Datenschutzbericht von der Sommerakademie 2016 des ULD in Kiel
Beitrag von Herrn Ralf Zlamal, externer Datenschutzbeauftragter
27.09.16 - Das IITR informiert: Am Montag den 19.09.2016 lud das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) zur wie immer gut besuchten Sommerakademie nach Kiel ins ATLANTIC Hotel. Das diesjährige Thema lautete „DATENSCHUTZ NEU DENKEN - Werkzeuge für einen besseren Datenschutz“. Im Fokus stand die Frage, mit welchen Werkzeugen und Hilfsmitteln ein besserer Datenschutz erreicht werden kann. Einer der Auslöser dieser Fragestellung ist die neue EU-Datenschutzgrundverordnung und die damit einhergehenden Neuerungen zur Regelung der Verarbeitung personenbezogener Daten.
Einführung in das Thema
Frau Hansen, Leiterin des ULD und Landesdatenschutzbeauftragte für Datenschutz in Schleswig-Holstein, stellte in ihrer Eröffnungsrede die rasant zunehmende Datenverarbeitung in allen Lebensbereichen in den Mittelpunkt. Für Frau Hansen ist es ein wichtiges Anliegen, bei den Vorgaben zum Datenschutz gemeinsam mit allen Mitgliedstaaten der Europäischen Union auf einen hohen Standard zu drängen, auch wenn dies in Folge der permanent steigenden Komplexität der Datenverarbeitungsvorgänge immer schwieriger wird. Die zur Verfügung stehenden Datenschutzwerkzeuge müssen von allen Mitgliedstaaten einheitlich angewendet werden.
Der Datenschutzbeauftragte in der Organisation – gut gerüstet für die Zukunft?
Herr Thomas Spaeing vom Bundesverband der Datenschutzbeauftragten Deutschlands e.V. (BvD) thematisiert die Rolle und die Aufgaben des Datenschutzbeauftragten in der Zukunft. Hierbei beleuchtet er die bisherige Entwicklung und politische Wahrnehmung ebenso, wie die Präsenz des Datenschutzes in der Wirtschaft. Es wurde deutlich, dass der Datenschutz sehr oft nicht richtig wahrgenommen und schon gar nicht ausreichend umgesetzt wird. Der Datenschutzbeauftragte stehe häufig allein auf weiter Flur, sofern es überhaupt einen Datenschutzbeauftragten gebe. In Anbetracht von Big Data und der zunehmenden Globalisierung der Datenverarbeitungsprozesse wird der Datenschutz zukünftig für alle Bereiche der Wirtschaft existenziell wichtig, so dass der Datenschutzbeauftragte hinreichend qualifiziert sein müsse.
Rechtssicherheit durch Rechtsprechung – sind die Gerichte die neuen Datenschützer?
Herr Dr. Ulf Buermeyer LL.M. (Columbia) vom Landgericht Berlin beleuchtete die EU-Datenschutzgrundverordnung hinsichtlich der Unschärfe bei vielen Formulierungen. Neben Risiken sieht er hier auch die Chance für ein praxisorientiertes Datenschutzrecht. Er zog hierbei den Vergleich mit dem Vorgehen beim AGB-Recht. Hier fand die gerichtliche Konkretisierung und Spezifizierung über mehrere Jahrzehnte statt. Seine konkrete Empfehlung sind die frühzeitige Vorlage von Fragen der Rechtsauslegung der EU-Datenschutzgrundverordnung an den EuGH und die Einführung eines beschleunigten Verfahrens beim EuGH.
