DAFTA 2020: „Schrems II“, Office 365 etc. – Daten­schutz­prak­ti­ker for­dern von Behör­den prak­ti­sche Hil­fe­stel­lung anstatt pau­scha­ler Verbote

Vom 19. bis 20.11.2020 führt die Gesell­schaft für Daten­schutz und Daten­si­cher­heit (GDD) e.V., ihre 44. Daten­schutz­fach­ta­gung (DAFTA) durch. Die tra­di­tio­nell im Köl­ner Mater­nus­haus abge­hal­te­ne Ver­an­stal­tung fin­det auf Grund der Coro­na-Pan­de­mie in die­sem Jahr kom­plett online statt.

Peter Bie­sen­bach, NRW Justiz­mi­ni­ster, begrüßt das Urteil, mit dem das LG Bonn am 11.11.2020 das Buß­geld des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit gegen den Tele­kom­mu­ni­ka­ti­ons­an­bie­ter 1&1 von ursprüng­lich 9,5 Mil­lio­nen Euro auf 900.000 € her­ab­ge­setzt hat. Mit sei­ner Ent­schei­dung habe das Gericht der daten­ver­ar­bei­ten­den Wirt­schaft wich­ti­ges Ver­trau­en in den Rechts­staat zurück­ge­ge­ben. Die­se müs­se nun nicht mehr mit der Angst vor irra­tio­na­len Buß­gel­dern der Ver­wal­tungs­be­hör­den leben, son­dern dür­fe damit rech­nen, dass Daten­schutz­ver­stö­ße zwar emp­find­li­che, aber risi­ko­ad­äqua­te Sank­tio­nen nach sich zie­hen.

Zur lan­ge geplan­ten ePri­va­cy-Ver­ord­nung berich­tet Rolf Ben­der, Bun­de­mi­ni­ste­ri­um für Wirt­schaft und Ener­gie, dass nun­mehr lei­der klar sei, dass auch im Rah­men der deut­schen Rats­prä­si­dent­schaft kei­ne Ver­stän­di­gung im EU-Mini­ster­rat mehr erreicht wer­de. Damit sei es jetzt an den Por­tu­gie­sen, sich um eine all­ge­mei­ne Aus­rich­tung zu bemü­hen, damit in die Ver­hand­lun­gen mit EU-Par­la­ment und EU-Kom­mis­si­on ein­ge­tre­ten wer­den kön­ne. Auf natio­na­ler Ebe­ne sei mit dem Tele­kom­mu­ni­ka­ti­ons-Tele­me­di­en-Daten­schutz-Gesetz (TTDSG) ein neu­es Stamm­ge­setz für den Daten­schutz geplant, wel­ches die Daten­schutz­re­ge­lun­gen im Tele­kom­mu­ni­ka­ti­ons- und Tele­me­di­en­be­reich zusam­men­füh­re. Die Res­sort­ab­stim­mung soll „sehr bald“ abge­schlos­sen wer­den, so Ben­der. Danach fol­ge die Anhö­rung der Ver­bän­de zum Gesetz­ent­wurf.

Prof. Dr. Gün­ter Krings, MdB, Par­la­men­ta­ri­scher Staats­se­kre­tär beim Bun­des­mi­ni­ster des Innern, für Bau und Hei­mat, begrüßt das Bestre­ben, die Daten­schutz­re­ge­lun­gen im Tele­kom­mu­ni­ka­ti­ons- und Tele­me­di­en­be­reich in einem ein­heit­li­chen Gesetz zusam­men­zu­füh­ren. Der gegen­wär­tig bestehen­de recht­li­che Flicken­tep­pich müs­se schnellst­mög­lich besei­tigt und Rechts­si­cher­heit geschaf­fen wer­den. Die ePri­va­cy-VO kön­ne nicht län­ger abge­war­tet wer­den. Der deut­sche Gesetz­ge­ber habe die Mög­lich­keit, durch das natio­na­le Gesetz­ge­bungs­vor­ha­ben Wege für einen ange­mes­se­nen Inter­es­sen­aus­gleich im ePri­va­cy-Bereich auf­zu­zei­gen.

Nach Prof. Dr. Her­wig Hof­mann, Uni­ver­si­tät Luxem­burg, Kla­ge­ver­tre­ter im Fall Schrems II, ist die seit 2013 dau­ern­de „Schrems Saga“ auch mit dem EuGH Urteil aus dem Juli die­ses Jah­res (Schrems II – C‑311/​18) wei­ter­hin nicht abge­schlos­sen. Die DPC in Irland habe ihr Ver­fah­ren erneut aus­ge­setzt und der Euro­päi­sche Daten­schutz­aus­schuss zwei „Schrems II Task For­ces“ ein­ge­setzt. Die Stan­dard­ver­trags­klau­seln habe der EuGH aus sei­ner Sicht zurecht erhal­ten, so Hof­mann. Inso­fern sei­en aber nun der Trans­port­weg der Daten und die Situa­ti­on im Dritt­staat jeweils im Ein­zel­fall zu prü­fen.

Tho­mas Zer­dick, Refe­rats­lei­ter beim Euro­päi­schen Daten­schutz­be­auf­trag­ten, stell­te die Auf­ga­ben des Euro­päi­schen Daten­schutz­aus­schus­ses (EDSA) vor und ging dabei ins­be­son­de­re auf die The­men Schrems II und Coo­kies ein. Mit­tels des in der DS-GVO vor­ge­se­he­nen Streit­bei­le­gungs­ver­fah­ren kön­ne der Aus­schuss auch in strit­ti­gen Fra­gen zu ver­bind­li­chen Beschlüs­sen kom­men. Durch rasche Stel­lung­nah­men zu Beginn der Coro­na-Pan­de­mie habe der EDSA über­dies gezeigt, dass der Daten­schutz kein Hin­der­nis bei der Pan­de­mie­be­kämp­fung sein müs­se.

