45. DAFTA - Datenschutz darf nicht zu Überforderungen führen.
45. DAFTA: Datenschutz darf nicht zu Überforderungen führen – e-Privacy steht nicht mehr im Brüsseler Fokus
Am heutigen 18.11.2021 startete - zum zweiten Mal infolge online - die 45. Datenschutzfachtagung (DAFTA) der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. Bonn.
Der Vorstandsvorsitzende der GDD Prof. Dr. Rolf Schwartmann eröffnete die Veranstaltung unter Hinweis auf die bestehende Unsicherheit der Wirtschaft bezüglich der Umsetzung datenschutzrechtlicher Vorgaben. Beispielhaft verwies er dazu auf die Diskussionen um datenschutzkonforme Bürosoftware und die Umsetzung der „Schrems II“-Entscheidung des EuGH in der Praxis. Die Wirtschaft ächze unter den Anforderungen der Rechtsprechung und der strengen Rechtsauslegung durch die Behörden, resümierte Schwartmann.
Der Ansicht, dass der Datenschutz keinesfalls in Frage gestellt werden dürfe, war Thomas Jarzombek, MdB, im Rahmen eines kurzen einleitenden Grußworts. Sachgerecht verstandener Datenschutz dürfe aber auch nicht dazu führen, dass „die Wirtschaft als toter Gaul, der keinen Atem mehr hat, über die Ziellinie kommt“, so Jarzombek unter Anspielung auf die Karikatur auf der Einladung zur diesjährigen DAFTA. Maßgeblich für die Akzeptanz des Datenschutzes sei, dass aufgestellte Anforderungen realistisch bleiben und der Mittelstand nicht überfordert werde.
Aus dem „Maschinenraum“ der EU-Kommission berichtete Renate Nikolay, Kabinettschefin der Vizepräsidentin der EU-Kommission Věra Jourová, über die EU-Strategie zur Datennutzung in der digitalen Transformation. Aus ihrer Sicht habe Europa mit der DS-GVO als „first mover“ einen weltweiten Standard für den Schutz personenbezogener Daten gesetzt. Nun gelte es, diesen Erfolg für den Bereich der digitalen Transformation, den sie als „make or break issue“ für Europa ansehe, zu wiederholen. Mit der DS-GVO sei das Grundfundament für die Datennutzung in der digitalen Transformation bereits gelegt. Bedeutung für die weitere Entwicklung schrieb sie vor allem dem Data Governance Act (DGA) sowie dem Digital Services Act (DSA) zu.
Angesprochen auf das Verfahren zum Erlass einer e-Privacy-Verordnung äußerte Nikolay Zweifel, ob es dieser datenschutzrechtlichen Spezialregelung überhaupt bedürfe. Jedenfalls lägen die Verhandlungspartner im Rahmen des Trilogs noch weit auseinander und sie rechne nicht damit, dass die Franzosen, die demnächst den Vorsitz im Rat der EU übernehmen, hier einen Schwerpunkt setzen. Die Verhandlungen für ein Nachfolgeabkommen für das Privacy Shield mit der US-Administration liefen gut, so Nikolay. Schwierigkeiten seien zu erwarten, sofern die Verhandlungen dazu führten, dass in den USA gesetzliche Änderungen erforderlich würden.
Dr. Stefan Brink, LfDI Baden-Württemberg, hielt eine Vereinbarung zwischen der EU und den USA, die diesmal auch hält, für den einzigen Ausweg aus dem „Schlamassel“, das sich infolge der „Schrems II“-Entscheidung des EuGH ergeben habe. Transfer Impact Assessments seien unfassbar komplex und teuer und von einem durchschnittlichen Unternehmen nicht zu leisten.
