Wie auch in den letzten Jahren luden die Fachzeitschriften MMR und ZD sowie die FOM Hochschule zum alljährlichen BarCamp rund um die Themenbereiche Datenschutz-, IT- und Medienrecht ein. So fanden sich am 19.02.2016 dann auch schätzungsweise 100 Besucher in München zusammen, um sich auszutauschen und zu diskutieren.
Erste Session
In der ersten Session berichtete Dr. Martina Schollmeyer über die internationale Organisation des Konzerndatenschutzes der BMW Group. Hierbei ging sie insbesondere auf das Instrument des Privacy Impact Assessments und dessen Implementierung in ein konzerndurchdringendes „Privacy Network“ ein. Als zentralen Bestandteil stellte sie die innerhalb des Automobilkonzerns jeweils lokal ernannten Data Privacy Protection Officers dar, welche in der Praxis dafür Sorge tragen, dass datenschutzrechtlich relevante Verfahren als solche erkannt und bereits auf lokaler Ebene mittels Privacy Impact Assessments bewertet werden. Sofern ein lokal bewertetes Verfahren auch in anderen Ländern Bedeutung erlangt, wird das ursprüngliche Privacy Impact Assessment über einen sog. Regional Coordinator an die nunmehr zuständigen, neuen Data Privacy Protection Officers des jeweiligen Landes weitergegeben und einer Delta-Bewertung anhand der nationalen Rechtsvorschriften unterzogen. Auf diese Weise seien in den vergangenen Jahren etwa 1.000 Privacy Impact Assessments durchgeführt worden. Sofern aus einem Privacy Impact Assessment Auflagen folgen, habe sich in der Praxis der Einsatz von Softwaretools zur Dokumentation der Auflagen und zur Dokumentation des Umsetzungsstands bewährt. Schließlich wurde darauf hingewiesen, dass besonders sensible Verfahren nach gemeldeter Umsetzung der Auflagen ggf. noch einmal separat auditiert werden.
Neben dem Aufbau eines unternehmensinternen Privacy Networks wurden aber auch konkrete und datenschutzrechtlich komplizierte Fälle aus der Praxis behandelt. Besprochen wurde in diesem Rahmen z.B. der Betrieb von Dash-Cams in Versuchsfahrzeugen zu Forschungszwecken. So wurde nachvollziehbar begründet, dass entsprechende Dash-Cams auch und gerade im alltäglichen Verkehr erforderlich sind, um hochautomatisiertes Fahren zu entwickeln und zu erforschen. Ein entsprechender Einsatz wurde vom Data Privacy Protection Officer bewertet und das Ergebnis mit der Aufsichtsbehörde abgestimmt. Wundern Sie sich also nicht, wenn Ihnen in der Münchner Innenstadt ein BMW mit Dash-Cam und der Aufschrift „Vorsicht Videoaufzeichnung“ entgegenkommt.
Parallel sprachen in der ersten Session Dr. Hans Peter Wiesemann von der ProSieben Sat.1 Media SE zu dem Thema „Was Google nicht findet gibt es nicht – Zur (Un-)Zulässigkeit der Treffer-Optimierung bei Suchmaschinen im Web 3.0“ sowie Dr. Raimund Schütz zur Herausforderung Konvergenz und der Frage, wie Vielfalt im Flaschenhals „Plattform“ gesichert werden kann.
Zweite Session
In der zweiten Session berichtete Tim Wybitul über Beschäftigtendatenschutz und EU-Datenschutzgrundverordnung in der Praxis. Daneben berichtete Sebastian Kraska über Beratungsansätze nach dem Wegfall von Safe Harbor.
Neu war dieses Jahr der sog. Publishing-Track, welcher als Parallelangebot über die volle Dauer des Dialog Camps in insgesamt fünf Sessions angeboten wurde. In diesem Track führten Thorsten Feldmann und Adrian Schneider durch die zahlreichen rechtlichen Facetten, die das Publizieren im Internet mit sich bringt. Obwohl die Runde im ersten Part des Tracks noch recht klein war, erkannte man den ein oder anderen namenhaften Zuhörer. Insgesamt herrschte eine angenehme und lockere Atmosphäre, in der auch viele praktische Fragen von Blogbetreibern ihren Platz und ihre Antworten fanden. Der Publishing Track stellte aus meiner Sicht eine gelungene neue Idee für das DialogCamp dar, wenngleich die Auswahl aufgrund der vielen anderen spannenden Parallelthemen noch schwerer wurde.
