Ganz nebenbei: Die bisherigen 30 Symposien waren mir nicht aufgefallen; ich weiß auch erst seit heute, wo Triberg liegt. Weder der Wikipedia-Eintrag noch die Homepage von Triberg weisen auf das Symposium hin.

Die Medien pickten sich Peter Schaars Äußerungen zum “Quick Freeze Plus” heraus. Ich fand im Heise-Artikel eine andere Aussage hochinteressant. Der baden-württembergische Justizminister Ulrich Goll meinte u.a.:

Goll schilderte seiner Beobachtung, wonach alle Datenschützer, die länger im Amt seien, einen “Prozess der Radikalisierung” durchlaufen würden angesichts der Erfahrung, wie lässig der Datenschutz in Deutschland mitunter gehandhabt werde. Sein “Aha-Erlebnis” habe er bei der Diskussion um den elektronischen Einkommensnachweis ELENA gehabt, bei dem Daten auf Vorrat für künftige Abfragen von Sozialbehörden gespeichert werden. “Ich habe gedacht, ich bin im falschen Film”, sagte Goll.

Genau das stelle ich sowohl bei mir als auch bei meinen datenschutzberatenden Kollegen fest: Bei manchen professionellen Datenschützern kommt es zur Abstumpfung (“Kohle machen. Wir können eh nichts ändern.”). Bei der Mehrzahl (nach meinen Erfahrungen) weiten sich die Pupillen von Jahr zu Jahr.  Datenschutz wird “mehr als ein Job”, wird zur Passion -bis hin zum missionarischen Auftrag, bis hin zu einer gewissen … Radikalität. Gelegentlich. In neun von zehn Fällen sind wir Datenschutzbeauftragte inzwischen geübte Kompromiss-Finder und Gratwanderer. Aber ab und zu zeigen wir wirklich unsere Zähne. Dafür liebe ich diesen Job

Der Bericht zum Symposium auf dem “Justizportal BW” zitiert die Rede von Minister Goll an vielen Stellen – die Aussage über “radikalisierte Datenschutzbeauftragte” fehlt dort leider. Schade.

An einigen Stellen wurde gegenüber den Ausschussbeschlüssen zurückgerudert – das gehört zum politischen Geschäft. In die nächste Runde hat es u.a. folgende Forderung geschafft:

[BDSG] § 4f wird folgender Absatz angefügt:
“(6) Soweit eine Interessenvertretung keine andere Person betraut, nimmt der Beauftragte für den Datenschutz nach Absatz 1 die datenschutzrechtliche Kontrolle der Interessenvertretung wahr. Dabei unterliegt der Beauftragte für den Datenschutz der Geheimhaltung.”‘

Die guten Nachrichten: Der Bundesrat will die bisher ungeklärte datenschutzrechtliche Kontrolle der Interessenvertretungen regeln. Diese Kontrolle soll “eigentlich” der Beauftragte für den Datenschutz  übernehmen. Darüber habe ich mich zurecht gefreut.

Die weniger gute Nachricht steht am Anfang der Forderung: “Soweit eine Interessenvertretung keine andere Person betraut, …”  Als kritischer Datenschutzbeauftragter frage ich mich: Was soll das für eine Person ein? Die Begründung führt dazu u.a. aus

[...] In Ergänzung des Aufgabenbereichs des Beauftragten für den Datenschutz wird dazu eine Auffangzuständigkeit für die Überwachung des Datenschutzes bei der Interessenvertretung begründet, soweit diese ihr Wahlrecht zur Übertragung der Datenschutzkontrolle an den betrieblichen oder behördlichen Datenschutzbeauftragten, einen eigenen Beauftragten oder einen externen Dritten nicht ausübt. Ein von der Interessenvertretung benannter Datenschutzbeauftragter unterliegt allerdings nicht den Statusvorschriften des § 4f BDSG (z. B. Kündigungsschutz).

Wir wissen also, welchen Vorschriften der “von der Interessenvertretung benannte Datenschutzbeauftragte” nicht unterliegt. Im § 4f BDSG geht es aber nicht nur um den Kündigungsschutz des Beauftragten, sondern auch um so wesentliche Dinge wie die geforderte Zuverlässigkeit und Fachkunde. Die Anforderungen “irgendwie” erfüllen müssen – den Statusvorschriften nicht unterliegen – wie soll das funktionieren? Nach der wenig hilfreichen “kleinen Fachkunde” (“Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet.”) droht aus meiner Sicht jetzt die Mini-Fachkunde. Das Nur-Betriebsrats-Datenschützerlein. Ein Alibi-Posten. Lass Dich darauf nicht ein, Bundestag!
Eine Einschränkung lasse ich gelten: Wenn die Interessenvertretung selbst “groß genug” für einen eigenen Datenschutzbeauftragten ist, kann sie sich einen leisten. Dann aber bitte einen richtigen…

Jetzt liegt der Ball auf dem Feld des Bundestages. Die nächsten Plenarsitzungen finden vom 24.-26.11. statt.

Der Berufsverband der Datenschutzbeauftragten (BvD) e.V. erhofft sich deutliche Signale vom angekündigten Vier-Augen-Gespräch zwischen dem neuen Bundesinnenminister Thomas de Maiziére und dem Bundesdatenschutzbeauftragten Peter Schaar. Die Aussagen im Koalitionsvertrag und erste Äußerungen de Maiziéres zum Datenschutz klingen vielversprechend, müssen aber zügig in Recht und Praxis umgesetzt werden.

