Im Gegensatz zu vielen anderen namhaften Konferenzen wurde die diesjährige DSRI Herbstakademie nicht verschoben oder abgesagt, sondern hingegen „nur“ als virtuelle Ausgabe angeboten. So konnten die Teilnehmer und Referenten zwar nicht im schönen Oldenburg persönlich zusammenkommen und mehrere Tage den verschiedenen Veranstaltungen und Abendprogrammen beiwohnen – aber zumindest wurden die Vorträge und zwei ansprechende Podiumsdiskussionen über das Internet präsentiert.
Und mit den zwei virtuellen Gesprächsrunden am Abend konnte der interaktive Austausch mit einigen Experten im Rahmen der #HA21 halbwegs gerettet und folglich das Programm der Herbstakademie dennoch entsprechend abgerundet werden.
70 Vorträge virtuell und auf Abruf
Während der bekannte Tagungsband zur Veranstaltung kurz vor dem angesetzten Termin erschien, wurden alle zuvor aufgezeichneten Videos zu den Vorträgen zum 10. September für alle Teilnehmer freigeschaltet. Ab dem Moment standen die rund 70 Vorträge und dazu gehörigen Präsentationen zur Verfügung.
Bei den Referenten herrschte Einigkeit: Die meisten Sprecher lobten die Veranstalter für ihre Entscheidung, die diesjährige Herbstakademie auch während der Corona-Pandemie wenigstens virtuell auszutragen und aktuelle Impulse und Meinungen zu aktuellen rechtlichen Fragestellungen weiterhin zu liefern. Rund 30 Stunden an Videomaterial dürfte damit zusammengekommen sein – neben dem über 1000 Seiten umfassenden Tagungsband.
Unter den zahlreichen Beiträgen befindet sich auch eine rechtliche Betrachtung zum Umgang mit automatisierten Betroffenenanfragen auf Datenauskunft. So stellte der Rechtsanwalt Tim Schneider von der Kanzlei Schürmann Rosenthal Dreyer die Vor- und Nachteile von derartigen, neuen Geschäftsmodellen der automatisierten Auskunftsanfrage nach Art. 15 DSGVO vor. Hier gäbe es mittlerweile Anbieter, die nach wenigen Eingabeschritten automatisiert zahlreiche Portale anschreiben und Betroffenenanfragen „ins Blaue“ geltend machen. Ob damit wohl Mehrarbeit erzeugt wird oder eine effiziente Umsetzung der Betroffenenrechte möglich ist?
Der Berliner Rechtsanwalt Maximilian Kessemeier, ebenfalls von der Kanzlei Schürmann Rosenthal Dreyer bespricht die datenschutzrechtlichen Herausforderungen von Corona Contact Tracing Apps, die immer mehr an Bedeutung gewinnen. Der Zweck solcher Anwendungen sei die Warnung von Nutzern bei Kontakt mit einer infizierten Person bzw. Benachrichtigung im Falle eines Infektionsrisikos – aber nicht die Kontaktnachverfolgung. Des Weiteren ließe sich nach seinen Ausführungen diskutieren, ob die auf dem eigenen Endgerät erfolgte, lokale Verarbeitung von Zufalls-IDs (anderer Geräte) überhaupt personenbezogene Daten berühre – und wie gleiches bei der zentralen Verarbeitung dieser IDs durch die App sei. Und daran anknüpfend wäre noch zu prüfen, wer jeweils Verantwortlicher für eine solche Verarbeitung ist und die Vorgaben der DSGVO umzusetzen hat.
Zu den weitreichendsten Problemfeldern des Datenschutzrechts zählt rund 2,5 Jahren nach Wirkung der DSGVO immer noch die (weitreichende) Definition der Verantwortung im Sinne der DSGVO. Rechtsanwalt Jan Spittka von DLA Piper und die Rechtsanwältin Varinia Iber von Menold Bezler Rechtsanwälte befassen sich in ihren Beiträgen jeweils mit der gemeinsamen Verantwortlichkeit (Joint Control) und den Konsequenzen wie auch Schwierigkeiten in der Praxis. Aber auch die (Haftungs-) Vor- und Nachteile wurden dabei beleuchtet. Die Thematik dürfte weiterhin akut sein.
