Der 5. Deutsche IT-Rechtstag der DeutschenAnwaltsAkademie fand am 26.-27. April 2018 in Berlin statt und sollte ganz im Zeichen des Datenschutzrechts stehen.

So stellte die Landesbeauftragte für den Datenschutz in Niedersachen, Barbara Thiel in Ihrem Vortrag die datenschutzrechtlichen Herausforderungen aus Sicht der Aufsichtsbehörde dar, die sich spätestens ab dem 25. Mai mit der Datenschutz-Grundverordnung (DSGVO) ergeben und den Arbeitsaufwand immens erhöhen werden. „Es wird nicht so leicht werden mit diesem geringen Personalbestand alle Aufgaben zu bewältigen, die vor uns liegen“ und die deutlich mehr Komplexität aufweisen würden, erklärte die Datenschützerin gleich zu Beginn.

Doch gerade durch die DSGVO ergebe sich für Ihre Behörde nun eine (neue) Rolle in der proaktiven Beratungsaufgabe sowie auch Informations-, Sensibilisierungs- und Aufsichtspflicht gegenüber Unternehmen und der Bevölkerung. Man werde einerseits nun verstärkt rechtsgestalterisch tätig, werde aber auch auf Entscheidungen der Gerichte warten, erklärte Frau Thiel.

„Aufklärung, Aufklärung, Aufklärung!“

Die neue Datenschutz-Folgenabschätzung (Art. 35 DSGVO) zwinge die Aufsichtsbehörden, nach der Konsultation durch einen Anfragenden innerhalb von acht Wochen eine verbindliche Auskunft zu geben, an deren Votum bei gleichbleibendem Sachverhalt sie und auch andere Behörden gebunden seien. Dies fördere aber ein Maß an Verlässlichkeit. Eine Art „Blacklist“ der Verfahren, die eine solche Datenschutz-Folgenabschätzung erforderlich machen, werde bald veröffentlicht werden – eine „Whitelist“ werde es in Niedersachsen aber nicht geben.

Sodann stellte Barbara Thiel ihr neue Sanktionsmodell vor: Zunächst werde es in der Regel nur eine Warnung, anschließend eine Verwarnung („gelbe Karte“) und danach erst eine Anordnung geben, wobei Bußgelder wohl nur bei schweren Verstößen in Betracht kämen. Hiervon möchte die niedersächsische Datenschützerin nicht sofort Gebrauch machen. Die derzeit im Netz kursierenden „Drohkulissen“ der hohen Bußgelder verwies sie damit indirekt in die Schranken.

Den Unternehmen und anwesenden Juristen gab die Juristin einige Tipps mit auf dem Weg: Die Bestandsaufnahme sei auch weiterhin die Basis der geforderten Dokumentation und auch die Basis des Verzeichnisses der Verarbeitungstätigkeiten. Eine aufsichtsbehördliche Prüfung würde hierauf ansetzen. Inhaltlich knüpften ihre Empfehlungen an die DSGVO-Checkliste an, die ihre Behörde vor knapp einem halben Jahr auf der Webseite veröffentlicht hat. In diesem Zusammenhang stellte die Landesdatenschutzbeauftragte noch einmal klar: Das Führen des Verzeichnisses der Verarbeitungstätigkeiten wie auch die Durchführung der Datenschutz-Folgenabschätzung seien eindeutig die Aufgabe des Verantwortlichen, also der Unternehmensleitung – und gerade nicht die unmittelbare Arbeit des Datenschutzbeauftragten.

Für ein wenig Gelächter sorgte ihre Äußerung, dass ein entsprechendes Online-Formular für die Meldung von Datenpannen und für die Meldung des Datenschutzbeauftragten derzeit vom IT-Dienstleister umgesetzt werde, aber auch sie nicht wisse, wann und ob dies noch vor dem 25. Mai fertig werde.

Für weitere Erheiterung sorgte sodann Prof. Dr. Nikolaus Forgó, Universität Wien mit seinem Vortrag zur rechtlichen Seite von „Privacy by Design“ und „Privacy by Default“. Beide neuen datenschutzrechtlichen Steuerungsinstrumente würden sich – trotz geteilter Auffassung innerhalb der rechtswissenschaftlichen Literatur – nicht an den Hersteller von den Systemen richten und seien überdies komplex, unklar und auslegungsbedürftig. Wie solle denn bitte der Programmierer diese Komponenten in diesem frühen Stadium der Entwicklung berücksichtigen, fragte der Jurist in die Runde. Und selbst der Erwägungsgrund 78, S. 4 der DSGVO spräche nur sehr vorsichtig davon, dass mit dieser Vorschrift Hersteller zum Datenschutz durch Technik bzw. datenschutzfreundliche Voreinstellungen „zu ermutigen“ seien. Es bliebe wohl bei diesen Wunschgedanken statt bei einer eindeutigen Umsetzung. Die Möglichkeit, sich als Verantwortlicher nach Art.25 Abs. 3 DSGVO durch eine Zertifizierung des Verfahrens in vermeintlicher Sicherheit zu wiegen, bezeichnete Herr Fargó als „Wohlfühlzone“ mit wenig Gehalt.

