00:00:00: Welche Aufgaben hat der Europäische Datenschutzausschuss und welche seiner Beschlüsse sind für Unternehmen und Datenschutzbeauftragte besonders wichtig.

00:00:09: Sind diese eigentlich bindend.

00:00:11: Woran arbeitet der europäische Datenschutzausschuss zur Zeit und wie kann man sich die Arbeit im Ausschuss vorstellen.

00:00:20: Datenschutz Praxis der Podcast fragt nach heute bei einem echten Insider was den europäischen Datenschutzausschuss angeht, bei Ulrich Kelber dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

00:00:39: Mein Name ist Severin Putz herzlich willkommen zu unserer neuen Folge von Datenschutzpraxis der Podcast.

00:00:46: Wir diskutieren regelmäßig mit spannenden Gesprächspartnern über aktuelle Themen aus Datenschutz und Datensicherheit.

00:00:53: Als Co Host habe ich heute wieder Oliver Schonschek an meiner Seite er ist freier Analyst und Fachjournalist und schreibt regelmäßig für die Datenschutzpraxis. Hallo Oliver!

00:01:03: Hallo! Heute möchten wir uns mit dem Thema "Der europäische Datenschutzausschuss" beschäftigen.

00:01:10: Wir freuen uns als Interviewpartner Ulrich Kelber Bundesbeauftragter für den Datenschutz und die Informationsfreiheit begrüßen zu dürfen. Herzlich willkommen Herr Kelber.

00:01:21: Ich grüße Sie, vielen Dank für Interesse.

00:01:24: Ein Kritikpunkt, der von Interessensgruppen immer wieder vorgebracht wurde und der dann unter anderen Punkten auch zur Verabschiedung des zweiten Datenschutzanpassungsgesetzes geführt hat, ist ja der

00:01:36: dass die Datenschutzanforderungen in Deutschland strenger seien als eigentlich durch die DSGVO vorgesehen.

00:01:43: Die Kritiker wünschen sich durch die Harmonisierung des deutschen Rechts mit der europäischen DSGVO eine Erleichterung.

00:01:52: Wie passt in diesem Zusammenhang eigentlich der europäische Datenschutzausschuss? Oliver, kannst du mich und unsere Hörer noch mal kurz in das Thema einführen?

00:02:02: Ja sehr gerne mache ich das.

00:02:05: Zusätzlich zu den nationalen Aufsichtsbehörden für den Datenschutz und zur Datenschutzkonferenz bestehend aus den unabhängigen Datenschutzbehörden des Bundes und der Länder gibt es

00:02:15: auf EU-Ebene den sogenannten europäischen Datenschutzausschuss, den wir uns heute ja genauer anschauen wollen. Wie wichtig der europäische datenschutzausschuss im Hinblick auf die Datenschutzgrundverordnung ist , zeigt bereits die Zahl der Artikel

00:02:29: der Grundverordnung die sich damit befassen und wenn man da mal hinein schaut, stellt man fest: insgesamt 8 Artikel der Grundverordnung,

00:02:36: das sind Artikel 68 bis 75, klären die Zusammensetzung des Ausschusses, seine Unabhängigkeit,

00:02:43: die Aufgaben des Ausschusses, die Berichterstattung, die Verfahrensweise, den Vorsitz,

00:02:49: Aufgaben des Vorsitz und die Aufgaben des Sekretariats, also eine ganze Menge an Punkten, die dort behandelt werden.

00:02:56: Nun haben wir heute in unserem Podcast den deutschen Vertreter im Europäischen Datenschutzausschuss zu Gast also einen echten Insider, Herr Kelber, das freut uns sehr, dass wir

00:03:06: gerade mit Ihnen darüber sprechen können.

00:03:09: Vielleicht können Sie uns zu Anfang sagen, wie setzt sich denn dieser europäische Datenschutzausschuss zusammen, und für Deutschland ja

00:03:17: besonders spannend, wie sind denn die einzelnen Aufsichtsbehörden der Bundesländer vertreten?

00:03:23: Ja vielen Dank, also der europäischer Datenschutzausschuss setz sich zunächst aus den Vertretern

00:03:29: der unabhängigen Datenschutzbehörden der 28 Mitgliedstaaten

00:03:34: zusammen. Die Briten sind ja bis jetzt noch entsprechend Mitglied. Dazu kommt der Europäische Datenschutzbeauftragte, die Europäische Kommission

00:03:45: und mit Gaststatus weitere Staaten insbesondere des Europäischen Wirtschaftsraums, also wie z.b. die Kollegen aus Norwegen oder aus Island.

