DAFTA 2020: „Schrems II“, Office 365 etc. – Datenschutzpraktiker fordern von Behörden praktische Hilfestellung anstatt pauschaler Verbote
Vom 19. bis 20.11.2020 führt die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., ihre 44. Datenschutzfachtagung (DAFTA) durch. Die traditionell im Kölner Maternushaus abgehaltene Veranstaltung findet auf Grund der Corona-Pandemie in diesem Jahr komplett online statt.
Peter Biesenbach, NRW Justizminister, begrüßt das Urteil, mit dem das LG Bonn am 11.11.2020 das Bußgeld des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit gegen den Telekommunikationsanbieter 1&1 von ursprünglich 9,5 Millionen Euro auf 900.000 € herabgesetzt hat. Mit seiner Entscheidung habe das Gericht der datenverarbeitenden Wirtschaft wichtiges Vertrauen in den Rechtsstaat zurückgegeben. Diese müsse nun nicht mehr mit der Angst vor irrationalen Bußgeldern der Verwaltungsbehörden leben, sondern dürfe damit rechnen, dass Datenschutzverstöße zwar empfindliche, aber risikoadäquate Sanktionen nach sich ziehen.
Zur lange geplanten ePrivacy-Verordnung berichtet Rolf Bender, Bundeministerium für Wirtschaft und Energie, dass nunmehr leider klar sei, dass auch im Rahmen der deutschen Ratspräsidentschaft keine Verständigung im EU-Ministerrat mehr erreicht werde. Damit sei es jetzt an den Portugiesen, sich um eine allgemeine Ausrichtung zu bemühen, damit in die Verhandlungen mit EU-Parlament und EU-Kommission eingetreten werden könne. Auf nationaler Ebene sei mit dem Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) ein neues Stammgesetz für den Datenschutz geplant, welches die Datenschutzregelungen im Telekommunikations- und Telemedienbereich zusammenführe. Die Ressortabstimmung soll „sehr bald“ abgeschlossen werden, so Bender. Danach folge die Anhörung der Verbände zum Gesetzentwurf.
Prof. Dr. Günter Krings, MdB, Parlamentarischer Staatssekretär beim Bundesminister des Innern, für Bau und Heimat, begrüßt das Bestreben, die Datenschutzregelungen im Telekommunikations- und Telemedienbereich in einem einheitlichen Gesetz zusammenzuführen. Der gegenwärtig bestehende rechtliche Flickenteppich müsse schnellstmöglich beseitigt und Rechtssicherheit geschaffen werden. Die ePrivacy-VO könne nicht länger abgewartet werden. Der deutsche Gesetzgeber habe die Möglichkeit, durch das nationale Gesetzgebungsvorhaben Wege für einen angemessenen Interessenausgleich im ePrivacy-Bereich aufzuzeigen.
Nach Prof. Dr. Herwig Hofmann, Universität Luxemburg, Klagevertreter im Fall Schrems II, ist die seit 2013 dauernde „Schrems Saga“ auch mit dem EuGH Urteil aus dem Juli dieses Jahres (Schrems II - C-311/18) weiterhin nicht abgeschlossen. Die DPC in Irland habe ihr Verfahren erneut ausgesetzt und der Europäische Datenschutzausschuss zwei „Schrems II Task Forces“ eingesetzt. Die Standardvertragsklauseln habe der EuGH aus seiner Sicht zurecht erhalten, so Hofmann. Insofern seien aber nun der Transportweg der Daten und die Situation im Drittstaat jeweils im Einzelfall zu prüfen.
DAFTA 2020: „Schrems II“, Office 365
Thomas Zerdick, Referatsleiter beim Europäischen Datenschutzbeauftragten, stellte die Aufgaben des Europäischen Datenschutzausschusses (EDSA) vor und ging dabei insbesondere auf die Themen Schrems II und Cookies ein. Mittels des in der DS-GVO vorgesehenen Streitbeilegungsverfahren könne der Ausschuss auch in strittigen Fragen zu verbindlichen Beschlüssen kommen. Durch rasche Stellungnahmen zu Beginn der Corona-Pandemie habe der EDSA überdies gezeigt, dass der Datenschutz kein Hindernis bei der Pandemiebekämpfung sein müsse.
„Finger weg von jeder Zentralisierung“ positioniert sich Dr. Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg, im Hinblick auf die aktuelle Diskussion um die Zentralisierung der Datenschutzaufsicht. Seit 2016 habe es eine „massive“ Koordination der nationalen Behörden gegeben. Ohnedies sei der Datenschutz ein europäisches Thema und vor allem auf dieser Ebene müsse eine Vereinheitlichung erfolgen. Die nationale Aufsichtsstruktur spiele aus seiner Sicht eher eine untergeordnete Rolle.
Nach der Auffassung von Brink verbieten sich pauschale Aussagen zur Zulässigkeit des Einsatzes bestimmter Softwareprodukte, wie z.B. Microsoft Office 365. Aus seiner Sicht müsse vor einer Untersagung des Einsatzes durch die Behörde im Übrigen zunächst geprüft werden, ob es im konkreten Fall zumutbare Alternativangebote ohne Transferprobleme gibt.
Hinsichtlich der im geleakten TTDSG-Entwurf vorgesehenen Personal Information Management Services (PIMS) warnte Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands (vzbv), zur Vorsicht. Solche Dienste seien aus seiner Sicht zwar prinzipiell zu begrüßen. Es müsse allerdings sichergestellt sein, dass es sich bei diesen nur um neutrale Intermediäre ohne eigene wirtschaftliche Interessen an der Verwertung der verwalteten Informationen handele. Letzteres schließe indes nicht aus, dass entsprechende Anbieter für ihre Dienste auch Entgelte erheben dürfen.
Achim Schlosser, European netID Foundation, Montabaur, sprach sich für einen europäischen Ansatz im Hinblick auf die Dienste von Identitäts- und Einwilligungstreuhändern aus. Europaweite Rahmenbedingungen erleichterten die Durchsetzung gegenüber den großen Internetanbietern.
Vor dem Hintergrund, dass mit einem zügigen Erlass von novellierten europarechtlichen ePrivacy-Vorgaben im Allgemeinen bzw. Rahmenbedingungen zu PIMS im Besonderen nicht zu rechnen ist, waren sich die Teilnehmer der den politischen Vormittag der DAFTA abschließenden Podiumsdiskussion jedoch einig, dass der nationale Weg über das geplante TTDSG ein guter Ansatz sei. Es sei zu hoffen, dass das Gesetzgebungsverfahren zum TTDSG noch in dieser Legislaturperiode zum Abschluss komme, so Prof. Dr. Rolf Schwartmann, Vorstandsvorsitzender der GDD e.V., Bonn.
Andreas Jaspers, Geschäftsführer der GDD, regte an, dass im Rahmen des Gesetzgebungsverfahrens zum TTDSG der Arbeitgeber als möglicher Adressat strafrechtlich relevanter Verstöße gegen das Fernmeldegeheimnis ausgenommen werden sollte. Zudem sollte ein Einsatz von reinen Onlineanalysetools auch ohne Einwilligung der Nutzer möglich sein, so Jaspers.