Der BvD-Vorstand teilt die Ansicht des Bundesdatenschutzbeauftragten, dass die Auslegungsspielräume des veralteten Datenschutzrechts und die ungenügenden Vorgaben an den Beruf des Datenschutzbeauftragten die ordnungsgemäße Überwachung von Datenverarbeitungsvorgängen vor praktische Schwierigkeiten stellt.

Der BvD schließt sich der Erwartungshaltung der Aufsichtsbehörden an die neue Bundesregierung an, dass vor allem für die Verarbeitung von Daten im Beschäftigungsverhältnis umgehend neue Vorgaben gemacht werden, um den Ausgleich zwischen Unternehmen und Beschäftigten rechtssicher herzustellen. „Bluttests, GPS-Ortung, RFID-Chips oder mobile Endgeräte sind ungeklärte Datenschutzthemen im Beschäftigtenverhältnis“, so Thomas Spaeing, Vorsitzender des Berufsverbandes.

Marco Biewald, stellvertretender Vorsitzender, betont: „Nach Datenschutzskandalen steigt die Sensibilität für den richtigen Umgang mit Daten in Unternehmen zunehmend, derzeit müssen betriebliche Datenschutzbeauftragte aber die Lücken des Gesetzes durch eigene Standpunkte füllen.“ Konkrete Fragen („Darf ich oder darf ich nicht“) müssen mangels konkreter gesetzlicher Vorgaben weiter mit Interessensabwägungen und Angemessenheitsprüfungen entschieden werden. „Die Bewertung führt bei jedem Unternehmen zu einem anderen Ergebnis.“, so Biewald dazu. „Hier erwarten unsere Mitglieder klare Regelungen.“

Ob Datenschutz im Unternehmen als Last empfunden wird oder vorteilhaft umgesetzt werden kann, hängt in hohem Maße von der Kompetenz des Datenschutzbeauftragten ab. Der BvD teilt die Ansicht Peter Schaars, der fehlende Definitionen zum Beruf des Datenschutzbeauftragten festgestellt und ein entsprechendes Berufsbild gefordert hatte, das gesetzlich verankert werden könnte.

Der Berufsverband hat längst vorgelegt: Sein im September verabschiedetes berufliches Leitbild definiert bundesweit erste Maßstäbe und wurde auch vom Bundesdatenschutzbeauftragten begrüßt. „Wir warnen deutlich davor, sich nach einem Schnellkurs bei ominösen Seminaranbietern zum Datenschutzbeauftragten bestellen zu lassen“, betont Thomas Spaeing, Vorsitzender des Berufsverbandes. „Es besteht Konsens zwischen Berufsverband, Aufsichtsbehörden und Politik, dass Datenschutzbeauftragte bestimmte Qualifikationen besitzen müssen. Welche das sind, legen diese Stellen fest, nicht ein beliebiger Seminaranbieter!“

Du willst meine Seele speichern
um dich daran zu bereichern
Nichts an mir ist dir egal
du schlägst aus allem Kapital

Aber die Behauptung, das neue Google Dashboard habe nichts mit Datenschutz zu tun, halte ich für unbedacht, vielleicht sogar populistisch.

Ja, das Dashboard bündelt nur, was vorher bereits im Einzelnen zu sehen war:

Neue Informationen darüber, was über einen gespeichert wird, liefert Dashboard nicht. Alle Einstellungsmöglichkeiten gibt es längst bei den einzelnen Anwendungen wie Blogger, Google Alerts, Kalender, Mail oder Reader. Man kann sie nun lediglich auf einen Blick erkennen.

(Kai Biermann auf ZEIT online)

Ist das nun schon “Datenschutz” oder nicht? Ja, denn die Auskunft über gespeicherte Daten ist eine wesentliche Voraussetzung, damit ich mein Selbstbestimmungsrecht wahrnehmen kann. Ja, denn Google realisiert, wozu viele andere Datenverarbeiter nicht willens oder in der Lage sind.

Womit beginnt ein neuer Datenschutzbeauftragter seine Tätigkeit in einem Unternehmen oder einer Behörde? Vereinfacht gesagt: Er verschafft sich einen Überblick über die vorhandenen Datenverarbeitungen und verfolgt dabei wie ein digitaler Rutengänger die Datenströme im Haus und außerhalb. Als guter Datenschutzbeauftragter setzt er dabei gleich seine Prüferbrille auf: Rechtmäßigkeit? Erforderlichkeit? Zugriffsrechte? Die Liste ist lang.

Ein Ergebnis seiner Bemühungen ist das  Verfahrensverzeichnis nach § 4g Absatz 2  BDSG. Die Übersicht bündelt einige grundlegende Angaben über den Datenbestand des Unternehmens. Ein  Ziel des Gesetzgebers war es, betroffenen Mitarbeitern oder Kunden einen schnellen Überblick über potentielle Datenbestände zur eigenen Person zu verschaffen, sozusagen eine Vorstufe des konkreten Auskunftsanspruches. Deshalb soll dieses Verzeichnis “auf Antrag jedermann in geeigneter Weise verfügbar” gemacht werden.

