Die Einhaltung von Datenschutzregeln steht häufig anderen Interessen entgegen. Im Spannungsfeld von öffentlichem Interesse, wirtschaftlicher Tätigkeit und dem Grundrecht auf informationelle Selbstbestimmung ist es schwierig, einen angemessenen Interessenausgleich zu finden.

Der Arbeitskreis behandelte im letzten Jahr Techniken der Ausspähung und die Überwachung des Einzelnen durch die öffentliche Gewalt. In diesem Jahr lag der Schwerpunkt auf den Spannungsfeldern des Datenschutzes, die vollkommen unterschiedliche Ausprägungen haben können. So soll das BKA- Gesetz massive präventive Eingriffe erlauben und den Schutz des Kernbereichs privater Lebensführung massiv einschränken. Programme, die das Besucherverhalten auf Web- Seiten analysieren, verstoßen gegen das Grundrecht auf informationelle Selbstbestimmung. Wirtschaftsunternehmen bespitzeln Mitarbeiter oder speichern Krankendaten. Diese Beispiele umreißen bereits ein breites Spannungspotenzial, denen Datenschutzanforderungen ausgesetzt sind.

Andreas Wassermann, Redakteur des Hamburger Nachrichtenmagazins „Der Spiegel“, schilderte Beispiele aus der journalistischen Praxis über Erfahrungen aus dem Umgang mit datenschutzrechtlichen Themen. Er verdeutlichte aus Sicht des Journalisten, wie eine optimale Öffentlichkeitsarbeit unter Einhaltung der datenschutzrechtlichen Mindeststandards aussehen kann und welchen Beeinflussungen Journalisten heutzutage ausgesetzt sind.

Christian Goltz, Staatsanwalt als Gruppenleiter bei der Generalstaatsanwaltschaft Dresden stellte Probleme dar, mit denen sich der Pressesprecher einer Behörde bei der Berichterstattung von Verfahren auseinandersetzen muss. Er zeigte insbesondere an den Beispielen des ehemaligen SPD Abgeordneten Jörg Tauss und der No Angels Sängerin Nadja Benaissa, wie eine Abwägung zwischen hinreichender Transparenz für die Öffentlichkeit und Persönlichkeitsschutz der Betroffenen auszusehen hat. Im Besonderen wurde auf die Vorschrift des § 4 LPressG eingegangen, die öffentliche Behörden dazu verpflichtet, den Vertretern der Presse die der Erfüllung ihrer öffentlichen Aufgaben dienenden Auskünfte zu erteilen. Diese weitgehende Regelung, die Einschränkungen lediglich über deren Absatz 2 zulasse, führe im Einzelfall zu einer „Verdachtsberichterstattung“ mit weitreichenden Konsequenzen für die Betroffenen. Darauf aufbauend wurden im Kern folgende Leitsätze aufgestellt:

1. Datenschutz im Strafverfahren ist in erster Linie Täterschutz.
2. Ermittlungsverfahren werden in Akten und nicht in der Presse geführt.

Zu guter Letzt wurden von Moderator der Veranstaltung, Herrn Dr. Siegfried H. Streitz, einem vereidigten IT- Sachverständigen, die Auswirkungen des am 01.01.2009 in Kraft getretenen BKA- Gesetzes näher beleuchtet. Dabei rückte vor allem die seit April 2009 anhängige Verfassungsbeschwerde in den Blickpunkt, in der sich der freie Fernsehjournalist Christoph Maria Fröhder, ZEIT- Herausgeber Michael Naumann und Gerhart R. Baum, Innenminister a.D. gegen das Gesetz wenden. In diesem Zusammenhang wurde Bezug genommen auf einen Artikel des ZEIT- Herausgebers Michael Naumann, der die Motivation für die Verfassungsbeschwerde insbesondere auf fünf Gründe zurückführt:

1. Die Veränderung der Sicherheitsarchitektur,
2. die Verletzung der Trennung von BKA und Bundesnachrichtendienst,
3. die Erlaubnis zu erheblichen präventiven Eingriffen,
4. den verdeckten Eingriff in informationstechnische Systeme
5. und schließlich die Relativierung der Verschwiegenheitspflichten.

Am Ende der Veranstaltung wurden Anregungen aufgenommen, die die thematische Ausrichtung des im Jahr 2010 stattfindenden EDV- Gerichtstages betrafen. In den Kern der Betrachtung rückten dabei die Aspekte, die eine Aufzeichnung von Informationen über die Kommunikation, Bewegung und Mediennutzung jedes einzelnen Bürgers mit sich bringt und die Gefahren, die damit sowohl für die Privatsphäre als auch für eine berufliche Tätigkeit verbunden sind. Als Ausgangspunkt könnte sich dabei das aktuell diskutierte Problem der Vorratsdatenspeicherung anbieten, dass durch Gesetz der CDU/ CSU und SPD am 01. Januar 2008 in Kraft trat.

