt sich dafür ein, die Zersplitterung der datenschutzrechtlichen Aufsichtslandschaft zu beenden und die Unabhängigkeit der Kontrollstellen zu stärken. Auf Bundesebene strebt die FDP an, dem Bundesbeauftragten für den Datenschutz und Informationsfreiheit den Status einer obersten Bundesbehörde zu verleihen. […] Um das Datenschutzniveau in der Wirtschaft zu stärken und Betriebsabläufe datenschutzfreundlich zu gestalten, soll die Stellung der betrieblichen Datenschutzbeauftragten institutionell gestärkt werden. Ein einheitliches Berufsbild „betrieblicher Datenschutzbeauftragter“ wird angestrebt.“

Die CDU/CSU formuliert es „weicher“: „Der Bürger muss darauf vertrauen können, dass seine Daten vor Missbrauch geschützt sind. […] Kriminellen Datenhandel werden wir ahnden.[…] Wir wollen einen umfassenden Datenschutz garantieren. [!!] Wir wollen keine unnötigen Datenmengen speichern und kämpfen gegen den „Gläsernen Bürger“. Das Gebot der Verhältnismäßigkeit muss stets gewahrt bleiben.“
„Wahrer“ und „Missbrauchsschützer“ sind nun einmal die betrieblichen und behördlichen Kontrollstellen. Ich vermute allerdings bei der CDU/CSU eine Tendenz zur Stärkung der behördlichen Aufsicht: Nach dem Selbstverständnis des Innenministers kann der Staat besser mit den Daten der Bürger umgehen als die Wirtschaft.

Datenschutzbewusstsein
Wie bringt man seine Bürger dazu, besser auf ihre eigenen Daten zu achten? „Hierzu muss auch jeder Einzelne seinen Beitrag leisten, indem er sparsam und verantwortungsvoll mit seinen personenbezogenen Daten umgeht. Der Staat hat ihn hierbei durch Regelungen zu unterstützen, die Selbstdatenschutz ermöglichen“, meint die FDP. „Kinder sollten bereits früh Medienkompetenz erwerben, um Medienangebote ihrem Alter gemäß kritisch nutzen zu können.“ Die CDU/CSU verspricht: „Gleichzeitig werden wir die Bürger, insbesondere die Jugendlichen, verstärkt für einen verantwortlichen Umgang mit persönlichen Daten sensibilisieren.“
Der Nachholbedarf auf diesem Gebiet ist generationsübergreifend enorm. Über die Schulen könnten Kinder und ihre Eltern erreicht werden; in den Behörden und Unternehmen gibt es mit dem Datenschutzbeauftragten eine Person, zu dessen Aufgaben es ausdrücklich gehört, die „bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.“ (BDSG § 4g). Die Datenschutzbeauftragten müssen dazu Wissen und Möglichkeiten, Ausbildung und Ausstattung bekommen – das wiederhole ich gern gebetsmühlenartig.

Finden sich noch weitere Übereinstimmungen? Ganz nebenbei: Vor vier Jahren war dieser Vergleich noch gar nicht möglich, denn im CDU/CSU-Wahlprogramm von 2005 kam der Begriff „Datenschutz“ überhaupt nicht vor – im Gegensatz zu 13 Treffern für „Terror“. Inzwischen steht es nur noch 5:8, eine deutliche Akzentverschiebung

„Datenschutz gehört ins Grundgesetz“, dem kann sich die Union bis jetzt nicht anschließen. Allerdings schmerzt eine solche Adelung des Grundrechtes auch nicht wirklich und könnte bei passender Gelegenheit medienwirksam verkauft werden. Dem CDU/CSU-Versprechen „Wir wollen einen umfassenden Datenschutz garantieren“ stünde ein Grundrecht auf Datenschutz nicht schlecht zu Gesicht.

Neben dem bekannten Dissenz bei Online-Durchsuchung, Vorratsdatenspeicherung und Internetzensur gibt es also einige Gestaltungsmöglichkeiten für die neue Koalition. Bleibt zu hoffen, dass die Verhandlungspartner im Streit um die Problemzonen nicht das Kind mit dem Bade ausschütten.

Er ist im Schnitt 41 Jahre und schon zehn Jahre in der Firma – Verräter von Dienstgeheimnissen oder Wirtschaftsspione kommen zu 70 Prozent aus dem eigenen Unternehmen, ergab eine Studie zur Wirtschafts- und Industriespionage in Baden-Württemberg, die am Freitag in Karlsruhe bei der Sicherheitsmesse SAFEKON vorgestellt wurde. Externe Täter hatten im Schnitt seit sechs Jahren eine Geschäftsverbindung. Bei Verstößen gegen das Urheberrecht kommen die Täter aber am häufigsten aus Asien, gefolgt von deutschen und westeuropäischen Firmen-Spionen, so die Untersuchung, die unter anderem vom Ferdinand-Steinbeis-Institut erarbeitet wurde.

