Daniel Pauly/Konrad Berger

Tagungsbericht: PL&B Roundtable


Tagungsbericht: PL&B Roundtable 28.-29.4.2014: New Trends in Germany’s Data Protection Law

 

ZD-Aktuell 2014, 03198     Für den 28. und 29.4.2014 hatte der britische Datenschutzinformationsdienst Privacy Laws & Business (PL&B) zu einem runden Tisch nach München geladen. Die englischsprachige Konferenz diskutierte „New trends in Germany’s Data Protection Law“, Gastgeber war die Linklaters LLP.

 

Das Programm traf offenbar die Bedürfnisse vieler mit dem Datenschutz Befassten auf den Kopf: Der Einladung folgten eine hochkarätige Mischung aus Vertretern der bayerischen und hessischen Datenschutzaufsichtsbehörden, dem BMI, der Wirtschaft, von Unternehmensberatungen und der Anwaltschaft. Insgesamt waren Spezialisten aus fünf Jurisdiktionen anwesend und jeden der Vorträge begleitete ein lebhafter und offener Gedankenaustausch.

 

Fünf thematische Schwerpunkte beschäftigten die Teilnehmer des runden Tisches:

  • Government surveillance and business
  • International transfers of personal data
  • Marketing, consumer law and mobile apps
  • Data protection compliance management
  • Employment and data protection law
  • The future

 

Den Eröffnungsvortrag hielt Dr. Daniel Pauly (Linklaters LLP) zu den rechtlichen Implikationen von PRISM. Nach einer Zusammenfassung der immer wieder bemerkenswerten Reichweite der Spähaktivitäten der sog. Five Eyes erläuterte er, was diese Aktivitäten rechtlich für Unternehmen bedeuten. Seinen Vortrag rundete er mit konkreten Hinweisen an Unternehmen ab, wie diese reagieren können, um den Vorwurf rechtswidrigen und ggf. fahrlässigen Handelns zu vermeiden.

 

Es folgten sodann Alexander Filip (Bayerisches Landesamt für Datenschutzaufsicht - BayLDA) und Lisa-Marie Lange (Der Hessische Datenschutzbeauftragte), die über grenzüberschreitende Datenübermittlungen referierten. Besonderes Gewicht lag dabei auf bindenden Unternehmensregelungen (sog. Binding Corporate Rules - BCRs) und der Position der deutschen Aufsichtsbehörden zur Genehmigung von BCRs. Auf Wunsch der Zuhörer wurde insb. die Frage vertieft, was sich an der Genehmigungspraxis der Aufsichtsbehörden seit PRISM geändert habe.

 

Den letzten Vortrag des ersten Tags bestritt Dr. Christian Runte (CMS). Er berichtete über die Besonderheiten deutscher Auftragsdatenverarbeitungsverträge und arbeitete im Verlauf seiner Darstellung Inkonsistenzen zwischen dem BDSG und der RL 95/46/EG heraus. Ferner skizzierte er Möglichkeiten, wie mit diesen Inkonsistenzen praktisch umgegangen werden könne. Die Vertreter der Aufsichtsbehörden steuerten sodann i.R.d. Diskussion ihre Erfahrung im Umgang mit diesen Besonderheiten des deutschen Rechts bei.

 

Der zweite Tag des runden Tischs begann mit einem Vortrag von Miriam Meder (BayLDA) zum Thema Einwilligung beim Direktmarketing und beim Setzen von Cookies. Sie unterstrich, dass das Setzen von Cookies bei fehlender Anonymisierung/Pseudonymisierung der Einwilligung bedarf und dass IP-Adressen grds. als personenbezogene Daten anzusehen sind.

 

Danach berichtete Dr. Konrad Berger (Linklaters LLP) über die verschiedenen Gerichtsentscheidungen aus Berlin und Frankfurt/M. gegenüber Google, Apple, Samsung und Facebook, denen Abmahnungen durch den Verbraucherzentrale Bundesverband e.V. (vzbv) voraus gegangen waren. Er zeigte die Nähe der Datenschutzregelungen zu AGB und die darauf gestützte Zuständigkeit des vzbv und Anwendbarkeit deutschen Rechts auf. Abschließend wies er auf die im Koalitionsvertrag enthaltene Erweiterung der Verbandsklagebefugnis bei Datenschutzverstößen hin.

Sodann referierte Meder zum Thema Mobile Apps und Datenschutz und kündigte ein Positionspapier des Düsseldorfer Kreises zu diesem Thema an, das federführend von dem BayLDA erarbeitet würde.

 

Thomas Kranig (Präsident des BayLDA) gab im Anschluss daran eine Übersicht über die von seiner Behörde ergriffenen Sanktionen, Themenschwerpunkte von Kontrollen (vor Ort und per Fragebogen) und die Häufigkeit von Kontrollen. Er verwies darauf, dass eventuelle Bußgelder zunächst einmal die einen Datenschutzverstoß begehenden Personen träfen, und nur unter weiteren Voraussetzungen auch die juristische Person.

