Jan Horstmann

1. Hannoverscher Datenschutztag: Datenschutz in der Wirtschaft zwischen Safe Harbor und dem EU-US-Privacy-Shield


Die Veranstalter des 1. Hannoverschen Datenschutztags hatten sich zum Ziel gesetzt, dass dieser den Dialog im Datenschutz mit verschiedenen Blickwinkeln eröffnen sollte. Dementsprechend reichte die Liste der eingeladenen Redner von politischen Akteuren über Datenschutzbeauftragte und Anwälte bis hin zu Vertretern von Wirtschaftsunternehmen. Diese verschiedenen Perspektiven versprachen, die Diskussion mit einer breiten Basis an relevanten Erfahrungen und Fachkenntnis zu bereichern.

ZD-Aktuell 2016, 04193     Unter dem Titel „Datenschutz in der Wirtschaft zwischen Safe Harbor und dem EU-US-Privacy-Shield“ hatten die Leibniz Universität Hannover, die Hochschule Hannover, die Unternehmerverbände Niedersachsen e.V., der Mittelstandsverband Hannover IT und die Landesbeauftragte für Datenschutz Niedersachsen am 2.6.2016 in die Räumlichkeiten der Hochschule Hannover eingeladen. Für die inhaltliche Ausgestaltung zeichneten Prof. Dr. Fabian Schmieder von der Hochschule und Prof. Dr. Tina Krügel von der Leibniz Universität Hannover verantwortlich. Neben der Frage, wie sich der Wegfall der auf dem Safe Harbor-Abkommen basierenden Rechtsgrundlage für Datenübermittlungen in die USA auf Unternehmen auswirkt, welche Alternativen sich Unternehmen derzeit bieten und ob das angekündigte Privacy Shield eine belastbare und langfristige neue Rechtsgrundlage darstellen wird, wurde auch die kürzlich im ABl. veröffentlichte DS-GVO angesprochen.

 

 

Nach der Begrüßung durch Prof. Dr.-Ing. Marina Schlünz von der Hochschule Hannover, Dr. Volker Müller von den Unternehmerverbänden Niedersachsen und Kai Viehmeier von Hannover IT kündigte Moderator Schmieder sodann auch einen passenden ersten Redner an: Jan Philipp Albrecht, Berichterstatter im EU-Parlament für die DS-GVO, bot per Videokonferenz einen Überblick über die derzeitigen politischen Vorgänge zum Thema Datenschutz in Straßburg und Brüssel und stellte daraufhin die Kritik an Safe Harbor, das Urteil des EuGH und die darauffolgenden Entwicklungen dar.

 

 

Hinsichtlich des Privacy Shield schloss sich Albrecht der Kritik der Art. 29-Datenschutzgruppe und des Europäischen Datenschutzbeauftragten Giovanni Buttarelli an, welche vor allem darin besteht, dass US-amerikanische Behörden die Daten europäischer Bürger weiterhin anlasslos sammeln dürften und gegenüber diesen Behörden durch die neue Ombudsperson im US-Außenministerium auch kein unabhängiger Rechtsschutz bestehe. Als alternative Lösung für Unternehmen nannte Albrecht Binding Corporate Rules (BCR´s) sowie Standardvertragsklauseln. Allerdings wurde aus dem Publikum angemerkt, dass auch Letztere derzeit einer Prüfung durch den irischen Datenschutzbeauftragten unterlägen und Unternehmen daher in ihnen keine sichere Grundlage für Datentransfers fänden.

 

 

Auf Albrecht folgte die Niedersächsische Datenschutzbeauftragte Barbara Thiel als Rednerin. Sie betonte, dass die Aufsichtsbehörden bereits längere Zeit vor der Invalidierung der Kommissionsentscheidung auf Grund des Safe Harbor-Abkommens Kritik an Safe Harbor geübt hätten. Unternehmen hätten daher genügend Zeit gehabt, um sich auf eine mögliche Umstellung der Praxis bei der Datenübermittlung vorzubereiten. Hinsichtlich derjenigen Unternehmen, die eine solche Umstellung noch nicht vollzogen hätten, würden die Aufsichtsbehörden nun richtigerweise tätig. Neben den alternativen Rechtsgrundlagen in Form von Standardvertragsklauseln und BCR´s empfahl Thiel Unternehmen auch technische Maßnahmen zum Datenschutz. Werde das hohe Datenschutzniveau in der EU eingehalten, ließe sich dies durchaus auch als Standortvorteil nutzen.

 

Mit Kurt Gärtner, Geschäftsführer der DFB Medien, trat als nächster Redner ein Vertreter der Wirtschaft auf den Plan, der sich um Einhaltung und Umsetzung der neuen Vorgaben bemühen muss. Gärtner legte auf eindringliche Weise dar, dass die rechtliche Situation für IT-Dienstleister eine sehr unbefriedigende sei. Am Beispiel des Versuchs der DFB Medien, ihre Bürotätigkeiten mithilfe von Cloud-Diensten zu verwalten, spannte er den Bogen von den Problemen der Auftragsdatenverarbeitung, wenn ein großes spezialisiertes Unternehmen Daten im Auftrag vieler kleiner Auftraggeber verarbeitet, bis zu den Leaks von Edward Snowden und der Nichtigkeit von Safe Harbor. Eine kostensparende Cloud-Lösung sei letzten Endes auch auf Grund der Nichtigkeit von Safe Harbor und der Unsicherheit der Standardvertragsklauseln nicht zu Stande gekommen und alle Beteiligten stünden vor mehr Fragen als Antworten.