00:03:56: Deutschland hat ja 18 unabhängige Datenschutzbehörden,

00:04:02: die des Bundes, der Länder, in Bayern aufgeteilt zwischen dem öffentlichen und dem nichtöffentlichen Bereich. Der deutsche Vertreter im Europäischen Datenschutzausschuss bin ich.

00:04:12: Ich habe einen Stellvertreter aus dem Kreis der Länder. Leider ist im Augenblick keine Person benannt, da sich der Bundesrat seit weit über einem Jahr nicht auf eine Person einigen konnte.

00:04:25: Okay ja

00:04:28: Bleibt natürlich dann zu hoffen, dass Sie an allen Sitzungen uns für Deutschland gut vertreten und immer dabei sein können, denn der europäische Datenschutzausschuss hat bestimmt wichtige Aufgaben

00:04:42: Es gibt extra einen Artikel dazu in der DSGVO. Was kann man sich denn dazu vorstellen unter den Aufgaben? Es gab ja sogar ein Vorgängergremium, die

00:04:52: Artikel 29 Gruppe, was eine Art informeller Zusammenschluss war. Jetzt ist der europäische Datenschutzausschuss tatsächlich abgebildet im einheitlichen europäischen Recht und auch genau das ist sein Ziel: die

00:05:03: Anwendung dieses einheitlichen europäischen Rechts auch zu gewährleisten, das heißt er ist ein

00:05:09: Informationsaustauschpunkt. Aber er trifft auch Entscheidungen,

00:05:15: von denen dann erwartet wird, dass die nationalen Behörden sie berücksichtigen. Es gibt auch bindende Entscheidungen

00:05:21: und bei wichtigen grenzüberschreitenden Datenschutzfragen kann der europäische Datenschutzausschuss

00:05:28: auch die Entscheidung einer nationalen Behörde überstimmen, damit es z.b. keine Uneinheitlichkeit gibt, damit es keine Datenschutzoasen gibt.

00:05:38: Okay also ist es

00:05:40: durchaus so, wenn ich das richtig verstehe, dass man sich das nicht mehr vorstellen kann wie ein Expertengremium, das dann Empfehlung ausspricht, sondern diese Beschlüsse, sie sagten gerade, es kann auch sein wenn es da so Abweichungen gibt, dass man da entsprechend bestimmt muss nationale Aufsichtsbehörden also

00:05:58: man kann sich das rechtlich bindend und für die Unternehmen ist es dann sicherlich auch so dass sie solche Beschlüsse auch sehr ernst nehmen sollten.

00:06:09: Es sind verbindliche Beschlüsse für die Aufsichtstätigkeit. Natürlich ist in unserem Rechtsstaat-System die Möglichkeit

00:06:18: gegen einen solchen Beschluss, der einen Bescheid auch darstellt, vor Gericht zu gehen. In manchen Bereichen sind wir tatsächlich ein Meinungsaustausch, geben Leitlinien, in anderen Bereichen ist vorgesehen, dass es tatsächlich abschließende

00:06:33: verbindliche Entscheidungen der Aufsichtsbehörden sind. Nehmen Sie das Beispiel eine VerbraucherIn BürgerIn aus dem Staat B

00:06:42: hat ein Datenschutzproblem mit einem Anbieter der seinen Hauptsitz im Land A hat. Die Aufsichtsbehörde im Land A entscheidet in einer Art und Weise, wo die Behörde im Land B andere Meinung vertritt.

00:06:56: Dann geht dieser Fall vor den europäischen Datenschutzausschuss, der mit Mehrheit beschließt

00:07:01: und das mit Mehrheit Beschlossene muss dann auch im Land A ausgeführt werden von der dortigen Aufsichtsbehörde also von daher schon ein Gremium mit eigenen Beschlusskompetenzen und nicht nur ein

00:07:12: Zirkel bei dem man professionell Kollegen trifft

00:07:20: Sie haben ja gerade schon ein erstes Beispiel auch gebracht, was gab es denn so für Stellungnahmen, Leitlinien, Beschlüsse in der letzten Zeit der

00:07:30: Datenschutzausschuss war ja schon sehr aktiv, dass wir uns noch genauer vorstellen können, womit man sich befasst.

00:07:38: Wir haben natürlich ganz am Anfang im Mai letzten Jahres erst mal mit ersten Beschlüssen dafür gesorgt, wo Leitlinie die das Vorgänger-Gremium

00:07:46: Beschlüsse gefasst hat, die jetzt weiter gelten, also mit der Grundlage jetzt des europäischen Datenschutzausschusses. Da ging es um Leitlinien zur Anwendung der Einwilligung

00:07:56: als Grundlage dafür, überhaupt Daten verarbeiten zu dürfen, der Frage der betrieblichen Datenschutzbeauftragten und deren Stellung im Betrieb

00:08:05: wann und in welcher Form sind Datenschutzfolgeabschätzungen vorzunehmen und auch zur Datenverarbeitung zusammen mit Profiling das war auf der allererste Sitzung.