Über Sinn und Unsinn von Verfahrensverzeichnissen kann man streiten. Praktisch ist das Modell aus meiner Sicht gescheitert, die meisten Verzeichnisse sind nur Makulatur.

Der Umweg zur Datenauskunft über zentrale Datenregister, Meldepflichten und öffentliche Verfahrensverzeichnisse stammt noch aus einer Zeit vor der allgemeinen Verbreitung des Internets. Heute kann und sollte ich meine Rechte als Betroffener direkt wahrnehmen; zwei Aspekte dabei:

Unternehmen müssen in der Lage sein, mir auf einfache Weise einen Überblick über meine gespeicherten Daten (incl. Herkunft und Weitergabe)  zu geben. Schnell, kostenlos. Der Zugriff darf nur authorisiert erfolgen.

Insbesondere will ich selbst bestimmen, über welche Kanäle ich beworben werde, ob meine Daten weitergegeben werden und an wen. Notwendig dazu ist ein Einwilligungsmanagement durch den Anbieter, damit ich nachvollziehen kann: Wann habe ich wie zugestimmt? Wie kann ich widerrufen?  Beispiel Quelle-Insolvenz: Es sollte mich zukünftig keinen Musterbrief, sondern nur drei Klicks kosten, um mich aus der Kundendatenbank zu verabschieden.

Vermutlich sind die im Google Dashboard dargestellten Daten nur die Spitze des Eisberges. Deshalb müssen neben die Auskunftsansprüche der Betroffenen auch regelmäßige Kontrollen der Aufsichtsbehörden treten, meinetwegen auch Zulassungsverfahren oder Zertifizierungen.

Dennoch sollte seine Übersichtlichkeit als Vorbild für andere Großdatenverarbeiter dienen.  Beispiel SAP: Versuchen Sie mal, Ihre Betroffenenrechte gegenüber einem SAP-ERP-System durchzusetzen, egal ob als Unternehmensmitarbeiter oder Kunde. Die Seiten 60-65 im “Leitfaden Datenschutz SAP ERP 6.0 ” der DSAG beschreiben nüchtern, was alles NICHT möglich ist; z.B:

“Es gibt im SAP-Standard keinen Report, der sozusagen auf Knopfdruck alle zu einer Person gespeicherten Daten für die Auskunftserteilung oder zur Benachrichtigung eines Betroffenen anzeigt oder ausdruckt.”

“Es gibt keine Standardfunktion, die den Zugriff auf historische Daten mit personenbezogenen Angaben, die nur noch aus Gründen der Aufbewahrungspflichten gespeichert werden, beschränkt – auch wenn alle buchhalterischen Abschlusstätigkeiten erledigt sind.”

“Explizite Funktionen zur Sperrung von Daten einzelner Personen sind im SAP ERP-System z. Z t. nicht vorhanden.”

In vielen komplexen Unternehmen und Anwendungen sieht es nicht besser aus. Personendatenbestände lagern verstreut in den verschiedensten Datenbanken. Das erschwert Auskünfte , Werbewidersprüche, Löschungen, aber auch durchgehende Zugriffsberechtigungskonzepte (und erleichtert gleichzeitg unkontrollierten Datenabfluss).

Meine Daten im Überblick: Was im kleinen Online-Shop noch funktionieren kann (aber nicht muss), wird in Sozialen Netzwerken schon schwierig, bei ERP- oder Krankenhausinformationssystemen zur Sisyphosarbeit und beim Cloud Computing fast unmöglich.
Google Dashboard schlägt sich in diesem Vergleich wacker, sollte aber nicht die letzte Werbebotschaft in puncto Transparenz und Datenschutz bleiben.

Ist es auch nicht. Netzpolitik schreibt selbst etwas zum Thema “Wie geht man mit Sicherheitslücken um?”. Als Datenschützer ergänze ich flink die zuständigen Datenschutzaufsichtsbehörden und gebe noch ein paar Hinweise.

Wer diesen Artikel liest, kennt Blogs. Wichtige Datenschutzblogs finden sich in meiner Blogroll. Für die einfache Publizierung einer Datenpanne empfehle ich zusätzlich den Eintrag beim “Projekt Datenschutz“.

Wird bei Datenpannen oder Beschwerden gern übersehen: Für Klärungen und Fragen kann man sich direkt an den entsprechenden betrieblichen Datenschutzbeauftragten der betroffenen Unternehmen wenden: Sie müssen von außen problemlos erreichbar sein (telefonisch verbinden lassen) und sind nach dem Bundesdatenschutzgesetz zur Verschwiegenheit über die Identität des Betroffenen verpflichtet. Aus dem BDSG §4f:

4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.
[...]
(5) [...] Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.

Aber jetzt zu den Aufsichtsbehörden – Kontaktinformationen jeweils verlinkt:

Zuerst sollte man wissen, daß in einigen Bundesländern die Datenschutzaufsicht für den “öffentlichen Bereich” (vereinfacht: Behörden) und für den “nicht-öffentlichen Bereich”(Unternehmen, Vereine, Verbände, Parteien) getrennt sind.

Wer von dort eine schnelle Antwort will, sollte telefonisch Kontakt aufnehmen. Hängt einfach mit der chronischen Unterbesetzung der meisten Aufsichtsbehörden zusammen

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist zuständig für “öffentliche Stellen des Bundes” sowie für die “nicht-öffentlichen” Unternehmen im Bereich Telekommunikation und Postdienst.  Dazu kommen die Unternehmen, die unter das Sicherheitsüberprüfungsgesetz fallen.