 

Jan Lichtenberg (Deutsche Telekom AG) und Dr. Burkhard Petin (Deloitte & Touche GmbH) illustrierten daraufhin die Auswahl und Einführung eines Data Privacy Compliance Managements, basierend auf dem Standard PS 980, bei der Deutschen Telekom AG und die Erfahrungen hierbei. Diskutiert wurde unter anderem die Rolle der internen Revision und des Konzerndatenschutzes bei der Kontrolle der Umsetzung datenschutzrechtlicher Standards.

 

Dr. Sibylle Gierschmann (Taylor Wessing) berichtete sodann über die Erfahrungen mit der deutschen Breach Notification (§ 42a BDSG) und setzte dies ins Verhältnis zu den derzeitigen Vorschriften der geplanten DS-GVO. Sie sprach sich engagiert für eine Überarbeitung der maßgeblichen Regelungen der Datenschutzgrundverordnung aus.

 

Abgeschlossen wurde der Vormittag durch einen Vortrag von Lange und Ulrich Baumgartner (Osborne Clarke) zu den Vor- und Nachteilen interner und externer Datenschutzbeauftragter.

 

Der Nachmittag stand im Lichte der verbliebenen Themenschwerpunkte Employment and data protection law sowie The future. Den Anfang machten Meder und Lange und nahmen sich zweier Themen von höchster Praxisrelevanz an: Bring Your Own Device (BYOD) und die Folgen geduldeter Privatnutzung von Unternehmenskommunikationsmitteln wie insb. der E-Mail-Funktionalität. Mit Blick auf BYOD widmeten sich die Referentinnen vor allem Fragen der Datensicherheit, der Zugriffsrechte des Arbeitgebers, des Ausschlusses des Zugriffs Dritter sowie der Trennung privater und geschäftlicher Daten.

Hinsichtlich der Nutzung von Unternehmenskommunikationsmitteln unterstrichen die Referentinnen, dass die Aufsichtsbehörden nach wie vor von der Anwendbarkeit des TKG ausgingen – mit all den bekannten Folgen für Unternehmen –, wenn die Privatnutzung dieser Kommunikationsmittel geduldet sei. Es läge bereits der Entwurf eines Papiers zu dieser Frage vor, der im Mai von den Aufsichtsbehörden diskutiert würde und sodann veröffentlich werden solle. Es folgte eine durchaus kontroverse Diskussion, die erneut reflektierte, dass insbesondere international aufgestellte Unternehmen und Unternehmensgruppen auf Grund dieser Rechtsauffassung mitunter in unlösbare Konfliktsituationen gelangen.

 

Auch den anschließenden Vortrag hielten mit Lange und Filip zwei Vertreter der Datenschutzaufsichtsbehörden in bewährter Art und Weise. Inhaltlich knüpfte der Vortrag an die Ausführungen von Kranig vom Vormittag an und thematisierte den Sanktionenkatalog, der Aufsichtsbehörden zur Verfügung steht. Auf besonderes Interesse des Publikums stießen konkrete Beispiele aus der Praxis unter Nennung der Höhe der im Einzelfall verhängten Geldbußen.

Seinen gelungenen Abschluss fand der runde Tisch mit der Darstellung deutscher Prioritäten in der datenschutzrechtlichen Gesetzgebung sowohl auf nationaler als auch auf europäischer Ebene durch Dr. Rainer Stentzel (BMI). Bevor Stentzel auf den alles überschattenden Entwurf der DS-GVO einging, berichtete er anschaulich über die laufenden Verhandlungen der EU, das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention 108) des Europarats zu ratifizieren. Sodann erwähnte er, dass mit einem deutschen Gesetz zum Schutz von Arbeitnehmerdaten zu rechnen sei, sollte insoweit auf europäischer Ebene mittelfristig keine Initiative ergriffen werden.

Zum Entwurf der DS-GVO berichtete Stentzel, dass nach wie vor wesentliche Grundfragen ungeklärt seien. Hierzu zählten etwa die Fragen, ob eine Verordnung der richtige Rechtsakt sei, ob es für den öffentlichen Bereich (sog. Dritte Säule) ein Harmonisierungsbedürfnis gäbe und ob dem Ziel der Modernisierung überhaupt Rechnung getragen würde, wenn der Verordnungsentwurf auf dieselben Instrumente zurückgreife wie bereits die RL 95/46/EG. Auch die Zukunft von Safe Harbor sparte Stentzel nicht aus und äußerte, dass die EU-Kommission im kommenden Juni oder Juli Modernisierungsvorschläge veröffentlichen wolle.

Einigkeit herrschte auch insoweit, dass alle Zuhörer die aktive Teilnahme von Vertretern zweier Aufsichtsbehörden als bereichernd empfanden.

 

RA Dr. Daniel Pauly/RA Dr. Konrad Berger, Linklaters LLP, Frankfurt/M.