37. RDV-Forum 2018 in Köln

37. RDV-Forum 2018 in Köln

RDV "Recht der Datenverarbeitung"

Die RDV – „Recht der Datenverarbeitung“ ist die Fachzeitschrift für Datenschutz, Informations- und Kommunikationsrecht. Heute fand im Maternushaus zu Köln das inzwischen 37. RDV-Forum mit Fachvorträgen zu aktuellen Datenschutzfragen statt.

Die Begrüßung erfolgte durch Professor Peter Gola, dem Ehrenvorsitzenden der Gesellschaft für Datenschutz und Datensicherheit (GDD) und Chefredakteur der RDV. In seiner Keynote ließ Professor Gola die verschiedentlichen Verzweiflungsrufe in den Medien Revue passieren, die das neue Europäische Datenschutzrecht in den letzten Monaten ausgelöst habe. Die Politik wolle diese Rufe zum Anlass nehmen um die hergebrachten deutschen Regeln zur Bestellung von betrieblichen Datenschutzbeauftragten ändern – für ehrenamtlich tätige Vereine möge dies sinnvoll erscheinen, nicht jedoch für die breite Masse der datenverarbeitenden Unternehmen.

Danach beleuchtete Rechtsanwalt Sebastian Schulz ausgewählte Rechtsfragen zu den Betroffenenrechte nach der Europäischen Datenschutz-Grundverordnung (DS-GVO). Die europäische Datenschutzreform habe unter anderem die Stärkung und präzise Festlegung der Rechte der betroffenen Personen zum Gegenstand gehabt. Viele Einzelfragen beispielsweise der Transparenzbestimmungen, der Auskunftsansprüche, der Datenportabilität und der Information über Datenpannen seien im Gesetz jedoch nicht im Detail geregelt. Hier sei die Praxis gefordert, Lösungen zu finden und nach außen zu vertreten.

Dr. Lorenz Franck referierte zur neuen Figur des Vertreters in der Europäischen Union. Unternehmen außerhalb der EU, die hier Waren und Dienstleistungen anbieten oder das Verhalten von Personen etwa durch Trackingmechanismen beobachten, seien verpflichtet, eine Anlaufstelle zu schaffen. Betroffene Personen, Aufsichtsbehörden und alle anderen Akteure auf dem Gebiet des Datenschutzrechts könnten sich dann an den Vertreter wenden. Es biete sich für die Unternehmen an, die Vertretung als externe Dienstleistung einzukaufen. Der Vertreter darf jedoch nicht mit dem betrieblichen Datenschutzbeauftragten verwechselt werden.

Professor Dr. Gregor Thüsing formulierte die These: „Petzen ist doof.“ Unter dieser Überschrift behandelte er Fragen des Whistleblowings, mit anderen Worten: des Verpfeifens. Whistleblowing und Datenschutzrecht seien nicht ohne Weiteres kompatibel. Der Whistleblower werde für gewöhnlich unerkannt bleiben wollen. Die datenschutzrechtliche Transparenz könne aber nutzbar gemacht werden, um Personen vor ungerechtfertigten Anwürfen zu schützen.

Rechtsanwältin Yvette Reif erörterte die Figur des Datenschutzbeauftragten im europäischen Recht. Dieser sei als Kontroll- und Beratungsorgan konzipiert. Haftungsfragen bei Pflichtverletzungen im Rahmen dieser Tätigkeit seien jedoch nicht klar geregelt. Insbesondere gelte es noch zu klären, ob und unter welchen Voraussetzungen Ersatzansprüche der betroffenen Personen bzw. der Verantwortlichen in Frage kommen. Hier bedürfe es ggf. einer ausführlichen Stellenbeschreibung, die die Pflichten konkret umreißt und in der darüber hinaus die zur Verfügung stehenden Ressourcen sowie das konkrete Vorgehen bei Einführung neuer Datenverarbeitungen dargelegt werden.

37. RDV-Forum 2018 in Köln

Weitere Referenten und Themen

Rechtsanwalt Dr. Martin Schirmbacher behandelte Kundenprofile in der Werbung zwischen DS-GVO und UWG. Ein Profil werde gebildet, indem Kundenstammdaten mit Trackingdaten zusammengeführt werden. Während ein einfaches Tracking, etwa zur Reichweitenmessung im Internet typischerweise von den betroffenen Personen erwartet werden dürfte, sei eine echte Profilbildung im Zweifel nur mittels der ausdrücklichen Einwilligung zu rechtfertigen.

Im Anschluss hieran gab der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar Einblick in die aufsichtsbehördliche Praxis bei automatisierter Gesichtserkennung. Das Gesicht sei das Hauptunterscheidungsmerkmal im täglichen Leben. Es sei weitgehend unveränderlich und öffentlich sichtbar, aber zugleich frei beweglich im Raum. Dies bedeute erhebliche technische Herausforderungen. Aber auch die rechtlichen Probleme seien bei den vorgestellten Verfahren vielfach nicht ausreichend berücksichtigt worden. So sei etwa die anlasslose biometrische Behandlung tausender Demonstrationsteilnehmer anlässlich der G20-Proteste im letzten Jahr juristisch fragwürdig, da die Strafprozessordnung keine Vorschriften hierüber enthalte.

Rechtsanwältin Kathrin Schürmann analysierte das Location Based Mobile Marketing aus datenschutz- und wettbewerbsrechtlicher Sicht. Der Aufenthaltsort der Kunden werde über mobile Geräte auf verschiedenen Wegen an Diensteanbieter weitergeleitet. Zwar sei hierdurch eine gezielte Ansprache der Kunden möglich, gleichzeitig bestehe aber die Möglichkeit zur Profilbildung über längere Zeiträume. Da die Daten in der Regel nicht für die Vertragsabwicklung notwendig seien, stelle die datenschutzrechtliche Einwilligung das Mittel der Wahl dar, um entsprechende Verarbeitungen zu rechtfertigen.

Prof. Dr. Rolf Schwartmann beleuchtete schließlich die Bewertung von Personen durch Algorithmen bei Personalentscheidungen und in der Kundenansprache. Die DS-GVO sei prinzipiell nicht dafür gedacht, künstliche Intelligenz und Big-Data-Anwendungen flächendeckend zu gestatten. Es müsse daher stets geprüft werden, inwieweit eine ausschließlich automatisierte Verarbeitung vorliegt, die eine Entscheidung zum Gegenstand hat, welche rechtliche oder ähnlich einschneidende Auswirkungen für die betroffene Person zeitigt. Darüber hinaus sei es nicht so einfach, datenschutzrechtliche Transparenz herzustellen, da die zugrundeliegenden Prozesse technisch komplex seien und zugleich Geschäftsgeheimnisse darstellen könnten.

Unmittelbar nach den Vorträgen und in den Pausen fand ein intensiver Austausch zwischen den Vortragenden und dem Publikum sowie unter den Teilnehmenden selbst statt. Der Termin für das nächste RDV-Forum steht bereits fest: Am 20.11.2018 wird es wieder soweit sein.

 

Weitere Informationen über rdv-online.com