Die diesjährige DSRI Herbstakademie fand unter dem Titel „Die Macht der Daten und der Algorithmen“ vom 12.-14.9.2019 in Bremen in der Flughafenhalle statt und zählte wieder einmal zu den Höhepunkten des Veranstaltungsjahres. Zur Jubiläumsausgabe (im 20. Jahr) stand die Regulierung von IT bzw. IoT und KI im Fokus der Konferenz. Rund 70 Referenten mit 65 Vorträgen im Gepäck und insgesamt mehr als 350 TeilnehmerInnen kamen in der Hansestadt Bremen zusammen, um sich in den neuesten (datenschutz-)rechtlichen Themen auszutauschen und diese teils kontrovers zu diskutieren.
Eröffnet wurde die Veranstaltung bereits am Vorabend mit einem Empfang im Bremer Rathaus mit der Ansprachen von Prof. Dr. Jürgen Taeger von der Universität Oldenburg und Vorsitzendem des Vorstands der DSRI, der die Gäste und Referenten begrüßte und die Bedeutung des Events bzw. des „Networkings“ hervorhob. Es folgten ein Grußwort von Henning Lüth und der Gastvortrag von Prof. Dr. Dieter Dörr von der Johannes Gutenberg-Universität Mainz über „die Macht der Intermediäre“.
Am Donnerstag (12.09.) startete die Konferenz in den eigentlichen Räumlichkeiten am Airport Bremen mit Begrüßungsworten und den ersten Panels auf der Bühne in zwei unterschiedlichen Räumen. Nach mehreren interessanten und kurzweiligen Vorträgen zu aktuellen Themen, unter anderem zur Darstellung von KI-Prozessen mit Hilfe von „Gamification, Ablaufdiagramme und Piktogrammen“ und zum „Dynamic Pricing“ sowie zum Einsatz von KI gestützten Systemen im Bewerberprozess sollte die Bremer Aufsichtsbehörde einen Einblick in die derzeitige Arbeit gewähren. Frau Dr. Imke Sommer, Bremer Landesdatenschutzbeauftragte zog mit ihrem Vortrag eine Zwischenbilanz nach ca. 15 Monaten Wirksamwerden der DSGVO und des neuen BDSG. Dass das neue Recht für die Aufsichtsbehörde „mehr Arbeit“ mit sich brachte, war wohl allen Anwesenden klar. Trotz dieser Belastung hob Frau Dr. Sommer die positiven Affekte der DSGVO hervor. Denn schließlich würde die Abkürzung „DSGVO“ so gut wie jeder nun kennen – und verglich die teils abstruse Berichterstattung aus dem Mai 2018 (von Klingelschildern und Fotoalben in Schulen) mit zwei weiteren prominenten Sommerloch-Themen der letzten Jahren: Google Street View Autos auf deutschen Straßen und die Story rund um den Whistleblower Edward Snowden und seine Veröffentlichungen.
Die LfDI Bremen lobt die DSGVO und warnt gleichzeitig
Es folgten ein paar Kennzahlen aus der Bremer Behörde: Seit Mai 2018 hat sich demnach die Anzahl an Beschwerden Betroffener mehr als verdoppelt. Und auch die Datenpannenmeldungen gingen deutlich nach oben. Während im Jahr 2017 nur eine einzige Meldung erfolge, waren es im Folgejahr bereits 46 solcher Vorgänge und nun im ersten Halbjahr 2019 wurden schon 48 Datenschutzverstöße gemeldet. Die „Dunkelziffer“ dürfte natürlich weitaus größer sein.
Dennoch wurde betont, dass durch die neue Verordnung insgesamt ein Anstieg des Datenschutzniveaus in Europa und wohl auch in der gesamten Welt zu erkennen sei. Unternehmen würden durch die Überprüfung nun auch auf Fehler aufmerksam werden und teilweise in Zweifelsfällen sogar auf die Prozesse in Gänze verzichten. Die DSGVO sei auf dem Weg zum weltweiten Standard. Nach Meinung von der LfDI Bremen lohne es sich für einige Akteure gar nicht, nur für die EU Lösungen/Konzepte zu entwickeln, sondern eher würden diese einen Standard weltweit einsetzen wollen und sich dann an der DSGVO (als Messlatte) orientieren.
