Foto: Lightspring - shutterstock.com
Am 30. Januar 2019 fand die PinG-Jahrestagung-Datenschutz in Berlin statt. In der, vom Berliner Erich Schmidt Verlag in Zusammenarbeit mit der Zeitschrift "Privacy in Germany (PinG)" organisierten Veranstaltung referierten und diskutierten unter Leitung von Dr. Sebastian Golla namhafte Datenschutzexperten, Verbraucherschützer und Vertreter von Aufsichtsbehörden in verschiedenen Panels über offene Fragen und strittige Auslegungen der DSGVO.
DSGVO als weltweite Referenz
In seiner Keynote stellte Peter Schaar, Bundesdatenschutzbeauftragter a.D., die Frage: "Inwieweit sich die DSGVO zu einem neuen Goldstandard entwickle, an dem sich Datenschutz weltweit messen lassen müsste?" Unstrittig sei ja, dass das neue europäische Datenschutzrecht so einiges in die richtige Richtung bewegt habe und heute von großen internationalen Konzernen nicht mehr einfach ignoriert werden könne.
Der 2018 beschlossene Consumer Privacy Act in Kalifornien und das richtungsweisende Statement von Apple-Chef Tim Cook, welcher die DSGVO als Vorbild für globalen Datenschutz bezeichnete, würden darauf hinweisen, dass die DSGVO weltweite Wirkung als Referenz für angemessenen Datenschutz entfalte.
Lesetipp: US Cloud-Act versus EU DSGVO - In der Wolke ist die Freiheit nicht grenzenfrei
Aufsichtsbehörden: Höhere Bußgelder und Beratungsstrategien
PinG-Herausgeber Prof. Niko Härting unterstrich, dass aus seiner Sicht das einzig Revolutionäre an der DSGVO die neuen Bußgeldbestimmungen seien. Die Vermeidung von exorbitanten Strafen wäre ein ganz wesentlicher Motor für Berater und Verantwortliche für eine aktive Umsetzung der neuen datenschutzrechtlichen Reglungen.
Lesetipp: Datenschutzgrundverordnung - Wo die Abmahnung droht
Dr Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg, betrachtet das etwas anders und verortet wesentliche Auswirkungen der DSGVO beim neuen Selbstverständnis der Datenschutzbehörden. Brink sieht Aufsichtsbehörden verstärkt als staatliche Servicestelle für Verantwortliche und Betroffene zur rechtkonformen Umsetzung der DSGVO.
Hohe Bußgelder seien zwar ein probates Mittel zur Durchsetzung der Datenschutzregeln, aber im Vordergrund müsse die Beratung stehen. Mittelfristig erwarte er aber eine europaweite Harmonisierung der Bußgeldpraxis, welche in Deutschland bei Datenschutzverstößen zu höheren Strafen als bisher sorgen werde.
Foto: Erich Schmidt Verlag/Angela Kausche
Datenschutzanwalt Dr. Carlo Pilz skizzierte in der Folge empfohlene Beratungsstrategien im Umgang mit den Datenschutzbehörden. "In der DSGVO ist fast alles umstritten. Die Auffassung der Aufsichtsbehörde ist eine Meinung, aber nicht die eine Meinung", führte er aus und empfiehlt den Verantwortlichen sich bei strittigen Fragen nicht einzuigeln, sondern selbstbewußt mit den Aufsichtsbehörden zu kooperieren und gegebenenfalls auch in streitigen Verfahren offene Auslegungsfragen zu klären oder nach gemeinsamen Lösungen zu suchen.
Interessen als rechtmässige Verarbeitungsgrundlage
Prof. Dr. Dieter Kugelmann, der rheinland-pfälzische Landesbeauftragte für Datenschutz und Informationsfreiheit, widmete sich in seinen Ausführungen dem Art 6 (f) DSGVO zur Rechtmäßigkeit der Verarbeitung. Kugelmann warnte ausdrücklich davor, die berechtigten Interessen des Verantwortlichen zur Verarbeitung von personenbezogenen Daten als eine Art von Auffangtatbestand für die vielfältigen Verarbeitungsabsichten der Wirtschaft zu betrachten. Vielmehr bedürfe es in jedem Einzelfall einer ausreichenden Begründung und sorgfältigen Abwägung von berechtigten Interessen der Verantwortlichen oder Dritten gegenüber den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Personen.
