Was ist der aktuelle Stand der Datenschutzverordnung, wann kommt sie und welche Auswirkungen hat sie? Gibt es zukünftig noch die Bestellpflicht von betrieblichen Datenschutzbeauftragten? Das waren für viele Datenschutzbeauftragten die wichtigsten Fragen an den Verbandstagen 2015 des Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V., die am 11.-12. Mai in Berlin stattfanden. Neben diesen wichtigen Fragen wurde in den Fachvorträgen das ganze Spektrum des Datenschutzes betrachtet.
Die Staatssekretärin Rogall-Grothe, die in Vertretung des Bundesinnenministers De Maizière, über Datenschutz als Grundrechtschutz in Deutschland und Europa referierte, versuchte in ihrem Vortrag die klassischen unterschiedlichen Positionenen zwischen Freiheitsgewinn und informationeller Selbstbestimmung hervorzuheben. Dieser äußerten sich in den berechtigten Interessen der Datenverarbeiter, die auf Basis von Datenanalyse von Bürgern einen Mehrwert durch Entwicklungen erzeugen könnten und der Schutzwürdigkeit der Betroffenen auf der anderen Seite, da die Nutzung deren Daten erst diese Datenanalysen ermöglichten. In ihren Ausführungen hob sie auch darauf ab, dass personenbezogene Daten niemals absolute Eigentumswerte sein könnten und ein absoluter Eigentumswert auch nicht aus dem Volkszählungsurteil von 1983 abgeleitet werden könne. Diese Betrachtungsweise von Frau Rogall-Grothe ist unter Rechtsexperten umstritten, wobei nachvollziehbar ist weshalb eine Vertreterin des Bundesinnenministeriums so argumentiert.
Datenschutzbeauftragter nicht mehr in der EU-Datenschutz-Grundverordnung vorgesehen
Frau Rogall-Grothe berichtete auch über den aktuellen Stand der Verhandlungen zur Datenschutz-Grundverordnung. Dabei wies sie auch daraufhin, dass es die Kontrolle von Unternehmen und Behörden durch unabhängige betriebliche und behördliche Datenschutzbeauftragten nicht in die Verhandlungsposition des Europäischen Rats geschafft hätte. Die Kontrolle durch Datenschutzbeauftragte sei ein deutscher Weg und wäre anderen europäischen Ländern nicht vermittelbar gewesen. Die deutsche Position für betriebliche Datenschutzbeauftragte solle nun als Protokollnotiz festgehalten werden.
Die Bundesdatenschutzbeauftragte Andrea Voßhoff hielt in Ihrem Vortrag ein Plädoyer für das Erfolgskonzept des betrieblichen Datenschutzbeauftragten. Dabei verglich sie die Datenschutzbeauftragten mit Feuermeldern, die rechtzeitig reagieren würden, bevor die Aufsichtsbehörde, in diesem Bild die Feuerwehr, gerufen werden müsste. Es sei zu befürchten, dass die Abkehr vom Datenschutzbeauftragten zu einer Schwächung des Datenschutzes führen würde, war Thomas Spaeing, Vorstandsvorsitzender des BvD überzeugt, da gerade die Datenschutzbeauftragten in den Unternehmen auf die korrekte Umsetzung des Datenschutzes hinwirken würden.
Das Connected Car als deutscher Datenschutz Exportschlager?
Dr. jur. Alexander Roßnagel von der Universität Kassel zeigte in seinem Vortrag auf, mit welchem Ausmaß in Zukunft Daten in Autos verarbeitet werden. Durch eine Vielzahl von Sensoren können Informationen zur Fahrweise, Abstandshaltung, Beschleunigung, Bremsverhalten aber auch zu Mitfahrern, zu Vorlieben der Sitzeinstellung, von regelmäßigen Pausen, vom Abrufen von Nachrichten im Auto erfasst und ausgewertet werden. Dass diese Daten für Autohersteller, Versicherungen, Polizei, Dienstleister oder Apphersteller von großem Interesse sind, lässt sich leicht nachvollziehen. Interessant war jedoch der Gedanke, dass die deutschen Automobilhersteller durch ihre starke Marktposition vielleicht sogar datenschutzfreundliche Standards etablieren könnten. Im Gegensatz zur IT-Branche verfügt die deutsche Industrie hier über eine starke Marktmacht, was es ihr erlauben könnte Standards zu definieren.