00:08:15: In der Zwischenzeit haben wir uns z.b. im Detail gesagt, was bedeutet das sogenannte territoriale Anwendungsbereich der Datenschutzgrundverordnung

00:08:26: dahinter verbirgt sich, dass ja nicht nur europäische Firmen sich an europäisches Datenschutzrecht halten müssen sondern auch Firmen mit einem Sitz

00:08:35: außerhalb der Europäischen Union, wenn sie mit einer Europäerin oder einem Europäer entsprechend in Kontakt treten.

00:08:42: Auf einer der letzten Sitzungen haben wir uns um das Thema Videoüberwachung geäußert, was ist zu beachten, was das Thema biometrische Identifizierung Überwachungstechnik.

00:08:54: Aufbewahrungsfristen und ähnliches mehr

00:08:58: wir haben bereits das sogenannte Kohärenzverfahren, das war, was ich gerade erläutert hatte, die unterschiedlichen Ansichten, die Einigung zwischen den Behörden

00:09:08: vorgenommen, durch z.b. einheitliche Vorgaben für risikoreiche Datenverarbeitung und zuletzt

00:09:15: haben wir Leitlinien für die Zertifizierung von Produkten und Dienstleistungen verabschiedet, damit Sie in Zukunft sehen können, hier ist etwas zertifiziert, das erfüllt also im vollen Umfang die Daten vorab.

00:09:28: Okay und gibt's etwas von dem, was bisher an Ergebnis erzielt wurde, wo Sie sagen würden, dass ist jetzt für ein Unternehmen auch wenn sich das ja erstmal an die Aufsichtsbehörden, aber damit indirekt ja auch immer an die Unternehmen

00:09:41: errichtet, oder für unsere Datenschutzbeauftragten, die uns zu hören, was da besonders wichtig wäre, welche

00:09:48: Leitlinie, welchen Beschluss, Stellungnahme sollte man sich da vielleicht zu Herzen nehmen oder sagen Sie das ist alles so wichtig, das sollte man alles anschauen.

00:09:57: Es ist alles wichtig und es ist natürlich unterschiedlich wichtig je nach Branche indem sie arbeiten oder indem Sie als Kunde unterwegs sind, wenn wir uns heute z.B. zu den Fluggastrechten

00:10:08: geäußert haben, ist das natürlich insbesondere für die Luftfahrtbranche relevant. Videoaufzeichnung für alle die, die das Einsetzen gegenüber Beschäftigten oder im Außenbereich, das können Sie nicht

00:10:22: einem Punkt tatsächlich darlegen, aber wir zeigen, wie wir als Aufsichtsbehörden glauben, dass das europäische Datenschutzrecht

00:10:31: ausgelegt und angewendet wird, da kann man nachlesen und, da das

00:10:37: Gesetz selber ja so geschrieben wurde, dass es auch zukünftigen technischen Entwicklungen

00:10:42: genügen soll, da es das Recht vom 28 Staaten harmonisiert hat, sind natürlich der ein oder andere Begriff noch nicht mit Gerichtsentscheidungen ausgelegt, sondern

00:10:52: steht doch erstmal für sich, gibt ne gewisse Rechtsunsicherheit und wir glauben mit unseren Beschlüssen auch schon einen Hinweis gegeben zu haben

00:11:02: wie dies am Ende in der Praxis ausgelegt wird, und gibt damit Rechtssicherheit.

00:11:08: Also ich kann aus meiner privaten Erfahrung im Umgang mit den Dokumenten

00:11:12: des Datenschutzausschuss sagen, das ich es immer sehr hilfreich finde, also neben den Erwägungsgründen die auch immer noch zusätzliche Hilfestellung bieten wie man sich das genau vorzustellen hat mit den Artikeln der Datenschutzgrundverordnung, ist das was von den Aufsichtsbehörden was vom Datenschutzausschuss daneben kommt

00:11:27: also wirklich eine hilfreiche Sache, damit man da mehr Rechtssicherheit und dann auch ein besseres Gefühl hat,

00:11:35: setze ich denn das so, um wie das sein soll. Deshalb ja auch spannend, was machen Sie jetzt im Moment im Datenschutzausschuss? Ist ja sicherlich bald wieder

00:11:43: eine Sitzung, die ansteht. Woran arbeiten Sie da gerade.