Die Landesdatenschutzbeauftragten der Bundesländer sind zuständige Ansprechpartner, wenn es um den Datenschutz im Bereich der Verwaltungen der Länder und der Gemeinden geht.

Die Aufsichtsbehörden für den so genannten “nicht-öffentlichen Bereich” in den einzelnen Bundesländern sind zuständig, wenn es um Datenschutzbelange im privaten Wirtschaftsbereich geht. Ausnahme: Telekommunikations- und Postdienstunternehmen -die beim BfDI – siehe oben.

Es gibt noch ein paar weitere Sonderfälle: Im Bereich des öffentlich-rechtlichen Rundfunks können Anfragen und Beschwerden an den Rundfunkdatenschutzbeauftragten der jeweiligen Senderanstalt gerichtet werden. Ausnahmen: In den Ländern Berlin, Brandenburg, Bremen und Hessen sind für den Datenschutz im Verwaltungsbereich die jeweiligen Landesdatenschutzbeauftragten zuständig.

Zu guter Letzt haben die Kirchen eigene Datenschutzgesetze und enstsprechende Aufsichtsgremien.

Bei Problemen mit ausländischen Unternehmen sind die deutschen Aufsichtsbehörden je nach Einzelfall vielleicht nicht zuständig, helfen aber weiter.

Wem das alles zu kompliziert wird, der schreibt mir einfach eine Mail oder einen Kommentar zu diesem Artikel

Ursache: Mangelnde Resonanz.

Eingeladen waren insbesondere Datenschutzbeauftragte und Verantwortliche aus dem Bereich der Telekommunikation…
Am Ort, Preis und am Programm kann es kaum gelegen haben.  Ich will den Ausfall nicht überbewerten, aber er wirft zumindest kein gutes Licht auf den Veränderungswillen der TK-Branche.

Stell Dir vor, es ist Datenschutz – und keiner geht hin.

Die Anschriften fehlen (noch) im Blog:

Deutsche Postbank AG
Friedrich-Ebert-Allee 114 – 126
53113 Bonn

Deutsche Postbank AG
Zentraler Datenschutzbeauftragter
Postfach 40 00
53105 Bonn

Rechtsvereinfachung: “Hierzu werden wir das Bundesdatenschutzgesetz unter Berücksichtigung der europäischen Rechtsentwicklung lesbarer und verständlicher machen sowie zukunftsfest und technikneutral ausgestalten.” In diesem Zusammenhang hat sich auch meine Vermutung bestätigt, dass es kein separates Arbeitnehmerdatenschutzgesetz geben wird: “Hierzu werden wir den Arbeitnehmerdatenschutz in einem eigenen Kapitel im Bundesdatenschutzgesetz ausgestalten.”
Die Aussagen versprechen nichts weniger als den großen Wurf: eine komplette Überarbeitung des Bundesdatenschutzgesetzes in Richtung eines Datenschutzgesetzbuches. Mutig, mutig – und überfällig. Hier sollte die Koalition nicht zu spät starten – der Weg wird lang genug. Nach der neuen Regierungs-Gemengelage dürfte ein Entwurf dazu eher aus dem Justizministerium als aus dem Innenministerium zu erwarten sein.
Schade, dass seit dem Gutachten von Roßnagel, Pfitzmann und Garstka (“Modernisierung des Datenschutzrechts”) schon wieder 8 Jahre vergangen sind.

Datenschutzkontrolle: Der Koalitionsvertrag verspricht: “Wir werden beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die personelle und sächliche Ausstattung verbessern. Die Unabhängigkeit
der Datenschutzaufsicht steht für uns dabei im Mittelpunkt.” Die Bundesregierung kann selbst nur für den BfDI reden (und hoffentlich auch handeln) – dennoch ist das ein Signal auch an die Landesfürsten. Hier können schnell Ergebnisse erzielt werden.
Ein dicker Wermutstropfen ist der fehlende Bezug zur Stärkung der betrieblichen und behördlichen Datenschutzbeauftragten, wie auch Jens Ferner seufzend feststellt:

[...] anmerken möchte ich aber, dass es schade ist, dass man erneut die Gelegenheit verschlafen wird, die Position “Datenschutzbeauftragter” allgemeinverbindlich zu normieren bzw. ein Gütesiegel zu schaffen – evt. wird die genannte Stiftung diese Lücke mal ausfüllen, doch wird das sicherlich Zeit kosten.

Aussagen zum Datenschutzbewusstsein finden sich gleich an mehreren Stellen, so soll die “Stiftung Datenschutz” die “Bildung im Bereich des Datenschutzes” stärken und “den Selbstdatenschutz durch Aufklärung verbessern”. Damit dürfte auch klar sein, wer aus Sicht der Bundesregierung folgende Aufgabe übernimmt: “Wir wollen deshalb die Sensibilität und Selbstverantwortung der Bürgerinnen und Bürger für ihre eigenen Daten stärken.” Eine “Stiftung Datenschutz” macht Sinn, wenn sie nicht nur Stempelchen für Internetseiten verteilt, dazu in Kürze mehr auf diesem Blog.

