Die Eröffnung durch Helga Block

Frau Block hielt eine flotte Auftaktrede, sie beschrieb die Verunsicherung in der Anfangszeit, obwohl die DSGV letztendlich wenig Veränderungen brachte. Es gab ja bereits alles im BDSGalt. Offensichtlich hatten besonders diejenigen Unternehmen Stress, die sowieso Nachholbedarf in Sachen Datenschutz hatten. Für diese kam mit der Erstumsetzung natürlich viel vermeintlich zusätzliche Arbeit dazu. Die vielfach erwartete Abmahnwelle blieb allerdings aus.

Sie beschrieb, dass die große Panik, die verbreitet wurde, bei einigen Beratern zu neuen Geschäftsmodellen geführt hat. Einige Kritiker sprachen nach Ende der Übergangsfrist im Mai 2018 zwar von zu viel Datenschutz, aber im Hinblick auf die letzten Datenskandale passt das für Frau Block nicht richtig zusammen.

Nun haben wir 8 Monate DSGVO, was hat sie uns gebracht.

Auswirkungen der DSGVO und der geplanten ePrivacy Verordnung auf Prozesse und Produkte von Unternehmen

Dr. Claus-Dietrich Ulmer von der Telekom berichtet aus der Sicht eines international agierenden Global Players.

Zunächst wurden Zahlen, Daten und Fakten geliefert, die Umsetzung hat viel Geld und Manpower gekostet. Bei der Telekom waren 550 Mitarbeiter mit der Umsetzung der DSGVO beschäftigt. 4.500 im Einsatz befindliche IT Systeme wurden einer Risikobewertung unterzogen, hier wurde nachgebessert, aktualisiert und sogar abgeschafft. Die Meldungen zu Datenschutzverstößen sind unternehmensweit gestiegen, weil die Meldeschwelle durch die DSGVO gesunken ist. Auf folgenden Themen lag ein besonderer Fokus:

• Risiko assessment
• Privacy by Design
• Betroffenenrechte

Herr Dr. Ulmer geht davon aus, dass die Effektivität der DSGVO durch das Inkrafttreten der ePrivacy Verordnung noch weiter steigen wird. Verbessert hat sich auf jeden Fall die Verlässlichkeit und Rechtssicherheit für Bürger und Unternehmen in der EU.

Ein wenig Kritik gibt es an die Adresse der Behörden. Bei der Telekom fällt auf, dass die nationalen Auslegungsgesetze zum Teil unterschiedlich sind. Auch gibt es bei unseren nationalen Behörden Auslegungsunterschiede. Auch gibt es zum Teil verschiedene Auslegungen zu „unbestimmten“ Rechtsbegriffen, hier werden als Beispiele Daten Portabilität, Umfang bei der Beantwortung von Auskunftsersuchen etc. genannt.

Hier wird als Bitte an die Landesbehörden formuliert, gleiche Bewertungen vorzunehmen bzw. sich künftig hierzu besser abzustimmen.  Klare Entscheidungen mit Signalwirkung gibt es bislang leider nur vereinzelt.

Bestimmte gängige Verfahrensweisen werden durch die DSGVO in Frage gestellt, Beispiel Anonymisierung. Auch gab es in der Vergangenheit vereinzelt Überreaktionen der verantwortlichen Stellen, z.B. beim Thema Klingelschilder. Es werden zum Teil Gesetzeskonkurrenzen neu aufgemacht, gannat wird hier z.B. §15 III TMG. Dies könnte alles etwas optimiert werden.

Letztendlich sind die Regelungen der DSGVO nicht anders als die im BDSGalt.

Die DSGVO bringt gleiche Wettbewerbsbedingungen für alle Player vom Verein bis zum Großunternehmen. Die Offshore-Unternehmen allerdings fühlen sich zum Teil nicht an die DSGO gebunden.

Zitat: „Datenschutz geht durch Ignorieren nicht weg“

Zum Thema Privacy by Design ist eine frühzeitige Einbeziehung der Datenschutzbeauftragten wünschenswert. Hier müssen die Prozesse in den Unternehmen noch besser angepasst werden.

Es wurden noch ein paar Worte zum Thema ePrivacy-Verordnung genannt. Hier dauert das Gesetzgebungsverfahren noch an. Es werden einige Beispiele genannt, welche Änderungen bevor stehen.

Cookies sind danach zulässig für interne eigene Websitedienste, für diejenigen von Drittanbietern ist weiterhin eine Einwilligung der Betroffenen notwendig.