Ferner referieren die Rechtsanwälte Thorsten Mehl und Ilan Leonard Selz, LL.M. von der Kanzlei Schürmann Rosenthal Dreyer über die „datenschutzrechtliche Verantwortlichkeit beim Betrieb von Voice Apps in Sprachassistenten wie Alexa, Cortana, Google Assistant oder Siri“. Zwischen einem Betreiber eine Voice-App und dem Anbieter der Sprachassistenten (z.B. Amazon, Google oder Apple) bestehe ihrer Ansicht nach keine Auftragsverarbeitung nach Art. 28 DSGVO, sondern dürfte vielmehr eine gemeinsame Verantwortlichkeit vorliegen. Dies ergebe sich aus dem technischen und organisierten Zusammenwirken bei solchen Systemen, aber auch aus der Überschneidung der verfolgten Zwecke und Interessen beider Akteure.
Die Juristin Štěpánka Havlíková aus einer Kanzlei in Prag spricht über die Rechtmäßigkeit von automatisierten Sprachanalysen und ihren Einsatz in Personalwesen, Kundenbetreuung oder Gesundheitswesen sowie die zugehörigen datenschutzrechtlichen Fragen. In ihrem Vortrag zeigt sie die etwaigen Rechtsgrundlagen sowie weiteren Anforderungen aus der DSGVO auf.
Etwas mehr praxisnähe bietet der Vortrag von Jörg Heidrich. Der Justiziar bzw. Datenschutzbeauftragter von Heise Medien GmbH & Co. KG stellt in seinem gewohnt kurzweiligen Vortrag „Anatomie einer Datenschutz-Katastrophe“ den Umgang mit „Datenpannen“ nach Art. 33 und 34 DSGVO anhand von mehreren prominenten Datenschutzvorfällen vor, über die auch der Verlag berichtet hatte, skizziert ferner die Risiken für das betroffene Unternehmen und gibt ein paar interessante Tipps.
Rechtsanwalt Dr. Tobias Born von der international bekannten Kanzlei Baker & McKenzie behandelt die Frage, inwiefern Unternehmen durch Äußerungen, z.B. Pressemitteilungen oder in den Tätigkeitsberichten, zumeist im Zusammenhang mit verhängten Bußgeldern öffentlich an den Pranger gestellt werden würden und daher sozusagen eine doppelte Bestrafung erhielten. Was für Ansprüche stehen dem Unternehmen zu?
Lesens- bzw. hörenswert ist im Übrigen der gemeinsame Beitrag von Dr. Carlo Piltz und Philipp Quiel, beide von Reuschlaw Legal Consultants, zur Auslegung einiger wichtiger Begriffe aus der DSGVO, wie z.B. der Formulierung „nach Treu und Glauben“ (Art. 5 Abs. 1 lit. a) DSGVO) oder den Begriff „unverzüglich“ (so auch in Art. 17 Abs. 1 DSGVO). Denn die DSGVO zeichnet in ihrem europaweiten Anwendungsbereich einen einheitlichen Rechtsrahmen, der aber gerade deswegen gewisse Differenzen in dem nationalen Sprachverständnis und daher bei der Anwendung durch die Akteure hervorruft, was mitunter gegen die Wortlautauslegung sprechen könnte. Die Referenten bevorzugen hier bei der Präzisierung der Norm eine historische Auslegung oder eine solche nach dem Sinn und Zweck.
Und auch die weiteren, hier nicht erwähnten Vorträge können mit aktuellen Themen einen guten Einblick in die aktuelle Rechtswissenschaftliche Diskussion bieten und Gedankenanstöße liefern.
Interessante Expertenrunde live
Zusätzlich fand am 9. und 10. September jeweils abends um 19 Uhr eine erfrischende Live-Gesprächsrunden mit einigen bekannten Experten über zoom/YouTube statt, die diesen typischen und beliebten Charm der Herbstakademie kurzzeitig aufleben ließen und sicherlich den einen oder anderen Zuhörer zum Schmunzeln bringen konnte.