Für Aufsehen und etwas Unruhe im Publikum sorgte Frau Dr. Sommer sodann mit Ihrer Interpretation des Wortlauts in Art. 83 Abs. 2 DSGVO („Geldbußen im Einzelfall zusätzlich zu oder anstelle von Maßnahmen … verhängt“). Bereits ausgehend vom Wortlaut müsse also in jedem Fall immer bei jeder Maßnahme eine Geldbuße ergehen. Sie warnte im gleichen Atemzug auch die Anwesenden: „Da kommt noch ganz viel!“ Ferner erinnerte sie daran, dass die Verjährungsfrist bei Bußgeldtatbeständen bei 5 Jahren liege und verwies auf das Europarecht. Eine exakte Norm oder auch ein Hinweis bzgl. der Regelung aus § 34 Abs 2 Nr. 1, Abs. 1 OWiG blieb jedoch aus, was für große Rätsel sorgte. Zudem ließ sie persönliche Zweifel an der Europarechtskonformität einzelner Vorschriften des BDSG erkennen und sprach die Empfehlung aus: Es sei immer sicherer, sich die DSGVO vorzunehmen und als Richtschnur zu sehen und sich an der DSGVO zu orientieren.
Am Nachmittag warf der Rechtsanwalt Jan Spittka im Rahmen seines Vortrags „Si tacuisses… – Nemo tenetur und die DSGVO“, der später auch mit dem „best paper“ Award prämiert wurde, einen äußerst interessanten Gedanken auf. Der „nemo tenetur“ – Grundsatz sei vor dem Hintergrund von Art. 33, Art. 34 DSGVO und mutmaßlicher Rechtsprechung hierzulande und des EuGH und der Wandlung des Unionkartellrechts bzw. der Selbstbelastungsfreiheit für juristische Person wohl auch zu berücksichtigen. Das Auskunftsverweigerungsrecht aus § 40 Abs. 4 S. 2 BDSG und das Verwendungsverbot nach § 43 Abs. 4 BDSG seien daher europarechtskonform.
Fotos, Fotograf und DSGVO
Im weiteren Verlauf der Konferenz stellte Rechtsanwalt David Seiler zur Diskussion, ob ein (beauftragter) Fotograf z.B. bei einem Event, ein eigener Verantwortlicher der Datenverarbeitung (Erstellung, Speicherung und Bearbeitung der Fotos) ist oder aber als Auftragsverarbeiter für den Veranstalter tätig wird.
Nach einer kurzen Abgrenzung der beiden Situationen favorisierte Herr Seiler die Annahme der Verantwortlichkeit des Fotografen, der selbst über die Technik der Anfertigung der Fotos und dessen Bearbeitung entscheidet. Jedoch würde dies bedeuten, dass der Fotograf dann intern die Anforderungen der DSGVO umsetzen bzw. wahren müssen, sprich: Der Fotograf muss die Informationspflichten und Betroffenenrechte umsetzen, gleichzeitig aber auch die technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO sicherstellen. Ebenso müsste er gegebenenfalls mit IT-Dienstleistern (Cloud-Dienste) einen Vertrag über die Auftragsverarbeitung schließen. Noch spannender war die anschließende Frage aus dem Publikum, ob ein Kunde von einem Unternehmen an einem Sofort-Druck Apparat in einem Discounter eine Auftragsverarbeitung darstelle. Dieses wurde heftig diskutiert und im Ergebnis aber abgelehnt.
Der erste Tag der Veranstaltung wurde mit dem „Update Datenschutz“ von Rechtsanwalt Dr. Flemming Moos abgeschlossen, der fünf aktuelle und vieldiskutierte Gerichtsentscheidungen vorstellte. Bereits in den einleitenden Worten konstatierte der bekannte Hamburger Anwalt zynisch, es gäbe ja immer nur noch eine gemeinsame Verantwortlichkeit. Aber wie groß muss der Grad der willentlichen Zusammenarbeit für diese Annahme konkret sein?