Im anschließenden Vortrag „Eine Vision für globale Datenschutz-Brücken: Technische und gesetzliche Maßmahmen für internationale Datenmärkte“ stellte Univ.-Prof. Dr. Sarah Spiekermann Forderungen auf, die im Zeitalter von Big Data die informationelle Selbstbestimmung weiterhin absichern sollen. Im Gegensatz zur Staatssekretärin Rogall-Grothe pochte Sie auf ein Eigentumrecht an den eigenen Daten. Nur wenn für Verbraucher bekannt sei, wer welche Daten verarbeite, und das beziehe sich explizit auf die heute oftmals unbekannten zahlreichen Dienstleister von Facebook, Google oder Amazon, dann könnte noch von einer Selbstbestimmung gesprochen werden. Sie machte sich für spezielle Verarbeitungsregeln stark, die an die jeweiligen Daten gekoppelt werden, so dass nur für den abgedeckten Sachverhalt und die abgedeckten verabeitenden Stellen die Daten verarbeitet werden dürfen. Zusätzlich seien Verbote von Re-Anonymyisierung für Data Spaces erforderlich, somit könnten sowohl die Interessen der Betroffenen als auch die der Datenverarbeiter berücksichtigt werden.
Weiterer Fahrplan der EU-Datenschutz-Grundverordnung – nationale Öffnungsklausel für deutsche Datenschutzbeauftragte?
Elena Lange-Bratanova berichtete als Referentin über Ihre Arbeit in der Ratsarbeitgruppe DAPIX, die für den europäischen Rat die Abstimmungen zur Datenschutz-Grundverordnung vorbereitet. Dabei nahm sie vielen Datenschutzbeauftragten die Sorge, dass dieses zukünftig nicht mehr benötigt werden würden. Abweichend von der Grundverordnung seien nationale Öffnungsklauseln möglich. In Deutschland sei eine solche Öffnungsklausel für die Beibehaltung der bisherigen Regelungen zum Datenschutzbeauftragten vorgesehen, so dass es in Deutschland bei der Bestellpflicht eines Datenschutzbeauftragten bleiben würde. Diese Sonderregel würde kommen, auch wenn die Grundverordnung eine allgemeine Bestellpflicht auf europäischer Ebene nicht mehr vorsehe.
Zukünftig solle eine Meldepflicht bei schwerwiegenden Datenschutzverstößen bereits innerhalb von 72 Stunden gelten. Als präventive Maßnahmen sollen zukünftig auch Datenschutz Folgeabschätzungen für risikobeladene Big Data Ansätze erforderlich sein, um Risiken für Betroffenen entgegenzuwirken. Durch eine One-Stop-Shop Regelung gäbe es zukünftig eine zentrale Anlaufstelle für Bürger. Diese müssten sich nur noch eine zuständige Aufsichtsbehörde wenden und nicht wie heute an eine Vielzahl zuständiger. Auch die viel diskutierte Zweckänderung im Umgang mit personenebezogenen Daten orientiere sich an der heutigen Interessenabwägung, die es heute bereits im Bundesdatenschutzgesetz gebe.
Abschluss der Grundverordnung noch in 2015 – volle Gültigkeit ab Januar 2018?
Nach Frau Lange-Bratanova sähe der Fahrplan der Grundverordnung so aus, dass bis zum 15.06.2015 ein einheitlicher Standpunkt des Europäischen Rates vorliege. Im Anschluss würden die unterschiedlichen Entwürfe der Kommission und des Parlaments und des Rats im Trilog verglichen und durch Jan Philipp Albrecht als Vertreter des Parlaments mit dem Ratspräsidenten von Luxembourg verhandelt. Der Zeitplan sähe vor, dass eine Einigung über die Grundverordnung bis Ende 2015 vorliegen solle. Dann würde die Grundverordnung in Kraft treten und mit zwei Jahren Umsetzungsfrist ab Januar 2018 voll gelten. Da in der Zwischenzeit noch eine Vielzahl von nationalen Regelungen angepasst werden müssen, ist dieser Fahrplan sehr ambitioniert. Offen sind wohl noch Haftungsfragen zwischen Auftraggeber und Auftragnehmer bei der Auftragsdatenverarbeitung sowie die Höhe von Bußgeldern bei Datenschutzverstößen. Somit bleibt es weiterhin spannend, was nun wirklich auf Unternehmen zukommt.