Ganz im Sinne von Covid19 begann am 15. Juni die diesjährige Konferenz der DuD, traditionell in Berlin. Etwas weniger traditionell als sonst sind die besonderen Auflagen: Mindestabstände wollen eingehalten und organisatorische Abläufe präzise getaktet werden, damit wiederum die Sache mit den Abständen funktioniert. Für den erfrischenden Smalltalk auf der Terrasse und am Einzeltisch (wie zu Schul- und Prüfungszeiten) kommt man dennoch gerne zusammen. Bei sommerlichen Temperaturen und dem sonnenverwöhnten Blick auf die Spree direkt hinter dem Hotel hat es den Anschein, als kosteten die Teilnehmer ihre frisch gewonnene Freiheit im besonderen Maße aus.
Nahezu alle Vorträge des ersten Tages sind ebenfalls geprägt von Covid19. So findet der Bundesbeauftragte für Datenschutz und Informationsfreiheit Ulrich Kelber in seinem Auftakt mit dem Titel „2 Jahre DSGVO-Erfahrung und Evaluation“ einen gleitenden Übergang mit den folgenden drei Thesen:
- Die Covid19-Krise hat Grundrechte massiv tangiert, aber nicht beseitigt.
- Die DSGVO ist zwar ein großer Fortschritt im Datenschutz …
- … aber sie kann in der praktischen Umsetzung noch effektiver werden.
Datenschutz heute und immerdar
Trotz der diversen Einschränkungen in Zeiten der Pandemie funktionierten Rechtsprechung und Aufsichtsbehörden. Kelber betont, dass Grundregeln des Datenschutzes vor, während und nach der Pandemie eingehalten werden müssen.
Zur kürzlich veröffentlichten Corona-Warn-App erklärt er, dass die App ein solides Konzept vorweise, er persönlich davon überzeugt sei und sie deshalb auch nutzen werde. Die Aufsichtsbehörden würden überwachen, dass auch tatsächlich nur ein Tracing und kein individuelles Tracking (mit ggf. Re-Personalisierung) erfolgt.
Auch vor diesem Hintergrund – und hier schließt sich nun die erwähnte Überleitung an – sei die DSGVO ein Fortschritt für den Datenschutz. Dass in der Praxis die Datensparsamkeit nicht immer vollständig durchgehalten wird, liege zumeist daran, dass die jeweiligen Konzepte nicht vollständig durchdacht seien.
Was kann an der DSGVO noch verbessert werden?
Als Beispiel nennt Kelber die Ausuferung der Informationspflichten auf Hinweisschildern für Videoüberwachung sowie das Profiling, das in seinen Augen noch besser geregelt werden könne. Wenn auch in anderem Kontext, aber unter der gleichen gedanklichen Überschrift knüpft der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Dr. Stefan Brink an. In seinem Kurzüberblick „Problembereiche der DSGVO“ hebt er die Vollzugsdefizite hervor, insbesondere das unterschiedliche Rechtsverständnis innerhalb der EU betreffend.
So hat z.B. die Aufsicht in Irland bisher am wenigsten Sanktionen ausgesprochen, obwohl dort viele international tätige Unternehmen sitzen. Weitere Gründe für einen länger dauernden Vollzug seien für ihn die teilweise dürftige Ausstattung der Aufsichtsbehörden sowie Besonderheiten in den nationalen verwaltungsrechtlichen Vorschriften.
Auch der Europäische Datenschutzausschuss (EDSA) funktioniere noch nicht so wie geplant. Kohärenzverfahren fänden praktisch nicht statt. Rechtlich sei das zwar gut gemeint, aber in der Konzeption vielleicht nicht weit genug gedacht.
Die datenschutz nord selbst war ebenfalls mit zwei Vorträgen auf der Agenda vertreten. Im ersten Part übernimmt Stefan R. Seiter den Platz von dem insofern leider verhinderten Hamburgischen Datenschutzbeauftragten Prof. Johannes Caspar und ist kurzfristig mit dem Thema „Werbetracking“ eingesprungen. Darin gab er zunächst einen Überblick zu den Möglichkeiten, die durch modernes Usertracking im Internet offenstehen. Anschließend stellt er den aktuellen Meinungsstand verschiedener Rechtsgrundlagen anhand der Orientierungshilfe Telemedien, welche die DSK zuletzt im März 2019 überarbeitet hatte, dar. Ebenfalls Erwähnung finden dabei die jüngsten Entscheidungen von EuGH und BGH zur Einwilligung in Tracking-Maßnahmen.
Daran anknüpfend gibt Rechtsanwalt Dr. Jens Eckhardt einen griffig-praxisnahen Überblick zu „Bußgeldsanktionen im Rahmen der DSGVO“. In gewohnt augenzwinkernder Weise untermalt er die Darstellung der abstrakten gesetzlichen Regelungen mit zahlreichen Beispielen aus der eigenen Beraterpraxis. Er geht dabei nicht nur auf das (noch relativ neu) von der DSK verabschiedete Modell zur Berechnung von Bußgeldern ein, welches er auch mit einigen kritischen Anmerkungen versieht. Zusätzlich referiert er über die konkreten Auswirkungen im Ablauf eines Bußgeldverfahrens und die (überaus zahlreichen) taktischen Fallstricke, die sich daraus für die Beratung von Mandanten ergeben.
