Stefan Drewes

Datenschutzkongress


Internationaler Datenschutzkongress in Warschau

 

ZD-Aktuell 2012, 02739    Die polnische EU-Ratspräsidentschaft veranstaltete am 20./21.9.2011 eine internationale Datenschutzkonferenz, die sich schwerpunktmäßig mit der Novelle der EU-DS-RL 95/46 befasste. Vorangegangen war bereits eine Konferenz der ungarischen Ratspräsidentschaft im Juni 2011 zur gleichen Thematik. Die Veranstaltung vom 20./21.9.2011 gliederte sich in drei Bereiche: Neben aktuellem Änderungsbedarf bei den Datenschutzprinzipien wurde der Rechtsrahmen für den Schutz personenbezogener Daten im Bereich Polizei und Justiz behandelt. Abschließend ging es um die Zukunft des internationalen Datentransfers.

 

Zur Einführung in die Thematik referierte Jörg Polakiewicz über die Anpassung der Europarat-Konvention 108. Die überarbeitete Konvention 108 soll die geplanten EU-Regelungen ergänzen und weltweit akzeptierte Datenschutzstandards festlegen. Anschließend gab der neue Direktor der EU-Kommission für den Bereich der Grundrechte, Paul Nemitz, einen Überblick zu der anstehenden Überarbeitung der EU-DS-RL 95/46. Ziel sei es, jedem Bürger der EU einen einheitlichen Datenschutz zu gewährleisten. Die bestehenden Regelungen müssten besser ausgearbeitet und die vorhandenen Prinzipien überprüft sowie ggf. ergänzt werden. Die einheitliche Anwendung des Datenschutzes in der EU müsse sichergestellt werden.

 

Session 1 – Überarbeitung der Datenschutzprinzipien

 

Der erste Themenblock befasste sich mit der Überarbeitung der bestehenden Datenschutzprinzipien. Besonders zu erwähnen ist hier der Vortrag von Caspar Bowden, ehemaliger Datenschutzberater von Microsoft. Er nahm eine Gegenüberstellung der offiziellen Agenda der EU-Kommission mit einer inoffiziellen Agenda vor. Zu den offiziell vorgegebenen Themen zählte er etwa die Einführung von neuen Prinzipien, wie etwa der Rechenschaftspflicht (Accountability), das Recht auf Vergessen oder die Diskussion um die Einführung von Privacy by Design (PbD). Diesen Themen stellte er die aus seiner Sicht interessanten Punkte gegenüber, die auf der „inoffiziellen Agenda“ stehen. Hierzu zählte er etwa die Frage nach der Personenbeziehbarkeit bzw. Anonymität von Daten, die Rolle der Art.-29-Gruppe oder auch die Zukunft des „Safe-Harbor-Abkommens“.

 

Sehr eindringlich ging er dabei auf die Frage der Personenbeziehbarkeit von Daten ein und vertrat die Ansicht, dass die Anonymität von Daten heutzutage eine Fiktion der Datenschutzgesetze sei. Dennoch sei es sehr wichtig, die bestehenden Regelungen in der DS-RL 95/46 zur Definition der Personenbeziehbarkeit von Daten zu präzisieren. Nur so könnten Unternehmen ihre datenschutzrechtlichen Verpflichtungen erkennen und ihnen auch nachkommen.

 

Nach Ansicht von Wacław Iszkowski sei ein effektiver Datenschutz eine Illusion. Daher sollten Basisdaten wie Name und Anschrift aus dem Schutzbereich der Datenschutzgesetze herausgenommen werden. Das vielfach diskutierte „Recht auf Vergessen“ könne im strengen Sinne gar nicht umgesetzt werden, da in Backups regelmäßig Daten zu Betroffenen vorhanden sind. Dementsprechend sei dieses Recht seiner Ansicht nach nicht wörtlich zu verstehen. Hier gehe es eher um eine Begrenzung der Aufbewahrung von personenbezogenen Daten durch Unternehmen. Zudem forderte er für die verbleibenden schutzbedürftigen Daten effektivere Maßnahmen zur Einhaltung der Datenschutzgesetze. Hierzu gehört insbesondere auch die Möglichkeit der Betroffenen, gegen Verletzungen ihrer Datenschutzrechte zu klagen bzw. dass Verbraucherverbände entsprechend ermächtigt werden.

 

David Wright berichtete über den aktuellen Stand zu Privacy Impact Assessments (PIA). Er führte mit einer Gruppe im Auftrag der EU-Kommission seit Januar 2011 eine entsprechende Bewertung von zahlreichen PIA durch und erstellte hierzu einen ersten Bericht, der zwischenzeitlich auch veröffentlicht wurde. I.R.d. Vortrags ging er auf einzelne Punkte seines Berichts ein, etwa diverse Good-Practice-Ansätze eines PIA und die mit einem PIA verbundenen Vorteile für Unternehmen. Ziel der Untersuchung sei es, entsprechende Vorarbeiten für eine Regelung zum PIA in der neuen EU-DS-RL zu erstellen.