Einen Überblick über die aktuelle Rechtsprechung des Bundesgerichtshofs (BGH) zum Datenschutz gab Dr. Peter Allgayer, Richter am BGH, und ging unter anderem auf eine Entscheidung vom 15. Juni dieses Jahres zur Reichweite des Auskunftsanspruchs aus Art. 15 DS-GVO ein. Nach dieser Entscheidung ist der Auskunftsanspruch nicht teleologisch dahingehend zu reduzieren, dass der Anspruch voraussetze, dass es um signifikante biografische Informationen gehe, die im Vordergrund des fraglichen Dokuments stünden. Ganz generell sei zu beachten, so Allgayer, dass der BGH zwar ein oberstes nationales Fachgericht sei, aber auch das BAG - mit zum Teil im Detail unterschiedlicher Wertung - Recht spreche mit Bezug zum Datenschutz. Sofern Unklarheiten hinsichtlich der Auslegung europäischen Rechts bestünden, sei der BGH zudem verpflichtet, den EuGH um Vorabentscheidung zu ersuchen.
Weitere Referenten zur "45. DAFTA - Datenschutz darf nicht zu Überforderungen führen"
Rolf Bender, BMWi, informierte die DAFTA-Teilnehmer über die Entstehungsgeschichte und wesentlichen Neuregelungen des zum 01.12.2021 in Kraft tretenden Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG). Aktuell arbeite das Ministerium an der Rechtsverordnung zu § 26 TTDSG, mit der Detailregelung für die neu geregelten „Dienste zur Einwilligungsverwaltung“ (PIMS) geschaffen werden sollen. Mit der Verordnung sei nicht vor Herbst 2022 zu rechnen.
Ausdrücklich begrüßt wurde das TTDSG von Kristin Benedikt, Richterin und Datenschutzbeauftragte am VG Regensburg und Mitglied des GDD-Vorstands. Mit der DS-GVO und den nationalen Regelungen im TTDSG sei man aus ihrer Sicht in Deutschland gut aufgestellt. Sie regte an, das Thema Onlinedatenschutz neu zu denken und überkommene Rechtsvorstellungen aufzugeben. Für jeden Onlinesachverhalt in der Praxis müssten Lebenssachverhalt und anwendbares Recht genau ermittelt werden. Anders als die DS-GVO kenne das TTDSG etwa weder das Prinzip der Verantwortlichkeit noch die Drittlandübermittlung.
Auch Christian Völkel, Chief Privacy Officer / Director Group Privacy Porsche AG, befürwortete die Neuregelungen im Grundsatz, wies jedoch auf aus seiner Sicht bestehende Wertungswidersprüche zwischen DS-GVO und TTDSG hin, sofern Services, die nach DS-GVO über die Vertragsabwicklung erlaubt seien, aufgrund des TTDSG dennoch die Einholung einer Einwilligung notwendig machten.
Konsens bestand im Rahmen der den Vormittag abschließenden Podiumsdiskussion dahingehend, dass es in einem Rechtsstaat mit Gewaltenteilung wünschenswert ist, dass umstrittene Rechtsfragen gerichtlich geklärt werden. Vor diesem Hintergrund gebe zu wenig gerichtlich überprüfbare Entscheidungen der Aufsichtsbehörden. Letzteres liege auch daran, so Brink, dass die Behörden häufig weiche Handlungsformen, wie z.B. die Veröffentlichung von Orientierungshilfen, gegenüber dem Erlass angreifbarer Bescheide bevorzugten. Auch entschieden sich viele Unternehmen aufgrund wirtschaftlicher Erwägungen, offene datenschutzrechtliche Fragestellungen nicht bis zum Ende durchzufechten, sondern die behördlichen Vorgaben zu akzeptieren.
Der Geschäftsführer der GDD, Andreas Jaspers, führte die weitgehende Akzeptanz von Behördenentscheidungen durch die datenverarbeitende Wirtschaft auch darauf zurück, dass insbesondere kleinere und mittlere Unternehmen angesichts der hohen Anforderungen der Aufsichtsbehörden, etwa im Bereich der Rechenschaftspflicht und Dokumentation, unter einem ständigen „schlechten Gewissen“ litten. Ehe man Gefahr laufe, dass die Behörde das Unternehmen näher unter die Lupe nehmen, käme man gestellten Anforderungen lieber ohne Gegenwehr nach. Jaspers kritisierte in diesem Zusammenhang auch das Selbstverständnis der Behörden, deren Agieren jedenfalls zum Teil durch einen absoluten Richtigkeitsanspruch sowie eine ideologisierte Betrachtungsweise geprägt sei.