00:11:47: Ist bereits auch in der nächsten Woche wieder Sitzung. Wir hatten jetzt vor kurzem z.b. noch einmal einen Austausch zum US Cloud act, also

00:11:57: eine Gesetzeslage, die festlegt das amerikanische

00:12:00: Internet-Firmen, IT-Dienstleister, US-Behörden Zugriff auf gespeicherte Daten gewähren müssen, auch wenn die Speicherung außerhalb der USA erfolgt.

00:12:11: Das steht natürlich in einem gewissen Widerspruch zur Datenschutzgrundverordnung, da haben wir auf Bitte eines Ausschusses des Europäischen Parlaments

00:12:19: etwas detaillierter Stellung bezogen: Wann ist dies überhaupt möglich? Wann ist das vollständig ausgeschlossen? Da glauben wir nämlich, dass das

00:12:27: in den meisten Fällen der Fall ist, dass man auch ein entsprechendes internationales Abkommen braucht, um es überhaupt darzustellen. Der Brexit beschäftigt natürlich auch uns.

00:12:36: Nicht nur, weil dann unsere britischen Kollegen erstmal gar nicht mehr dem europäischen Datenschutzausschuss angehören würden, wir klären müssen, wir sie denn dann wenigstens als Beobachter da als Gast dazuholen.

00:12:46: Um auch die Einheitlichkeit der Weiterentwicklung

00:12:50: darzulegen, sondern ganz viele dieser Beziehungen liegen ja im Augenblick auf europäischen Datenschutzrecht. Auf einmal wäre Großbritannien

00:12:58: Drittland, aus Sicht der Europäischen Union, wo es erst Abkommen oder

00:13:03: entsprechende Vertragsklauseln benötigt, und nehmen Sie das nur am Beispiel der Fluggastdaten,

00:13:09: die ja übertragen werden müssen. So verlangt es dann Großbritannien auch nach Unabhängigkeit, aber erstmal sind solche Daten ohne entsprechende internationalen Verträge, dürften eigentlich europäische Fluglinien

00:13:22: die nicht mehr übertragen. Mit sowas beschäftigen wir uns dort und natürlich wir tauschen uns über große wichtige

00:13:32: anhängige grenzüberschreitende Verfahren aus. Also nehmen Sie das Beispiel: Jemand beschwert sich über Facebook in Deutschland bei einer deutschen Aufsichtsbehörde

00:13:42: sie nimmt Kontakt auf mit der irischen

00:13:44: dort muss der Fall bearbeitet werden. Wir wollen natürlich wissen, wie weit ist der Fall? Wir möchten ja gerne, dass diese Fälle jetzt endlich mal einer Entscheidung zugeführt werden. Müssen dann den Entscheidungsvorschlag die irischen Kollegen bewerten und eventuell einen alternativen Vorschlag

00:13:59: dann für das Kohärenzverfahren, also die Mehrheitsentscheidung,

00:14:03: wenn wir uns nicht einig werden im europäischen Datenschutzausschuss vorbereiten. Das sind so typische Themen, bei denen wir im Augenblick tätig sind.

00:14:12: Und Sie haben uns ja jetzt schon schöne Einblicke auch so gegeben, in die Arbeit, wenn wir jetzt...  Wir haben ja die Chance mit einem Insider zu sprechen, einem Mitglied dieses Ausschusses

00:14:24: wie läuft's bei so eine Treffen, wo tagen Sie? Wie oft treffen Sie sich? Wie läuft das ab? Also Sie sitzen dann in einer Runde zusammen und gehen die Themen durch. Gibt's dann noch mal Arbeitsgruppen zu den Fragen?

00:14:39: Also wir treffen uns derzeit tatsächlich einmal im Monat.

00:14:44: Im Plenum des europäischen Datenschutzausschusses, wie wir den nennen. Also wo in der Tat die Datenschutzbeauftragten selber vertreten sind und die letztendlichen

00:14:53: Beschlüsse fassen in Brüssel. Das ist meist zweitägig.

00:15:00: Diesen Monat aufgrund der dermaßen Vielfalt unmittelbar nach der Sommerpause mal eintägig.

00:15:07: An der Stelle aber, wir haben eine ganze Reihe von Arbeitsgruppen, die heißen immer noch, weil sie mal in der Zeit der Gruppe Artikel 29 Gruppe gegründet wurden "Subgroupes".

