Deutsche Datenschutzorganisationen fordern europäische Mindeststandards beim Beschäftigtendatenschutz

Gemeinsame Presseerklärung des Berufsverbandes der Datenschutzbeauftragten Deutschlands e.V., der Deutschen Vereinigung für Datenschutz e.V. und der Gesellschaft für Datenschutz und Datensicherheit e.V.:

Im Europäischen Parlament in Brüssel erörterten gestern Datenschutzverbände mit Europäischen Abgeordneten die Möglichkeiten der Einbindung des Beschäftigtendatenschutzes in europäische Regelungen. Die Veranstaltung fand auf Initiative der Deutschen Vereinigung für Datenschutz e.V. (DVD) und auf Einladung der Europaabgeordneten Cornelia Ernst statt.

Der Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD), die DVD und die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) diskutierten dabei neben der Einladerin mit den Abgeordneten Birgit Sippel und Jan-Phillip Albrecht, Armin Duttine als Vertreter des Europäischen Wirtschafts- und Sozialausschusses und dem für Datenschutz zuständigen Direktor der Generaldirektion Justiz der Europäischen Kommission, Herrn Paul Nemitz.

Anlässlich dieses Expertengesprächs betonten alle drei großen deutschen Datenschutzvereinigungen gemeinsame Positionen.

GDD, BvD und DVD forderten übereinstimmend, dass grundlegende Mindeststandards zum Schutz von Beschäftigten auf europäischer Ebene verbindlich verankert werden müssten. Sie setzten sich außerdem dafür ein, dass nationale Verbesserungen darüber hinaus möglich sein sollen, ohne jedoch hinter die Mindeststandards zurückzufallen.

Beispielhaft wurden in diesem Sinne Mindeststandards diskutiert, die nach übereinstimmender Meinung in vielen weiteren Bereichen entwickelt und etabliert werden müssen:

·         Die Möglichkeit, eine Datenverarbeitung im Arbeitsverhältnis auf eine Einwilligung von Beschäftigten zu stützen, darf allenfalls in streng begrenzten Ausnahmefällen zugelassen werden.

·         Die Durchführung medizinischer Untersuchungen von Beschäftigten muss sich streng an dem für den jeweiligen Arbeitsplatz erforderlichen Maß orientieren. Das Patientengeheimnis muss jederzeit gewahrt sein.

·         Die behördlichen Kontrollmöglichkeiten müssen dem Gefährdungspotenzial entsprechen: je stärker grenzübergreifende Datentransfers erleichtert werden, desto größer muss die Kontrolldichte sein, damit systematischer Missbrauch vereinfachter europäischer Regelungen unterbunden werden kann.

·         Die Europäisierung des Modells betrieblicher Datenschutzbeauftragter, der als fachkundiger, unabhängiger Experte das Unternehmen zu datenschutzgerechter Organisation und Umsetzung führen soll, wurde von allen Anwesenden begrüßt.

Hierzu Prof. Peter Gola, Vorsitzender der GDD: „ Dies ist zwar eine Lösung, mit der wir besonders in Deutschland sehr vertraut sind, aber gerade wegen der positiven Erfahrungen können wir sie uneingeschränkt für den gesamten europäischen Raum empfehlen.“ Wichtig sei, die in der EU-Datenschutzrichtlinie verankerte Unabhängigkeit der Datenschutzkontrollinstanzen für den Datenschutzbeauftragten EU-rechtlich zu konkretisieren und die Außerachtlassung von Vorabkontrollen zu sanktionieren.

Es wurde allgemein abgelehnt, Datenschutz hinter die Wirtschaftsförderung zurückzustellen.

Karin Schuler, Vorsitzende der DVD merkte hierzu an: „Solange ein Datenschutzverstoß gleichsam ‚aus der Portokasse‘ bezahlt werden kann, darf der europäische Gesetzgeber sich nicht auf die Einsicht der Unternehmen alleine verlassen. Thomas Spaeing, Vorsitzender des BvD, ergänzte: „Spätestens wenn Datenschutz als wirtschaftsfeindlich bezeichnet wird, ist es Zeit für den Gesetzgeber, Flagge zu zeigen und klarzustellen, dass es wirtschaftlichen Erfolg ohne Schutz der Beschäftigten nicht geben kann.“

Die anwesenden Experten sowie die Vertreter des Parlaments und der Kommission waren sich einig, dass die Diskussion fortgesetzt werden soll. Herr Nemitz betonte außerdem das fortbestehende Interesse der Kommission, die grundlegende Neugestaltung des europäischen Datenschutzrechtes mit den Verbänden der Zivilgesellschaft zu diskutieren und Anregungen aufzunehmen. 

