Datenschutz pur bei der PinG Jahrestagung

DSGVO - Der neue Goldstandard

06.02.2019 von Horst Greifeneder  IDG ExpertenNetzwerk
Die praktische Umsetzung der DSGVO hat in den vergangenen Monaten gezeigt, dass bei den Aufgaben und Pflichten viele Fragen für Verantwortliche offen oder strittig sind. Trotzdem wirkt die DSGVO als weltweite Referenz für Datenschutz.
Ob die DSGVO weltweit als der neue Goldstandard für Sicherheit gesehen werden könnte, diskutierten Fachleute auf der PinG-Jahrestagung Datenschutz in Berlin.
Foto: Lightspring - shutterstock.com

Am 30. Januar 2019 fand die PinG-Jahrestagung-Datenschutz in Berlin statt. In der, vom Berliner Erich Schmidt Verlag in Zusammenarbeit mit der Zeitschrift "Privacy in Germany (PinG)" organisierten Veranstaltung referierten und diskutierten unter Leitung von Dr. Sebastian Golla namhafte Datenschutzexperten, Verbraucherschützer und Vertreter von Aufsichtsbehörden in verschiedenen Panels über offene Fragen und strittige Auslegungen der DSGVO.

DSGVO als weltweite Referenz

In seiner Keynote stellte Peter Schaar, Bundesdatenschutzbeauftragter a.D., die Frage: "Inwieweit sich die DSGVO zu einem neuen Goldstandard entwickle, an dem sich Datenschutz weltweit messen lassen müsste?" Unstrittig sei ja, dass das neue europäische Datenschutzrecht so einiges in die richtige Richtung bewegt habe und heute von großen internationalen Konzernen nicht mehr einfach ignoriert werden könne.

Der 2018 beschlossene Consumer Privacy Act in Kalifornien und das richtungsweisende Statement von Apple-Chef Tim Cook, welcher die DSGVO als Vorbild für globalen Datenschutz bezeichnete, würden darauf hinweisen, dass die DSGVO weltweite Wirkung als Referenz für angemessenen Datenschutz entfalte.

Lesetipp: US Cloud-Act versus EU DSGVO - In der Wolke ist die Freiheit nicht grenzenfrei

Aufsichtsbehörden: Höhere Bußgelder und Beratungsstrategien

PinG-Herausgeber Prof. Niko Härting unterstrich, dass aus seiner Sicht das einzig Revolutionäre an der DSGVO die neuen Bußgeldbestimmungen seien. Die Vermeidung von exorbitanten Strafen wäre ein ganz wesentlicher Motor für Berater und Verantwortliche für eine aktive Umsetzung der neuen datenschutzrechtlichen Reglungen.

Lesetipp: Datenschutzgrundverordnung - Wo die Abmahnung droht

Dr Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg, betrachtet das etwas anders und verortet wesentliche Auswirkungen der DSGVO beim neuen Selbstverständnis der Datenschutzbehörden. Brink sieht Aufsichtsbehörden verstärkt als staatliche Servicestelle für Verantwortliche und Betroffene zur rechtkonformen Umsetzung der DSGVO.
Hohe Bußgelder seien zwar ein probates Mittel zur Durchsetzung der Datenschutzregeln, aber im Vordergrund müsse die Beratung stehen. Mittelfristig erwarte er aber eine europaweite Harmonisierung der Bußgeldpraxis, welche in Deutschland bei Datenschutzverstößen zu höheren Strafen als bisher sorgen werde.

Vollbesetztes Auditorium bei der diesjährigen PinG Jahrestagung in Berlin
Foto: Erich Schmidt Verlag/Angela Kausche

Datenschutzanwalt Dr. Carlo Pilz skizzierte in der Folge empfohlene Beratungsstrategien im Umgang mit den Datenschutzbehörden. "In der DSGVO ist fast alles umstritten. Die Auffassung der Aufsichtsbehörde ist eine Meinung, aber nicht die eine Meinung", führte er aus und empfiehlt den Verantwortlichen sich bei strittigen Fragen nicht einzuigeln, sondern selbstbewußt mit den Aufsichtsbehörden zu kooperieren und gegebenenfalls auch in streitigen Verfahren offene Auslegungsfragen zu klären oder nach gemeinsamen Lösungen zu suchen.