00:15:17: zu Technik, zu Fragestellungen im bestimmten rechtlichen Bereich, in Sicherheitsfragestellungen, also eine ganze Reihe von solchen Arbeitsgruppen, die sich zusätzlich treffen, Dinge vorbereiten

00:15:29: oft auch ein Mandat des Plenums bekommen ein bestimmtes Thema zur Beschlussreife voranzutreiben.

00:15:37: Also meine Behörde ist in jeder dieser Arbeitsgruppen vertreten.

00:15:43: Da sehen Sie, dass es auch sehr viel mehr ist, als jetzt unmittelbar für mich zu den Treffen zu fahren. Schon ein  großer Teil auch unserer Arbeit in solchen internationalen Gremien vertreten zu sein

00:15:53: und in verschiedenen dieser Arbeitsgruppen sind auch die Landesdatenschutzbeauftragten aus Deutschland vertreten. Je nachdem wo die ihre Schwerpunkte setzen.

00:16:01: Ja, das ist das sehr spannend, das mal so zu erfahren.

00:16:08: Hauptziel des europäischen Datenschutzausschuss ist ja, wenn man so möchte, die

00:16:14: einheitliche Anwendung der europäischen Datenschutzgrundverordnung, also Harmonisierung im Datenschutz, und so ein bisschen aus dem Nähkästchen geplaudert, wie harmonisch geht es denn im Ausschuss zu? Kann man sich vorstellen, dass da schon mal ein Vertreter sagt: Ne, aber nach unserer Ansicht müsste das so sein! Und dann geht es hin und her. Sie sagten ja, das sind Mehrheitsbeschlüsse,

00:16:35: also vollständige Einigkeit muss man nicht immer erwarten?

00:16:40: Nein, muss man nicht, aber es ist ein Wert für sich. Das wir nicht nur so ein Recht schaffen, sondern eine Institution, die das für die Praxis jeden Monat bespricht.

00:16:50: Das findet bisher sehr kollegial statt. Man versucht natürlich manchmal auch zu Themen noch außerhalb dieses Plenums mit Kolleginnen und Kollegen

00:16:59: sich über die Sichtweisen auszutauschen. Dafür nutze ich meine Brüsseler Tage auch. Traditionell stimmen wir uns im Rahmen

00:17:07: der deutsch-französischen Partnerschaft sehr eng mit unseren französischen Kolleginnen und Kollegen an der Stelle ab.

00:17:15: In dem halben Jahr, die ich das jetzt beobachte, 8 Monate, stelle ich fest, dass schon in dieser Zeit das Denken noch ein bisschen mehr aus "Das ist jetzt mein nationaler Bereich" auf

00:17:27: insgesamt, darum kümmern wir uns in der Europäischen Union, wir müssen auch mal übernationale.

00:17:33: Entscheidungen sprechen, wenn die Auswirkung haben auf die Sichtweise, wie europäisches Recht angewendet wird.

00:17:39: Das geht auf jeden Fall voran, würde ich nicht anders sehen. Dass man unterschiedliche Meinungen hat, ist klar. Das haben Sie

00:17:47: auch schon zwischen deutschen Datenschutzbehörden und teilweise ja sogar in einer Behörde. Dann machen Sie eine Besprechung

00:17:53: lassen sich das vortragen, und am Ende wird eine Haus-Meinung gebildet. Und so findet das auch dort im Plenum statt. Am Ende ne Mehrheitsabstimmung, aber wir haben ganz selten Abstimmungen, wie 15 zu 13, meist ist das eine Abstimmung.

00:18:05: 21 zu 7. Und man kann das deswegen meistens ertragen, weil in der eigenen Abwägung ja auch was für die Sichtweise der anderen gesprochen hat.

00:18:15: Die eigenen anderen Gründe haben aber überwogen, sodass man zu einer bestimmten Haltung gekommen ist.

00:18:21: Aber das sieht man auch, wie Sie gerade sagten, den Wert dieser Institution, weil, wenn man sich jetzt vorstellt, sagen wir Ergebnis 21 zu 7,

00:18:31: wäre ja theoretisch dann früher vielleicht hätte es dann so sein können eben: in 21 Ländern wird es so gemacht. In 7 aber anders. Und für ein Unternehmen

00:18:40: kann das dann ja auch bedeuten, zum einen: ich bin vielleicht an mehreren europäischen Standorten oder hab eben auch Kunden aus anderen europäischen Ländern

00:18:49: und habe da mit unterschiedlichen Ansichten zu

00:18:54: zu kämpfen sozusagen. Wenn jetzt ein Unternehmen den Eindruck hat, also irgendwie habe ich bei mir... Meine Aufsichtsbehörde sieht das irgendwie anders wie in einem anderen Land.