Gleichlautend sind einige Aussagen im Abschnitt “Informations- und Mediengesellschaft” des Koalitionsvertrages: “Wir werden dabei insbesondere unser Augenmerk auf Aufklärung legen. Die Sensibilität für den Schutz der eigenen Daten muss gestärkt, der Selbstdatenschutz erleichtert werden, um Datenmissbrauch vorzubeugen. Wir werden deshalb prüfen, wie durch die Anpassung des Datenschutzrechts der Schutz personenbezogener Daten im Internet verbessert werden kann, erwarten dabei aber auch von jedem Einzelnen einen verantwortungsvollen Umgang mit seinen persönlichen Daten im Internet.” Dabei gefällt mir besonders die Aussage, dass der Selbstdatenschutz nicht nur “gestärkt”, sondern “erleichtert” werden soll. Das bedeutet in der Praxis zum Beispiel ein Umdenken bei Programm- und Leistungsanbietern in Richtung datenschutzfreundlicher Produkte und Dienstleistungen (Stichworte Datensparsamkeit, Pseudo- und Anonymisierung); aber auch allgemein mehr Transparenz, ohne die keine – ebenfalls verstärkt geforderten – informierten und freiwilligen Einwilligungen möglich sind.
Deutlich wird hierbei: Datenbesitzer und Datenverarbeiter, verantwortliche Stelle und Betroffener – beide Seiten müssen ihren Beitrag leisten.

Reflexartig wiederhole ich meine Ansicht, dass ein wesentlicher Beitrag für ein stärkeres Datenschutzbewusstsein von den betrieblichen und behördlichen Datenschutzbeauftragten vor Ort geleistet werden kann (sofern sie dazu in der Lage sind bzw. in die Lage versetzt werden).

Kleiner Exkurs: Zur Verantwortung der Anbieter findet sich an anderer Stelle eine interessante Bemerkung: “Wir werden die Haftung von System- und Diensteanbietern für die IT-Sicherheit ihrer Angebote anpassen, um einer unbilligen Abwälzung von Risiken auf die Endanwender vorzubeugen.” Gleiches sollte für die Verpflichtung zu datenschutzfreundlichen Angeboten gelten; ich erinnere hier an die jüngsten Aussagen der 78. Konferenz der Datenschutzbeauftragten zum Datenschutz bei Krankenhausinformationssystemen.

Fazit: Insgesamt finden sich einige Lichtblicke für den Datenschutzalltag. Halten wir als Datenschutzpraktiker und datenschutzsensibilisierte Netzgemeinde die Augen offen, aber nutzen wir auch die Ansatzpunkte für eine konstruktive Zusammenarbeit.

Nach Aussagen des Berliner Beauftragten für Datenschutz und Informationssicherheit will die Deutsche Bahn zukünftig eine Modellfunktion in Sachen Datenschutz übernehmen. Diese Entscheidung wird vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. ausdrücklich unterstützt.

Während die Deutsche Bahn als Quittung für mangelhaften Kundendatenschutz 2007 den BigBrotherAward kassierte und der rechtwidrige Umgang mit Mitarbeiterdaten 2009 zu einem Bußgeld von 1,1 Mio Euro führte, hat der neue Unternehmensvorstand nun den Datenschutz zu einer seiner obersten Prioritäten erklärt und sich hohe Ziele gesetzt: Man will „nicht nur die vorgeschriebenen technischen und organisatorischen Vorkehrungen gegen datenschutzrechtliche Verstöße treffen, sondern darüber hinaus in Sachen Datenschutz eine Modellfunktion übernehmen.“

Der BvD begrüßt, dass in immer mehr Großunternehmen eine Neubewertung des Datenschutzes stattfindet: Lange Zeit als bürokratisches Hemmnis und Kostenfaktor abgetan, wird zunehmend seine tragende Rolle beim Aufbau und Erhalt einer Vertrauensbeziehung zu Kunden und Mitarbeitern wahrgenommen.

Ausdrücklich würdigt der BvD die angekündigte Stärkung des Konzerndatenschutzbeauftragten. Der betriebliche Datenschutzbeauftragte stellt die gesetzlich normierte, innerbetriebliche Kontrollinstanz dar. Eine enge Anbindung von qualifizierten und zuverlässigen betrieblichen Datenschutzbeauftragten an die Informationsflüsse des Unternehmens und seine Entscheidungsträger ist ein entscheidender Beitrag für eine rechtskonforme, effiziente Datenverarbeitung und hilft bei der Vermeidung imageschädigender Datenschutzpannen und –skandale.

Der BvD appelliert an große und kleine Unternehmen, aus den Ereignissen rund um die Deutsche Bahn zu lernen und auf die richtige Einbindung ihrer Datenschutzbeauftragten zu setzen. Eine bloße Bestellung reicht nicht aus. Mit dem im September verabschiedeten „Beruflichen Leitbild des Datenschutzbeauftragten“ gibt der BvD Unternehmen und Datenschutzbeauftragten gleichermaßen eine Orientierung.