Die pseudonyme Weiterverarbeitung soll nicht mehr zulässig sein, sie wird aber unbedingt benötigt. Hier muss man aufpassen dass Lösungen für Zukunftssysteme durch die ePrivay Verordnung nicht verhindert werden:

• Parkleitsysteme
• Unfallvermeidungssysteme
• Netzoptimierung

Die gesetzliche Ausprägung von Datenschutz muss angemessen gestaltet sein. Pauschale Verbote werden der heutigen und künftigen Komplexität nicht gerecht. Innovationen und Kreativität werden durch Angst ausgebremst.

Fazit: Die DSGVO ist eine gute Referenz für den europäischen Binnenmarkt.

>>zur Schnellauswahl

Dr. Markus Peifer, Zentralverband des Deutschen Handwerks e.V. (ZDH)

Der risikobasierte Ansatz im Praxischeck – Die DSGVO im Handwerk

Es erfolgt zunächst eine Abrechnung mit der Presse für das Aufbauschen der DSGVO, wie z.B. bei den Klingelschildern geschehen. Die Hysterie verursacht Panik bei den Betrieben und hat die Verordnung in der Bevölkerung lächerlich gemacht, das ist sehr ärgerlich, weil die Verordnung gemacht wurde, um ein gutes Datenschutzniveau bereitzustellen.

Aus der Panikmache wurde zuweilen ein Geschäftsmodell generiert. Der ZDH hat es aber geschafft, bei den Handwerksbetrieben die Aufregung auf ein normales Maß herunter zu dampfen, führt Herr Dr. Peiffer aus.

Bei der Anwendung der DSGVO sollte die Risikoeinstufung für die verarbeitenden Daten maßgeblich sein. In Handwerksbetrieben findet meist eine belanglose Datenverarbeitung statt und aufgrund der meist geringen Personalstärke sind diese Betriebe nicht in der Lage die DSGVO vollumfänglich umzusetzen. Hier müßte es Erleichterungen geben.

Informationspflichten und Verfahrensverzeichnisse verursachen zu viel Bürokratie.

Der risikobasierte Ansatz sollte vollständiger angewandt werden. Es wird nochmal das sehr kleine Risiko bei den Handwerksbetrieben genannt.

>>zur Schnellauswahl

Gerd Billen, Staatssekretär im Bundesministerium für Justiz und Verbraucherschutz

8 Monate DSGVO – endlich alles gut beim Verbraucherdatenschutz?

Die DSGVO hat Vorteile für die Bürger gebracht, die intendierte Abmahnwelle ist, wie vom Ministerium vorausgesagt, ausgeblieben.

Am Beispiel Facebook wird hergeleitet, dass das Marktortprinzip bereits gilt und auch durchgesetzt wird. Viele Unternehmen haben die DSGVO ebenfalls gut umgesetzt.

Es stellt sich allerdings eine ganz andere Frage. Durch die Flut von Einwilligungen, die sich kein Bürger vollständig durchliest, wird leider kein Qualitätsbewußtsein auf Seiten der Betroffenen geschaffen. Es sollte sich doch eigentlich die Frage stellen, welchem Produkt bzw. Unternehmen kann ich vertrauen? Zu diesen Punkten werden mehr Marktuntersuchungen benötigt, um eine bessere Qualität für die Nutzer zu erreichen. Denn die Intention von DSGVO war auch, die Qualität insgesamt zu verbessern.

Damit die Behörden die DSGVO besser umsetzen können, wird hier eine Stärkung durch mehr Personal benötigt. Die 8 Monate DSGVO bis jetzt können als Testphase angesehen werden, es muss jedoch noch viel umgesetzt werden, die momentan herrschende Toleranz ist aber für diese Phase goldrichtig.

Irland ist das Schlusslicht in Bezug auf DSGVO in der EU. Das haben schwierige Gespräche mit den Behörden zu den Themen Google & Co. gezeigt. Hier sind klare Entscheidungen und Prozesse zur Rechtsumsetzung erforderlich. Zel war schließlich eine Harmonisierung der Regelungen innerhalb der EU Mitgliedsstaaten.

Damit DSGVO tatsächlich zu einer Qualitätsverbesserung führen kann, sind neue Konzepte für Verbraucher zu entwerfen.

Beispielsweise sind beim Handykauf immer schon Apps vorinstalliert, die gar nicht vom Benutzer selber entfernt werden können. Hier wäre eine weitere vorinstallierte App wünschenswert, die ein Datennutzungsprotokoll zu allen installierten Apps anzeigt. Dies würde dem Bürger helfen, die Dienste besser beurteilen zu können.