KI und Datenschutz bei den digitalen Assistenten

Am zweiten Tag in Berlin berichtete Prof. Dr. Friedrich Graf von Westphalen über die wenige Tage zuvor präsentierte  „Digitale Grundrechtecharta“, die nach den Vorstellungen der Initiatoren neue Grundsätze zum Umgang mit (personenbezogenen) Daten und allgemein die Grundrechten des Einzelnen im digitalen Zeitalter ausprägen soll. Trotz des langwierigen Unterfangens, einen solchen Katalog unter Mitwirkung vieler prominenter Juristen zu verabschieden, verwies er auf deutliche Akzeptanzschwierigkeiten in den USA und erst recht in China. „Was uns beschäftigt im Datenschutz, beschäftigt die Menschen in den USA nur gering“, konstatierte der Rechtsanwalt ernüchternd. Im weiteren Verlauf warf Prof. Dr. Friedrich Graf von Westphalen einige Gedankenansätze zur rechtlichen Würdigung der Wirksamkeit von automatisierten Willenserklärungen und der Haftung von „künstlicher Intelligenz“ (KI) auf, die das gesamte Rechtswesen vor neue Herausforderungen stellen würden. Nicht zuletzt deshalb habe die EU zahlreiche Programme und rechtswissenschaftliche Forschungen zur rechtlichen Einordnung der KI gestartet.

Den Abschluss der Veranstaltung bildete der Themenblock „Digitale Assistenten“. Der Legal Counsel von Google Germany GmbH, Lutz Heidelberg aus Hamburg, veranschaulichte aktuelle Entwicklungen aus seinem Hause und Ideen zu den digitalen Assistenten. Auch Google lege großen Wert auf die Klärung und Einhaltung der Rechtslage, wie aktuelle Verfahren und Untersuchungen durch namhafte Unternehmen zeigen würden. Anders als oft in den Medien berichtet, sei der Internetgigant sehr wohl an rechtskonformen Lösungen interessiert, weswegen in Deutschland einige Produkte (noch) nicht vollumfänglich angeboten würden.

Der Verfasser dieses Beitrages, Conrad S. Conrad, Justiziar der datenschutz nord GmbH, behandelte in seinem darauf folgenden Vortrag die rechtlichen Rahmenbedingungen für diese digitalen Assistenten wie z.B. beim Einsatz von Facebook Chatbots und Messenger-Diensten zum Kundensupport. Neben Fragen zu einer wirksamen Rechtsgrundlage für die Datenverarbeitung durch automatisierte Verfahren, insbesondere bei der Verarbeitung von besonderen Kategorien personenbezogener Daten (z.B. Gesicht, Stimme, Verhalten?) müsse der Betreiber bzw. auch der Verantwortliche jeweils zahlreiche datenschutzrechtliche Voraussetzungen erfüllen, um ein angemessenes Datenschutzniveau zu gewährleisten. Die Informationspflichten und Betroffenenrechte seien transparent und jederzeit wahrnehmbar in der Datenschutzerklärung abzubilden (Art 12. ff DSGVO) wie auch ggfs. das Widerspruchsrecht im Falle der erteilten Einwilligung oder aber bei der elektronischen Werbung. Dies sei bei vielen Anwendungsfällen in der Praxis problematisch und kaum zu 100 Prozent rechtskonform zu gestalten. Ferner seien die technisch-organisatorischen Maßnahmen aus Art. 32 DSGVO zu dokumentieren und umzusetzen. Doch gerade bei Facebook Chatbots oder WhatsApp habe der Verantwortliche in der Regel gar keinen Einfluss auf die Datenverarbeitung bzw. die Schutzmaßnahmen und kenne oftmals nicht mal den Speicherort der Daten. Und auch ein Pentest oder Audit dieser Systeme sei illusorisch. Es blieben zahlreiche Bedenken, insbesondere bei einer Datenverarbeitung durch ein Unternehmen aus den USA (wie bei Facebook). Parallel zu diesen datenschutzrechtlichen Hinweisen wurde kurz auf die allgemeine Rechtslage in diesem Kontext verwiesen. Derzeit finde eine angeregte Diskussion um die Haftung von den „Robotern“ und Verantwortlichen statt. Die EU warf jüngst sogar Pläne auf, eine elektronische Rechtsposition des Roboters zu schaffen, der dann selber bei Schäden haften würde.

Trotz der vielen interessanten Vorträge blieben viele Fragen offen, die es in der nächsten Zeit zu klären gilt. Ein paar visuelle Eindrücke von der Veranstaltung finden sich im Video des Veranstalters.

| | | , ,