 

Session 2 – Datenschutz im Bereich Polizei und Justiz

 

Die EU-Kommission hat neue Kompetenzen für die Regelung des Datenschutzes im Bereich Polizei und Justiz. Daher steht auch eine Überarbeitung der bisherigen Regelungen in diesem Bereich an.

 

Franziska Boehm von der Universität Luxemburg nahm zum Informationsaustausch im Bereich der Sicherheit und Justiz Stellung und zeigte die grundlegenden Aspekte der Zusammenarbeit in Sachen Europol, Eurojust und Frontec auf. Nach ihrem Vortrag spiegeln die bestehenden EU-Regelungen nicht die Anforderungen wider, die bereits von nationalen Gerichten, wie etwa dem BVerfG, aufgestellt worden sind. So fehlt es etwa an einer strikten Zweckbindung auf EU-Ebene oder an entsprechenden Vorgaben hinsichtlich der Überwachung der Datenverarbeitung auf eine missbräuchliche Nutzung. Aus der bestehenden Rechtsprechung könnten verschiedene Prinzipien abgeleitet werden, wie etwa das Prinzip der Datensparsamkeit, das Prinzip der Zweckbindung oder eine entsprechende Benachrichtigungspflicht, die in die zu erstellenden Regelungen übernommen werden müssten.

 

Im Anschluss daran legte Daniel Drewer, Datenschutzbeauftragter von Europol, die bisherigen Anstrengungen in Sachen Datenschutz von Europol dar. Derzeit bestehen für Europol ganz spezifische Anforderungen, basierend auf den Empfehlungen der Konvention 108 bzw. den spezifischen Empfehlungen für den Datenschutz im Bereich der Polizei des Europarats. Durch diese verschiedenen Rechtsakte gebe es, so Drewer, detaillierte Vorgaben zur Bearbeitung von Anfragen. Zudem habe man verschiedene „Handling Codes“ erstellt, die für die praktische Umsetzung des Datenschutzes sehr wichtig seien. Gerade auch bei der Zusammenarbeit mit Externen würden diese auf die Einhaltung der Handling Codes verpflichtet.

 

Ben Hayes zeigte als Vertreter von Statewatch die negativen Entwicklungen des Datenschutzes im Bereich der Sicherheitsgesetze auf und kam zu dem Ergebnis, es handele sich um ein systematisches Versagen der Datenschutzbestimmungen. Der Datenschutz im Bereich der Datenverarbeitung bei Polizei und Justiz sei marginalisiert worden. Er forderte einen verbindlichen Rechtsrahmen mit Minimumstandards, die für alle Bereiche akzeptabel seien. Darauf aufbauend sollten spezifische Regelungen für einzelne Bereiche geschaffen werden.

 

Session 3 – Internationaler Datentransfer

 

Zunächst führte Jean-Philipp Walter, Stellvertretender Eidgenössischer Datenschutzbeauftragter, die Ziele aus, die mit der Überarbeitung der Datenschutzkonvention 108 verfolgt werden. Neben einer Anpassung an die aktuellen Herausforderungen der Informations- und Kommunikationstechnologie sollen eine verbesserte Umsetzung der Richtlinie und eine Verbesserung der in der Richtlinie angelegten Arbeitsmethoden erfolgen. Auch hier stand die Frage im Vordergrund, ob neue Datenschutzprinzipien, wie etwa Privacy by Design oder Accountability bzw. das Recht auf Vergessen, einzuführen sind.

 

Daniel Weitzner, Deputy Chief Technology Officer für Internetpolitik im Weißen Haus, legte sodann die Regelungsansätze der US-Regierung zu der parallel stattfindenden Überarbeitung des Datenschutzrechtsrahmens in den USA dar. Auch hier arbeite man an einer gesetzlichen Regelung zum Verbraucherdatenschutz. Zugleich warnte er davor, eine Annäherung der Rechtsordnungen herbeizuführen. Nach der aktuellen Planung wolle das Departement of Commerce zunächst die Elemente für eine entsprechende Regulierung erarbeiten. Anschließend soll die FTC diesen Rechtsrahmen bestätigen und dann auch umsetzen.

 

Am Rande dieser Konferenz mit etwa 200 Teilnehmern aus ganz Europa und den USA wurden lebhafte Diskussionen über die praktischen Auswirkungen neuer Datenschutzprinzipien und den Anpassungsbedarf der EU-DS-RL 95/46 geführt. Es bleibt abzuwarten, welche Schlussfolgerungen die EU-Kommission aus den Diskussionen über die Einführung neuer Datenschutzprinzipien zieht.

 

Dr. Stefan Drewes ist Rechtsanwalt in der Kanzlei Pauly & Partner in Bonn.