Verbraucher Datenschutz – Synergien zwischen Verbraucherverbänden und Aufsichtsbehörden nutzen
Herr Klaus Müller von der Verbraucherzentrale Bundesverband e.V. (vzbv) sprach in seinem Vortrag zum Verbraucherdatenschutz über die immer weiter fortschreitende Digitalisierung. Die Nutzerdaten würden zu einem begehrten Rohstoff für die Unternehmen. Die Daten ermöglichen ein umfassendes und transparentes Bild über den einzelnen Verbraucher. Hierbei hat der einzelne Verbraucher keinen Überblick über die zu seiner Person verarbeiteten Daten. Der Kampf zur Erhaltung der eigenen Datenhoheit würde immer schwieriger und nahezu aussichtslos. Hier hätten zukünftig die Behörden und auch die Verbraucherverbände eine wichtige Funktion inne. Dies werde auch dadurch deutlich, dass der BGH im Januar 2016 der Klage der Verbraucherverbände gegen Facebook stattgegeben hat. Aktuell wurde WhatsApp abgemahnt. Hier geht es um die Frage, inwieweit eine Zustimmung von Dritten für die Weitergabe ihrer Daten notwendig ist. Die Erweiterung der Verbandsklagebefugnis diene dem kollektiven Rechtschutz, identische Sachverhalte können gemeinsam verfolgt werden zum Schutz der Verbraucher. Dies sei besonders wichtig, da Verbraucher regelmäßig in der schwächeren Position seien. Das Projekt „Marktwächter Digitale Welt“ verfolge hierzu das Ziel des frühen Erkennens von Missständen und nachteiligen Verbraucherrechten.
Modernisierung des Datenschutzes - aber richtig!
Herr Prof. Dr. Alexander Roßnagel (provet e.V. und ITeG, Universität Kassel) beschrieb den permanenten Modernisierungsdruck im Datenschutzrecht und die damit einhergehende permanente Anpassung an die geänderten Rahmenbedingungen. Die Datengenerierung nehme schlagartig zu, es erfolge eine Vermischung von Daten der körperlichen Welt mit der digitalen Welt. Die Möglichkeiten einen Menschen zu berechnen würden immer umfangreicher und genauer. Wer hierzu die Daten und das Notwendige Wissen habe würde künftig auch über die Macht verfügen. Die EU-Datenschutzgrundverordnung will die Anforderungen an den neuen Datenschutz aufgreifen und regeln. Weiter stellte Herr Professor Roßnagel verschiedene Anwendungs- und Spezifizierungsmöglichkeiten des neuen Datenschutzrechts an praktischen Beispielen vor.
Datenschutz durch Technikgestaltung - vom Flickenteppich zum Fundament
Herr Achim Klabunde (Leiter „IT Policy“ beim Europäischen Datenschutzbeauftragten) stellte zu Beginn seines Vortrags drei Bereiche vor, die bei der Technikgestaltung zu berücksichtigen seien: 1. das Problem, 2. das Gesetz und 3. die Herausforderung. Er thematisierte das Geschäftsmodel der Überwachung im Internet und die damit einhergehende Sammlung von Daten. Die Technik müsse hier so ausgestaltet sein, dass Betreiber von Datenverarbeitungsverfahren in der Lage sind, beispielsweise Auskunftsrechte eines Betroffenen in angemessener Zeit zu erfüllen. Die rechtskonforme Gestaltung der Technik sollte bereits im Planungsstadium eines Datenverarbeitungsverfahrens berücksichtigt werden (vgl. Artikel 25 der EU-Datenschutzgrundverordnung).
Privacy by Design als Praxis
Frau Dr. Seda Gürses (KU Leuven, Belgien) stellte in Ihrem Vortrag „Privacy by Design als Praxis“ die Sichtweise eines Informatikers dar. Privacy werde regelmäßig für Tot erklärt, zumindest würde dies so in der Gesellschaft wahrgenommen. Frau Dr. Gürses beschrieb die Differenzierung zwischen Entwicklung und Praxis und die damit einhergehende Auswirkungen bei der zunehmenden Nutzung von Cloud-basierten Diensten. Sie hob hierbei die unterschiedlichen Sichtweisen auf Privacy hervor:
Privacy = Vertraulichkeit mit dem Ziel, Privatheit zu schützen durch Datenminimierung bei der Sammlung und bei der nachgelagerten Aufbereitung.