Quelle: www.gdd.de (Gesellschaft für Datenschutz und Datensicherheit e.V.)

Google Analytics - datenschutzrechtlich unbedenklicher Einsatz nun möglich

Nach längeren Verhandlungen mit der Firma Google Inc. konnten die deutschen Datenschutzaufsichtsbehörden unter Federführung des Hamburger Datenschutzbeauftragten nun einen Erfolg für sich verbuchen: Die bisherigen datenschutzrechtlichen Mängel bei Google Analytics - einem Werkzeug zur Reichweitenanalyse im Internet - wurden von Google abgestellt. Dies gab der Landesbeauftragte für den Datenschutz Baden-Württemberg, Jörg Klingbeil, am Donnerstag, den 15. September 2011, in Stuttgart bekannt. Vor allem Webseiten-Betreiber, die Google Analytics einsetzen, um ihr Internet-Angebot zu optimieren, dürften jetzt aufatmen, weil für sie bis dato ungewiss war, ob die Aufsichtsbehörden gegen sie vorgehen werden.
Wie Jörg Klingbeil erläuterte, sei Stein des datenschutzrechtlichen Anstoßes gewesen, dass beim Besuch einer Webseite, die von Google Analytics erfasst wird, die vollständige IP-Adresse an Google übermittelt wird. Aufgrund der Personenbeziehbarkeit der IP-Adresse ist dies nach deutschem Datenschutzrecht nur mit bewusster, eindeutiger Einwilligung des Besuchers zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen bzw. zu anonymisieren, dass eine Personenbeziehbarkeit ausgeschlossen ist. Nach den jetzt vollzogenen Anpassungen durch Google soll künftig nur eine gekürzte IP-Adresse an Google übertragen werden; der einzelne Besucher einer Webseite kann mittels dieser Adresse nicht mehr identifiziert werden. Weiterhin wurde von Google ein sog. Add-On (http://tools.google.com/dlpage/gaoptout?hl=de) für die gängigen Internet-Browser entwickelt, mit dem das Setzen eines Cookies zum Zweck der Reichweitenanalyse unterbunden werden kann. Damit kann der Webseiten-Besucher wirksam die Analyse seines Surfverhaltens durch Google Analytics verhindern.
Außerdem hat Google seine Geschäftsbedingungen geändert. Auf der Grundlage eines Vertrags zur Auftragsdatenverarbeitung können sich Website-Betreiber nun datenschutzrechtlich sicher fühlen, wenn sie weiterhin Google Analytics einsetzen wollen. Näheres findet sich unter http://www.google.de/intl/de/analytics/tos.pdf. Außerdem können Webseiten-Betreiber wertvolle Hinweise einem Informationsblatt des Hamburgischen Datenschutzbeauftragten entnehmen, die auch für Betreiber in Baden-Württemberg zu empfehlen sind (http://www.datenschutz-hamburg.de/uploads/media/GoogleAnalytics_Hinweise_Webseitenbetreiber_in_Hamburg.pdf).
Jörg Klingbeil dankte seinem für Google in Deutschland zuständigen Hamburger Kollegen, Prof. Dr. Johannes Caspar, für dessen Hauptarbeit in einem mühsamen, aber letztlich erfolgreichen Abstimmungsprozess. Die rasante Entwicklung bei den mobilen Endgeräten wie Smartphones und Tablet-PCs lasse jedoch keinen Stillstand zu; auch in diesem Segment müssten die datenschutzrechtlich erforderlichen Anpassungen bei Google Analytics zeitnah umgesetzt werden. Erfreulich sei immerhin, dass sich ein international tätiges Unternehmen wie Google in Richtung auf mehr Datenschutz bewegt habe. Nun sei zu hoffen, dass auch andere globale Internet-Player wie z.B. Facebook mit seinen umstrittenen Angeboten hoffentlich diesem guten Beispiel folgen.

Quelle: www.baden-wuerttemberg.datenschutz.de