Interessant finde ich die Aussagen zur zukünftigen Vorbildrolle der Bahn:

Der neue Unternehmensvorstand hat demgegenüber den Datenschutz zu einer seiner obersten Prioritäten erklärt. Positiv hervorzuheben ist, dass jetzt der Datenschutz auf höchster Management-Ebene in einem eigenen Vorstandsressort „Compliance, Datenschutz und Recht“ angesiedelt ist. Das Unternehmen hat sich zum Ziel gesetzt, nicht nur die vorgeschriebenen technischen und organisatorischen Vorkehrungen gegen datenschutzrechtliche Verstöße zu treffen, sondern darüber hinaus in Sachen Datenschutz eine Modellfunktion zu übernehmen. Ein erster Schritt hierzu ist die eingeleitete Stärkung des Konzerndatenschutzbeauftragten. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, begrüßt diese Entwicklung ausdrücklich.

Datenschutzmodel(l) Deutsche Bahn – daran muss ich mich erst gewöhnen. Positiv anzumerken ist die Erwähnung der “eingeleiteten Stärkung des Konzerndatenschutzbeauftragten”.  Der betriebliche Datenschuztzbeauftragte ist nun einmal die gesetzlich verankerte Instanz – die man leider zu oft am ausgestreckten Arm zappeln lässt.

Die bußgeldbestraften kriminellen Abenteuer der Bahn betrafen vor allem Mitarbeiterdaten. Ich bin insbesondere gespannt, wie sich die neue Linie auf den Umgang mit Kundendaten auswirkt:

Schon vor den Skandalen im letzten Jahr hatte sich die DB nicht mit Ruhm bekleckert und im Jahr 2007 den BigBrotherAward erhalten. Die damalige Laudatio ist lesenswert – u.a. an der wiedergeschaffenen Möglichkeit zum anonymen Reisen müssen sich die angekündigten Bemühungen der Bahn in Zukunft messen lassen.

[Update 23.10.2009] In einer Presseerklärung der Bahn ist von der Vorbildfunktion nichts zu lesen. Allerdings will man bis Ende November mit dem Betriebsrat neue Leitlinien zum Arbeitnehmerdatenschutz vereinbaren.

Kann man machen, wenn man sich auf solche Tipps beschränkt wi:

• “Prüfungskriterium: Die Programme zur Verarbeitung personenbezogener Daten enthalten die Funktionen, um die Einwilligung richtig zu verwalten. Reaktion bei nein: keine Verarbeitung, neue Software beschaffen.”
  OK, welches CRM kaufe ich denn heute ein? Oder

• “Prüfungskriterium: Werden die Daten (für die Erfüllung der Aufgaben) benötigt, ist die Speicherung auf die Inhalte begrenzt, die zur Erfüllung der Aufgaben notwendig sind (Datensparsamkeit). Reaktion bei Nein: Datenbestand und Abläufe prüfen” – und was mache ich am Nachmittag?

Richtig böse werde ich als Datenschutzbeauftragter bei den Fragen 14 und 16:

• Frage 14 “Prüfungskriterium: Das Unternehmen hat keinen betrieblichen Datenschutzbeauftragten (DSB). Reaktion bei Ja: weiter bei Frage 17″
  Eine Reaktion bei Nein ist auf der Liste nicht zu finden

Und der Hammer:

• Frage 16 “Prüfungskriterium: Der verschärfte Kündigungsschutz des betrieblichen DSB stellt ein Problem dar. Reaktion bei Ja: neuen DSB benennen.”

Da wird der alte Datenschutzbeauftragte mal eben weggecheckt. Hätte er sich doch nur ruhig verhalten…

Das Schlimme: Die Checkliste wird sicher tausendfach runtergeladen (kostenlos!) und hier und da zum Einsatz kommen. Grund genug, sich wieder einmal über die zunehmende Checklistengläubigkeit aufzuregen, auch unter Datenschutzverantwortlichen und Datenschutzumsetzern.

Verwende keine Checkliste, die Du nicht selbst erstellt oder geprüft hast.

Zitate:

• Der Staat, Unternehmen und jeder Einzelne werden sich daran gewöhnen müssen, mit Daten anders umzugehen, als zu der Zeit, in der man alles in einem Leitz-Ordner abgeheftet hat.
• Bei Google tauchen manchmal Informationen wieder auf, die man schon lange vernichtet zu haben glaubt – weil sie an mehreren Orten zugleich gespeichert wurden.
• Frage: Was sagen Sie als Techniker – wäre, was der Telekom passiert ist, überhaupt zu verhindern? Seipenbusch: Natürlich kann man das. Es kostet nur etwas Geld. Man könnte mit einer Handvoll Leuten ein System erzeugen, in dem die Daten sicher verschlüsselt sind. [Anmerkung Datenschutzalltag: Weit aus dem Fenster gelehnt] Hinzu kommt, dass Sicherheit meist am Ende einer Entwicklung drangeklatscht wird. [Anmerkung Datenschutzalltag: Volle Zustimmung!]
• ..in gewisser Hinsicht ist tatsächlich Medienkompetenz das größte Problem bei dieser Sache. Die Menschen müssen auch die technische Kompetenz haben, um zumindest ansatzweise zu überblicken, wozu was sie da zustimmen.
• Frage: …Nennen Sie doch einmal zwei bis drei Punkte, die der Gesetzgeber künftig sicherstellen müsste. Seipenbusch: Das Wichtigste ist, dass es keine Weitergabe an Dritte ohne das Einverständnis oder die Information des Kunden gibt. [Anmerkung Datenschutzalltag: Ich erinnere an das Geschacher um das Listenprivileg. Am Ende weichgespült] Zweitens muss viel zahlen, wer dagegen verstößt. Es muss Handlungsdruck auf Unternehmen entstehen, zunächst ein wirtschaftlicher Druck und im Fall der Fahrlässigkeit im großen Stil auch ein strafrechtlicher. [Anmerkung Datenschutzalltag: Volle Zustimmung!] Drittens möchte ich mehr als Stichproben bei den Unternehmen. Ich möchte gerne, dass jemand von der Datenschutzbehörde jeden Tag bei der Telekom steht und in die Datenbanken schaut, um beispielsweise zu prüfen, ob der Text aller SMS gesetzeswidrig gespeichert wird oder nicht. Wenn das keiner macht, dann wird es immer wieder Probleme und Skandale geben.