Privacy = Kontrolle mit dem Ziel der Überwachung von Datenverarbeitungsverfahren, der Einschränkung der Verfügungsgewalt, der selektiven Datenweitergabe an Dritte nach dem Erforderlichkeits-Prinzip.
Privacy = Sicherheit durch kollektive Praktiken zum Schutz von Daten.
Frau Dr. Gürses thematisierte mit der Fragestellung „Wie viel Big Data ist unfair?“ die Risiken der automatisierten Auswertungen und die daraus resultierenden Ergebnisse, beispielweise im Hinblick auf die Diskriminierung von Minderheiten. Weiter beschrieb sie ihre Erfahrungen in der rasanten Entwicklung und dem rasanten Release-Management bei Software. Die Nutzung von Services rücke immer mehr in den Vordergrund und erobere immer mehr Marktanteile bei gleichzeitig zunehmender Intransparenz.
Podiumsdiskussion: Bilanz der Datenschutz-Werkzeuge – wo stehen wir, wo wollen wir hin?
In der anschließenden Podiumsdiskussion beleuchteten die Teilnehmer die verschieden Fragenstellungen unter den Rubriken Datenschutzwerkzeug, Datenschutz mit der Holzhammermethode, Messbarkeit des Datenschutzes – Risiken messen und bewerten. Im Ergebnis wurde festgestellt, dass die Gerichte unter einer enormen Arbeitsbelastung leiden würden und gleichzeitig nicht für die Fragestellungen des Datenschutzes spezialisiert seien. Hier würde eine Spezialisierung zu mehr Qualität bei der Aufklärung von Sachverhalten und bei den Urteilen führen. Das Verbandsklagerecht wurde als positives Signal gewertet, könnten doch hier die Belange des einzelnen zukünftig besser und wirkungsvoller wahrgenommen werden. Interessant war auch die Fragestellung von Herrn Professor Rossnagel, ob bei technischen Fragen die Gerichtsbarkeit in der Praxis eine verlässliche Einschätzung sicherstellen könne. Ebenfalls interessant war die Feststellung, dass es aktuell in Unternehmen und Behörden kein ganzheitliches und übergeordnetes Datenschutz-Management gäbe, das eine vollständige Nachweisfähigkeit sicherstellen könne.
Im Anschluss an diese Vorträge folgten folgende Infobörsen:
- Internationaler Datentransfer – was geht, was nicht?
- Datenschutz-Folgenabschätzung nach dem Standard-Datenschutzmodell
- Smart-TVs, Apps und Online-Angebote – Datenschutzprüfungen online und im IT-Labor
- E-Mail-Verschlüsselung für Behörden und Unternehmen – Volksverschlüsselung und Ideen zum Schlüsseltausch
- Spielend Datenschutzkompetenz vermitteln
- Die Digitale Agenda Schleswig-Holstein
- Anforderungen der Datenschutz-Grundverordnung für die IT-Sicherheit
- Der steinige Weg zu mehr Datenschutz in sozialen Medien
- Selbstdatenschutz – Tools und Technik
- Push für Audit und Zertifizierung mit der Datenschutz-Grundverordnung
Fazit
Die bestens organisierte Sommerakademie des ULD lieferte einen guten Überblick über das Thema „Datenschutz neu denken! Werkzeuge für einen besseren Datenschutz“ und die datenschutzrechtliche Fragestellungen. Es wurde deutlich, dass mit der neuen EU-Datenschutzgrundverordnung noch viele Fragestellungen offen sind. Daher richtet sich der Blick derzeit insbesondere auf den Bundesgesetzgeber und eine mögliche Novellierung des Bundesdatenschutzgesetzes im Hinblick auf die Öffnungsklauseln der EU-Datenschutzgrundverordnung.