8. GDD-Sommer-Workshop 2015

Andreas Jaspers stellte aktuelle gesetzgeberische Entwicklungen im Datenschutz dar und befasste sich sodann mit datenschutzrechtlichen Fragen des Mindestlohns. Zwar begründet das Mindestlohngesetz schwerwiegende Haftungsrisiken für Auftraggeber, eine flächendeckende Durchleuchtung der Beschäftigtendaten ist dennoch nicht gerechtfertigt.

Dr. Lorenz Franck stellte die Prüfpraxis der Aufsichtsbehörden nach § 38 BDSG vor und illustrierte das Thema mit Inhalten aktueller Tätigkeitsberichte. Die Befugnisse der Behörden gehen grundsätzlich sehr weit und die Unternehmen tun gut daran, die vor allem schriftlichen Prüfungen wahrheitsgemäß zu beantworten. Ansonsten drohen Bußgelder.

Prof. Dr. Michael Schmidl, LL.M. referierte zum Datenschutz bei Cloudlösungen. Die Bezeichnung „Cloud Computing“ steht für verteilte Hard- und Software-Ressourcen, die vor allem wegen der damit verbundenen internationalen Datentransfers vertragsrechtliche und datenschutzrechtliche Fragestellungen aufwerfen.

Prof. Peter Gola beleuchtete die geplante Datenschutzverbandsklage. Bereits jetzt sind Klagen nach UWG und UKlaG wegen Datenschutzverstößen in Grenzen möglich. Das neue Verbandsklagerecht nach dem Entwurf eines „Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ soll Verbraucherschutzorganisationen die Möglichkeit geben, in weiterem Umfang gegen entsprechende Verstöße vorzugehen.

Kevin Marschall, LL.M. befasste sich mit der Informationspflicht bei Datenpannen nach § 42a BDSG und untersuchte die Frage, wann wegen unrechtmäßiger Kenntnisnahme der Daten schwerwiegende Beeinträchtigungen für den Betroffenen drohen können. Die verantwortliche Stelle muss insoweit eine Prognose vornehmen, bei der Verwendungsmöglichkeiten und Sensibilität der Daten sowie die Art der Kenntniserlangung berücksichtigt werden.

Prof. Dr. Rainer W. Gerling befasste sich mit dem jüngst in Kraft getretenen IT-Sicherheitsgesetz, das u.a. Änderungen im BSI-Gesetz, dem TKG, dem TMG und dem AtomG mit sich bringt. Sog. „Kritische Infrastrukturen“ etwa im Energie-, Kommunikations-, Gesundheitssektor sind zukünftig verpflichtet, IT-Sicherheitsvorfälle an das BSI zu melden. Mangels entsprechender Rechtsverordnung greifen jedoch viele der Pflichten noch nicht, da insbesondere der Adressatenkreis noch gar nicht genau feststeht.

Dr. Frank Bongers referierte zum Safe-Harbor-Abkommen. Der Datentransfer nach Safe-Harbor ist wegen laxer Kontrolle und dem NSA-Spionageskandal unter Beschuss geraten, sodass die Konferenz der Datenschutzbeauftragten des Bundes und der Länder die Aussetzung angeregt hat. Wann immer möglich sollten daher ergänzend EU-Standardvertragsklauseln verwendet und Safe-Harbor-Unternehmen einer strengen Prüfung unterzogen werden.

Prof. Dr. Rolf Schwartmann befasste sich mit datenschutzrechtlichen Aspekten der sog. „Industrie 4.0“. Die technische Integration von cyber-physischen Systemen in Produktion und Logistik kommt einer industriellen Revolution gleich. Immer größere Datenmengen werden durch smarte Geräte und Dienste erzeugt. Diese müssen ebenso geschützt werden, wie die Produktionsinfrastruktur als solche.

Markus Schaffrin skizzierte Smartphone & Co. als mögliche Einfallstore für Cyberkriminelle. Es hat sich ein regelrechter Untergrundmarkt etabliert für gestohlene Kreditkartendaten, zielgerichtete DDoS-Attacken, maßgeschneiderte Malware oder auch DHL-Packstations-Accounts. Durch Schadsoftware drohen Datendiebstahl, Manipulationen beim Online-Banking und sogar die Inkorporation in ein Botnetz. BSI und BMI unterstützen daher die Plattform botfrei.de, die informiert und vorbeugen hilft.

Martin Beckschulze betrachtete die arbeitsmedizinische Vorsorge- und Eignungsuntersuchung. Schwerpunkt hierbei war die Neufassung der ArbMedVV zum 31. Oktober 2013. Ziel der ArbMedVV ist die Vorsorge und dient der individuellen Beratung und Aufklärung des Beschäftigten über Wechselwirkungen zwischen Arbeit und Gesundheitszustand. Für Eignungsuntersuchungen muss ein berechtigtes Interesse des Arbeitgebers vorliegen.

Harald Zwingelberg stellte die Grundlagen und aktuellen Entwicklungen im Gesundheitsdatenschutz dar. Grundpfeiler des Gesundheitsdatenschutzes ist die ärztliche Schweigepflicht nach § 203 Abs. 1 StGB. Die Schweigepflicht gilt nicht absolut. Es existieren Offenbarungsbefugnisse, -pflichten und Rechtfertigungstatbestände. Auftragsdatenverarbeitung ist dennoch in der Regel nur mit ausdrücklicher Schweigepflichtentbindung möglich.

Zum Schluss wies Thomas Müthlein auf mögliche Fallstricke bei der Datenerhebung hin. Anhand realer Beispiele wurden fehlerhafte Datenschutzerklärungen, Einwilligungen und AGB untersucht. Insbesondere der Hinweis auf ein Werbewiderspruchsrecht sollte niemals fehlen, wenn Daten zu Werbezwecken erhoben werden.

Das Vortragsprogramm bot durchweg interessante Diskussionsmöglichkeiten. Bei der gemeinsamen Abendveranstaltung bot sich den Teilnehmern weitere Gelegenheit zur Vertiefung einzelner Fragestellungen.