Über das Für und Wider von Selbstverpflichtungen ist in den letzten Monaten heftig gestritten worden; die Gräben verlaufen beispielsweise quer durch das Bundeskabinett. Umso bemerkenswerter fand ich die folgende Meldung ausgerechnet aus den USA, bisher in Datenschutzfragen eher als “Mutterland der Selbstregulierung” bekannt:

Mitarbeiter von US-Präsident Barack Obama entwickeln derzeit eine Strategie, um den Datenschutz im Internet künftig besser durchzusetzen zu können, berichtet das Wall Street Journal (WSJ) unter Berufung auf Regierungskreise. [...]
Einen klaren Abriss der neuen Strategie gibt es bislang offenbar noch nicht. In ersten Überlegungen habe die Obama-Regierung aber angemerkt, dass die Bemühungen zur Selbstkontrolle der Internetwirtschaft für eine Sicherung der Privatsphäre der Nutzer im Netz nicht ausreichten, schreibt das WSJ. Über ein neues “Datenschutzbüro” im Weißen Haus sollten daher jetzt Schritte eingeleitet werden, um das Vertrauen der Bürger in Online-Anwendungen zu erhöhen.

Quelle: Heise

Hoffen wir das Beste! Dass einer der Verantwortlichen ausgerechnet Schroeder heisst (Christopher Schroeder, Leiter des Office of Legal Policy im US-Justizministerium) , werte ich ganz persönlich als gutes Zeichen

Update: Hier ist der Link zum Artikel im Wall Street Journal

Noch ein Update: Fran Maier prognostiziert im TRUSTe-Blog: “Ultimately, I think an effective combination of bottom-up (self-regulatory) and top-down (federal regulation) efforts will carry the day.”

Der Berufsverband der Datenschutzbeauftragten (BvD) e.V. erhofft sich deutliche Signale vom angekündigten Vier-Augen-Gespräch zwischen dem neuen Bundesinnenminister Thomas de Maiziére und dem Bundesdatenschutzbeauftragten Peter Schaar. Die Aussagen im Koalitionsvertrag und erste Äußerungen de Maiziéres zum Datenschutz klingen vielversprechend, müssen aber zügig in Recht und Praxis umgesetzt werden.

Der BvD-Vorstand teilt die Ansicht des Bundesdatenschutzbeauftragten, dass die Auslegungsspielräume des veralteten Datenschutzrechts und die ungenügenden Vorgaben an den Beruf des Datenschutzbeauftragten die ordnungsgemäße Überwachung von Datenverarbeitungsvorgängen vor praktische Schwierigkeiten stellt.

Der BvD schließt sich der Erwartungshaltung der Aufsichtsbehörden an die neue Bundesregierung an, dass vor allem für die Verarbeitung von Daten im Beschäftigungsverhältnis umgehend neue Vorgaben gemacht werden, um den Ausgleich zwischen Unternehmen und Beschäftigten rechtssicher herzustellen. „Bluttests, GPS-Ortung, RFID-Chips oder mobile Endgeräte sind ungeklärte Datenschutzthemen im Beschäftigtenverhältnis“, so Thomas Spaeing, Vorsitzender des Berufsverbandes.

Marco Biewald, stellvertretender Vorsitzender, betont: „Nach Datenschutzskandalen steigt die Sensibilität für den richtigen Umgang mit Daten in Unternehmen zunehmend, derzeit müssen betriebliche Datenschutzbeauftragte aber die Lücken des Gesetzes durch eigene Standpunkte füllen.“ Konkrete Fragen („Darf ich oder darf ich nicht“) müssen mangels konkreter gesetzlicher Vorgaben weiter mit Interessensabwägungen und Angemessenheitsprüfungen entschieden werden. „Die Bewertung führt bei jedem Unternehmen zu einem anderen Ergebnis.“, so Biewald dazu. „Hier erwarten unsere Mitglieder klare Regelungen.“

Ob Datenschutz im Unternehmen als Last empfunden wird oder vorteilhaft umgesetzt werden kann, hängt in hohem Maße von der Kompetenz des Datenschutzbeauftragten ab. Der BvD teilt die Ansicht Peter Schaars, der fehlende Definitionen zum Beruf des Datenschutzbeauftragten festgestellt und ein entsprechendes Berufsbild gefordert hatte, das gesetzlich verankert werden könnte.

Der Berufsverband hat längst vorgelegt: Sein im September verabschiedetes berufliches Leitbild definiert bundesweit erste Maßstäbe und wurde auch vom Bundesdatenschutzbeauftragten begrüßt. „Wir warnen deutlich davor, sich nach einem Schnellkurs bei ominösen Seminaranbietern zum Datenschutzbeauftragten bestellen zu lassen“, betont Thomas Spaeing, Vorsitzender des Berufsverbandes. „Es besteht Konsens zwischen Berufsverband, Aufsichtsbehörden und Politik, dass Datenschutzbeauftragte bestimmte Qualifikationen besitzen müssen. Welche das sind, legen diese Stellen fest, nicht ein beliebiger Seminaranbieter!“

Der Arbeitnehmerdatenschutz muss geregelt werden. Dringend. Nur wie und wo?

Zunächst eine Zusammenfassung des bisherigen Geschehens:

1. In der vergangenen Legislaturperiode konzentrierten sich die Aktivitäten auf das Bundesministerium für Arbeit und Soziales (BMAS). Von dort legte Ex-Minister Olaf Scholz kurz vor Toresschluss der Großen Koalition noch einen – nach meiner Meinung halbgaren – Entwurf für ein Beschäftigtendatenschutzgesetz vor.