Dritte Session
Die Dritte Session bot neben dem Publishing-Track die Wahl zwischen den Themen „Ergänzende Rechtsakte – Ein Problem in der Normenhierarchie“ von Cornelia Holzberger sowie dem „Recht auf Vergessen in der Praxis“ von Jörg Heidrich.
Ich entschied mich für das letztgenannte Thema und wurde nicht enttäuscht. Jörg Heidrich stellte kurz das Antragsverfahren zur Löschung von Suchmaschinenergebnissen dar und wies darauf hin, dass Suchergebnisse nicht nur auf Grund des Rechts auf Vergessen entfernt werden, sondern allein Google aus urheberrechtlichen Gründen jeden Monat zig Millionen URLs aus den Suchergebnissen entfernt (vgl. auch Googles Transparenzbericht).
Richtig spannend wurde dann der Hauptteil des Vortrags, der die praktische Gestaltung und Auswirkung von Löschanträgen darstellte. Hierbei wurde darauf hingewiesen, dass Google für Websitebetreiber, deren URLs von einem Löschantrag betroffen sind, zwar einen Informationsprozess vorsieht. Dieser setzt allerdings die Nutzung der Google Webmastertools voraus. Websitebetreiber, die die Google Webmastertools gar nicht nutzen oder – was der Regelfall sein dürfte – an dieser Stelle nicht mit Benachrichtigungen rechnen, werden somit nicht bzw. nicht ausreichend informiert. Anhand von Fällen aus der Heise Medien Gruppe wurden dann konkrete Beispiele besprochen. Im Rahmen des Vortrags wies Jörg Heidrich zudem auf eine Liste hin, welche alle Artikel der Zeit, die von Löschanträgen betroffen sind samt URL online vorhält. Ein näherer Blick auf die Liste zeigt schnell, dass Löschanträge auch genutzt werden, um schwarze Westen rein zu waschen. Zudem werden Seiten teilweise unberechtigt aus den Suchergebnissen gelöscht. Zwar können sich Nutzer des Google Webmastertools gegen eine unberechtigte Löschung der Suchergebnisse über ein Formular wehren – allerdings mit eher geringen bzw. ohne Erfolgsaussichten. Echten Rechtsschutz oder gar eine Klagebefugnis scheint es gegen die Löschung aus den Ergebnissen der Suchmaschine nicht zu geben. Abschließend wurde dargestellt, dass das Recht auf Vergessen(werden) in der Praxis einen nicht unerheblichen Eingriff in das Recht auf Meinungs-, Presse-, Wissenschafts- und Informationsfreiheit darstellt und die genannten Rechte an dieser Stelle mit dem Datenschutz kollidieren. Insgesamt dürfe die Löschpraxis daher nicht auf die leichte Schulter genommen werden, denn jede Manipulationen an Suchergebnissen beeinträchtige letztlich auch die Zivilgesellschaft. Am Ende der Session blieb mir die subjektive Erkenntnis, dass mindestens bessere Informationsprozesse (abseits der Google Webmastertools) von Nöten sind und, sofern man überhaupt an dem Recht auf Vergessenwerden festhalten will, zudem ein deutlich besserer Rechtsschutz für betroffene Websitebetreiber geschaffen werden muss.
Literature Meets Law
Die Mittagspause wurde durch eine „ Literature Meets Law“-Session bereichert, in welcher Benjamin Stein aus seinem im C. H. Beck Verlag erschienen Roman „Replay“ las. Die anschließende Diskussion warf interessante Fragen auf. Wieviele Daten geben wir im Alltag eigentlich von uns preis? Wie gläsern macht uns die Nutzung von Sozialen Netzwerken, Smartphones und Bonusprogrammen? Was bewegt uns, diese Produkte und Dienste trotzdem zu nutzen? Wie weit sind wir letztlich bereit, für bestimmte Nutzungserlebnisse zu gehen?
Vierte Session
In der vierten Session berichtete Stefan Peintinger über den aktuellen Stand und Ideen zum EU-US-Privacy Shield. Matthias Lachenmann trug zu Datenübermittlungen im Konzern vor.