 

 

Die technische Sicht auf den Datenschutz eröffnete sich den Teilnehmern mit Peter Leppelt, dem nächsten Referenten. Der studierte Elektro- und Informationstechniker ist Geschäftsführer der praemandatum GmbH, die Lösungen für Datenschutz durch Datensparsamkeit anbietet. Er vollbrachte es, die Teilnehmer zugleich zu erheitern und zu beunruhigen, indem er in Alltagsgegenständen „versteckte“ Computer unter dem Stichwort „Internet der Dinge“ identifizierte und von deren Fähigkeiten, personenbezogene Daten zu sammeln und zu übermitteln, berichtete. Das aufgezeigte omnipräsente Sammeln von Daten und gravierende Sicherheitsmängel in der Gestaltung und Nutzung von IT führten Leppelt zu seiner These, dass ein effektiver Datenschutz nur durch technische Maßnahmen erreichbar sei. Dies sei auch durch die Natur des Internet als grenzübergreifende Struktur bedingt, da Daten im Netz prinzipiell zugänglich seien – wobei es keine Rolle spiele, in welchem Staat sie verarbeitet würden. Den bisherigen Ansätzen des Datenschutzrechts warf Leppelt vor, mehr an einem schönen Schein orientiert zu sein als an faktischer Sicherheit, da vor allem die Technik vernachlässigt werde.

 

 

Nach der Mittagspause kündigte Krügel, die nun die Moderation übernommen hatte, Jens-Martin Heidemann und Boris Reibach an, die als Rechtsanwälte und externe Datenschutzbeauftragte tätig sind. Sie evaluierten die Entscheidung des EuGH zu Safe Harbor und die anschließende Diskussion inklusive des Entwurfs des Privacy Shield und fragten kritisch, ob diese in der Praxis tatsächlich zu einem besseren Schutz personenbezogener Daten führten. Dabei betonten sie auch, dass sich gerade mittelständische US-Unternehmen sehr um datenschutzkonforme Unternehmenspraxis bemühten. Die interne Auditierung und die Aufsicht durch die Federal Trade Commission sowie regelmäßige Schulungen unter dem Safe Harbor-Abkommen hätten dazu einen großen Beitrag geleistet und die Akzeptanz der europäischen Datenschutzvorschriften sei mit der Verwerfung von Safe Harbor und der anschließenden Rechtsunsicherheit zurückgegangen. Angesichts dieser aktuellen Rechtsunsicherheit begrüßten die Referenten den Privacy Shield trotz Schwächen bei Kontrolle und Durchsetzung als inhaltliche Verbesserung gegenüber Safe Harbor und hofften für Unternehmen auf Synergieeffekte bei der Umsetzung der DS-GVO und des Privacy Shield.

 

 

Die abschließende Podiumsdiskussion versprach angesichts der kontroversen Positionen in den Vorträgen des Tages spannend zu werden. Denn die Referenten Thiel, Gärtner und Leppelt waren auch Teilnehmer der Diskussionsrunde, die komplettiert wurde durch RA Dr. Gregor Scheja, Datenschutzbeauftragter der Evangelischen Kirche Deutschland, Oberkirchenrat Michael Jacob, sowie Moderator Dr. Nils Christian Haag. Nachdem dieser den neuen Teilnehmern die Möglichkeit zur Vorstellung gegeben hatte, entspann sich eine Diskussion um die DS-GVO. Thiel wollte deren Errungenschaften, vor allem die Schaffung eines einheitlichen europäischen Rechtsrahmens, gewürdigt wissen, während Scheja die Auffassung vertrat, dass die DS-GVO zu weiten Teilen auf dem technischen und rechtswissenschaftlichen Stand der 2000er-Jahre verharre. Leppelt plädierte erneut für technische Lösungen. Nach einiger Diskussion waren sich alle Teilnehmer einig, dass dies natürlich nicht heiße, rechtlich zu kapitulieren, sondern dass technische Maßnahmen gerade mit den Mitteln des Rechts flankiert und vorangebracht werden müssten. In diesem Punkt, so betonte Thiel, liege auch die DS-GVO richtig, wenn sie technische Maßnahmen stärker als bisher in den Fokus rücke. Leppelt brachte sodann die Forderung auf, dass in der Bildung digitale Themen und insb. der Datenschutz nicht wie bisher vernachlässigt werden dürften, sondern verstärkt unterrichtet werden müssten. Dieser Forderung konnten sich alle auf dem Podium anschließen. Ein erster Schritt könnte damit getan werden, dass in der Forschung und Praxis diskutiert und die Ergebnisse anschließend weitergetragen würden; ein hoher Redebedarf bestehe jedenfalls.

 

Dieses Ergebnis der Diskussion dürfte festzuhalten sein, denn der Erfolg der zum ersten Mal stattfindenden Konferenz sowohl hinsichtlich der inhaltlichen Qualität als auch der Zahl der Zuhörer hat den Redebedarf auf eindrucksvolle Weise belegt. In der nächsten Zeit stehen mit der Etablierung des Privacy Shield, der Überprüfung der Standardvertragsklauseln und dem Inkrafttreten der DS-GVO in 2018, um nur einige zu nennen, wichtige Prozesse im europäischen Datenschutzrecht an, die durch den Dialog von Wissenschaft und Praxis begleitet werden sollten. An relevanten Themen mangelt es also nicht, sodass die von den Veranstaltern und Referenten mehrfach ausgedrückte Hoffnung auf weitere Auflagen des Hannoveraner Datenschutztags durchaus erfüllt werden könnte.

 

Jan Horstmann ist studentische Hilfskraft am Institut für Rechtsinformatik der Leibniz Universität Hannover.