00:19:09: Gibt es da die Möglichkeit? Oder wie würde einen Unternehmen versuchen können, sozusagen mit dem europäischen Datenschutzausschuss in Kontakt zu treten oder auf irgendwelche Punkte hinzuweisen?

00:19:21: Dass sowas vielleicht auf die Tagesordnung kommt. Geht man da dann

00:19:25: über seine Aufsichtsbehörde oder wie macht man das? Wie gesagt: eine Aufsichtsbehörde haben sie nur dann wenn es nicht grenzüberschreitend ist, das heißt sie haben die Aufsichtsbehörde also als Unternehmen, die für Sie tätig ist oder die Aufsichtsbehörde

00:19:37: wenn Sie jetzt Bürger sind, wo sowohl Sie wohnen, als auch das Unternehmen tätig ist. Dann haben Sie natürlich das Recht

00:19:44: den Bescheid, den Sie z.b. bekommen, vor Gericht anzufechten.

00:19:49: Sie können nicht als Unternehmen hingehen und sagen: Europäischer Datenschutzausschuss, ich bin nicht einverstanden mit der Entscheidung der Behörde. Bitte überprüft die. Das ist nicht unsere Aufgabe. Sondern tatsächlich dann, wenn mehrere nationale Behörden

00:20:03: in Kontakt kommen, aber natürlich würde sicherlich ein solches Gericht auch hingehen, und sagen, Ihr habt die  Entscheidung so rum getroffen. Es gibt hier eine Beschlusslage, Leitlinien vielleicht, sogar nicht verbindliche des europäischen Datenschutzausschusses. In unserer Abwägung sind wir der Meinung, Ihr habt falsch entschieden.

00:20:20: Weil ihr abweichende von dem was hier gut begründet als Linien vorgelegt wurde aber ja es gibt diese Abweichungen ich nehme eine

00:20:29: Eine die wir vor kurzem hatten, die Fragestellung: Inwieweit kann man mit einem Vertrag, den man schließt,

00:20:37: eigentlich die Einwilligung, die eine Kunde geben muss,

00:20:45: vorwegnehmen, so dass er gar nicht mehr sagen, muss ja ich willige ein, dass ein und das auch, obwohl vielleicht gar nicht notwendig, sondern das steht schon im Vertrag. Und da haben wir mit breiter Mehrheit, aber nicht einstimmig, gesagt nein,

00:20:59: das Grundrecht, dass ich einwilligen muss, wenn es nicht eine gesetzliche Grundlage oder überwiegendes Interesse des Betroffenen gibt,

00:21:08: das wollen wir nicht durch solche vertragliche Regelungen leerlaufen lassen. Und das haben wir als verbindliche Richtlinie dargestellt und das wird jetzt auch

00:21:17: von den Aufsichtsbehörden in Ländern so angewandt werden müssen, die hier eine andere Auffassung vertreten haben.

00:21:23: Okay, ja, das ist also ein sehr praktisches wichtiges Beispiel, wo man sich vorstellen kann, dass das deutliche Auswirkungen haben wird. Von einer Seite möchte ich aber einen Punkt gleich noch ansprechen:

00:21:37: Dieser Glaube, dass Deutschland überall strenger im Datenschutz ist, als andere Länder. Das ist falsch.

00:21:43: Da spreche ich noch nicht mal die Praxis an. Das mag vielleicht sogar noch sein, dass deutsche Datenschutzbehörden, die schon länger bestimmte Themen verfolgen, die jetzt

00:21:54: an vielen Stellen mit europäischem Datenschutzrecht erst in anderen Ländern eingeführt wurden, das noch tun ist er 4 Film deutschen Datenschutzrecht ist ja jetzt europaweit gültig. Da kann man noch darüber diskutieren, aber bei der Umsetzung des europäischen Rechts

00:22:07: in nationales Recht gab es an mehreren Stellen die Möglichkeit sich zu entscheiden, ob man mehr

00:22:12: oder weniger machen will. Und mit ganz wenigen Ausnahmen hat sich leider die deutsche Politik dafür entschieden, das Mindestmaß an Datenschutz dort einzuführen, wo man mehr hätte machen können.