2. Im Koalitionsvertrag einigten sich die Regierungsparteien im Oktober darauf, den Arbeitnehmerdatenschutz in einem eigenen Kapitel des Bundesdatenschutzgesetzes (BDSG) zu verankern. Nebenbei rutscht damit die Verantwortung ins Bundesministerium des Innern (BMI).

3. Der neue Bundesinnenminister wird am 02.11. u.a. in der BILD-Zeitung mit der Aussage zitiert, umgehend den Entwurf für ein neues Arbeitnehmerdatenschutzgesetz vorzulegen. Auf Anfrage berichtigt die Pressestelle am 04.11., der Minister sei falsch zitiert worden und plane weiter einen Abschnitt zum  Arbeitnehmerdatenschutz im BDSG.

4. In der Aussprache zur Regierungserklärung der Kanzlerin gelingt dem Innenminister am 11.11. die Quadratur des Kreises:  “Ich werde im nächsten Jahr einen Gesetzentwurf im Rahmen des Bundesdatenschutzgesetzes für ein Arbeitnehmerdatenschutzgesetz vorlegen.”

Jetzt hat sich auch Justizministerin Sabine Leutheusser-Schnarrenberger vom Verwirrspiel anstecken lassen.

Im gestrigen Interview für Deutschlandradio hatte sie sich wörtlich für ein Arbeitnehmerdatenschutzgesetz ausgesprochen – heute rudert sie in einer Meldung auf ihrer Webseite zurück und formulierte die Überschrift unverbindlicher “FDP will Arbeitnehmerdatenschutz stärken”. Im Text der Meldung findet sich dann allerdings ein neues Beispiel kreativer Ministerialgrammatik:

Bundesjustizministerin Sabine Leutheusser-Schnarrenberger will den Arbeitnehmerdatenschutzgesetz stärken und auch für Fragen bei Bewerbungsgesprächen eine verbindliche Rechtsgrundlage schaffen.

Deutschlehrer stöhnen auf – Ich bleibe standhaft: Hauptsache, es kommt bald was! Und die Justizministerin ist so oder so nicht federführend. Schade eigentlich

Auch die Opposition hält das Thema am Köcheln: Eine erste Kleine Anfrage der GRÜNEN greift neben dem Datenmissbrauch bei der BA auch den Arbeitnehmerdatenschutz auf.

Übrigens: Der neue Bundesarbeitsminister hat sich zum Thema noch nicht zu Wort gemeldet. Bleibt zu hoffen, dass seine kompetenten, weil langjährig mit dem Thema befassten Mitarbeiter in die Erarbeitung der neuen Vorschriften mit einbezogen werden.

Jetzt liegt der Text der heutigen Erklärung vor. Hier die (leider kurzen) Auszüge zum Thema Datenschutz:

Eine große Herausforderung für unser Zusammenleben sind die rasanten Entwicklungen in der Informations- und Kommunikationstechnologie. Das Internet kann zu mehr Teilhabe und sogar zu neuen Formen gemeinschaftlichen Handelns führen. Das fördert die Bundesregierung selbst nach Kräften. Auch mit der Gewährleistung sicherer Abläufe und der Erhaltung der Funktionsfähigkeit unserer IT-Infrastruktur müssen wir uns weiter befassen. Es geht zunehmend nicht mehr um die alte Debatte, ob der Staat hier in Freiheitsrechte zu stark eingreift. Auf private Daten wird heute nicht vor allem vom demokratischen Staat zugegriffen,  sondern eher von anderen Privaten, auch wegen manchmal eigener Leichtfertigkeit und auch wegen der Unauslöschlichkeit der Spuren der Internetnutzung. Da brauchen wir neue Antworten und nicht alte Frontstellungen.

Schade, wieder kein selbstkritischer Innenminister, was die Datenverarbeitung durch öffentliche Stellen angeht. Dazu hier mehr. In der Beurteilung der Hauptgefahr für private Daten stimmt er interessanterweise mit Bruce Schneier überein: Private sammeln! Okay, Schneier sagt weiter: … und der Staat bedient sich bei ihnen.

Immer wichtiger wird deshalb die Informationssicherheit. Die Gewährleistung sicherer Kommunikation ist für mich eine neue staatliche Aufgabe. Daher wird der Datenschutz ‑ ich glaube, wir sollten lieber von Datensicherheit sprechen ‑ ein Schwerpunkt der Arbeit in dieser Legislaturperiode sein.

Arrgh. Bitte,  liebes Referat V II 4 im BMI, erklärt Eurem Minister schnellstens den Unterschied zwischen Datenschutz und Datensicherheit.

Gesetzlicher Regelungsbedarf besteht zum Beispiel beim Arbeitnehmerdatenschutz. Ich werde im nächsten Jahr einen Gesetzentwurf im Rahmen des Bundesdatenschutzgesetzes für ein Arbeitnehmerdatenschutzgesetz vorlegen.

Die Auflösung der Frage ist also die Quadratur des Kreises: Es wird ein Arbeitnehmerdatenschutzgesetz im Bundesdatenschutzgesetz geben.

Juristen stöhnen bei dieser Formulierung auf – egal. Hauptsache, es kommt bald was!