GDD-Informationstag 2020

GDD-Informationstag 2020:

„Datenschutzorganisation nach DS-GVO“

Am 14. Februar 2020 führte die GDD ihren traditionellen Informationstag in Köln durch. Dabei wurden unter dem Leitthema „Datenschutzorganisation nach DS-GVO" verschiedene Themen des Datenschutzes und der Datenschutzorganisation von ausgewählten Experten erörtert.

Ziel der Veranstaltung

war es, ein Bewusstsein für aktuelle Datenschutzthemen im Zusammenhang mit Compliance gerechtem Handeln zu erzeugen.

Zur Eröffnung des GDD-Informationstages begrüßte Herr Prof. Dr. Schwartmann die rund 350 erschienenen Mitglieder sowohl als GDD-Vorstandsvorsitzender, aber auch im Namen des Hauses als Leiter der Forschungsstelle Medienrecht der gastgebenden Technischen Hochschule (TH) Köln. In seiner Begrüßung unterstrich Prof. Dr. Schwartmann die Bedeutung des Datenschutzes allgemein und im Besonderen die Relevanz einer funktionierenden Datenschutzorganisation. Im Anschluss an die Begrüßungsrede sprach Andreas Jaspers, Hauptgeschäftsführer der GDD, welcher die Arbeit der GDD in einem aktuellen Überblick präsentierte.

In Schwerpunktbereichen widmete sich Herr Jaspers unter anderem der Bedeutung des „BREXIT“ und potenzieller Konsequenzen für den europäischen Datenschutz. Weitere Themen waren der von der GDD verfasste Standpunkte zur Evaluierung der DS-GVO sowie die Ankündigung zukünftig erscheinender Arbeitshilfen der GDD. Im Hinblick auf die Evaluierung der DS-GVO wurde insbesondere die Kritik an den übermäßigen und umfassenden Informationspflichten der DS-GVO durch Herrn Jaspers vorgetragen. Letztlich bedürfe es einer Vereinfachung z.B. in Form von geregelten First- und Second-Level-Informationen für Verantwortliche („Medienbruch“). Darüber hinaus stand das Auskunftsrecht nach Art. 15 DS-GVO in der Kritik und die mit dem Begriff der „Kopie“ in der Praxis verbundene allgemeine Rechtsunsicherheit, welche den Wunsch nach Anpassung durch den Gesetzgeber nach sich zieht.

Christian Semmler, Head of Privacy Implementation bei der T-Systems International GmbH, widmete sich in seinem Vortrag „Die neue ISO 27701: Alter Wein - oder praxisnaher Ansatz für ein effizientes Datenschutzmanagement?“ unter anderem den Anforderungen an Informationssicherheitsmanagementsysteme (ISMS) und wie ein systematischer Datenschutzmanagementansatz aufgebaut werden kann. Der Einsatz solcher Instrumente kann einen positiven Ansatz zur etwaigen Zertifizierung nach Art. 42 DS-GVO auf Produkt-/Service-Ebene unterstützen. Die ISO 27701 dient damit als Instrument, um das Angebot an Datenschutz und IT-Security relevanten Nachweisen für Kunden zu komplettieren und Compliance ermöglichen zu können. Dies gilt gerade im Bedarfsfall einer evtl. Prüfung durch die Datenschutzaufsichtsbehörden.

Im Anschluss an Herrn Semmler präsentierte Dr. Tobias Jacquemain LL.M., Mitglied der Geschäftsführung der GDD, den DS-GVO Compliance-Check. Bei dem Produkt handelt es sich um einen auf Excel und Excel VBA Makros basierendes und daher leicht verständliches sowie überall einsetzbares DS-GVO Compliance-Tool. Ziel des Tools ist die umfassende und grafisch unterstützte Analyse der Umsetzung der DS-GVO beim Verantwortlichen. Erreicht wird dieses Ziel durch die Beantwortung von Prüffragen basierend auf dem SDM, IDW PH 9.860.1 sowie auf Fragebögen des BayLDA. Der Compliance-Check mündet in einer grafischen Ausgabe zur Darstellung der Thematik gegenüber der Geschäftsführung und unterstützt somit jeden Datenschutzbeauftragten, Berater, Revisoren uvm.

Das Thema „Pseudonymisierung - Datenschutzfreundliches Schmiermittel“ wurde dem Fachpublikum von Helmut Eiermann, stellvertretender Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, auf sehr anschauliche Weise nähergebracht. Eine praktisch absolute Anonymisierung wird von Herrn Eiermann in Frage gestellt. Zeit, technische Entwicklung oder Zusatzwissen können genügen, dass eine beabsichtigte Anonymität nur noch einer Pseudonymisierung gleichkommt und letztlich wieder zu einer Re-Identifizierung führen kann. Im weiteren Verlauf stellte Herr Eiermann verschiedene Methoden der Pseudonymisierung und diesbezüglicher Designkriterien und Risiken dar.

Herr Thomas Müthlein, GDD-Vorstandsmitglied und Geschäftsführer der DMC Datenschutz Management & Consulting, stellte den Anwesenden im letzten Vortrag des Tages die neue Arbeitshilfe der GDD zum Thema „Gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO“ vor. Nach einer kurzen Darstellung der wichtigsten, die gemeinsame Verantwortlichkeit betreffenden EuGH-Urteile („Facebook-Fanpage“; „Zeugen Jehovas“; „Fashion ID“) zeigte er die zu differenzierenden Arten der Verantwortlichkeit anhand von verschiedenen Formen der Zusammenarbeit von Verantwortlichen auf und gab Hinweise zu deren Abgrenzung. Die neue Praxishilfe dient dazu, Verantwortliche durch Indizien- und Indikatorenkataloge sowie eine Checkliste bei der praktischen Umsetzung zu unterstützen.

Schlusswort

Vor dem Schlusswort wurde dem Publikum und den Experten unter Leitung von Professor Schwartmann noch einmal Gelegenheit zur Diskussion der behandelten Themen gegeben. Dieses Angebot wurde gerne wahrgenommen und führte zu verschiedensten Fragestellungen. Diese reichten von Fragen der Abgrenzung der gemeinsamen Verantwortlichkeit für personenbezogene Daten bis hin zu Fragen ausreichender Pseudonymisierung.