Genau das “mehr Kontrollen durch Aufsichtsbehörden” will offensichtlich trotz anderslautender Versprechungen niemand; kaum eine Aufsichtsbehörde wurde in den vergangenen Monaten personell deutlich verstärkt.

Mindestens so wichtig: Betriebliche und behördliche Datenschutzbeauftragte in die Lage zu versetzen, dass sie u.a. diese Kontrollfunktion wahrnehmen können. Also Ausbildung, Ausstattung usw.

Datendiebstahl bei SchülerVZ: Vorbeugung statt nur Empörung

Schülerdaten gelangen erneut ins Visier von Datendieben. Aus diesem Anlass weist der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. auf Defizite bei der Medienerziehung hin.

„So sinnvoll und hilfreich das Web 2.0 auch ist, es birgt etliche Gefahren, deren sich unsere Kinder nicht mal ansatzweise bewusst sind. Leider sind auch Eltern und Lehrer damit sehr häufig überfordert.“, meint Thomas Floß, Leiter des Arbeitskreises „Datenschutz geht zur Schule“ beim BvD.

Seit Ende 2008 gibt es diese Initiative des BvD, in der mittlerweile knapp 20 Datenschutzberater aus dem ganzen Bundesgebiet mitarbeiten. Erstes Arbeitsergebnis ist ein Unterrichtskonzept für die Sekundarstufe I. Themen wie SchülerVZ und StudiVZ, Video- und Musikdownloads, Gefahren in Chatrooms etc. stehen hier im Mittelpunkt.

Das neue Konzept soll nach den Herbstferien in NRW, Bayern und Baden-Württemberg in eine erste vierteljährliche Probephase gehen. Danach werden die BvD-Datenschutzexperten ehrenamtlich an den Schulen unterrichten und dabei klare und einfache Verhaltensregeln aufzeigen, um die Schüler, sowie auf Wunsch auch die Eltern und die Lehrer, bezüglich dieser Gefahren deutlich sensibilisieren.

„Die Daten unserer Kinder sind inzwischen ein unschätzbares Wirtschaftsgut. Das zeigt erneut der aktuelle Datendiebstahl bei SchülerVZ.“, so Thomas Floß weiter. „Natürlich müssen auch die Plattformanbieter ihren Beitrag zu mehr Sicherheit leisten. Aber das Hauptproblem liegt unserer Meinung nach im leichtfertigen Umgang mit den eigenen Daten. Hier setzen unsere Sensibilisierungsveranstaltungen an.“

Für Rückfragen von interessierten Schulen und Elternvertretern steht Thomas Floß unter der E-Mailadresse thomas.floss@bvdnet.de zur Verfügung.

Die Koalitionsverhandlungen haben begonnen und mit Recht werden die unterschiedlichen Standpunkte in Fragen der Bürgerrechte und des Datenschutzes als mögliches Spannungsfeld dargestellt, so auch in diesem Blog.

Die grundsätzlichen Differenzen in zentralen Fragen sollen aber nicht über bestehende Gemeinsamkeiten hinwegtäuschen. Ja, es gibt sie, man muss sie nur finden . Legt man die Wahlprogramme beider Parteien nebeneinander, so ergeben sich einige Ansatzpunkte.

Quellen siehe hier: Regierungsprogramm von CDU/CSU – siehe da Deutschlandprogramm der FDP für alle folgenden Zitate.

Rechtsvereinfachung
„Der Bürger muss das Recht verstehen können, wenn er es befolgen soll. Wir fordern ein übersichtlicheres und verständlicheres Recht. CDU und CSU wollen, dass Gesetze und Bescheide der Verwaltung in einer für den Bürger verständlichen Sprache verfasst werden.“ Die Datenschutzgesetzgebung und besonders das Bundesdatenschutzgesetz sind (leider) prägnante Beispiele für unübersichtliche Schwerverständlichkeit. „Die FDP setzt sich für ein modernes, leicht verständliches, übersichtliches und effektives Datenschutzrecht ein. Sie strebt die Verankerung allgemeiner Datenschutzgrundsätze in nur einem Gesetz an. An die Stelle von hunderten von speziellen Gesetzen soll ein neues Bundesdatenschutzgesetzbuch treten.“
Darf man also hoffen? Beide Standpunkte deuten nebenbei an, dass es für ein separates Arbeitnehmerdatenschutz schwer wird, so wichtig klärende Regelungen in diesem Bereich sind und bleiben – und von der FDP konkret gefordert werden.