Interessen als rechtmässige Verarbeitungsgrundlage

Prof. Dr. Dieter Kugelmann, der rheinland-pfälzische Landesbeauftragte für Datenschutz und Informationsfreiheit, widmete sich in seinen Ausführungen dem Art 6 (f) DSGVO zur Rechtmäßigkeit der Verarbeitung. Kugelmann warnte ausdrücklich davor, die berechtigten Interessen des Verantwortlichen zur Verarbeitung von personenbezogenen Daten als eine Art von Auffangtatbestand für die vielfältigen Verarbeitungsabsichten der Wirtschaft zu betrachten. Vielmehr bedürfe es in jedem Einzelfall einer ausreichenden Begründung und sorgfältigen Abwägung von berechtigten Interessen der Verantwortlichen oder Dritten gegenüber den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Personen.

Sebastian Schulz vom Bundesverband für E-Commerce und Versandhandel betonte, dass der freie Verkehr von personenbezogenen Daten mit dem Schutz von natürlichen Personen bei der Verarbeitung gleichrangig sei. Datenschutzrecht sei ein Abwägungsrecht und "ein super Grundrecht, aber kein Supergrundrecht" Theorie und geübte Praxis würden sich gerade bei der Interessensabwägung nach Art 6 (f) DSGVO häufig voneinander unterscheiden und der Einsatz eines systematischen Modells, wie das 3x5-Modell von Herfurth, sei zur Erzielung nachvollziehbarer Ergebnisse unbedingt empfehlenswert.

Künstliche Intelligenz - ein Ratgeber
KI im Unternehmen und Personalmanagement
Künstliche Intelligenz (KI) birgt ein enormes Potenzial für Unternehmen, zum Beispiel beim Einsatz im Personalmanagement. Joachim Skura, Thought Leader Human Capital Management bei Oracle, nennt Vorteile der KI sowie wichtige Faktoren, die bei der Planung sowie Nutzung zu beachten sind.
Kooperation der Führungskräfte
Da die KI-Technologie heute alle Unternehmensebenen durchdringt, müssen HR-Verantwortliche mit den anderen Führungskräften zusammenarbeiten, um Automatisierungsstrategien für die einzelnen Teams zu entwickeln.
Intelligenz kombinieren
KI muss zu einem Umdenken in Bezug auf die Belegschaft führen: Es geht nicht mehr nur darum, Mitarbeiter einzustellen. Vielmehr müssen menschliche und künstliche Intelligenz kombiniert werden, um die Produktivität zu maximieren.
Sinnvolle Prozessautomatisierung
Ein ganz wesentlicher Aspekt der Nutzung von KI ist, das Streben nach mehr Effizienz in Relation zu den tatsächlichen Möglichkeiten zu setzen. Nur weil sich ein Prozess automatisieren lässt, heißt das noch lange nicht, dass man das auch tun sollte. Das gilt auch im Personalwesen.
Keine Big-Brother-Atmosphäre schaffen
KI kann für die Sicherheit des Unternehmens sehr hilfreich sein. Viele Betriebe nutzen KI-Technik, um Anwendungen, Systeme und Infrastruktur ständig zu überwachen und anomales Verhalten in Echtzeit zu erkennen und zu bewerten. Hier sollten Unternehmen aber unbedingt darauf achten, dass keine „Big-Brother-Atmosphäre“ geschaffen wird. Der Personalabteilung kommt dabei eine wichtige Rolle zu.
Daten und Technik ausschöpfen
KI sollte bei Einstellungs- und Besetzungsplänen zur Anwendung kommen. Der Grund: Es gilt, kontextbezogene Daten und Technologien auszuschöpfen, um Probleme wie hohe Fluktuationsraten in Angriff zu nehmen, Mitarbeiter besser zu verstehen und den vorhandenen Pool an Talenten effektiver zu nutzen. Nur so lässt sich Arbeit intelligenter, angenehmer und kollaborativer gestalten – und letztendlich auch wertschöpfender.
KI im Recruiting nutzen
Künstliche Intelligenz wird derzeit auch im Recruiting immer wichtiger. Recruiter nutzen KI, um herauszufinden, welche Skills das Unternehmen aktuell benötigt, und wo passende Kandidaten zu finden sind.
Bewerbungsmanagement automatisieren
Mit Hilfe von KI lassen sich zeitaufwendige Aufgaben wie das manuelle Screening von Lebensläufen und Bewerber-Pools automatisieren.
Candidate Experience aufbauen
Leistungsstarke und integrierte KI-Funktionen sowie klare Abläufe helfen, im Personalmanagement eine benutzerfreundliche und personalisierte Candidate Experience vom Erstkontakt bis hin zur Einstellung und Eingliederung zu schaffen.
Mehr Effizienz durch Machine Learning
Modernste Machine-Learning-Anwendungen unterstützen das Personalwesen, die Time-to-Hire zu verkürzen, indem sie proaktiv eine Vorauswahl der geeignetsten Kandidaten treffen und Empfehlungen geben.
Chatbots einsetzen
Ein Chatbot kann eine Datenquelle sein, mit deren Hilfe Unternehmen mehr über ihre Mitarbeiter erfahren. Machine-Learning-Analysen von Fragen und Gesprächen können einzigartige und bisher nicht mögliche Einblicke liefern. So lassen sich zugrundeliegende Probleme aufdecken – und das vielleicht noch, bevor sich der Mitarbeiter dieser überhaupt bewusst ist.