Als weitere Potenziale beim Verbraucherschutz in Sachen Datenschutz wird beim Beispiel die Bildung von Nutzer-Profilen genannt. Welche Kriterien und Algorithmen gibt es hier, das ist viel zu wenig bekannt? Es könnten Algorithmen zur Vermeidung von diskriminierenden Bewertungen im Scoring verbindlich eingeführt werden.

Hier kommt auch die ePrivay Verordnung zum weiteren Schutz der Grundrechte ins Gespräch.

Zitat: “Über Grundrechte, Anonymität etc. verhandeln wir nicht!“

Auch ist die Aktualität von Endgeräten ein wichtiges Thema. Hier könnten Hersteller verpflichtet werden, die Software auf den Geräten für den Lebenszyklus des Gerätes aktuell zu halten, damit die Daten der User geschützt werden. Dies wird als Sache des Herstellers gesehen und nicht als die des Verbrauchers, das müsste wohl als Gesetz formuliert werden, damit es umsetzbar wäre.

Vorstellbar sind auch Treuhänder von Daten z.B. im Bereich Gesundheit, Bewegungsprofiling etc. Herr Billen hätte kein Problem damit, seine Daten einem Institut zur Verfügung zu stellen, dass dann über die Nutzung wacht.

Auch beim Scoring muss geschaut werden, welche Kriterien seriös sind. Dies ist ein zentrales Thema, das Regelungen durch den Staat notwendig macht. Auch bei den regierungsbehörden ist noch Nachbessungsbedarf. Viele Institutionen der Regierung sind noch nicht auf dem heutigen technischen Stand, es werden weit mehr digitale Kompetenzen benötigt.

Zur Umsetzung von Privacy by Design sind mehr Vorgaben für Softwarehersteller notwendig. Auch muss in der Gesellschaft das Bewußtsein für diese Dinge wachsen, das ist wichtig für unsere Freiheit in der Demokratie.

Ethik in der künstlichen Intelligenz wird angesprochen, hier gibt es bereits die
Daten Ethik Kommission, dies ist einzigartig in der europäischen Union.

Erstaunlicherweise gibt es auch bereits Firmen, die sich mit Ethikfragen auseinander setzen, hier wird Miele als positives Beispiel genannt. Hier ist man sich bewusst, dass künftig mehr KI in allen möglichen Geräten (z.B. Küchengeräten) eingesetzt wird und man reagiert darauf, mit der Formulierung von Standards

Stichwort: Code of Conduct

Über alle diese Dinge müssen Diskurse geführt werden.

Auf globaler Ebene ist die EU Vorreiter für Freiheit und freie Entscheidungen der Bürger. Wir haben gute Chancen auf dem Weltmarkt mit unseren Produkten und Ideen zu bestehen.

Fazit: Anfängliche Akzeptanzschwierigkeiten sind aufgelöst. Mit jedem Skandal wird die Reputation der DSGVO verbessert. Dies muss als ständiger Prozess gesehen werden, in dem evtl. später auch Bürokratie verringert werden kann. Mit der ePrivacy-Verordnung entsteht  eine gute Kombination. Digitale Souveränität als Modell für die EU.

>>zur Schnellauswahl

Dr Ulf Buermeyer Gesellschaft für Freiheitsrechte

Privacy by Design – jetzt aber wirklich

Zitat: Art. 25 Abs.1

Software Systeme sind in der Lage durch geschickte Gestaltung Benutzerentscheidungen positiv zu beeinflussen. Roter Knopf, grüner Knopf. Eher wird der grüne Knopf betätigt.

Durch Privacy by Design soll auch die Datenminimierung unterstützt werden. Ein wichtiger Zeitpunkt ist der Entwurf der Systeme, vor der Erfassung von Daten. Der Datenschutzbeauftragte wird meist viel zu spät hinzugezogen.

Voreinstellungen sollten Privatsphäre-freundlich gestaltet werden, Vorgaben können so handlungsleitend werden. Standardtexte werde meist sowieso weggeklickt. Hier sollte der Aufwand für den Nutzer erhöht werden, um Datensparsamkeit zu unterstützen.

Privacy by Design / Grundregeln:

• Datenminimierung
• Pseudonymisierung / Anonymisierung
• Verschlüsselung
• Transparenz (Datenhoheit des Betroffenen)

Art 83 DSGVO Abs. 1 wird zitiert.

„Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.“

Negativbeispiel: Knuddels.de

Hier sind 330.000 Datensätze verloren gegangen, die unter anderem Passwörter im Klartext enthielten.

Hier wurde darauf hingewiesen, dass das schon lange nicht mehr Stand der Technik ist. Dies ist selbstverständlich Bußgeld bewährt.

>>zur Schnellauswahl

Prof. Dr. Martin Selmayr, Generalsekretär der europ. Kommission

Europas unabhängige Datenschutzaufsichtsbehörden – Hüter des Datenschutzgrundrechts oder Wächter des Binnenmarktes?

Es gab anfänglich viel Lärm um die DSGVO, ganz sicher nicht wegen des Inhaltes, denn den gab es ja auch schon vorher. Die DSGVO war eher für die anderen EU-Länder neu. Bei uns sind die Grundsätze des Datenschutzrechtes seit langem wohl bekannt. Zum Beispiel hat auch die Panik um Klingelschilder mit der DSGVO rein gar nichts zu tun. Neu ist nur der deutlich gestärkte Vollzug durch verbesserte Sanktionierungsmöglichkeiten. Angst braucht auch niemand zu haben, denn es gibt natürlich den Grundsatz der Verhältnismäßigkeit. Eventuelle Bußgelder werden passend zum Unternehmen und Vergehen ausgestellt. Intention war auch, dass die Bußgelder dazu führen, dass Datenschutz ein Compliance Thema in Unternehmen wird und das ist auf jeden Fall gelungen.

Auch klar ist, dass es ohne die Aufsichtsbehörden keinen Datenschutz gibt.

„Wo kein Kläger, da kein Richter“

Was ist denn nun neu?

Wettbewerbs- und Grundrechtsgleichheit in Europa greift normalerweise nicht in die nationalen Grundstrukturen ein. Das ist besonders. Die Rechtsgrundlage für die Tätigkeit der Aufsichtsbehörden ergibt sich nun aus EU-Recht, also gibt es klare Vorgaben für alle Mitgliedsstaaten aus Europa.

Es ist kein Wettbewerb entstanden, sondern Harmonisierung.

Auch ist dadurch eine vollständige Unabhängigkeit der Aufsichtsbehörden auf nationaler Ebene entstanden. Die Aufsichtsbehörden sind autark und nicht Bestandteil irgendwelcher Ministerien. Kein Landesdatenschutzbeauftragter kann aus politischen Gründen vorzeitig abgesetzt werden. Die Datenschutzbehörden sind nun Hüter der Grundrechte! Aufgaben und Befugnisse sind direkt in der DSGVO geregelt. Im Zweifel gilt immer die DSGVO nicht die Umsetzung in nationales Recht.

Auch soll durch die DSGVO der freie Verkehr innerhalb der EU sichergestellt werden. Es geht um den Schutz des EU-Binnenmarktes.

Die DSGVO ist das Ergebnis eines sehr langen Prozesses, der genau genommen bereits 2009 begann. Das Thema Datenschutz ist sowieso schon sehr alt, die DSGVO als Weiterentwicklung aber noch jung.

Andere Länder nehmen die DSGVO bereits als Vorbild. So hat Japan Teile der DSGVO nahezu wortwörtlich übernommen. Auch Brasilien, Kalifornien und andere Staaten nehmen die DSGVO als Vorbild für ihre eigenen Datenschutzgesetze.

Nachahmer gibt es mehr als Kritiker. Trotzdem ist eine regelmäßige kritische Betrachtung notwendig. 2020 wird es deshalb einen Evaluierungsbericht zur DSGVO geben.

Es ist, wie es immer ist, die Umstellung ist das Schlimmste, nicht die neuen Regelungen als solches.

Zitat: „Die DSGVO ist in vielen Punkten von gesundem Menschenverstand durchdrungen“

Dennoch die DSGVO ist kein Verbotsgesetz. Die Gespräche darüber sollten sachlich geführt werden die Verordnung ist nicht der Feind der kleinen Bäcker (Zitat angepasst an die Aussagen von Herrn Peifer zu Handwerksbetrieben und DSGVO).

>>zur Schnellauswahl

eigenes Fazit:
Insgesamt war der 13. europ. Datenschutztag eine lohnende Veranstaltung mit guten und fundierte Vorträgen. Auch eine gute Gelegenheit neue und alte Kontakte zu treffen und sich auszutauschen.

Klingelschild und DSGVO
Facebook Datenleck
europ. Datenschutzkonferenz 2018