Alljährlich im Spätsommer trifft sich das Who-Is-Who der Datenschutz-Szene bei der Sommerakademie des Unabhängigen Landeszentrums für Datenschutz (ULD) Schleswig-Holstein in Kiel: amtierende und vormalige Landesdatenschutzbeauftragte, Landesminister, Bundestagsabgeordnete, Mitarbeiter der Aufsichtsbehörden, viele Datenschutzbeauftragte und Berater, bis hin zu ganz einfachen Bürgern mit Fahrradhelmen und Rucksack, die die Veranstaltung aus Interesse besuchen.
Am 10.09.2018 fand die diesjährige Sommerakademie unter dem Motto „Beschäftigtendatenschutz 4.0“ statt. Wie die Landesbeauftragte Marit Hansen zur Motivation des Themas – trotz EU-DSGVO-Hype – ausführte, wollte das ULD antizyklisch ein anderes Schwerpunktthema setzen. Und dieses Schwerpunktthema hat es in sich: Denn seit vielen, vielen Jahren ist ein Beschäftigtendatenschutzgesetz nicht existent. Stattdessen formen verschiedene Urteile von Arbeitsgerichten, was als zulässig erachtet wird und was nicht. Alle Vortragenden äußerten sodann auch den Wunsch, dass endlich einheitliche gesetzliche Rahmenbedingungen geschaffen werden sollten.
Der „Vater“ der DSGVO
Interessantes dazu hatte der neue schleswig-holsteinische Minister für Energiewende, Landwirtschaft, Umwelt, Natur und Digitalisierung, Jan Philipp Albrecht – vormals EU-Parlamentarier und Berichterstatter zur EU-DSGVO -, als „Vater“ der EU-DSGVO zu berichten: Da das Thema Beschäftigtendatenschutz innerhalb der EU aufgrund des Grundprinzips der Freizügigkeit wichtig ist, sind Eckpfeile in die Grundverordnung eingezogen worden, hinter die kein EU-Land mehr zurückfallen kann. Weitere länderspezifische Regelungen sollen dann über Öffnungsklauseln hinzugefügt werden können. Weitergehende Regelungen zum Beschäftigtendatenschutz wurden im Trilog aus Rat, Parlament und Kommission nicht bestätigt.
Dass die Politik nicht nur den Datenschutz, sondern das gesamte Spannungsfeld im Blick haben muss – und Prioritäten setzen muss –, bestätigte auch Saskia Esken, Mitglied des deutschen Bundestages (MdB) und SPD-Digitalpolitikerin, da das Thema Beschäftigtendatenschutz im Koalitionsvertrag in Berlin aus ihrer Sicht recht dünn ausgefallen sei. Die Podiumsdiskussion belegte einmal mehr, dass klare gesetzliche Vorgaben Vorteile bieten würden. So wurde berichtet, dass heutzutage häufig die Mutigen aufbegehren – etwa, wenn es um unzulässige Einwilligungen in Betrieben geht -, dass aber der Datenschutz auch die Schwächeren schützen müsse.
Einwilligung, Betriebsvereinbarung…
Jan Philipp Albrecht brachte neben der Einwilligung auch andere Formen zur gesetzlichen Zulässigkeit ins Spiel: etwa die Betriebsvereinbarung, die in der EU-DSGVO ausdrücklich vorgesehen sei. Prof. Dr. Peter Wedde, Professor für Arbeitsrecht und Recht der Informationsgesellschaft an der Frankfurt University of Applied Sciences, brachte ferner die Interessensabwägung ins Spiel – dargestellt am Beispiel des TKG. Das Thema Mitbestimmung wurde nicht nur durch Prof. Wedde beleuchtet, auch Annette Mühlberg von ver.di referierte hierzu. Festzuhalten bleibt, dass Betriebsräte vielfältige Aufgaben haben – nicht zuletzt durch die jüngsten Betriebsratswahlen – und für den Umgang mit der komplizierten Materie Datenschutz z.T. zu schlecht oder zu gering ausgestattet seien. Interessanter Fact am Rande: Prof. Wedde führte aus, dass es kein Mitbestimmungsrecht zum Datenschutz für Betriebs-/Personalrat gäbe.