Ich entschied mich für den dritten Vortrag im Angebot. In diesem rechnete Stefan Schleipfer unter dem Titel „Verkürzte IP-Adressen + Cookie-Einwilligung + keine Fingerprints = Datenschutzkonformes Webtracking?“ technisch und rechtlich exakt vor, welche Variablen in der Gleichung noch fehlen.
So zeigte er z.B. auf, dass selbst scheinbar datenschutzkonforme Nutzungsprofile noch erhebliche Gefahren für die Persönlichkeitsrechte der Nutzer in sich tragen. In diesem Rahmen wurden drei mögliche Angriffstypen auf das im TMG geregelte Zusammenführungsverbot dargestellt. Zur Erinnerung: Dieses verbietet die Zusammenführung der pseudonymen Nutzungsprofile einerseits mit Informationen über den Träger des Pseudonyms andererseits. Das Zusammenführungsverbot ist somit entscheidend für ein rechtskonformes Webtracking auf Basis des § 15 Abs. 3 TMG. Dabei ist das Zusammenführungsverbot an vielen Stellen leicht zu umgehen. So stellte Stefan Schleipfer dann auch einige Möglichkeiten dar, die böswilligen Diensteanbietern zur Umgehung des Zusammenführungsverbots zur Verfügung stehen:
- So könnten personenbezogene Daten schon im Rahmen der Nutzungsprofilbildung verwendet werden (z.B. durch die Übergabe personenbezogener Daten als URL-Parameter oder durch personenbezogenes Newsletter Tracking).
- Ferner könnte versucht werden, die IP-Adresse als Zuordnungsmerkmal zu nutzen (wobei dieses Mittel in der Praxis weniger häufig zum Erfolg führen dürfte, da sich hinter einer externen IP-Adresse oftmals ganze Firmennetzwerke verbergen und die Herstellung eines Personenbezugs allein über die IP-Adresse in der Regel nur mit relativ viel Aufwand möglich ist).
- Schließlich könnte versucht werden, die pseudonymen Nutzungsprofile mit Hilfe anderer Datenquellen nachträglich zu entpseudonymiseren (hierzu könnten Online-Händler z.B. die vorhandenen Nutzungsprofile mit Bestelldaten abgleichen oder direkt ein personenbezogenes Login als Zuordnung nutzen).
Am Ende der Session wurde mir noch einmal deutlich: Die in der Praxis wirklich relevanten Fragen sind derzeit kaum im Fokus der rechtlichen Diskussion, sondern davon bedroht, sich in jahrelangen Diskussionen zu Detailfragen, wie etwa der Frage der Personenbeziehbarkeit von IP-Adressen, zu erschöpfen. Auch und gerade vor dem Hintergrund der EU-Datenschutzgrundverordnung ist es von erheblicher Bedeutung, die Rahmenbedingungen des Webtrackings gesetzlich trennscharf zu regeln. Hierbei sollten die Nutzungsprofile selbst als potentielle Gefahrenquelle bewertet werden.
Fünfte Session
In der fünften Session beleuchteten Dennis-Kenji Kipker und Anna Mrozek die rechtlichen Aspekte der Wiedereinführung der Vorratsdatenspeicherung. Christian Kast thematisierte E-Books und DRM-Systeme. Daniel Juling machte eine Beratung am realen Fallbeispiel „Freier-Paartanz.de“ zum Thema seines Vortrags. Ich brauchte an diesem Punkt eine Pause. Dabei ergab sich auch das ein oder andere interessante Gespräch auf dem Flur.
Sechste Session
In der sechsten Session stellten Thomas Städter und Melanie Lorberg die IT-Forensik in der Cloud und Lösungsansätze für forensische Untersuchungen dar. Martin Arendts berichtete in einem Glücksspielrecht-Update über die Ince-Rechtsprechung
Ich nutzte die Session, um die Google Richtlinie zur Einwilligung der Nutzer in der EU und die damit zusammenhängende Inflation der Cookie Banner zu hinterfragen (hierzu aber demnächst an anderer Stelle mehr).
Insgesamt stellte das DialogCamp 2016 aus meiner Sicht eine gelungene Veranstaltung dar und ich freue mich schon auf nächstes Jahr.