DialogCamp 2015 – das haben Sie verpasst!

Am 20. Februar 2015 war es zum vierten Mal soweit: Die von den Fachzeitschriften MMR und ZD in Zusammenarbeit mit der FOM organisierte Mitmach-Konferenz öffnete in München ihre Türen für interessierte Teilnehmer. Insgesamt fünf jeweils einstündige Sessions boten den Rahmen für 15 Fachvorträge zu aktuellen Themen rund um Medien-, Datenschutz- und IT-Recht. Wir waren dabei:

Bereits in der ersten Session fiel die Wahl der Vorträge besonders schwer: Die Konzerndatenschutzbeauftragte der Deutschen Post DHL, Gabriela Krader, berichtete über „Binding Corporate Rules“ und beschäftigte sich vor allem mit der Frage, „was kommt nach der Genehmigung“. Der IT-Rechtler und Blogger Thomas Stadler stellte in einem parallel laufenden Vortrag die „Löschpraxis von Google nach dem EuGH-Urteil“ dar und mit Christian R. Kast bot ein weiterer IT-Rechtler einen Vortrag zum „Vertrieb von Apps über App-Stores“ an. Ganz im Zeichen einer Mitmachkonferenz entschieden wir uns für eine Teilnahme an dem im Vorfeld des DialogCamps nicht angekündigten Beitrag von Christian R. Kast. Beleuchtet wurden organisatorische, technische und rechtliche Aspekte aus App-Entwicklersicht. Diskutiert wurde u.a. die Problematik, die Rechtsbeziehungen zwischen App-Nutzer und App-Entwickler/Anbieter zu gestalten, obwohl die Apps ausschließlich über App-Store-Betreiber erworben werden. Interessant war auch der Hinweis auf das Apple Programm für Volumenlizenzen. Hiermit können iOS-Apps ausschließlich für geschlossene Nutzergruppen angeboten werden (etwa exklusiv für Mitarbeiter des eigenen Unternehmens). Eine solche Möglichkeit besteht nach unserer Kenntnis unter Android nicht, bzw. nur unter Nutzung der Alpha-/Betatestfunktion für die gestaffelte App-Einführung.

Die zweite Session bot mit nur einem Vortragsangebot keine Wahlmöglichkeit. Dr. Tobias Schmid, Executive Vice President Governmental Affairs bei der RTL Group, trug zum Thema “Konvergenz und ihre Konsequenzen – für Markt, Recht und Regulierung“ vor.

Die dritte Session wiederum ermöglichte eine Auswahl zwischen vier Vorträgen. Wolfgang Kopf, Leiter des Zentralbereichs Politik und Regulierung der Deutschen Telekom AG, referierte zum Thema „Datenschutz – Digitale Souveränität“. Oskar Gstrein fragte, „Was machen wir mit dem Recht auf Vergessenwerden“? Bernd Suchomski behandelte „OpenSSL“, insbesondere in Bezug auf Lizenz- und Gewährleistungsthematiken. Im Rahmen der dritten Session luden auch wir unter dem Titel „Remarketing, Conversion Tracking, Custom Audiences“ zu einem datenschutzrechtlichen Dialog über aktuelle Formen des Trackings ein. Unser Blogautor Sven Venzke-Caprarese stellte anhand der öffentlichen verfügbaren Infografiken und Informationen von Facebook und Google dar, worum es beim Remarketing, Conversion Tracking und der Custom Audiences jeweils geht und wie dies technisch (vermutlich) funktioniert. Im Anschluss wurde mit den Teilnehmern die rechtliche Bewertung diskutiert und Erfahrungen ausgetauscht. Hierbei wurde u.a. berichtet, dass sich Facebook in einzelnen Fällen der Vergangenheit bereit erklärte, Verträge zur Auftragsdatenverarbeitung mit werbenden Unternehmen zu schließen.

In der Mittagspause lud Prof. Dr. Thomas Städter zur Kryptoparty unter dem Motto: „Wie setzen Sie den Selbstdatenschutz praktisch um?“. Bereits im Vorfeld des DialogCamps wurden die Teilnehmer hierfür gebeten, bei Interesse die eigenen Smartphones, Tablets und Laptops mitbringen.

In der vierten Session ging es weiter mit einem Vortrag der Europaparlamentarierin Birgit Sippel, zum Thema „Grundrechtsschutz in der Terrorismusbekämpfung“. Parallel lud Fabian Kahlert zur Diskussion über „E-Commerce: Gestaltungsmöglichkeiten und Potenziale bei B2B-Onlineshops“. Tamina Preuß lud zum Vortrag über das „Datenschutzrecht der Religionsgemeinschaften“. Stefan Herwig behandelte in seinem Vortrag, „warum wir keinen Markt für datenschutzkompatible Produkte haben und wie wir einen bekommen“ vor allem ökonomische bzw. marktregulatorische Fragestellungen.

Auch in der fünften Session fiel die Wahl nicht einfach. Markus Schröder beschäftigte sich mit „Verkehrstelematik in der Versicherungsgesellschaft“. Matthias Lachenmann beleuchtete „die Spähaffäre der Geheimdienste und deren Auswirkung auf Grundrechte und den Datenschutz“. Last but not least lud Dr. Winfried Veil, Mitglied der Projektgruppe „Reform des Datenschutzes in Deutschland und Europa“ im Bundesministerium des Innern, „zum Stand der Verhandlungen der Datenschutz-Grundverordnung“ ein. In diesem Vortrag wurde u.a. dargestellt, wie sehr sich die Datenschutz-Grundverordnung nach über 4.000 Änderungsanträgen und ihrem Weg von der Europäischen Kommission über das Europäische Parlament hin zum Rat der Europäischen Union verändert hat. Auch wenn längst nicht alle Verhandlungsfragen geklärt sind, werde mit dem Mittel der „partial general approaches“ nun ein Weg beschritten, der zur kontinuierlichen Klärung der offenen Fragen führt. Demnach wird der Verordnungsentwurf Stück für Stück im Rat der Europäischen Union diskutiert und versucht, eine Einigung zwischen den Vertretern der jeweiligen Mitgliedsstaaten zu den wichtigsten Fragen der Datenschutz-Grundverordnung herzustellen. Auch im Vortrag selbst stellten sich interessante Fragen, etwa:

• Werden die Prinzipien „privacy by design und privacy by default“ als direkte Verpflichtung für Produktehersteller aufgenommen?
• Werden mit Inkrafttreten der Datenschutz-Grundverordnung alte Einwilligungen neu eingeholt werden müssen?
• Wie wird die Forderung der Datenportabilität praktisch umgesetzt?
• Was bedeutet eigentlich „Lebenszyklusmanagement“ und wie wird eine „Datenschutzfolgenabschätzung“ in der Praxis aussehen?
• Wer wacht künftig über das Recht auf Vergessenwerden und entscheidet über Löschanträge? Ist es sinnvoll, dies dem jeweiligen Suchmaschinenbetreiber zu überlassen? Oder findet sich die Lösung in unabhängigen Streitschlichtungsstellen, die – unter Gewährleistung der Unabhängigkeit – zumindest durch die Suchmaschinenbetreiber finanziert werden müssen?
• Wird es eine Bereichsausnahme der Datenschutz-Grundverordnung für Stellen geben, die kirchlichem Recht unterliegen?
• Wie könnten die Zuständigkeiten für einen „one stop shop“-Mechansimus aussehen? Richtet sich die federführende Zuständigkeit z. B. nach dem Wohnsitz des Betroffenen? Wird es ein European Data Protection Board geben und wie wird sich dies zusammensetzen?
• Kann die Aufsichtsbehörde des einen Mitgliedsstaates über die Datenverarbeitung eines Unternehmens eines anderen Mitgliedsstaates entscheiden? Welchen Rechtsweg können Unternehmen dann künftig gegen Entscheidungen der Aufsichtsbehörde beschreiten?

Dargestellt wurde auch, dass die Datenschutz-Grundverordnung immer mehr einen „risikobasierten Ansatz“ zu vertreten scheint – so wird etwa in der Ratsfassung alleine 67 Mal das Wort „risk“ erwähnt, welches im Kommissionsentwurf nur 31 Mal Erwähnung fand. Besonders interessant war auch der Versuch, die im aktuellen Entwurf enthaltenen Risikokriterien zu systematisieren bzw. zu klassifizieren – etwa anhand der „Art der Daten“, der „Art der Verarbeitung“, dem „Ausmaß der Gefährdung“, der betroffenen „Rechtsgüter“ oder dem „Ausmaß der Verarbeitung“. Erörtert wurde auch, welche Maßnahmen gegen die Risiken eigentlich zu treffen sind und das die Verordnung hier wenig konkret wird. Bei einigen Teilnehmern zeigte sich die Befürchtung, dass die Datenschutz-Grundverordnung derzeit an der einen oder anderen Stelle noch relativ unsystematisch erscheint und möglicherweise nach Inkrafttreten der Verordnung viele Begriffe durch Rechtsprechung oder Aufsichtsbehörden nachdefiniert werden müssen.