Donnerstag, 3. November 2011

Deutsche Datenschutzorganisationen fordern europäische Mindeststandards beim Beschäftigtendatenschutz

Gemeinsame Presseerklärung des Berufsverbandes der Datenschutzbeauftragten Deutschlands e.V., der Deutschen Vereinigung für Datenschutz e.V. und der Gesellschaft für Datenschutz und Datensicherheit e.V.:

Im Europäischen Parlament in Brüssel erörterten gestern Datenschutzverbände mit Europäischen Abgeordneten die Möglichkeiten der Einbindung des Beschäftigtendatenschutzes in europäische Regelungen. Die Veranstaltung fand auf Initiative der Deutschen Vereinigung für Datenschutz e.V. (DVD) und auf Einladung der Europaabgeordneten Cornelia Ernst statt.

Der Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD), die DVD und die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) diskutierten dabei neben der Einladerin mit den Abgeordneten Birgit Sippel und Jan-Phillip Albrecht, Armin Duttine als Vertreter des Europäischen Wirtschafts- und Sozialausschusses und dem für Datenschutz zuständigen Direktor der Generaldirektion Justiz der Europäischen Kommission, Herrn Paul Nemitz.

Anlässlich dieses Expertengesprächs betonten alle drei großen deutschen Datenschutzvereinigungen gemeinsame Positionen.

GDD, BvD und DVD forderten übereinstimmend, dass grundlegende Mindeststandards zum Schutz von Beschäftigten auf europäischer Ebene verbindlich verankert werden müssten. Sie setzten sich außerdem dafür ein, dass nationale Verbesserungen darüber hinaus möglich sein sollen, ohne jedoch hinter die Mindeststandards zurückzufallen.

Beispielhaft wurden in diesem Sinne Mindeststandards diskutiert, die nach übereinstimmender Meinung in vielen weiteren Bereichen entwickelt und etabliert werden müssen:


·         Die Möglichkeit, eine Datenverarbeitung im Arbeitsverhältnis auf eine Einwilligung von Beschäftigten zu stützen, darf allenfalls in streng begrenzten Ausnahmefällen zugelassen werden.

·         Die Durchführung medizinischer Untersuchungen von Beschäftigten muss sich streng an dem für den jeweiligen Arbeitsplatz erforderlichen Maß orientieren. Das Patientengeheimnis muss jederzeit gewahrt sein.

·         Die behördlichen Kontrollmöglichkeiten müssen dem Gefährdungspotenzial entsprechen: je stärker grenzübergreifende Datentransfers erleichtert werden, desto größer muss die Kontrolldichte sein, damit systematischer Missbrauch vereinfachter europäischer Regelungen unterbunden werden kann.

·         Die Europäisierung des Modells betrieblicher Datenschutzbeauftragter, der als fachkundiger, unabhängiger Experte das Unternehmen zu datenschutzgerechter Organisation und Umsetzung führen soll, wurde von allen Anwesenden begrüßt.

Hierzu Prof. Peter Gola, Vorsitzender der GDD: „ Dies ist zwar eine Lösung, mit der wir besonders in Deutschland sehr vertraut sind, aber gerade wegen der positiven Erfahrungen können wir sie uneingeschränkt für den gesamten europäischen Raum empfehlen.“ Wichtig sei, die in der EU-Datenschutzrichtlinie verankerte Unabhängigkeit der Datenschutzkontrollinstanzen für den Datenschutzbeauftragten EU-rechtlich zu konkretisieren und die Außerachtlassung von Vorabkontrollen zu sanktionieren.
Es wurde allgemein abgelehnt, Datenschutz hinter die Wirtschaftsförderung zurückzustellen.
Karin Schuler, Vorsitzende der DVD merkte hierzu an: „Solange ein Datenschutzverstoß gleichsam ‚aus der Portokasse‘ bezahlt werden kann, darf der europäische Gesetzgeber sich nicht auf die Einsicht der Unternehmen alleine verlassen. Thomas Spaeing, Vorsitzender des BvD, ergänzte: „Spätestens wenn Datenschutz als wirtschaftsfeindlich bezeichnet wird, ist es Zeit für den Gesetzgeber, Flagge zu zeigen und klarzustellen, dass es wirtschaftlichen Erfolg ohne Schutz der Beschäftigten nicht geben kann.“