1. Podiumsdiskussion
Referenten:
Dirk Scheumann, Head of Legal Central Europe (Atos Information Technology)
Lena Flohre, Public-Affairs-Team des Bitkom (Bitkom e.V.)
Rechtsanwalt Dr. Markus Kaulartz (CMS)
Moderation: Sylvia Ebersberger, Rechtsanwältin (DLA Piper)
Am ersten Abend der Konferenz wurde unter dem Titel „Corona als Beschleuniger der Digitalisierung? – Eine erste Bestandsaufnahme“ darüber diskutiert, ob und inwiefern die Corona-Krise hierzulande die Digitalisierung vorangetrieben hat. Viele Geschäftsprozesse konnten nach Ansicht der Referenten überraschend „schnell“ auf digital umgestellt werden was das Geschäftsleben vielleicht um viele Jahre beschleunigt habe, andere Branchen (z.B. der Frisör) litten allerdings darunter bzw. konnten dies ohnehin nicht bewerkstelligen. So sei noch viel zu tun, resümierten die Sprecher.
Doch vor allem der Datenschutz, insbesondere nach der sog. Schrems II Entscheidung vom EuGH, würde noch viele Probleme mit sich bringen, zumal Forderungen nach Datensouveränität und europäischen Lösungen nach Meinung einiger Referenten doch oft unrealistisch seien. In diesem Zusammenhang wies Herr Scheumann z.B. darauf hin, dass diese Pandel-Diskussion auch über zoom stattfände.
Herr Dr. Kaularzt bezweifelte, dass Corona hierzulande zu mehr Investitionen zu KI bzw. fortschrittlicher Technologie führe. Man solle mehr Innovation fordern und nicht nur mehr zoom-Accounts kaufen, lautete seine Empfehlung. Forschung und Innovationen fänden doch eher in den USA statt. Bereits in der Schule hierzulande müsse man ansetzen und auch entsprechend unterrichten, aber auch ausstatten.
Die Digitalisierung brächte neue Geschäftsmodelle und viel mehr Big Data. In vielen Fällen bliebe aber die rechtsdogmatische Problematik: Wer ist Verantwortlicher und wer haftet für die Datenverarbeitung? Der Programmierer könne oftmals das gar nicht die Technik beeinflussen, wenn die KI selber eine Software schreibt.
Im weiteren Verlauf wurden auch der Fachkräftemangel und die Juristenausbildung hierzulande erörtert.
2. Podiumsdiskussion
Referenten:
Marit Hansen (LfDI Schleswig-Holstein)
Rechtsanwalt Jan Spittka (DLA Piper)
Rechtsanwalt Tim Wybitul (Latham & Watkins)
Moderation: Joerg Heidrich, FA für IT-Recht, Justiziar / Datenschutzbeauftragter (Heise Medien)
Am Donnerstag folgte gegen 19 Uhr eine überraschend persönliche und ehrliche virtuelle Diskussionsrunde unter dem Titel „Umgang mit IT-Katastrophen – Vorbereitung, Krisenmanagement, Meldepflichten“ zu den wirtschaftlichen sowie auch (datenschutz-)rechtlichen Folgen von IT-Katastrophen. Der IT-Anwalt und Datenschutzbeauftragte der Heise Gruppe, Joerg Heidrich berichtete in seiner Einleitung unter anderem von Datenschutzvorfällen in den letzten 1-2 Jahren und stellte die Rechtslage vor.
Der prominente Rechtsanwalt Tim Wytibul informierte anschließend aus seiner anwaltlichen Praxis der Großkanzlei und erzählte unter anderem, dass die Kanzlei derzeit mehrere Tausend Fälle mit Datenschutzpannen prüfe bzw. verteidige. Da dürfte noch einiges kommen.