Wie üblich, war der Nachmittag durch mehrere parallel-laufende Sessions geprägt. Der Autor hat die Infobörsen „Blockchain“ und „Datenschutz-Zertifizierung“ besucht und kann hierzu kurz berichten.
Blockchain und Zertifizierungen
Benjamin Walczak vom ULD referierte zur „Revolution Blockchain“ und führte zunächst in die Thematik ein und erläuterte sehr anschaulich, wie Blockchains funktionieren. Dabei wies er zu Recht häufig darauf hin, dass Blockchains mehr als Bitcoins sind, wenngleich Bitcoin natürlich eine der meist-genutzten Blockchain-Anwendung ist. Als weitere Anwendungsfälle wurde ein Kataster in Schweden und die Zug-ID in der Schweiz genannt, mit der u.a. die vom Einwohnermeldeamt zertifizierte Adresse verwaltet werden kann – etwa für den Fahrrad-Verleih oder Büchereien. Hinsichtlich der datenschutzrechtlichen Einordnung von Blockchain wurden die traditionellen Gewährleistungsprinzipien gecheckt: Danach wurde festgestellt, dass die Sicherheitsziele Verfügbarkeit, Transparenz und Integrität durch Blockchain sehr gut realisiert werden können. Die datenschutzrechtlichen Prinzipien Nicht-Verkettbarkeit, Vertraulichkeit, Intervenierbarkeit und Datenminimierung jedoch kaum. Während bei Nicht-Verkettbarkeit noch Lösungen denkbar sind – etwa Pseudonymisierung –, ist das Löschen oder Berichtigen in der Blockchain überhaupt nicht möglich. Gänzlich ungeklärt sind ferner Fragen wie: Wer ist der Verantwortliche? Welche Gültigkeitsaussagen kann man treffen? Damit ist aktuell zu konstatieren, dass es zur datenschutz-konformen Blockchain noch ein weiter Weg ist. Herr Walczak berichtete übrigens von einer US-amerikanischen Blockchain, in der Gesundsheitsdaten verwaltet werden…
Henry Krasemann vom ULD referierte zum Thema „Datenschutz-Zertifizierung“ und erläuterte dazu zunächst die Vorgaben der EU-DSGVO. Grundsätzlich sieht die EU-DSGVO in verschiedenen Artikeln vor, dass ein Verantwortlicher zum Nachweis der Umsetzung der EU-DSGVO auf ein Zertifikat zurückgreifen kann. Dieses Zertifikat ist nicht zwingend, stellt aber einen Faktor dar. Hierbei greift das Paradigmen-Wechsel, wonach ein Verantwortlicher seit dem 25.05.2018 nachweisen muss, dass seine Verarbeitung konform zur EU-DSGVO erfolgt. Dieser Faktor ist insbesondere für Auftragsverarbeiter von Interesse. Die DSGVO sieht in Artikel 42 Zertifikate von akkreditierten Zertifizierungsstellen vor. Danach sind zwei verschiedene Arten von Zertifizierungsstellen möglich: private Zertifizierungsstellen, die von der DAkkS akkreditiert und der zuständigen Aufsichtsbehörde zugelassen sind, oder Aufsichtsbehörden direkt – wie etwa das ULD. Die Aufsichtsbehörden nehmen damit mehrere Rollen ein: Zunächst einmal genehmigen sie die Zertifizierungskriterien, die die Zertifizierungsstellen für ihre Arbeit nutzen wollen. Darüber hinaus sind die Aufsichtsbehörden in den Akkreditierungsprozess zusammen mit der DAkkS involviert. Und sie können selber Zertifikate erteilen. Damit keine Interessenskonflikte zwischen privaten und öffentlichen Mitbewerbern auftreten, müssen diese verschiedenen Rollen strikt getrennt werden. Derzeit sind keine Akkreditierungen oder Zertifizierungen möglich, da noch die Vorgaben verschriftlicht werden. Als Zeithorizont wurde Ende 2018 genannt: Ab dann sollen die Vorgaben stehen.
Insgesamt wieder einmal eine hoch interessante Veranstaltung mit exzellenten Vorträgen. Und hier schließt sich auch der Kreis zum Eröffnungsvortrag des Kieler Oberbürgermeisters Dr. Ulf Kämpfer, der den deutschen Datenschutz im Ausland als „Gold-Standard“ wahrgenommen hatte.