Die anwesenden Experten sowie die Vertreter des Parlaments und der Kommission waren sich einig, dass die Diskussion fortgesetzt werden soll. Herr Nemitz betonte außerdem das fortbestehende Interesse der Kommission, die grundlegende Neugestaltung des europäischen Datenschutzrechtes mit den Verbänden der Zivilgesellschaft zu diskutieren und Anregungen aufzunehmen. 


Quelle: www.gdd.de (Gesellschaft für Datenschutz und Datensicherheit e.V.)

Montag, 31. Oktober 2011

Google Analytics - datenschutzrechtlich unbedenklicher Einsatz nun möglich

Nach längeren Verhandlungen mit der Firma Google Inc. konnten die deutschen Datenschutzaufsichtsbehörden unter Federführung des Hamburger Datenschutzbeauftragten nun einen Erfolg für sich verbuchen: Die bisherigen datenschutzrechtlichen Mängel bei Google Analytics - einem Werkzeug zur Reichweitenanalyse im Internet - wurden von Google abgestellt. Dies gab der Landesbeauftragte für den Datenschutz Baden-Württemberg, Jörg Klingbeil, am Donnerstag, den 15. September 2011, in Stuttgart bekannt. Vor allem Webseiten-Betreiber, die Google Analytics einsetzen, um ihr Internet-Angebot zu optimieren, dürften jetzt aufatmen, weil für sie bis dato ungewiss war, ob die Aufsichtsbehörden gegen sie vorgehen werden.
Wie Jörg Klingbeil erläuterte, sei Stein des datenschutzrechtlichen Anstoßes gewesen, dass beim Besuch einer Webseite, die von Google Analytics erfasst wird, die vollständige IP-Adresse an Google übermittelt wird. Aufgrund der Personenbeziehbarkeit der IP-Adresse ist dies nach deutschem Datenschutzrecht nur mit bewusster, eindeutiger Einwilligung des Besuchers zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen bzw. zu anonymisieren, dass eine Personenbeziehbarkeit ausgeschlossen ist. Nach den jetzt vollzogenen Anpassungen durch Google soll künftig nur eine gekürzte IP-Adresse an Google übertragen werden; der einzelne Besucher einer Webseite kann mittels dieser Adresse nicht mehr identifiziert werden. Weiterhin wurde von Google ein sog. Add-On (http://tools.google.com/dlpage/gaoptout?hl=de) für die gängigen Internet-Browser entwickelt, mit dem das Setzen eines Cookies zum Zweck der Reichweitenanalyse unterbunden werden kann. Damit kann der Webseiten-Besucher wirksam die Analyse seines Surfverhaltens durch Google Analytics verhindern.
Außerdem hat Google seine Geschäftsbedingungen geändert. Auf der Grundlage eines Vertrags zur Auftragsdatenverarbeitung können sich Website-Betreiber nun datenschutzrechtlich sicher fühlen, wenn sie weiterhin Google Analytics einsetzen wollen. Näheres findet sich unter http://www.google.de/intl/de/analytics/tos.pdf. Außerdem können Webseiten-Betreiber wertvolle Hinweise einem Informationsblatt des Hamburgischen Datenschutzbeauftragten entnehmen, die auch für Betreiber in Baden-Württemberg zu empfehlen sind (http://www.datenschutz-hamburg.de/uploads/media/GoogleAnalytics_Hinweise_Webseitenbetreiber_in_Hamburg.pdf).
Jörg Klingbeil dankte seinem für Google in Deutschland zuständigen Hamburger Kollegen, Prof. Dr. Johannes Caspar, für dessen Hauptarbeit in einem mühsamen, aber letztlich erfolgreichen Abstimmungsprozess. Die rasante Entwicklung bei den mobilen Endgeräten wie Smartphones und Tablet-PCs lasse jedoch keinen Stillstand zu; auch in diesem Segment müssten die datenschutzrechtlich erforderlichen Anpassungen bei Google Analytics zeitnah umgesetzt werden. Erfreulich sei immerhin, dass sich ein international tätiges Unternehmen wie Google in Richtung auf mehr Datenschutz bewegt habe. Nun sei zu hoffen, dass auch andere globale Internet-Player wie z.B. Facebook mit seinen umstrittenen Angeboten hoffentlich diesem guten Beispiel folgen.