Was mich erschreckt, ist die himmelschreiende Selbsttäuschung bezüglich der eigenen Mitarbeiter:

Insgesamt zeigt sich, dass der Verrat von Geschäfts- und Betriebsgeheimnissen typischerweise von unternehmensnahen Tätern begangen wird. Dennoch schätzen die Unternehmen ihr Risiko, dass ihre Geschäfts- und Betriebsgeheimnisse ausgespäht oder verraten werden, durch technische Angriffe (24%) weitaus höher ein, als durch interne Mitarbeiter/Manager (9%) oder externe Personen/Unternehmen (8%).

Fast zwei Drittel (64%) halten es sogar für unwahrscheinlich, dass eigene Mitarbeiter/Manager betroffen sein könnten. Dies ist eine folgenschwere Fehleinschätzung, wie die Studie belegt. Die größte Tätergruppe stammt aus dem eigenen Unternehmen (44%).

Quelle: SiFo-Studie 2009

Hier hat wohl jemand Paul Baehr wörtlich genommen:

Ja, teurer Freund, du hast sehr recht:
Die Welt ist ganz erbärmlich schlecht,
ein jeder Mensch ein Bösewicht.
Nur du und ich natürlich nicht.

Wer nur von zufriedenen, zuverlässigen und fachkundigen Mitarbeitern und Geschäftspartnern umgeben ist, braucht sich natürlich auch nicht um Sensibilisierung und Sicherheitskonzepte kümmern:

Bedenklich ist außerdem: Schulungen zur Sensibilisierung der Mitarbeiter zum Thema Schutz von Unternehmens-Know-how sind bei weniger als jedem dritten Unternehmen vorhanden (29%) und nur 8% beabsichtigen diese einzuführen. Gleiches gilt für die Einbindung von Geschäftspartnern und Subunternehmern in das Sicherheitskonzept (vorhanden 22%, geplant 5%) oder die Einführung eines Hinweisgebersystems (vorhanden 19%, geplant 7%).

Spätestens hier sind die Parallelen zur aktuellen Datenschutzdiskussion offensichtlich, schließlich liegen die Bereiche eng beieinander.

Wir brauchen informierte und selbst-bewusste Mitarbeiter. Aus der Wahrnehmung und Achtung der eigenen Grundwerte und Grundrechte wächst die Bereitschaft und oft auch die Fähigkeit zum Schutz der Unternehmenswerte. Betriebliche Datenschutzbeauftragte sollen in ihrem Bereich einen Beitrag dazu leisten. Das können sie nur, wenn sie entsprechend ausgebildet und ausgerüstet sind. Die neue butterweiche Fortbildungsverpflichtung im BDSG ist nur ein erster Schritt.

Die “Einbindung von Geschäftspartnern und Subunternehmern in das Sicherheitskonzept” gehört aktuell zum Datenschutzalltag vieler Datenschutzbeauftragter: Spätestens seit dem 01.09.2009 werden überall die angestaubten Verträge zur Auftragsdatenverarbeitung aus den Schubläden geholt und – optimistisch gesehen – mit Leben erfüllt. T-Mobile-Skandal und Gesetzesnovelle sei Dank.

Aus Datenschutzsicht ist von einer schwarz-gelben Regierung mehr zu erwarten als von der halbherzig reagierenden Großen Koalition. Dafür sprechen nicht nur die Wahlprogramme – man vergleiche die Menge und die Qualität der Aussagen zum Datenschutz bei FDP und SPD. Die FDP verfügt auch über mehrere erfahrene Fachpolitiker im Parlament. Die Frage wird sein, inwieweit sich die Grund- und Bürgerrechtsbewegten im Regierungsalltag gegenüber dem Wirtschaftsflügel durchsetzen können.

Ich bin auf den Koalitionsvertrag gespannt, auch wenn mich die Erfahrung mit dem 11 Jahre versprochenen Arbeitnehmerdatenschutzgesetz skeptisch gegenüber diesen Wunschfahrplänen gemacht hat.
In den Verhandlungen werden die in vielen Fragen unterschiedlich geladenen Forderungswolken aufeinander prallen. Es wird krachen zwischen den Partnern – am Ende aber hoffentlich einen belebenden Regen geben. Und wenn die eine oder andere Rechtsvorschrift der letzten Jahre vom Blitz getroffen wird, ist das auch nicht schlecht.