„Fin­ger weg von jeder Zen­tra­li­sie­rung“ posi­tio­niert sich Dr. Ste­fan Brink, Lan­des­be­auf­trag­ter für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg, im Hin­blick auf die aktu­el­le Dis­kus­si­on um die Zen­tra­li­sie­rung der Daten­schutz­auf­sicht. Seit 2016 habe es eine „mas­si­ve“ Koor­di­na­ti­on der natio­na­len Behör­den gege­ben. Ohne­dies sei der Daten­schutz ein euro­päi­sches The­ma und vor allem auf die­ser Ebe­ne müs­se eine Ver­ein­heit­li­chung erfol­gen. Die natio­na­le Auf­sichts­struk­tur spie­le aus sei­ner Sicht eher eine unter­ge­ord­ne­te Rol­le.
Nach der Auf­fas­sung von Brink ver­bie­ten sich pau­scha­le Aus­sa­gen zur Zuläs­sig­keit des Ein­sat­zes bestimm­ter Soft­ware­pro­duk­te, wie z.B. Micro­soft Office 365. Aus sei­ner Sicht müs­se vor einer Unter­sa­gung des Ein­sat­zes durch die Behör­de im Übri­gen zunächst geprüft wer­den, ob es im kon­kre­ten Fall zumut­ba­re Alter­na­tiv­an­ge­bo­te ohne Trans­fer­pro­ble­me gibt.

Hin­sicht­lich der im gele­ak­ten TTDSG-Ent­wurf vor­ge­se­he­nen Per­so­nal Infor­ma­ti­on Manage­ment Ser­vices (PIMS) warn­te Klaus Mül­ler, Vor­stand des Ver­brau­cher­zen­tra­le Bun­des­ver­bands (vzbv), zur Vor­sicht. Sol­che Dien­ste sei­en aus sei­ner Sicht zwar prin­zi­pi­ell zu begrü­ßen. Es müs­se aller­dings sicher­ge­stellt sein, dass es sich bei die­sen nur um neu­tra­le Inter­me­diä­re ohne eige­ne wirt­schaft­li­che Inter­es­sen an der Ver­wer­tung der ver­wal­te­ten Infor­ma­tio­nen han­de­le. Letz­te­res schlie­ße indes nicht aus, dass ent­spre­chen­de Anbie­ter für ihre Dien­ste auch Ent­gel­te erhe­ben dür­fen.

Achim Schlos­ser, Euro­pean netID Foun­da­ti­on, Mon­ta­baur, sprach sich für einen euro­päi­schen Ansatz im Hin­blick auf die Dien­ste von Iden­ti­täts- und Ein­wil­li­gungs­treu­hän­dern aus. Euro­pa­wei­te Rah­men­be­din­gun­gen erleich­ter­ten die Durch­set­zung gegen­über den gro­ßen Inter­net­an­bie­tern.

Vor dem Hin­ter­grund, dass mit einem zügi­gen Erlass von novel­lier­ten euro­pa­recht­li­chen ePri­va­cy-Vor­ga­ben im All­ge­mei­nen bzw. Rah­men­be­din­gun­gen zu PIMS im Beson­de­ren nicht zu rech­nen ist, waren sich die Teil­neh­mer der den poli­ti­schen Vor­mit­tag der DAFTA abschlie­ßen­den Podi­ums­dis­kus­si­on jedoch einig, dass der natio­na­le Weg über das geplan­te TTDSG ein guter Ansatz sei. Es sei zu hof­fen, dass das Gesetz­ge­bungs­ver­fah­ren zum TTDSG noch in die­ser Legis­la­tur­pe­ri­ode zum Abschluss kom­me, so Prof. Dr. Rolf Schwart­mann, Vor­stands­vor­sit­zen­der der GDD e.V., Bonn.

Andre­as Jas­pers, Geschäfts­füh­rer der GDD, reg­te an, dass im Rah­men des Gesetz­ge­bungs­ver­fah­rens zum TTDSG der Arbeit­ge­ber als mög­li­cher Adres­sat straf­recht­lich rele­van­ter Ver­stö­ße gegen das Fern­mel­de­ge­heim­nis aus­ge­nom­men wer­den soll­te. Zudem soll­te ein Ein­satz von rei­nen Online­ana­ly­se­tools auch ohne Ein­wil­li­gung der Nut­zer mög­lich sein, so Jas­pers.


Zur GDD:
Die GDD wur­de 1977 in Bonn gegrün­det und unter­stützt seit­dem Unter­neh­men, ins­be­son­de­re deren Daten­schutz­be­auf­trag­te, bei der Lösung der viel­fäl­ti­gen mit Daten­schutz und Daten­si­cher­heit ver­bun­de­nen tech­ni­schen, recht­li­chen und orga­ni­sa­to­ri­schen Fra­gen. Sie tritt als gemein­nüt­zi­ger ein­ge­tra­ge­ner Ver­ein für einen sinn­vol­len, ver­tret­ba­ren und tech­nisch rea­li­sier­ba­ren Daten­schutz ein. Zusam­men mit DATAKONTEXT (über das Onlinelern­por­tal UNIVADO) rich­tet die GDD in die­sem Jahr die Daten­schutz­fach­ta­gung DAFTA aus.