Künstliche Intelligenz und Datenschutzrecht im Internet und in der Telekommunikation

Prof. Dr, Johannes Caspar, Datenschutzbeauftragter von Hamburg, erörterte in seinem Grundsatzreferat die absehbaren Folgen des zunehmenden Einsatzes von Künstlicher Intelligenz in der öffentlichen Verwaltung. Algorithmen und maschinelles Lernen würden vermehrt zu automatisierten Verfahren und Entscheidungen mit unmittelbarer Wirkung auf die Grundrechte der Betroffenen führen. Notwendig sei in diesem Zusammenhang eine sachgerechte Adaption der DSGVO und eine digitale Charta der Grundrechte.

Rechtanwalt Dr. Simon Assion von der Kanzlei Bird&Bird thematisierte in seinem Vortrag die Rechtslage für das Internet- und Telekommunikations-Datenschutzrecht. Datenschutzregeln in diesen Bereichen würden seit 25. Mai 2018 durch die DSGVO verdrängt und seien in der Folge größtenteils unwirksam. Das verbleibende nationale Recht hätte dann nur noch Inselcharakter und werde auf die ePrivacy-Richtlinie und das Fernmeldegeheimnis reduziert. Dessen ungeachtet blieben aber Rechtspflichten zur Verarbeitung bestehen.

Etwaige Nebenwirkungen der DSGVO

Fragen zum Sinn und Zweck des Datenschutzes und zur Bedeutung einer (nicht geführten) Grundsatzdebatte für die Praxis stellte Dr. Winfried Weil, Referent im Bundesministerium des Innern, in seinem Vortrag. Das zentrale "Schutzgut des Datenschutzrechts sei vollkommen unklar und hoch umstritten".
Als häufig angeführte Schutzgüter der DSGVO benennt er die Rechte und Freiheiten der betroffenen Personen, den freien Verkehr personenbezogener Daten und den Binnenmarkt. Die Vielfalt der nicht eindeutig festgelegten Schutzzwecke führe in der Folge zur Überforderung bei Verantwortlichen und zu Enttäuschungen beim Betroffenen.

