Datenschutz PRAXIS - Der Podcast

Datenschutz PRAXIS - Der Podcast

Transkript

Zurück zur Episode

00:00:00: Bis zum Stichtag am 25.Mai 2020, vier Jahre nach ihrer Veröffentlichung,

00:00:07: zwei Jahre nach ihrem Inkrafttreten, soll die europäische Datenschutzgrundverordnung zum ersten Mal umfassend bewertet und überprüft werden.

00:00:17: Auch die deutschen Aufsichtsbehörden möchten dazu beitragen. Sie haben ihre Erfahrungen aus eineinhalb Jahren praktischer Anwendung in einem Erfahrungsbericht zusammengetragen.

00:00:28: Welches Fazit ziehen die Behörden, welche Vorschläge für mögliche Änderungen empfehlen sie?

00:00:35: Wie wahrscheinlich ist es, dass diese Änderungen dann umgesetzt werden, und - gegebenenfalls - wie bald können die Anwender mit diesen Anpassungen rechnen?

00:00:45: Datenschutz Praxis - der Podcast fragt nach diesmal bei Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht.

00:01:00: Liebe Hörerinnen und Hörer, wir konnten Herrn Kranig wegen terminlicher Engpässe nur auf seinem Mobiltelefon erreichen, er wollte uns aber nicht hängen lassen und das Interview trotzdem mit uns führen,

00:01:13: die Audioqualität ist deshalb etwas dumpfer als gewohnt, aber das Interview konnte unterbrechungsfrei und gut verständlich aufgezeichnet werden. Wir bitten um Ihr Verständnis!

00:01:26: Mein Name ist Severin Putz, herzlich Willkommen zu unserer neuen Folge von Datenschutzpraxis der Podcast.

00:01:32: Wir diskutieren regelmäßig mit spannenden Gesprächspartnern über aktuelle Themen aus Datenschutz und Datensicherheit.

00:01:40: Auch Oliver Schonschek ist mit dabei. Er ist freier Analyst und Fachjournalist. Er schreibt regelmäßig für die Datenschutzpraxis und wird das heutige Interview führen. Hallo Oliver.

00:01:50: Hallo Severin!

00:01:52: Heute möchten wir uns mit dem kürzlich veröffentlichten Erfahrungsbericht der Aufsichtsbehörden zur DSGVO beschäftigen.

00:02:01: Und wir freuen uns als Interviewpartner Herrn Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht begrüßen zu dürfen. Herzlich Willkommen, Herr Kranig.

00:02:12: Herzlich willkommen, danke.

00:02:13: Die Evaluation der DSGVO ist ja gesetzlich vorgesehen. Im Artikel 97 der Verordnung ist der 25. Mai 2020 als Stichtag angegeben.

00:02:25: Zu diesem Zeitpunkt legt die EU-Kommission ihrerseits einen Bericht

00:02:30: über die Bewertung und Überprüfung der Verordnung dem Europäischen Parlament und Rat vor.

00:02:35: Dabei kann sie auch Informationen aus den Aufsichtsbehörden der Mitgliedstaaten einbeziehen.

00:02:41: Und die deutschen Aufsichtsbehörden stellen diese Informationen nun in ihrem Bericht zur Verfügung. Oliver, kannst du mich und unsere Hörer noch mal kurz mit dem Bericht und den wichtigsten Inhalten vertraut machen? Ja sehr gerne doch.

00:02:56: Im Dezember 2019, also erst vor wenigen Wochen, wurde der eben genannte Erfahrungsbericht der unabhängigen Datenschutz-

00:03:04: Aufsichtsbehörden des Bundes und der Länder kurz Datenschutzkonferenz der Anwendung der Datenschutz-grundverordnung veröffentlicht.

00:03:11: Die Datenschutzkonferenz teilt die Auffassung, dass sich die Datenschutzgrundverordnung mit ihrem Regelungskonzept und ihren Zielen im Wesentlichen bewährt.

00:03:21: Wohlgemerkt im Wesentlichen. Die Ziele des verbesserten Grundrechtsschutzes und der Schaffung eines einheitlichen

00:03:29: digitalen Binnenmarktes erscheinen durch die Datenschutzgrundverordnung vorangebracht und auch tatsächlich erreichbar, so die Aussage der Datenschutzkonferenz.