00:22:25: Andere solche Öffnungsklausel, wie z.B. Beschäftigtendatenschutz wurden

00:22:29: nicht genutzt. Und das unrühmliche Beispiel, dass wir jetzt im Augenblick immer kennen, die betrieblichen Datenschutzbeauftragten,

00:22:37: 40 Jahre bewährtes Recht in Deutschland, Kompetenz im Unternehmen, und keineswegs

00:22:44: Extrakosten waren ja auf Beschäftigte, die auch die Aufgabe des Datenschutzbeauftragten machten, da hat man jetzt im Nachhinein, obwohl die anderen Länder

00:22:53: stark Alter vergangen die Verpflichtung gehabt man das lange bestehende deutsche Recht jetzt abgeschwächt und damit sogar Kompetenz aus den Unternehmen vertrieben im Notfall

00:23:03: wir sind nicht der Spitzenreiter im Datenschutz, wie wir immer glauben. Deutschland hat auch Nachholbedarf beim Datenschutz.

00:23:10: Also sehr schön, dass Sie das ansprechen. Das liegt uns auch sehr am Herzen, das Thema. Wir hatten dazu mit Ihrem Kollegen, dem Herrn Dr. Brink aus Baden-Württemberg auch ein schönes Gespräch dazu geführt,

00:23:22: und ja, das man hat eben in jedem Land so seine Eindrücke. Bei uns ist es besonders streng! Und in anderen Ländern

00:23:31: wird es vielleicht inzwischen

00:23:34: dann mitunter vielleicht strenger noch gesehen, als bei uns. Und da ist es natürlich gut, dass der europäische Datenschutzausschuss da weiter darüber wacht, dass nicht über die Öffnungsklauseln hinaus noch irgendwie versucht wird, etwas auseinander zu dividieren.

00:23:52: Aber schauen Sie sich mal die Bußgelder an, die die britische Behörde jetzt ausgesprochen hat gegenüber Marriott und der Fluglinie, das geht ja ums Hundertfache über das was bisher deutsche Behörden ausgesprochen haben.

00:24:04: Absolut.

00:24:06: Da gäbe es hier Heulen und Zähneklappern, wenn wir sowas machen. Das waren Beispiele, wo lange

00:24:14: bevor dann die Anwendbarkeit der Datenschutzgrundverordnung kam, wo man immer gesagt hat: Irgendwann kommt so ein Paukenschlag. Wo ein Bußgeld so weh tut, dass dann alle auch aufpassen auf das, dass man

00:24:26: Datenschutzverletzung zu vermeiden hat und das war eigentlich mal sowas, wo man eigentlich früher schon erwartet hatte, das käme gleich im Mai letzten Jahres

00:24:37: aber das ist auch schön außenwirksam, wir haben auch darüber berichtet.

00:24:44: Ist doch gut, denke ich, für unsere Datenschutzbeauftragten, dass sagen können: Guck mal, es gibt auch solche Bußgelder.

00:24:51: Aber auch da, wenn ich das richtig im Kopf habe, sind ja auch so Leitlinien des Datenschutzausschusses...

00:25:00: wird ja auch daran gearbeitet, wie man solche Sanktionen denn genau oder noch besser bemessen.

00:25:08: Richtig! Das ist ein typisches Beispiel, weil natürlich sehr unterschiedliche Rechtstraditionen aufeinandertreffen. Die Art und Weise, wie z.B. in Deutschland solche Bußgelder bestimmt werden, in der Regel sogar niedriger als in anderen Ländern

00:25:21: wo schon im ersten Schritt beispielsweise die Größe des Unternehmens

00:25:25: eingepreist wird, während in anderen Ländern erst die Größe des Verstoßes, und später findet ne Kappung statt,

00:25:33: wegen der Größe des Unternehmens da zu einem einheitlichen Rahmen zu kommen, der dann auch eine einheitliche Anwendung macht, das wäre super.

00:25:41: Das würde diese Harmonisierung auch wieder mitsichbringen. Von dieser Harmonisierung haben am Ende Unternehmen und Bürgerinnen und Bürger etwas.

00:25:49: Und wir schaffen gleichzeitig auch level playing field, also faire Bedingungen auch mit Unternehmen, die von

00:25:58: außerhalb Europas in Europa tätig sind. Derzeit sind das vor allem noch US-amerikanische Unternehmen, aber wir werden natürlich in zunehmendem Maße auch chinesische und andere Unternehmen hier finden. Und bis zu dem Zeitpunkt sollten wir

00:26:12: eingespielte Rechtsdurchsetzung auch gegenüber diesen Unternehmen in Europa etabliert haben.

00:26:19: Wäre das so, von meiner Seite zum Schluss, wäre dass so ein mehr einheitlicher Bußgeldrahmen und ein Verfahren wie man sowas

00:26:26: bemessen kann. Wäre das was besonders Dringendes, was Sie sagen, das sollten wir jetzt machen. Oder gäbe es etwas, das noch dringender wäre, das jetzt im europäischen Datenschutz-

00:26:34: Ausschuss angegangen werden sollte?