Die beiden folgenden Beiträge zur „Abmahnung wegen Datenschutzverstößen“ durch Werner Hülsmann sowie zur Vorstellung einer Datenschutz-Management-Software von Jörg Stolz (Sequdata) runden den ersten größeren Block vor der Mittagspause ab. Erstgenannter bietet zwar für erfahrene Berater und Datenschutzbeauftragte wenig Neues, gibt aber dennoch einen guten Einstieg in die Thematik, unter welchen Voraussetzungen Verstöße gegen datenschutzrechtliche Vorschriften zugleich abmahnfähig im Sinne des Wettbewerbsrecht sein können. Der zweitgenannte Vortrag scheint eher dem ansonsten als „Lösungstag“ gedachten dritten Teil der Konferenz – der leider den diesjährigen besonderen Auflagen für die Veranstaltung zum Opfer fiel – zugedacht gewesen zu sein.
Fortschreitende Digitalisierung und zweckgebundenes Tracing
Die Landesbeauftragte für den Datenschutz Schleswig-Holstein Marit Hansen wird per Videokonferenz zum Thema „Datenschutz in der Corona-Krise“ hinzugeschaltet. Dabei spannt sie einen bunt bebilderten Bogen vom Restaurant-Besuch des Einzelnen über die Arbeit im Homeoffice bis hin zur Digitalisierung im Allgemeinen: Bei allen möglichen Formen der Datenverarbeitung gebe es Informationspflichten einzuhalten. Ein besonderes Anliegen ist ihr die Rechtsgrundlage der Datenverarbeitung, insbesondere im Rahmen des Beschäftigungsverhältnisses.
Zweck dahinter könne bei einer Pandemie entweder die Vorsorge oder die Nachverfolgbarkeit gegenüber Kontaktpersonen sein. Detailliert stellt sie jeweils die Erlaubnis-Konstellationen im behördlichen wie auch im nicht-öffentlichen Bereich dar; diese seien dort in Art. 6 Abs. 1 lit. f DSGVO und § 26 Abs. 1 BDSG bzw. bei besonderen Kategorien in Art. 9 Abs. 2 DSGVO und § 26 Abs. 3 BDSG zu sehen. Rechtsgrundlage für Maßnahmen gegenüber Dritten sehe sie in Art. 6 Abs. 1 lit. f DSGVO und Art. 9 Abs. 2 lit. i i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG. Es müsse aber stets auf die Geeignetheit der Maßnahme und letztlich auf die Verhältnismäßigkeit geachtet werden.
Mit Blick auf die Corona-Warn-App, deren Nutzung in datenschutzkonformer Weise durchaus möglich sei, ging sie in der Folge auf weitere spannende Entwicklungen wie Datenspende-Apps, Immunitätsnachweis oder Quarantäne-Apps, die aktuell in der Diskussion sind, ein. In jedem Fall, so könne man jetzt schon sagen, habe die Corona-Krise zu einem (mehr oder weniger gewollten) Digitalisierungsschub geführt.
„Hallo, hört ihr mich?“
Mit diesem in Covid19- und Homeoffice- Zeiten uns alle prägenden Satz leitet Barbara Thiel, Landesbeauftragte für den Datenschutz Niedersachsen, ihren Vortrag zum Thema „Datenschutz und Gesundheit“ ein. Die aktuell vorherrschende Pandemie habe zu einer kaum für möglich gehaltenen Beschleunigung in der Digitalisierung geführt.
Vor allem der Gesundheitsbereich sei geprägt von diversen digitalen Entwicklungen wie etwa Datenbanken mit genetischen Information, Angeboten zur Telemedizin sowie einer immer stärkeren Verbreitung von Apps und sog. Wearables (also digitalen Fitness-Helfern wie Armbändern oder vernetzten Uhren). Dies bringe aber auch Risiken wie Stigmatisierung mit sich. Auf der anderen Seite seien auch viele Vorteile für Patienten damit verbunden, etwa wenn Big Data-Analysen zu einer Verbesserung im Forschungsbereich führen können.
Die notwendige rechtliche Basis dürfe allerdings hierbei nicht verlassen werden. Grundrechte und Grundfreiheiten müssten eingehalten werden. Die deutschen Aufsichtsbehörden in der Datenschutzkonferenz haben sich bisher zurückhaltend zum Datenschutz im Gesundheitsbereich geäußert. In diesem Zusammenhang merkte Thiel kritisch an, dass es in vielen Bereichen schlichtweg an gesetzlichen Regelungen fehle, u.a. weil von möglichen Öffnungsklauseln kein Gebrauch gemacht worden sei. Dadurch seien in letzter Konsequenz auch den Behörden als Exekutive die Hände gebunden.