Quelle: www.baden-wuerttemberg.datenschutz.de

Donnerstag, 31. März 2011

Noch eine Zäsur - Datenschutz aus einer Hand in Baden-Württemberg

Nur wenige Tage nach der politischen Zäsur infolge der Landtagswahl kommt es in Baden-Württemberg schon wieder zu einer - allerdings ungleich weniger bedeutsamen - Veränderung; darauf hat der Landesbeauftragte für den Datenschutz, Jörg Klingbeil, am Donnerstag, den 31. März 2011, hingewiesen: "Die Aufgaben der baden-württembergischen Datenschutzbehörden werden zum 1. April 2011 neu geregelt. Meine Dienststelle wird dem Landtag zugeordnet und ist dann nicht mehr nur für die Datenschutzkontrolle im öffentlichen Bereich, sondern auch für die Datenschutzaufsicht im nichtöffentlichen Bereich zuständig, also zum Beispiel bei Auskunfteien, Banken und Versicherungen. Ein gewisser Wermutstropfen ist allerdings die beschränkte Durchschlagskraft; für die Verfolgung von Ordnungswidrigkeiten wegen Verstößen gegen das Datenschutzrecht ist künftig allein das Regierungspräsidium Karlsruhe zuständig." Jörg Klingbeil dankte den Abgeordneten des Landtags, dass die für die Zusammenlegung erforderliche Änderung des Landesdatenschutzgesetzes noch in der ablaufenden Legislaturperiode erfolgreich über die Bühne gebracht wurde. Von der neuen Landesregierung erwartet er weitere Fortschritte: "Ich gehe davon aus, dass der Datenschutz unter den neuen politischen Vorzeichen noch mehr Bedeutung als in der Vergangenheit erhalten wird. Es gibt durchaus einen gewissen Nachbesserungsbedarf, der bei der jüngsten Novellierung des Landesdatenschutzgesetzes nicht berücksichtigt wurde." Als Beispiel nannte Klingbeil die fakultative Bestellung behördlicher Datenschutzbeauftragter, die endlich - wie in den meisten Ländern - verpflichtend eingeführt werden sollte. Auch sollten die personellen Ressourcen stufenweise weiter verbessert und an das Niveau anderer Aufsichtsbehörden angepasst werden. Im Hinblick auf die Zusammenlegung der Datenschutzaufsichtsbehörden in Baden-Württemberg bat der Landesdatenschutzbeauftragte zugleich die Bürgerinnen und Bürger um Verständnis für vorübergehend längere Bearbeitungszeiten bei Eingaben: "Die organisatorischen Veränderungen werden in den nächsten Wochen und Monaten unsere Personalkapazitäten in erheblichem Umfang binden, zumal meine Dienststelle umziehen muss und noch einige Stellen neu zu besetzen sind; hierunter wird die Leistungsfähigkeit der Behörde unweigerlich leiden. Ich bin aber zuversichtlich, dass wir nach einer gewissen ‚Durststrecke' kompetente Beratung und Datenschutzkontrolle aus einer Hand bieten können."

Quelle: www.baden-wuerttemberg.datenschutz.de