Jedoch bemerkte Dr. Flemming Moos spitzfindig: Die besagten EuGH Entscheidungen (Fashion ID, Zeugen Jehovas etc.) ergingen immer nur auf Grundlage der damalige Datenschutzrichtlinie als Vorgängerin der DSGVO. Die Ausführungen des Gerichts seien aber ausgehend des nun unter der Verordnung etwas anderem Regelungsgehalts nicht ohne Weiteres anzuwenden. Mit anderen Worten: Die Vorgaben der Richter seien möglicherweise nicht 1:1 für die Beurteilung von Vorgängen unter der DSGVO heranzuziehen. Die Zeit wird dies zeigen.
Ein Potpourri zum Datenschutz mit ganz viel KI
Der Freitag (13.09) startete gleich mit zwei Panels in den beiden Locations. Das Themenspektrum reichte vom „Upload“-Filter im Internet, Smart Home Technologien bis hin Roboter und KI im Gesundheitswesen. Der zweite Block am Vormittag sollte an diese rechtliche Vielfalt anknüpfen.
Am Panel im größeren Veranstaltungsraum im Flughafen wurde über das praxisnahe Problem der „Cookie-Banner“ im Internet diskutiert, wonach – wie schon vielerorts gelesen – derzeit keine 100 Prozent sichere Umsetzung existiert, gefolgt von einem weiteren interessanten Gedanken zur „Einwilligungsfähigkeit zwischen Digitalisierung und demographischem Wandel“ von Thomas Janicki, Doktorand und Wiss. Mitarbeiter der Universität Oldenburg, der analog zur Einsichtsfähigkeit auf das Alter des Nutzers abstellte. Dürfen dann Personen ab 85 Jahren nicht mehr im Internet surfen?
Für die am Thema „Künstliche Intelligenz“ interessierten Teilnehmer sollte der Freitagnachmittag spannende Gedanken und Anregungen bereithalten. Zunächst wurde die KI (Machine Learning) im technischen Sinne näher erklärt und anhand von Modellen vorgestellt bzw. deren Transparenz und Erklärbarkeit versucht, ebenso wurden dann später ethische Leitlinien und Regelungen besprochen.
Der Referent Conrad S. Conrad, Justiziar bei der datenschutz nord und Verfasser dieses Berichts, präsentierte seine Gedanken zu einem Modell der „Selbstregulierung“ durch die KI als solche im Hinblick auf das Datenschutzrecht, insbesondere zur Umsetzung wichtiger DSGVO-Prozesse wie nach den Informationspflichten, zur Wahrung der Betroffenenrechte und zum Umgang mit Datenpannen. Hier bietet ein solches Konzept der autonom handelnden und sich stets optimierenden KI einige Vorteile, die gewissen Risiken und Bedenken überwiegen würden.
Internationales Datenschutzrecht: USA und China
In der vierten und letzten Session des Freitags widmete sich ein Panel dem Datenschutz in China sowie dem „California Consumer Privacy Act“, der vielleicht doch das Pendant zur DSGVO sein könnte? Jedoch gelte dieser nur für Unternehmen aus Kalifornien und regele mehr oder weniger nur Datenverkauf, wie der Doktorand Jonas Botta skizzierte.
Doch zuvor wurde der datenschutzrechtliche Umgang mit „Flüchtlingen“ hierzulande im Wege des AZR (Ausländerzentralregister) vom Referent Dr. Phillip Hofmann beschrieben, was für Kopfschütteln unter den Zuhörern sorgte. Im anderen Raum wurde derweil über die „Regulierung von Mensch-Maschine-Schnittstelle algorithmischer Entscheidungssysteme“ sowie „Anforderungen an die Erklärbarkeit maschinengestützter Entscheidungen“ referiert und anschließend diskutiert. Trotz vielfältiger Anwendungsbereiche stimmten die Anknüpfungspunkte bei der KI oftmals überein.
Am Samstag (14.09.) standen einige Wortbeiträge zu etwas exotischeren, aber gegenwärtigen Themen aus dem Zivilrecht und TK-Recht an, ehe die Herbstakademie 2019 mit den Abschlussworten am Mittag beendet wurde.
Ein Hinweis an alle, die der Veranstaltung nicht beiwohnen konnten: Die schriftlichen Ausarbeitungen aller Vorträge bzw. Reden lassen sich im Tagungsband zur Herbstakademie 2019 nachlesen und die Vorträge zeitnah über die offizielle Webseite auch als Video betrachten.