Beobachtete Verhaltensänderungen aufgrund veränderter Anreize konstatierte Per Meyerdierks von Google Deutschland als mögliche Nebenwirkungen der DSGVO. Anhand der deutlich angwachsenen Wortmenge in den Datenschutzgesetzen, des gestiegenem Bußgeldrahmens und erweiterten, räumlichen Anwendungsbereichs der DSGVO diagnostizierte er eine mögliche Überdosierung des europäischen Datenschutzrechts. In der Folge bemerke man unter anderem bei Verantwortlichen einen Trend zur Einwilligung als Erlaubnistatbestand, eine neue Ernüchterung und Bescheidenheit in Datenschutzangelegenheiten bei deutschen Unternehmen und Datenschutzbeauftragten sowie vermehrt, vorsorglich aktivierte Datenschutzeinstellungen mit erhöhten Usability-Kosten.

Auskunftsbegehren und gemeinsame Verantwortlichkeit

Über ein möglicherweise, neues Akteneinsichtsrecht durch das Betroffenenrecht auf eine Kopie der verarbeiteten Daten reflektierte Prof. Niko Härting in seinem Vortrag zum Thema Compliance. Festzustellen sei, dass Umfang und Anzahl von Auskunftsbegehren mit der DSGVO deutlich zugenommen hätten. Das Auskunftsrecht umfasse den Anspruch der betroffenen Person auf eine Kopie der personenbezogenen Verarbeitungsdaten. Unklar sei vorerst, was die Kopie der Daten alles beinhalten müsse.
Letztendlich sei aber wohl Dokument für Dokument auf den Personenbezug und die Verhältnismäßigkeit des, zur Erfüllung des Auskunftanspruchs, erforderlichen Aufwands zu prüfen.

IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.

Rechtsanwalt Lasse Konrad skizzierte wesentliche Facetten bei der Gestaltung von Verarbeitungsverträgen bei gemeinsamer Verantwortlichkeit. Er betonte, dass arbeitsteilige Datenverarbeitung nicht bedeuten müsse, dass alle Verantwortlichen bei der Verarbeitung gleichberechtigt wären. Als Beispiel für gemeinsame Verantwortlichkeit benannte er

Alle an der Verarbeitung beteiligten Verantwortlichen würden dabei gleichrangig für einen etwaigen Schaden haften und müssten ihre jeweiligen Verantworlichkeiten über eine Vereinbarung nach Art 26 DSGVO regeln.

Sonstige datenschutzrechtliche Feinheiten

Dr. Andreas Sattler, Akademischer Rat an der Ludwig-Maximillians-Universtät München, widmete sich der Frage nach den Chancen oder Risiken für ein neues Datenschutzschuldrecht aus den Anforderungen zur Rechtmäßigkeit der Verarbeitung. Im Kern geht es dabei um Verträge, auf deren Grundlage ein Anbieter einem Verbraucher digitale Inhalten gegen Entgelt oder (personenbezogene) Daten bereitstellt.

Dr. Moritz Hennemann, Akademischer Rat an der Universität Freiburg, analysierte die kürzlich von der französischen Aufsichtsbehörde CNIL gegen Google verhängte Millionen-Strafe. Hervorzuheben sei, dass im konkreten Fall mangelnde Transparenz und ungültige Zustimmung wegen nicht hinreichender Information der Verarbeitung als Begründung für den Bußgeldbescheid herangezogen worden wären.

Dr. Laura Schulte, wissenschaftliche Mitarbeiterin an der Universität Bielefeld, verwies auf die enorme praktische Relevanz internationaler Datentransfers - insbesondere bei Cloud-Anwendungen und der Auftragsverarbeitung. Die gesetzgeberische Vermutung eines schwächeren Datenschutzniveaus außerhalb der EU verlange ausgleichende Regelungen zum gleichwertigen Schutz der Daten.
Als Kompensationsmittel stünden unter anderem ein Angemessenheitsbeschluß der Kommission oder Binding Corporate Rules zur Verfügung. Der Angemessenheitsbeschluß insbesondere Privacy Shield habe unter anderem wegen dem vom österreichischen Datenschutz-Juristen Max Schrems erreichten Urteil gegen das Safe Harbour-Abkommen als Legitimationsgrundlage an Attraktivität eingebüßt. Aus praktischer Sicht gewännen Binding Corporate Rules als flexibles Instrument zur Regulierung von Datenflüssen und der Einhaltung von Datenschutzvorschriften an Bedeutung.