46. DAFTA: Datenschutz – Gestaltungsauftrag im Zeitalter der Digitalisierung
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. führte vom 17. bis 18.11.2022 ihre 46. Datenschutzfachtagung (DAFTA) durch.
Nach rein virtuellen Veranstaltungen in den letzten beiden Jahren fand die Veranstaltung traditionell wieder im Kölner Maternushaus statt. Der politische Vormittag sowie sämtliche Foren wurden zusätzlich über das Internet übertragen.
Prof. Dr. Rolf Schwartmann, Vorstandsvorsitzender der GDD e.V. und Leiter der Forschungsstelle für Medienrecht an der TH Köln eröffnete die Veranstaltung mit einer Karikatur zur EU-Datenstrategie: Die neuen Datenakte sind auf das Datenteilen ausgelegt und sollen dem Wohl der Menschheit dienen, hätten jedoch die Datenschutz-Grundverordnung im Gepäck. Hierbei den richtigen Kurs einzuschlagen, sei eine besondere Herausforderung.
Nach Grußworten durch Dr. Ralf Heinen, Bürgermeister der Stadt Köln, sowie Nathanael Liminski, Minister für Bundes- und Europaangelegenheiten und Chef der Staatskanzlei des Landes Nordrhein-Westfalen, eröffnete Axel Voss, Mitglied des Europäischen Parlament und Berichterstatter zur geplanten KI-Verordnung, mit einem Impulsvortrag die Diskussion um die neuen europäischen Datenakte. Er betonte, dass ein zielgerichteter, zukunftsfähiger Datenschutz es ermöglichen müsse, Mehrwerte aus Daten zu schaffen. Hier bestünde Nachholbedarf bei der DS-GVO, insbesondere mit Blick auf ihre Prinzipien der Datenminimierung und Datenlöschung, um diese Ziele erreichen zu können. Künstliche Intelligenz, als ein zentraler Baustein der Datenstrategie, dürfe nicht überreguliert werden. Entscheidend für die Pflichten beim Einsatz von KI müsse die Risikoträchtigkeit der jeweiligen Anwendung sein. Im aktuellen Entwurf der Verordnung seien zu viele KI-Anwendungen von den gesetzlichen Regelungen umfasst.
Gabriela Krader, Konzerndatenschutzbeauftragte Deutsche Post DHL Group und stellvertretende Vorsitzende der GDD, verwies auf ein gemischtes Stimmungsbild in der Wirtschaft, die zwischen Goldgräberstimmung und Panik schwanke: Einerseits bestünde ein großes Interesse an Daten, andererseits seien die Verpflichtungen für ein Datenteilen nicht hinreichend klar konturiert. Mit Blick auf die Rolle der Datenschutzbeauftragten stünde ein Zeitenwechsel an. Die Datenschutz-Compliance entwickle sich durch das neue EU-Recht verstärkt zu einer Daten-Compliance. Zusätzliche Fähigkeiten seien für Datenschutzbeauftragte notwendig, um ein Datemanagement einheitlich im Unternehmen zu etablieren.
46. DAFTA: Datenschutz – Gestaltungsauftrag im Zeitalter der Digitalisierung
Dr. Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg, verwies auf die schwierige Rolle der Aufsichtsbehörden bei den Datenakten. Der Blick auf Datenverarbeitungen müssen im Sinne des Datenteilens unter Fortbestand der Beschränkungen der DS-GVO geweitet werden. Anreize für faire und rechtmäßige Verarbeitungen müssten geschaffen werden, wobei die Selbstregulierung ein wichtiger Ansatz sei, um mit den schwierigen und abstrakten Vorgaben der Grundverordnung umzugehen.
In seinem Impulsvortrag unterstrich Prof. Dr. Herwig C. H. Hofmann von der Universität Luxemburg und Prozessvertreter vor dem EuGH in den „Schrems Fällen“, dass Data Act und Data Governance Act das Regelungsspektrum für Daten über den Schutz personenbezogener Daten hinaus erweiterten. Ob es hierbei gelänge, neue Datenräume zu schaffen, die Daten verschiedenster Quellen zusammenführten, sei wesentlich von einer Interoperabilität abhängig, die sich zunehmend von einem technischen Konzept zu einem rechtlichen bewege. Auch eine erfolgreiche Qualitätskontrolle der Daten sei für den Erfolg entscheidend, die der Datenschutz bisher über Datenzugangsrechte zugunsten Betroffener gewährleisten konnte.
Der Geschäftsführer der GDD Andreas Jaspers wusste die neuen Datenakte für die Praxis einzuordnen. Die Normen zum Datenteilen müssten in der DS-GVO abgearbeitet werden, sollte es sich um personenbezogene Daten handeln. Es gebe keinen Freifahrtschein für das Datenteilen. Die Anonymisierung und Pseudonymisierung personenbezogener Daten seien entscheidende Instrumente, um Datenweitergaben unter dem geplanten neuen EU-Recht zu ermöglichen.
Christian Völkel, Chief Privacy Officer der Porsche AG, sieht die Zeit eines konservativen Datenschutzes als beendet an. Den neuen Datenakten sei ein Gestaltungsauftrag auch für Datenschützer/-innen immanent. Allerdings müsse der durch die Datenakte zu erwartende Umsetzungsaufwand im Auge behalten werden, sonst hätten die Unternehmen mehr Kosten als einen Nutzen hieraus.
Nach der Podiumsdiskussion stellten Andreas Jaspers und Dr. Niels Lepperhoff, beide Geschäftsführer der DSZ Datenschutz Zertifizierungsgesellschaft mbH, im Forum 1 den neuen Code of Conduct für Auftragsverarbeiter “Trusted Data Processor” der Öffentlichkeit vor. Durch die erteilte Genehmigung des Code Of Conduct durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden- Württemberg und die Akkreditierung der DSZ als Überwachungsstelle könnten sich Auftragsverarbeiter nunmehr einem transparenten Standard unterwerfen. Dies komme auch Verantwortlichen zugute, die ihre personenbezogenen Daten einem zuverlässigen Dienstleister zur Verfügung stellen möchten.
Zur GDD: Die GDD wurde 1977 in Bonn gegründet und unterstützt seitdem Unternehmen, insbesondere deren Datenschutzbeauftragte, bei der Lösung der vielfältigen mit Datenschutz und Datensicherheit verbundenen technischen, rechtlichen und organisatorischen Fragen. Sie tritt als gemeinnütziger eingetragener Verein für einen sinnvollen, vertretbaren und technisch realisierbaren Datenschutz ein. Zusammen mit DATAKONTEXT richtet die GDD die Datenschutzfachtagung DAFTA aus, die alljährlich im November in Köln stattfindet.