– 32 –
die Speicherung von Telekommunikationsdaten (vgl.
Nr. 10.1) und der Datenschutz in der sog. Dritten Säule
(vgl. Nr. 3.2.1). Auch datenschutzrechtliche Aspekte der
elektronischen Gesundheitsakte (vgl. Nr. 4.1) und die
Durchsetzung datenschutzrechtlicher Vorgaben im Krankenversicherungsbereich (vgl. Nr. 3.3.4) wurden behandelt. Zudem befasste sich die Gruppe mit dem Projekt
eCall, dessen konkrete Umsetzung in Kürze beginnen soll
(vgl. Nr. 12.2), und der Speicherung von personenbezogenen Daten auf RFID-Chips (vgl. Nr. 4.3).
Die Frage, wie Datenschutz effektiv gewährleistet werden
kann, wenn staatliche Stellen zuvor von Wirtschaftsunternehmen im Rahmen ihrer Kundenbeziehungen erhobene
personenbezogene Daten für die Strafverfolgung nutzen
wollen, bildete einen weiteren Schwerpunkt der Arbeit
der Gruppe. Dies betrifft etwa Daten, die bei Telematikanwendungen in Kraftfahrzeugen, beim Buchen eines
Fluges oder beim Telefonieren anfallen. Als besonders
problematisch hat sich dabei erwiesen, dass es bis jetzt
kein gemeinschaftsrechtliches Rechtsinstrument gibt, das
den Datenschutz in der Dritten Säule, also im Bereich
Justiz und Strafverfolgung, regelt (s. o. Nr. 3.2.1). Aus
diesem Grund hat die Gruppe wiederholt dazu aufgerufen, einen solchen Rechtsrahmen endlich zu schaffen.
Auch in Zukunft wird es vordringliche Arbeit der Gemeinschaftseinrichtungen sein, sicherzustellen, dass der
Datenschutz in allen Lebensbereichen angemessen Berücksichtigung findet.
Ein besonderes Augenmerk hat die Gruppe zudem auf einen stetigen Meinungsaustausch mit Vertretern der Wirtschaft und mit anderen Interessengruppen gelegt, etwa
bei der öffentlichen Konsultation vor Verabschiedung des
Arbeitspapiers zu RFID (WP 105, s. u. Nr. 4.3). Mit Wirtschaftsvertretern wurde auch über die Verfahrensweise
beim Einsatz von verbindlichen unternehmensinternen
Verhaltensregeln (sog. Binding Corporate Rules,
vgl. Nr. 3.3.6) diskutiert, die die Übermittlung von personenbezogenen Daten in Länder ohne angemessenes Datenschutzniveau erheblich erleichtern soll. Bei der Erarbeitung von EU-einheitlichen BCR-Antragsformularen
ist mit dem Abschluss des Abstimmungsverfahrens im
Frühjahr 2007 zu rechnen. Weitere wichtige Themen waren die Verpflichtung von Unternehmen, ihre Kunden angemessen über deren Datenschutzrechte zu unterrichten
(sog. Short Privacy Notices), der Schutz geistigen Eigentums und die datenschutzrechtlichen Aspekte bei Hinweisen in Unternehmen im Kampf gegen Korruption und
Buchfälschung (sog. Whistleblowing, vgl. Nr. 3.3.1).
Im März des Jahres 2006 wurde ich nach Ablauf meiner
ersten zweijährigen Amtszeit erneut zum Vorsitzenden
der Artikel 29-Gruppe gewählt. Auch mein Vertreter, der
Leiter der spanischen Datenschutzbehörde, Professor
José-Louis Piñar Mañas, wurde bestätigt.
3.3.1
Whistleblowing – Richtiger Umgang mit
Insidertipps
Interne Verfahren zur Meldung von Missständen in Unternehmen – sog. Whistleblowing-Hotlines – müssen datenschutzkonform gestaltet werden.
Viele Unternehmen haben Hotlines eingerichtet, über die
Missstände gemeldet werden können, z. B. zur Rechnungslegung, Wirtschaftsprüfung, Korruption, Bankenund Finanzkriminalität und für spezielle Verhaltensvorgaben der Unternehmen (Ethikrichtlinien). Gründe für die
Einrichtung solcher Hotlines sind – neben der Umsetzung
gesetzlicher Vorgaben – auch eigene Unternehmensinteressen an der Aufdeckung rechtswidrigen Handelns und
ethisch vorwerfbarer Verhaltensweisen.
In den USA sieht der sog. Sarbanes-Oxley Act vor, dass
börsennotierte Unternehmen zur Meldung fragwürdiger
Buchhaltungs- und Revisionspraktiken anonym nutzbare
Verfahren einrichten. Diese Vorgaben waren auch von europäischen Unternehmen, die auch an den USA-Börsen
gehandelt werden, bis zum Frühjahr 2006 zu erfüllen. Die
Unternehmen benötigten Leitlinien zur datenschutzkonformen Umsetzung von Whistleblowing-Hotlines, um dabei nicht mit der Europäischen Datenschutzrichtlinie 95/
46/EG in Konflikt zu geraten. Aus diesem Grund hat die
Artikel 29-Gruppe hierzu ein Arbeitspapier veröffentlicht
(WP 117 vom 1. Januar 2006).
Das Spannungsfeld zwischen dem Informanten und dem
Angezeigten sollte dahingehend gelöst werden, dass der
Datenschutz für beide Seiten ausreichend Beachtung
findet. Die Artikel 29-Gruppe hat sich in diesem Papier
zunächst auf die Bereiche Rechnungslegung, Wirtschaftsprüfung, Korruption sowie Banken- und Finanzkriminalität beschränkt und dazu Forderungen aufgestellt
(s. Kasten zu Nr. 3.3.1).
K a s t e n zu Nr. 3.3.1
Forderungen der Artikel 29-Gruppe zum Whistleblowing
– Die Beschäftigten müssen über die Einführung der
Hotline, ihren Zweck und Anwendungsbereich informiert werden.
– Der Anwendungsbereich und der Kreis der betroffenen Personen müssen eng begrenzt werden; eine Verwendung der Informationen für andere Zwecke ist
unzulässig.
– Namentliche Meldungen sind anonymen Anzeigen
vorzuziehen, wobei dem Anzeigenden Vertraulichkeit zuzusichern ist; anonyme Anzeigen sollen auf
Ausnahmefälle begrenzt werden.
– Der Grundsatz der Verhältnismäßigkeit ist zu beachten, d. h. nur die für die weitere Bearbeitung notwendigen Informationen dürfen gespeichert werden.
– Die Daten sind frühestmöglich, spätestens innerhalb
von zwei Monaten nach Abschluss der Untersuchung
zu löschen. Eine längere Speicherung ist nur zulässig, wenn weitere rechtliche Schritte erforderlich
sind.
– Die beschuldigte Person ist zu informieren, sobald
kein Risiko besteht, dass Beweise vernichtet werden.
Der Name des Informanten darf im Regelfall nur
dann dem Angezeigten genannt werden, wenn vorsätzlich falsche Vorwürfe angezeigt wurden.
R
ev
BfDI 21. Tätigkeitsbericht 2005-2006