Eugen Ehmann

Tagungsbericht IDACON 2013


Die IDACON 2013, der 13. Weka-Kongress für Datenschutzbeauftragte, fand vom 14. bis 16.10.2013 bei unverändert gutem Zuspruch wiederum in Würzburg statt. Der Kongress bot eine breite Palette von Themen, mit gewissen rechtlichen Schwerpunkten bei Datenschutzfragen des Internet, des Arbeitslebens und der Videoüberwachung. Hinzu kamen aktuelle Datensicherheitsfragen wie Apps und der Einsatz von VPN im Unternehmen. Kennzeichnend für die Veranstaltung war - wie schon in den Vorjahren - die lebhafte Diskussion unter den Teilnehmern, die im Anschluss an die Vorträge immer wieder entstand. Die folgende Darstellung beschränkt sich darauf, jeweils einige Schwerpunkte der einzelnen Vorträge zu skizzieren.

 

ZD-Aktuell 2014, 03187     Professor Dr. Gregor Thüsing (Universität Bonn) referierte über das Thema „Beschäftigtendatenschutz - Neues und Allerneuestes für die Praxis". Im Gegensatz zu einzelnen Stimmen in der Datenschutzliteratur betonte er, dass eine Betriebsvereinbarung durchaus als „andere Rechtsvorschrift" gem. § 4 Abs.1 BDSG in Betracht komme und dass die Auffassung des BAG, wonach eine Betriebsvereinbarung das vorhandene gesetzliche Schutzniveau durchaus absenken könne (s. BAG), keineswegs überholt sei. Eine Betriebsvereinbarung könne auch den Umgang mit Daten von Bewerbern regeln, was aus §§ 94, 95 BetrVG abzuleiten sei. Am Beispiel verunglückter Ausgestaltungen von elektronischen Bewerbungsverfahren zeigte Thüsing  praxisbezogen auf, was Einwilligungen von Bewerbern leisten können und was nicht., U. v. 27.5.1986 – 1 ABR 48/84

 

Die Videoüberwachung im Arbeitsleben bildete einen bedeutsamen Aspekt des Vortrags „Videoüberwachung aktuell" von RA Dr. Robert Selk, München. An Beispielen aus der Rechtsprechung zeigte er auf, wo insbesondere die Grenzen heimlicher Videoüberwachung zu ziehen sind und wie mit entsprechender Begründung und Dokumentation objektiv gebotene Überwachungsmaßnahmen gleichwohl möglich sind. Mangels Verabschiedung eines Beschäftigtendatenschutzgesetzes wird die Rechtsprechung auf dem Gebiet der Videoüberwachung auch künftig eine dominierende Rolle spielen.

Der zunehmend aktuellen Frage, welche rechtlichen Vorgaben bei der Nutzung von Social Networks am Arbeitsplatz zu beachten sind, widmeten sich RAin Isabell Conrad, München und Christof Höfner, Legal Director eines Schweizer Unternehmens. Insbesondere bei der Kündigung auf Grund von Verstößen gegen Leitlinien des Arbeitgebers ergaben sich geradezu krasse Unterschiede zwischen dem deutschen und dem schweizerischen Recht, wobei Letzteres aus deutscher Sicht den Arbeitnehmer vielfach weitgehend schutzlos stellt. Intensiv erörtert wurde die Zulässigkeit des „Social Scoring“, bei dem Bewerberdaten mit Profilen in sozialen Netzwerken abgeglichen werden.

 

Die Nutzung von Social Media spielt auch bei der datenschutzkonformen Gestaltung von Webshops eine bedeutende Rolle und damit bei dem Thema, über das RAin Silvia C. Bauer, Köln, und Heidi Schuster, Datenschutzbeauftragte der Max-Planck-Gesellschaft, im zweiten Doppelvortrag der IDACON referierten. Auf der Basis eines Phasenmodells, das zugleich die rechtlich relevanten Datenströme aufzeigte, stellten die Referentinnen dar, welche Rechtsvorschriften wann zur Anwendung gelangen. Besonders umfassend gingen sie auf die Verwendung von Cookies ein und auf die Frage, in welchem Umfang Daten von Webshop-Nutzern zulässigerweise gespeichert werden dürfen. Einen weiteren Schwerpunkt bildete die praktische Ausgestaltung von Datenschutzerklärungen anhand konkreter Beispiele.

„Meldepflicht nach § 42a BDSG im internationalen Unternehmensverbund - Überblick und Praxis" lautete die Überschrift, unter der RA Dr. Jörg Hladjk, Brüssel, den einschlägigen Rechtsrahmen auf nationaler wie internationaler Ebene umfassend darstellt. Dabei wurde deutlich, dass international tätige Unternehmen bei entsprechenden Vorfällen häufig eine Fülle unterschiedlicher nationaler Rechtsvorschriften nebeneinander beachten müssen. Dies führt auch zu entsprechender Parallelkorrespondenz mit unter Umständen zahlreichen nationalen Aufsichtsbehörden. Ein vom Referenten entwickelter „Data Breach Response Plan“ gab eine Anleitung dafür, wie mit solchen Situationen umzugehen ist.