Das LAWgical-Team dankt Rüdiger Weichelt für seinen Bericht

Im ersten Vortrag des Blocks "IKT-Sicherheit" befasste sich Dr. Jyn Schulze-Melling mit Fragen der Datensicherheit in Unternehmen anhand von 4 exemplarisch ausgewählten Themenfeldern

Zunächst widmete sich Schulze-Melling dem Spannungsfeld von Mitarbeiterpostfächern und dem Fernmeldegeheimnis.
Arbeitgeber könnten unter Umständen Telekommunikationsanbieter sein. Im konkreten Fall hänge dies von der Erlaubnis zur privaten Nutzung des Internets im Unternehmen ab. Würden Mitarbeiter private Mails versenden, so dürften diese Kommunikationsdaten nicht weitergegeben werden. Zwar habe das Bundesverfassungsgericht in einem Urteil klar gestellt, dass das Fernmedegeheimnis nach Abschluss des Kommunikationsvorgangs ende, da danach eine Kontrolle der Daten durch den Betroffenen möglich sei. Im Unternehmen stelle sich hier aber ein großes praktisches Problem: Gesetzliche Archivierungspflichten erforderten eine Speicherung aller eingehenden Geschäftskorrespondenz in ein Read-Only-Archiv. Bei einer solchen automatisierten Speicherung bestehe keine Möglichkeit, zwischen geschäftlicher und privater Mail zu unterscheiden. Schlussfolgerung sei, dass in dieser Konstellation der Schutz des Fernmeldegeheimnisses andauere, da eine Kontrolle durch den Empfänger (Mitarbeiter) nicht möglich sei. Möglicherweise setze sich der Unternehmer dem Risiko einer strafbaren Haftung wegen Verletzung des Fernmeldegeheimnisses aus.

Das zweite von Schulze-Meier angerissene Problemfeld betrifft Datensicherheit und Datenschutz im multinationalen Umfeld. So herrschten weltweit unterschiedliche Ansätze in der rechtlichen Konzeption des Datenschutzes. Beispielhaft stellte der Referent dies an einer Gegenüberstellung von Apec/OECD-Prinzipien einerseits und EU-Datenschutzrichtlinie andererseits dar. Da die Datenschutzrechtslage weltweit uneinheitlich sei, sei es für Unternehmen schwer, eine allen Anforderungen entsprechende einheitliche Strategie

Unter der Überschrift "Data Loss Prevention" plädiert Schulze-Meier eine neue Herangehensweise an die IT-Sicherheit, weg von Systemsicherheit - hin zu objektbezogener Sicherheit. Die Sicherheit müsse nicht auf die Systeme sondern auf die Datensätze bezogen werden. Bestehende Schutzsysteme wie Firewalls schützten hauptsächlich Systeme vor dem Eindringen von Außen, aber z.B. nicht gegen das Herausgeben von Informationen per Mail aus dem Unternehmen. Die Umsetzung dürfte sich aber schwierig gestalten, da solche Schutzsysteme ein hohes Maß an technischer und rechtlicher Komplexität aufweisen müssten.

Zum Abschluss stellte der Referent noch einen geplanten neuen Rechtsrahmen für "Security Breach Notifications" in Deutschland vor. Der Begriff beschreibe eine Meldepflichten bei Datenverlusten. In vielen US-Bundesstaaten sei dies bereits Standard. Im Falle von Datenverlusten müsse eine Information der Betroffenen erfolgen. In Deutschland sei geplant, einen neuen § 44a BDSG einzufügen. Erfasst würden z.B. sensible Daten, z.B. medizinische Daten, Berufs- oder Amtsgeheimnisse, Daten über strafbare Handlungen oder Finanzdaten. Die Informationspflicht solle eintreten, wenn ein Unternehmen feststellt, dass aus seinem Verfügungsbereich relevante Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten zur Kenntnis gelangt seien. Die Meldung müsse unverzüglich nach Kenntnis von dem Datenverlust erfolgen. Als motivierende Alternative sei eine Art "Pranger" vorgesehen. Erfolge keine rechtzeitige Mitteilung an die Betroffenen, so wüsse über zwei halbseitige Anzeigen in überregionalen Tageszeitungen informiert werden.

In Fortsetzung des letztjährigen Arbeitskreises „Anforderungen an die Informationsverarbeitung und rechtliche Konsequenzen“ bot der Arbeitskreis einen spannenden Überblick über die derzeitigen Möglichkeiten der Datengewinnung und –verwendung sowie einen Ausblick auf die Zukunft. Hierbei wurden Nutzen und Risiken für die Privatheit gegenübergestellt.

Herr Ministerialrat und Referatsleiter beim sächsischen Datenschutzbeauftragten Bannasch skizzierte den rechtlichen Rahmen während Herr Röbel von der Berliner Redaktion des Nachrichtenmagazins Spiegel über die journalistischen Erfahrungen im leichtsinnigen Umgang mit personenbezogenen Daten berichtete. Im Anschluss erläuterte Herr Dr. Streitz, öffentlich bestellter und vereidigter Sachverständiger, die Begriffe des „Data Mining und Profiling“ und die Auswirkungen für den Einzelnen. Herr Goltz, Staatsanwalt und Gruppenleiter bei der Schwerpunktabteilung Wirtschaft der Staatsanwaltschaft Chemnitz, berichtete von seinen praktischen Erfahrungen insbesondere bei Durchsuchungen.

Für das nächste Jahr scheint eine Fortsetzung des Arbeitskreises unter dem Gesichtspunkt des „Selbstdatenschutzes“ angezeigt.

Das LAWgical-Team dankt Jennifer Steimer für Ihren Bericht

Ein Kollege leitet mir eine Presseerklärung weiter, die er per Mail erhalten hat.



Mein Blick fällt zunächst auf den Header, von dem hier nur ein kleiner Abschnitt wiedergegeben ist. Sämtliche Empfänger dieser Mail sind unter Beifügung der vollständigen Empfängernamen im "To"-Feld aufgelistet. Zunächst ist dies höchst unpraktisch, da man vom Inhalt der Mail erst nach Scrollen Kenntnis nehmen kann. Wesentlich unerfreulicher ist diese Vorgehensweise jedoch unter Datenschutzgesichtspunkten. Den Empfängern werden auf diese Art nämlich sämtliche Namen und Mailadressen der übrigen Empfänger weitergegeben, ohne dass diese zuvor in die Weitergabe ihrer Daten eingewilligt haben.
Vermeiden kann man dieses Problem übrigens dadurch, dass man die zu verteilende Mail an sich selbst adressiert und die Empfänger in das Feld "Bcc" einträgt. Der Inhalt dieses Feldes wird - wie der Name "Blind Carbon Copy" bereits erkennen lässt, nicht an die Empfänger übertragen.

Eine gewisse Brisanz gewinnt dieser Fall allerdings, wenn man sich den Absender ansieht: Die Mail stammt aus dem Büro des Sächsischen Datenschutzbeauftragten, der mit diesem Mailing auf seine neugestaltete Webseite hinweist.

Besonders hervorgehoben wird in der auch online einsehbaren Pressemitteilung der Umstand, dass in den Access-Logs dieses Servers keine IP-Nummern im Access-Log gespeichert werden. Eine entsprechende Software namens "ipmask", mit der man Apache- und MS-Information Server so konfigurieren kann, dass die IP-Adressen automatisch maskiert werden, wird sogar gleich zum Download angeboten.

Judith Rauhofer hat ihren Vortrag mit dem Untertitel "Das Recht auf informationelle Selbstbestimmung und der Traum vom Leben ohne Risiko" versehen. Als Einstimmung zeigte sie einen Film, der auf amüsante Weise die Zukunftsvision des "gläsernen Menschen" veranschaulichte. Rauhofer sieht einen Konflikt zwischen den Wunsch nach Privatheit und Sicherheit. Sie übt Kritik am "Information Privacy" Konzept, das bereits dadurch leerlaufe, dass der Wunsch nach Teilhabe oftmals einen faktischen Zwang zur Datenschutzaufgabe des Betroffenen führe.

Die Referentin wies auf das Phänomen der fehlerhaften Risikowahrnehmung hin. So würden Menschen dazu tendieren, spektakuläre oder seltene Gefahren oder solche die außerhalb unserer Erfahrungswerte oder des Kontrollbereichs höher zu bewerten als "alltägliche" Risiken. Aus dem Wunsch nach Sicherheit folge ein gewisser Trend zum Risikomanagement und einer Verrechtlichung von Risiko, dem Verlangen hach Haftbarmachung. Regierungen nutzten die Verunsicherung der Bürger für "Sicherheitstheater". Dem Bürger wird vermittelt, dass Risiken wie Terror oder Kriminalität nur vermindert werden könnten, wenn auf Tele des Rechts auf freie Selbstbestimmung verzichtet wird.

Interessanterweise scheint sich die Komfortzone, innerhalb derer die Erfassung und Weitergabe personenbezogener Daten durch den Bürger akzeptiert wird, in der jüngeren Vergangenheit ausgeweitet zu haben. So seien jüngere Menschen heutzutage bereit, freiwillig Informationen über sich öffentlich zugänglich zu machen, deren Erhebung im Rahmen der Volkszählung Anfang de 80er Jahre einen Sturm des Protests ausgelöst, der schließlich zur Definition des Begriffs der informationellen Selbstbestimmung durch das BVerfG geführt hat.