Sodann stellten sich die unterschiedlichen Positionen im Hinblick auf die Meldung von Datenpannen dar: Als Rechtsanwalt im Datenschutz gab Herr Wytibul zu bedenken: Das oft gehörte Motto „Melde auch noch so kleine Dinge“ sei gar nicht so vorteilhaft, denn mehrmalige Fälle (Wiederholungsfälle) könnten sowohl vor Gericht als auch bei den Sanktionen durch die Aufsichtsbehörde nachteilig geahndet werden, z.B. höhere Bußgelder hervorrufen. Frau Marit Hansen, Landesdatenschutzbeauftragte vom Bundesland Schleswig-Holstein hingegen stellte ihren (gegensätzlichen) Standpunkt der Aufsichtsbehörde in Kiel vor, zeigte sich aber diesbezüglich nachsichtig.
Es wurden aber auch aktuelle Tendenzen in Hause der Behörde aufgezeigt: So sei immer mehr zu erkennen, dass zur Vorbereitung von zivilrechtlichen Klagen Anträge auf Akteneinsicht (bei einer Beschwerde) oder die Herausgabe der Schreiben/Feststellungen der Aufsichtsbehörde auf Grundlage eines Anspruchs nach dem Informationsfreiheitsgesetz zunehme.
Kurze Zeit später wurde das Zusammenspiel von IT-Security und Datenschutz mit einigen Beispielen aus der Praxis erörtert. So müsse sich z.B. der Art 32 DSGVO (interne Protokollierung durch die IT) aber auch ebenso an Art. 5 DSGVO (Speicherbegrenzung, Transparenz etc.) orientieren, d.h. auch internes Tracking und Protokollierung usw. aus Sicherheitsgründen können nicht endlos sein.
Die Debatte führt unweigerlich zur Frage: Wer gibt eigentlich den „Stand der Technik“ nach Art. 32 DSGVO vor? Hierzu lautete die eindeutige Empfehlung: Am besten nicht der Jurist, sondern ein interdisziplinäres Expertenteam.
Anschließend schilderte Herr Heidrich sehr anschaulich die eher unschönen Erfahrungen aus dem „emotet“-Vorfall im eigenen Hause. Eine Erkenntnis dieser Katastrophe lautet: Notfallpläne und wichtige Dokumente sollten auch ausgedruckt vorhanden sein – denn die waren allesamt auf den Rechnern und bei dem kompletten Befall der IT daher nicht greifbar. Immerhin es sei auch ein Bestandteil von Art. 32 lit. d DSGVO, ggfs. eine physische Kopie von Telefonnummern und Daten vorzuhalten: Denn was ist, wenn das Telefon oder die E-Mail komplett weg sind bzw. nicht mehr funktionieren? Solch Szenarien sollten einmal fiktiv durchgespielt werden – vielleicht bestünde ja sogar eine rechtliche Verpflichtung zu solchen Notfallplänen und deren Test.
Insgesamt zeigte es mal wieder die enge Verzahnung vom Datenschutzrecht und der IT-Sicherheit.
Ein kleines Resümee
Der DSRI und den Veranstaltern der Herbstakademie 2020 ist es gelungen, der Corona-Pandemie zu trotzen und über 70 Beiträge in virtueller wie auch in schriftlicher Ausarbeitung pünktlich und ohne Qualitätsverlust den Teilnehmern und Interessenten anbieten zu können. Gleichwohl hätten es durchaus 1-2 mehr virtuelle Gesprächsrunden geben können. Gesprächsbedarf ist sicherlich vorhanden.
Obgleich diese besondere Ausgabe der #HA21 mit teilweise schon „persönlichen Einblicken“ in das Arbeitszimmer der Sprecher mal etwas anderes war, wünschten sich die meisten Teilnehmer wieder mehr räumliche Nähe und die direkte Zusammenkunft. Dem Wunsch dürfte wohl entsprochen werden. Zumindest ließ man durchblicken: Im kommenden Jahr soll die Veranstaltung wieder vor Ort, und dann in Oldenburg stattfinden. Wir sind dann auch wieder vor dabei und freuen uns drauf!