Sebastian Schulz vom Bundesverband für E-Commerce und Versandhandel betonte, dass der freie Verkehr von personenbezogenen Daten mit dem Schutz von natürlichen Personen bei der Verarbeitung gleichrangig sei. Datenschutzrecht sei ein Abwägungsrecht und "ein super Grundrecht, aber kein Supergrundrecht" Theorie und geübte Praxis würden sich gerade bei der Interessensabwägung nach Art 6 (f) DSGVO häufig voneinander unterscheiden und der Einsatz eines systematischen Modells, wie das 3x5-Modell von Herfurth, sei zur Erzielung nachvollziehbarer Ergebnisse unbedingt empfehlenswert.
Künstliche Intelligenz und Datenschutzrecht im Internet und in der Telekommunikation
Prof. Dr, Johannes Caspar, Datenschutzbeauftragter von Hamburg, erörterte in seinem Grundsatzreferat die absehbaren Folgen des zunehmenden Einsatzes von Künstlicher Intelligenz in der öffentlichen Verwaltung. Algorithmen und maschinelles Lernen würden vermehrt zu automatisierten Verfahren und Entscheidungen mit unmittelbarer Wirkung auf die Grundrechte der Betroffenen führen. Notwendig sei in diesem Zusammenhang eine sachgerechte Adaption der DSGVO und eine digitale Charta der Grundrechte.
Rechtanwalt Dr. Simon Assion von der Kanzlei Bird&Bird thematisierte in seinem Vortrag die Rechtslage für das Internet- und Telekommunikations-Datenschutzrecht. Datenschutzregeln in diesen Bereichen würden seit 25. Mai 2018 durch die DSGVO verdrängt und seien in der Folge größtenteils unwirksam. Das verbleibende nationale Recht hätte dann nur noch Inselcharakter und werde auf die ePrivacy-Richtlinie und das Fernmeldegeheimnis reduziert. Dessen ungeachtet blieben aber Rechtspflichten zur Verarbeitung bestehen.
Etwaige Nebenwirkungen der DSGVO
Fragen zum Sinn und Zweck des Datenschutzes und zur Bedeutung einer (nicht geführten) Grundsatzdebatte für die Praxis stellte Dr. Winfried Weil, Referent im Bundesministerium des Innern, in seinem Vortrag. Das zentrale "Schutzgut des Datenschutzrechts sei vollkommen unklar und hoch umstritten".
Als häufig angeführte Schutzgüter der DSGVO benennt er die Rechte und Freiheiten der betroffenen Personen, den freien Verkehr personenbezogener Daten und den Binnenmarkt. Die Vielfalt der nicht eindeutig festgelegten Schutzzwecke führe in der Folge zur Überforderung bei Verantwortlichen und zu Enttäuschungen beim Betroffenen.
Beobachtete Verhaltensänderungen aufgrund veränderter Anreize konstatierte Per Meyerdierks von Google Deutschland als mögliche Nebenwirkungen der DSGVO. Anhand der deutlich angwachsenen Wortmenge in den Datenschutzgesetzen, des gestiegenem Bußgeldrahmens und erweiterten, räumlichen Anwendungsbereichs der DSGVO diagnostizierte er eine mögliche Überdosierung des europäischen Datenschutzrechts. In der Folge bemerke man unter anderem bei Verantwortlichen einen Trend zur Einwilligung als Erlaubnistatbestand, eine neue Ernüchterung und Bescheidenheit in Datenschutzangelegenheiten bei deutschen Unternehmen und Datenschutzbeauftragten sowie vermehrt, vorsorglich aktivierte Datenschutzeinstellungen mit erhöhten Usability-Kosten.
Auskunftsbegehren und gemeinsame Verantwortlichkeit
Über ein möglicherweise, neues Akteneinsichtsrecht durch das Betroffenenrecht auf eine Kopie der verarbeiteten Daten reflektierte Prof. Niko Härting in seinem Vortrag zum Thema Compliance. Festzustellen sei, dass Umfang und Anzahl von Auskunftsbegehren mit der DSGVO deutlich zugenommen hätten. Das Auskunftsrecht umfasse den Anspruch der betroffenen Person auf eine Kopie der personenbezogenen Verarbeitungsdaten. Unklar sei vorerst, was die Kopie der Daten alles beinhalten müsse.
Letztendlich sei aber wohl Dokument für Dokument auf den Personenbezug und die Verhältnismäßigkeit des, zur Erfüllung des Auskunftanspruchs, erforderlichen Aufwands zu prüfen.
Rechtsanwalt Lasse Konrad skizzierte wesentliche Facetten bei der Gestaltung von Verarbeitungsverträgen bei gemeinsamer Verantwortlichkeit. Er betonte, dass arbeitsteilige Datenverarbeitung nicht bedeuten müsse, dass alle Verantwortlichen bei der Verarbeitung gleichberechtigt wären. Als Beispiel für gemeinsame Verantwortlichkeit benannte er
den Betrieb einer gemeinsamen Kundendatenbank,
Dienstleistungen eines einzelnen Auftragsverarbeiters für mehrere Auftraggeber,
den Betrieb von Facebook Fanpages und
die Verarbeitung von personenbezogenen Daten durch Unternehmen im Konzernverbund.
Alle an der Verarbeitung beteiligten Verantwortlichen würden dabei gleichrangig für einen etwaigen Schaden haften und müssten ihre jeweiligen Verantworlichkeiten über eine Vereinbarung nach Art 26 DSGVO regeln.
Sonstige datenschutzrechtliche Feinheiten
Dr. Andreas Sattler, Akademischer Rat an der Ludwig-Maximillians-Universtät München, widmete sich der Frage nach den Chancen oder Risiken für ein neues Datenschutzschuldrecht aus den Anforderungen zur Rechtmäßigkeit der Verarbeitung. Im Kern geht es dabei um Verträge, auf deren Grundlage ein Anbieter einem Verbraucher digitale Inhalten gegen Entgelt oder (personenbezogene) Daten bereitstellt.
Dr. Moritz Hennemann, Akademischer Rat an der Universität Freiburg, analysierte die kürzlich von der französischen Aufsichtsbehörde CNIL gegen Google verhängte Millionen-Strafe. Hervorzuheben sei, dass im konkreten Fall mangelnde Transparenz und ungültige Zustimmung wegen nicht hinreichender Information der Verarbeitung als Begründung für den Bußgeldbescheid herangezogen worden wären.
Dr. Laura Schulte, wissenschaftliche Mitarbeiterin an der Universität Bielefeld, verwies auf die enorme praktische Relevanz internationaler Datentransfers - insbesondere bei Cloud-Anwendungen und der Auftragsverarbeitung. Die gesetzgeberische Vermutung eines schwächeren Datenschutzniveaus außerhalb der EU verlange ausgleichende Regelungen zum gleichwertigen Schutz der Daten.
Als Kompensationsmittel stünden unter anderem ein Angemessenheitsbeschluß der Kommission oder Binding Corporate Rules zur Verfügung. Der Angemessenheitsbeschluß insbesondere Privacy Shield habe unter anderem wegen dem vom österreichischen Datenschutz-Juristen Max Schrems erreichten Urteil gegen das Safe Harbour-Abkommen als Legitimationsgrundlage an Attraktivität eingebüßt. Aus praktischer Sicht gewännen Binding Corporate Rules als flexibles Instrument zur Regulierung von Datenflüssen und der Einhaltung von Datenschutzvorschriften an Bedeutung.