Datenschutzkontrolle

Die FDP will beide Säulen stärken – Aufsichtsbehörden und Datenschutzbeauftragte. „Die FDP setzt sich dafür ein, die Zersplitterung der datenschutzrechtlichen Aufsichtslandschaft zu beenden und die Unabhängigkeit der Kontrollstellen zu stärken. Auf Bundesebene strebt die FDP an, dem Bundesbeauftragten für den Datenschutz und Informationsfreiheit den Status einer obersten Bundesbehörde zu verleihen. […] Um das Datenschutzniveau in der Wirtschaft zu stärken und Betriebsabläufe datenschutzfreundlich zu gestalten, soll die Stellung der betrieblichen Datenschutzbeauftragten institutionell gestärkt werden. Ein einheitliches Berufsbild „betrieblicher Datenschutzbeauftragter“ wird angestrebt.“

Die CDU/CSU formuliert es „weicher“: „Der Bürger muss darauf vertrauen können, dass seine Daten vor Missbrauch geschützt sind. […] Kriminellen Datenhandel werden wir ahnden.[…] Wir wollen einen umfassenden Datenschutz garantieren. [!!] Wir wollen keine unnötigen Datenmengen speichern und kämpfen gegen den „Gläsernen Bürger“. Das Gebot der Verhältnismäßigkeit muss stets gewahrt bleiben.“
„Wahrer“ und „Missbrauchsschützer“ sind nun einmal die betrieblichen und behördlichen Kontrollstellen. Ich vermute allerdings bei der CDU/CSU eine Tendenz zur Stärkung der behördlichen Aufsicht: Nach dem Selbstverständnis des Innenministers kann der Staat besser mit den Daten der Bürger umgehen als die Wirtschaft.

Datenschutzbewusstsein
Wie bringt man seine Bürger dazu, besser auf ihre eigenen Daten zu achten? „Hierzu muss auch jeder Einzelne seinen Beitrag leisten, indem er sparsam und verantwortungsvoll mit seinen personenbezogenen Daten umgeht. Der Staat hat ihn hierbei durch Regelungen zu unterstützen, die Selbstdatenschutz ermöglichen“, meint die FDP. „Kinder sollten bereits früh Medienkompetenz erwerben, um Medienangebote ihrem Alter gemäß kritisch nutzen zu können.“ Die CDU/CSU verspricht: „Gleichzeitig werden wir die Bürger, insbesondere die Jugendlichen, verstärkt für einen verantwortlichen Umgang mit persönlichen Daten sensibilisieren.“
Der Nachholbedarf auf diesem Gebiet ist generationsübergreifend enorm. Über die Schulen könnten Kinder und ihre Eltern erreicht werden; in den Behörden und Unternehmen gibt es mit dem Datenschutzbeauftragten eine Person, zu dessen Aufgaben es ausdrücklich gehört, die „bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.“ (BDSG § 4g). Die Datenschutzbeauftragten müssen dazu Wissen und Möglichkeiten, Ausbildung und Ausstattung bekommen – das wiederhole ich gern gebetsmühlenartig.

Finden sich noch weitere Übereinstimmungen? Ganz nebenbei: Vor vier Jahren war dieser Vergleich noch gar nicht möglich, denn im CDU/CSU-Wahlprogramm von 2005 kam der Begriff „Datenschutz“ überhaupt nicht vor – im Gegensatz zu 13 Treffern für „Terror“. Inzwischen steht es nur noch 5:8, eine deutliche Akzentverschiebung

„Datenschutz gehört ins Grundgesetz“, dem kann sich die Union bis jetzt nicht anschließen. Allerdings schmerzt eine solche Adelung des Grundrechtes auch nicht wirklich und könnte bei passender Gelegenheit medienwirksam verkauft werden. Dem CDU/CSU-Versprechen „Wir wollen einen umfassenden Datenschutz garantieren“ stünde ein Grundrecht auf Datenschutz nicht schlecht zu Gesicht.

Neben dem bekannten Dissenz bei Online-Durchsuchung, Vorratsdatenspeicherung und Internetzensur gibt es also einige Gestaltungsmöglichkeiten für die neue Koalition. Bleibt zu hoffen, dass die Verhandlungspartner im Streit um die Problemzonen nicht das Kind mit dem Bade ausschütten.

Aus Datenschutzsicht ist von einer schwarz-gelben Regierung mehr zu erwarten als von der halbherzig reagierenden Großen Koalition. Dafür sprechen nicht nur die Wahlprogramme – man vergleiche die Menge und die Qualität der Aussagen zum Datenschutz bei FDP und SPD. Die FDP verfügt auch über mehrere erfahrene Fachpolitiker im Parlament. Die Frage wird sein, inwieweit sich die Grund- und Bürgerrechtsbewegten im Regierungsalltag gegenüber dem Wirtschaftsflügel durchsetzen können.

Ich bin auf den Koalitionsvertrag gespannt, auch wenn mich die Erfahrung mit dem 11 Jahre versprochenen Arbeitnehmerdatenschutzgesetz skeptisch gegenüber diesen Wunschfahrplänen gemacht hat.
In den Verhandlungen werden die in vielen Fragen unterschiedlich geladenen Forderungswolken aufeinander prallen. Es wird krachen zwischen den Partnern – am Ende aber hoffentlich einen belebenden Regen geben. Und wenn die eine oder andere Rechtsvorschrift der letzten Jahre vom Blitz getroffen wird, ist das auch nicht schlecht.