 

Der Umgang mit der Meldepflicht nach § 42a BDSG in der Praxis einer großen deutschen Aufsichtsbehörde erwies sich als komplementäre Ergänzung dieser Ausführungen. Sie war ein Aspekt der Darlegungen von Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) in Ansbach, der unter dem Titel „Praxis einer Aufsichtsbehörde: Überprüfungsaktion, Bußgelder, Meldepflicht nach § 42a BDSG“ außerdem darstellte, wie das Zusammenspiel zwischen Bußgeldverfahren und Verwaltungsanordnungen nach § 38 Abs. 5 BDSG, mit denen z.B. die Durchführung unzulässiger Datenspeicherungen oder Datenübermittlungen untersagt wird, zu sehen ist. Diese Thematik ist noch vergleichsweise neu, da die entsprechenden Anordnungsbefugnisse erst durch die Datenschutznovellen des Jahres 2009 in der heutigen Form geschaffen wurden.

Ob sich auch in dieser Hinsicht durch die geplante Datenschutzgrundverordnung der EU neue Aspekte ergeben werden, ist im Augenblick noch nicht absehbar. Dies zeigte die Darstellung von RA Dr. Wulf Kamlah, Chefsyndikus der SCHUFA Holding AG, der das Thema „EU-Datenschutz - aktueller Stand" umfassend unter Fokussierung auf die denkbaren Auswirkungen für den Datenschutzalltag erläuterte.

 

Den Reigen der eher technisch orientierten Themen eröffnete Andreas Sachs vom BayLDA mit der Schilderung „Apps Inside - Datenschutzprüfungen bei mobilen Anwendungen". Der Referent gab einen sehr weitgehenden Einblick in Prüfungsschwerpunkte und Prüfungsabläufe des Landesamts, das auf diesem Gebiet derzeit zumindest deutschlandweit führend ist. Sachs plädierte für eine differenzierte Betrachtung, die eine Verteufelung von Apps ebenso vermeidet wie ein Kleinreden der damit verbundenen Datenschutzrisiken.

 

„Per VPN ins Unternehmen: typische Fallstricke" griff ein Phänomen auf, das in vielen Unternehmen zum Alltag gehört, bei dem aber viele Datenschutzbeauftragte das Gefühl haben, es nur unzureichend zu überschauen. Prof. Dr. Rainer Gerling, IT- Sicherheitsbeauftragte der Max-Planck-Gesellschaft, stellte dazu ein Stufenkonzept vor und legte einen besonderen Schwerpunkt darauf, auf welche Daten zugegriffen werden soll bzw. darf. Die breite Palette seiner Erfahrungen in unterschiedlichen Systemumgebungen bot gerade den Praktikern zahlreiche Erkenntnisse, die sich in Unternehmen unterschiedlichster Ausprägungen umsetzen lassen.

 

„Agiles Programmieren“ war für einige Teilnehmer erkennbar ein Stichwort, mit dem sie erstmals umfassend unter Datenschutzaspekten konfrontiert wurden. RA Wolfgang A. Schmid, Augsburg, schilderte diese Art des Programmierens als eine Möglichkeit für den Datenschutzbeauftragten, datenschutzrechtliche Aspekte so frühzeitig in die Gestaltung von Softwareentwicklungsverträgen und Programmen einzubringen, dass er nicht in einer späteren Phase mit letztlich nicht mehr veränderbaren Ergebnissen konfrontiert wird. Die Reaktionen der Teilnehmer zeigten, dass diese Sichtweise zu überzeugen wusste.

 

Allgemein tief bedauert wurde, dass infolge des plötzlichen Todes von RA Dr. Ivo Geis, Hamburg und ein langjähriger Referent bei der IDACON, dessen Vortrag zum Thema „Unternehmen in der Flut elektronischer Kommunikation - aktuelle Aspekte des Datenschutzes" entfallen musste. Da Dr. Geis die entsprechende Ausarbeitung, die er seinem Vortrag zu Grunde legen wollte, noch kurz vor seinem Tod fertig gestellt hatte, war es inzwischen möglich, sie in der „Zeitschrift für Datenschutz“ (ZD 2013, 591) zu veröffentlichen. Diese Publikation wurde allen Teilnehmern des Kongresses inzwischen auch persönlich zur Verfügung gestellt. Sie belegt, dass der Autor bis zuletzt die Diskussion zum Thema maßgeblich prägte. An die Stelle des Vortrags von Dr. Geis trat eine Darstellung des Kongressleiters Dr. Eugen Ehmann zum Thema „Big Data, Cloud-Archivierung & E-Mail-Account des Beschäftigten", die einen Vergleich zwischen der Rechtslage in den USA und der EU in den Mittelpunkt stellte.

 

Großen Anklang fand - wie bereits im Vorjahr - eine Präsentation des Arbeitskreises „Datenschutz geht zur Schule", der sich im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD e.V.) gebildet hat. Sie wurde vorgestellt von Daniela Duda, die als externe Datenschutzbeauftragte tätig ist. Die rein ehrenamtlich getragene Initiative zielt darauf ab, Schüler frühzeitig für Datenschutzrisiken insbesondere im Internet zu sensibilisieren. Sie wurde bereits mehrfach als vorbildlich ausgezeichnet. Erneut ergaben sich Kontakte zu Unternehmen und Datenschutzbeauftragten, die diese Initiative in ihrem jeweiligen Tätigkeitsumfeld unterstützen werden.

 

Dr. Eugen Ehmann, Ansbach