00:26:36: Also das ist sicherlich ein dringendes Thema, ein zweites ist, dass wir die sogenannten technisch-organisatorischen Maßnahmen weiter verschärfen. Also was muss eigentlich in einem Bereich an Schutzmaßnahmen, im Bereich der IT Sicherheit, der

00:26:51: Datensicherheit ergriffen werden,

00:26:53: damit wir das nicht als Datenschutzverstoß wenden. Das war ja das Beispiel auch der Bußgelder, dass dort Daten unzureichend gesichert waren,

00:27:03: und ich sage Ihnen, auch wenn ich auf ein Großunternehmen stoße, das z.b. Passwörter nach wie vor im Klartext abspeichert, würde ich auch zu einem hohen Bußgeld

00:27:13: greifen an der Stelle. Das würden wir aber gerne weiter ausdifferenzieren. Zwei-Faktor-Authentifizierung

00:27:21: welche Sicherungsmaßnahmen von Datenbankbeständen... etc.

00:27:26: und aus meiner Sicht müssen wir zeigen, dass die großen Datenschutzverstöße, die so offensichtlich sind; durch große Datenkonzerne, dass

00:27:35: dort die Verfahren auch abgeschlossen werden, die teilweise ja schon deutlich jetzt über ein Jahr laufen, das ist nicht im Sinne

00:27:43: der Erfinder, dass zwischen der Beschwerde über einen solchen Datenschutzverstoß bis zur endgültigen Entscheidung so viel Zeit ins Land geht, weil in der Zwischenzeit werden die Daten ja weiter abgegriffen.

00:27:56: Absolut, und ich denke jedenfalls, dass der europäische Datenschutzausschuss da auch mit,

00:28:02: wahrscheinlich auch mit der EU-Agentur für Cybersicherheit Enisa im engen Austausch sein wird. Gerade wenn man so an die technisch-organisatorischen Maßnahmen denkt,

00:28:11: weil von dort werden ja auch immer wertvolle Arbeiten auch im Bereich

00:28:17: "Technical data protection". Die machen da ja auch viel, und das finde ich persönlich, muss ich sagen, weil mir das Thema Technischer

00:28:24: Datenschutz sehr am Herzen liegt. Finde ich sehr gut, wenn es da noch klarere

00:28:30: Hinweise gäbe, als wir bisher so ... alles schön mit Artikel 32, was wir da so haben ... aber da brauchen die Unternehmen einfach noch mehr Orientierung und Unterstützung.

00:28:43: Diesen Kontakt gibt es, und hier in Deutschland arbeiten wir natürlich auch mit dem Bundesamt für die Sicherheit in der Informationstechnik in den Fragen zusammen.

00:28:52: Ja, dann würde ich mich erstmal von meiner Seite aus herzlich bedanken und frage meinen Kollegen, ob er vielleicht noch Punkte, hat die ihm auf der Seele brennen.

00:29:03: Ja, danke Oliver, danke Herr Kelber, ich habe mir die Frage gestellt, jetzt zum Abschluss noch mal um den Bogen zum Anfang zu spannen:  Würden sie sich.

00:29:13: was den deutschen föderalen Datenschutz angeht,

00:29:18: auch manchmal noch ein bisschen mehr Harmonisierung á la europäischer Datenschutzausschuss zu wünschen?

00:29:26: Wir arbeiten ja in der Datenschutzkonferenz zusammen für diese einheitliche Anwendung. Ich glaube tatsächlich, dass die Harmonisierung auch innerhalb von Deutschland

00:29:36: einen Mehrwert bietet.

00:29:38: Ich werbe deswegen auch in Bereichen, wo wir unabhängig voneinander sind, also wo es keine gesetzliche Grundlage

00:29:47: für verpflichtende Beschlüsse gibt, dass wir trotzdem uns freiwillig einem Mehrheitsprinzip unterwerfen, nämlich sagen:

00:29:57: Wir wollen dafür sorgen, dass die Praxis dann einheitlich ist. Damit bin ich auch in der Datenschutzkonferenz unterwegs. und das hat viel Unterstützung bei den Kolleginnen Kollegen.

00:30:08: Finde ich gut! Lieber Herr Kelber, vielen lieben Dank für dieses Gespräch, vielen Dank für Ihre offenen Antworten und Ihre Bereitschaft und Ihr Interesse sich unseren Fragen auch zustellen, herzlichen Dank.

00:30:21: Vielen Dank noch mal für Ihr Interesse. Über Datenschutz kann man gar nicht genug sprechen.

00:30:27:

00:30:37:

00:30:42:

00:30:55:

00:31:04:

00:31:12: