2: Pressemitteilungen
Datenschutz-Vorgaben aus Europa umsetzen: Gemeinsam zu einem besseren Datenschutz! – Sommerakademie „Werkzeuge für einen besseren Datenschutz“ des ULD am 19. September 2016 in Kiel
Die Datenschutzreform der Europäischen Union (EU) bringt neue Anforderungen und Werkzeuge mit sich. Im Mai 2016 ist die neue Europäische Datenschutz-Grundverordnung in Kraft getreten, die ab Mai 2018 Geltung erhält. Wo keine eigenen Regelungen auf Bundes- oder Landesebene diese Grundverordnung konkretisieren, wird sie unmittelbar in der gesamten EU anwendbar sein. Um im Gesetzgebungsprozess die schwierigen Verhandlungen zum Abschluss zu bringen und die Zustimmung aller Mitgliedstaaten zu erhalten, blieben einige Regelungen unscharf. Daraus resultieren nun „Hausaufgaben“ für die Bundes- und Landesgesetzgeber, für die Datenschutzaufsichtsbehörden und vermutlich auch für die Gerichte. Viele Anwender aus Wirtschaft und Verwaltung sind verunsichert, was da auf sie zukommt.
In dieser Situation greift die Sommerakademie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), die zurzeit in Kiel stattfindet, das Motiv eines wirksamen Datenschutzes auf: „Datenschutz neu denken! – Werkzeuge für einen besseren Datenschutz“ lautet das Thema, bei dem die namhaften Vortragenden sowie die fast 500 Fachkundigen im Publikum nicht bei der Grundverordnung stehenbleiben, sondern weitere Aspekte rund um die Frage diskutieren, wie sich Datenschutz künftig verbessern lässt.
Die Leiterin des ULD und Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen, begann mit dem Hinweis, dass ähnliche Diskussionen schon vor 20 Jahren geführt wurden, nachdem auf EU-Ebene die Datenschutz-Richtlinie beschlossen worden war. Im Vergleich zu 1996 hätte die Verarbeitung personenbezogener Daten in zahlreichen Lebensbereichen Einzug gehalten; die technische Entwicklung schreite im Eiltempo voran. Guter Datenschutz sei daher nötiger denn je. Hier gälte es, zusammen mit den anderen Mitgliedstaaten auf ein hohes Datenschutzniveau zu drängen, statt in Anbetracht der zunehmenden Komplexität zu kapitulieren.
Hansen verglich die aktuelle Situation mit einer kollektiven Gipfelbesteigung, bei der sich alle Mitgliedstaaten im Basislager vor dem Berg sammelten, um auf das Startsignal hin das Territorium neu zu erkunden. Nur sei unklar, ob angesichts der unterschiedlichen Datenschutz-Kultur und der Verschiedenheit der Rechtskonstrukte in den einzelnen Staaten ein gemeinsamer Weg genommen würde und ob jeder Staat auch denselben Gipfel anpeile. Den Anwendern in Wirtschaft und Verwaltung, den betroffenen Personen und den Aufsichtsbehörden stünden viele Datenschutz-Werkzeuge zur Verfügung. Dazu gehörten beispielsweise das Wirken der betrieblichen Datenschutzbeauftragten, das Vorgehen nach dem Prinzip „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“, die Datenschutz-Folgenabschätzung, der Beratungsauftrag der Datenschutzaufsichtsbehörden und nicht zuletzt die Möglichkeit von spürbaren Bußgeldern.
Thomas Spaeing vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. griff den Ball auf: Nachdem lange Zeit unklar gewesen war, ob das auf EU-Ebene optionale Instrument der betrieblichen Datenschutzbeauftragten (bDSB) in Deutschland Bestand haben würde, ist nun klar, dass das Erfolgsmodell weitergeführt wird. Sein Verband habe die Grundverordnung analysiert und daraus vor wenigen Tagen das neue berufliche Leitbild für die bDSB fertiggestellt. Besonders wichtig werde nun die zentrale Rolle des bDSB im Datenschutzmanagementsystem des Unternehmens. Aktuell würden die bDSB nach Spaeings Schätzung allerdings nur in 10-20 % aller Fälle der Datenverarbeitungsprozesse einbezogen.
Dr. Ulf Buermeyer, Richter am Landgericht Berlin, sah in der Unschärfe vieler Formulierungen der Datenschutz-Grundverordnung sowohl eine Notwendigkeit als auch eine Chance: Nach dem Vorbild des Vorgehens beim AGB-Recht, das über mehrere Jahrzehnte durch die Gerichte in Deutschland ausgeformt wurde, könnte auch das Datenschutzrecht fortentwickelt und konkretisiert werden. Rechtssicherheit würde durch Rechtsprechung entstehen. Er halte es für sinnvoll, vom individualisierten Grundgedanken des Datenschutzes zu einem kollektiveren Ansatz zu kommen: Die Fiktion der persönlichen Einwilligung versage spätestens dann, wenn man die Datenverarbeitung nicht mehr überblicken könne. Um der Gefahr der Rechtszersplitterung entgegenzuwirken, schlägt Dr. Buermeyer vor, dass Gerichte frühzeitig – auch schon in erster Instanz – Fragen durch Vorlage an den Europäischen Gerichtshof (EuGH) klären lassen: Der EuGH solle dafür einen „Fast Track“ für ein beschleunigtes Verfahren einrichten, damit ein Set von Entscheidungen die nötige Rechtssicherheit in Bezug auf die Grundverordnung schafft.
Klaus Müller vom Verbraucherzentrale Bundesverband (vzbv) e.V. stellte dar, dass Datenschutz wegen der Digitalisierung der Lebensbereiche zu einer Kernaufgabe im Verbraucherschutz geworden ist. Er beschrieb die unterschiedlichen Ansätze: Während Verbraucherschutzverbände über eine Verbandsklage Rechtssicherheit im Sinne eines besseren Datenschutzes erzielen könnten, bestünde für die Datenschutzaufsichtsbehörden die Möglichkeit, mit ihrer Befugnis zur Prüfung von Unternehmen und zum Erlass von Beseitigungs- und Untersagungsverfügungen die rechtlichen Anforderungen durchzusetzen. Verbraucherschützer könnten über den zivilrechtlichen Weg, Aufsichtsbehörden über den verwaltungsrechtlichen Weg Entscheidungen zum Datenschutz erzielen. Ein Gleichklang der Entscheidungen würde verstärkend wirken, aber selbst Unterschiede in der Rechtsprechung seien nützlich, beispielsweise um die Diskussion über Datenschutz am Laufen zu halten. Die guten Ansätze der Zusammenarbeit zwischen Verbraucherverbänden und Datenschutzaufsichtsbehörden im Projekt „Marktwächter“, das als deutsches Frühwarnnetzwerk aufkommende Verbraucherprobleme melden soll, sollten künftig ausgebaut werden.
Der Jura-Professor Prof. Dr. Alexander Roßnagel, provet und ITeG, Universität Kassel, berichtete über die Kritikpunkte, die er mit seinem Team bei der Analyse der Datenschutz-Grundverordnung herausgearbeitet hat. Er forderte vom Gesetzgeber, mit Hilfe der Regelungsspielräume dafür zu sorgen, dass das Datenschutzniveau in Deutschland erhalten bleibt. Insbesondere warb Prof. Roßnagel angesichts eines zunehmenden Risikos vieler Arten von Datenverarbeitung für risikospezifische Regelungen und den Ausbau der neuen Instrumente. Dazu sollten die Regelungsansätze sowohl im europäischen als auch nationalen Recht genutzt werden, beispielsweise zur Vorsorge von noch nicht personenbezogenen Daten, für Anreize zu datenschutzgerechtem Verhalten und für bessere Technikgestaltung.
Hieran schloss sich der Vortrag von Achim Klabunde, Leiter „IT Policy“ beim Europäischen Datenschutzbeauftragten, an, der „Datenschutz durch Technikgestaltung“ in den Mittelpunkt stellt. Er erinnerte daran, dass ein Ignorieren dieser neuen Anforderung mit Sanktionen belegt werden oder als erschwerender Umstand bei anderen Datenschutz-Verstößen berücksichtigt werden könne. Nötig sei es, den Stand der Technik voranzutreiben. Aus diesem Grund habe er in 2014 das Netzwerk „Internet Privacy Engineering Network (IPEN)“ gegründet, in dem Datenschutzbehörden wie das ULD und Forscher zusammenkämen. Insgesamt müssten die Ressourcen der Datenschützer künftig noch besser gebündelt werden, um gemeinsam mit Wissenschaft, Entwicklung und Zivilgesellschaft Lösungen zu finden.
Dass Datenschutz in der Technikgestaltung wesentlich ist, betonte auch die Privacy-Wissenschaftlerin Dr. Seda Gürses, KU Leuven, Belgien. In ihrer Arbeit in europäischen Ländern und zuletzt in den USA hat sie den Wandel der Software-Entwicklung der letzten Jahre untersucht. Während früher Software in über längere Zeit stabilen Versionen auf dem Nutzerrechner installiert und betrieben wurde, bedeuten die heute üblichen Modelle von Software-as-a-Service und Apps eine vernetzte und zentral kontrollierte Funktionalität – Selbstbestimmung und Datenschutz bleiben aufgrund der Fremdkontrolle schnell auf der Strecke. Dr. Gürses meldete Zweifel an, ob die Implikationen dieses Wandels von Informatiker(inne)n, Gesetzgebern und Aufsichtsbehörden bereits verstanden seien und ob schon passende Maßnahmen im Sinne des Datenschutzes diskutiert würden.
Diese Gemengelage, ergänzt um den Blick auf das weitere Instrumentarium, war Basis für die Podiumsdiskussion zur Bilanz der Datenschutz-Werkzeuge, in der Marit Hansen alle Vortragenden nach der optimalen Nutzung dieser Werkzeuge für einen verbesserten Datenschutz fragte. Es zeigte sich, dass der Schutz der Rechte und Freiheiten von Personen auch unmittelbar den Schutz vor Diskriminierung und unfairer Behandlung sowie den Erhalt von gesellschaftlicher Vielfalt umfassen muss. Hansens Resümee an Anwender, Entwickler und Berufsdatenschützer: „Die meisten Instrumente sind einsatzbereit. Nicht verunsichern lassen durch das vielschichtige Mobile an Werkzeugen und Wegen für einen besseren Datenschutz, sondern beherzt an die Sache herangehen. Jeder kann in seinem Bereich anpacken, damit Datenschutz zum selbstverständlichen Bestandteil jeder personenbezogenen Datenverarbeitung wird.“
Im Nachmittagsprogramm folgen zehn „Infobörsen“ – verteilt auf 2 x 5 Tracks − zu speziellen Aspekten rund um das Thema der Veranstaltung:
- Internationaler Datentransfer – was geht, was nicht?
- Die digitale Agenda Schleswig-Holstein
- Datenschutz-Folgenabschätzung nach dem Standard-Datenschutzmodell
- Anforderungen der Datenschutz-Grundverordnung für die IT-Sicherheit
- Smart-TVs, Apps und Online-Angebote – Datenschutzprüfungen online und im IT-Labor
- Der steinige Weg zu mehr Datenschutz in sozialen Medien
- E-Mail-Verschlüsselung für Behörden und Unternehmen – Volksverschlüsselung und Ideen zum Schlüsseltausch
- Selbstdatenschutz – Tools und Technik
- Spielend Datenschutzkompetenz vermitteln
- Push für Audit und Zertifizierung mit der Datenschutz-Grundverordnung
Neben ULD-Mitarbeitern als Vortragenden berichten in den Infobörsen verschiedene Gastreferenten: Andreas Sachs, Bayerisches Landesamt für Datenschutzaufsicht, Ulrich Waldmann, Fraunhofer SIT, Henning Fietze, Offener Kanal Schleswig-Holstein, Thomas Losse-Müller, Chef der Staatskanzlei Schleswig-Holstein, Dr. Moritz Karg, Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, und Prof. Dr. Hannes Federrath, Universität Hamburg.
Am späteren Nachmittag moderiert Barbara Körffer, stellvertretende Landesbeauftragte für Datenschutz Schleswig-Holstein, die Podiumsdiskussion „Datenschutz neu denken – für Land, Bund und Europa“, in der die folgenden Expertinnen und Experten zu Wort kommen werden:
- Thomas Losse-Müller, Chef der Staatskanzlei Schleswig-Holstein
- Sven Thomsen, CIO des Landes Schleswig-Holstein
- Dr. Thilo Weichert, Netzwerk Datenschutzexpertise
- Anja Christiansen, Netzwelt-Redakteurin, Schleswig-Holsteinischer Zeitungsverlag (sh:z)
Die Veranstaltung wird beendet durch Schlussfolgerungen und einen Ausblick von Marit Hansen. Folien der Vortragenden und begleitende Materialien werden auf der Webseite des ULD veröffentlicht:
https://www.datenschutzzentrum.de/sommerakademie/2016/
Bei Nachfragen wenden Sie sich bitte an:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstr. 98, 24103 Kiel
Tel: 0431 988-1200, Fax: -1223
E-Mail: mail@datenschutzzentrum.de