00:03:38: Im Ergebnis haben sich im Zuge der Datenschutzgrundverordnung bisher folgende Schwerpunktthemen für mögliche Änderungen herausgestellt: Das sind sogar eine Menge. Ich führ mal einige auf.

00:03:51: Da wäre der erste "Alltagserleichterung und Praxistauglichkeit".

00:03:55: Dann "Datenpannenmeldung" und "Zweckbindung", "data protection by design", "Befugnisse der Aufsichtsbehörden" und "Sanktionspraxis".

00:04:05: "Zuständigkeitsbestimmung in Zusammenarbeit und Kohärenz". (Da geht's um die Aufsichtsbehörden). "Direktwerbung".

00:04:13: "Profiling", "Akkreditierung"

00:04:15: Das sind also eine ganze Menge Punkte und wir wollen uns da einige gezielt näher anschauen und haben jetzt die Gelegenheit direkt

00:04:23: mit einem Vertreter der Aufsichtsbehörden zu sprechen, um mehr über die Erfahrung der Aufsicht mit der Datenschutzgrundverordnung zu erfahren.

00:04:31: Und wir würden gerne mit Ihnen, Herr Kranig, gern einige dieser Punkte näher betrachten,

00:04:36: Auch noch mal von mir ein herzliches Dankeschön, dass Sie dafür zur Verfügung stehen!

00:04:44: Nun kommen wir mal zu einem Thema, was für die Unternehmen wirklich ein Punkt ist, der sie sehr beschäftigt, das sind die Datenpannenmeldung. Und

00:04:54: bei diesem Schwerpunktthema Datenpannenmeldungen schlagen die Aufsichtsbehörden eine Änderung vor.

00:05:01: So kann man dem Erfahrungsbericht entnehmen. Welche Probleme bestehen denn bei der Meldung von Datenschutzverletzungen und wo genau sieht man hier denn Verbesserungsbedarf?

00:05:14: Lassen Sie mich einen Satz noch davor sagen ganz allgemein zu dem Erfahrungsbericht, dem Erfahrungsbericht der deutschen Aufsichtsbehörden, wo wir eben Erfahrungen,

00:05:27: die wir eben im Vollzug und mit der Verordnung haben, zusammengefasst haben.

00:05:32: Teilweise haben wir dann auch Vorschläge gemacht, wie wir vielleicht was ändern konnten, teilweise betriffts auch Problematiken, die sich im Vollzug darstellen.

00:05:42: Deswegen Erfahrungen. Und das ist etwas, das wir an den europäischen Datenschutzausschuss schicken mit dem Ziel, das von dort aus.

00:05:52: dass so viel wie möglich berücksichtigt wird, und das dann gegenüber der Kommission in den Bericht einfließt, also nicht dass wir direkt jetzt an Kommission

00:06:01: "Das sind die Auffassungen", sondern es sollte europaweit einheitlich eine Auffassung sein. So ist das Verfahren, was unser Erfahrungsbericht betrifft.

00:06:10: Aber zurück zu Ihrer Frage mit dem Datenpannenmeldung. Wir stellen fest, dass

00:06:18: die Meldungen sehr, sehr unterschiedlich in Deutschland und in Europa stattfinden. Wir haben in Bayern

00:06:27: so viele Meldungen, wie Frankreich und Italien und Spanien noch zusammen haben. Das zeigt schon, dass irgendwas dabei nicht richtig sein kann.

00:06:37: Auch in Deutschland ist es so, dass wir, wenn ich das richtig sehe, von den Zahlen, soweit sie veröffentlicht sind, die meisten Meldungen haben.

00:06:45: Das bedeutet, dass sehr, sehr viel gemeldet wird.

00:06:50: Weil Unternehmen sagen: "Wenn ich melde, dann bin ich frei, dann droht mir kein Bußgeld, wenn mir irgendeine Datenschutzverletzung mal vorgehalten wird". So dass wir ganz viele Meldungen bekommen.

00:07:03: Wo wir uns überlegen: "Muss das Wirklich sein?"

00:07:06: Ein Hauptthema dabei sind die Fehlversendungen, die eben bei uns gemeldet werden.

00:07:13: Weil wir sagen, ja es kann nicht ausgeschlossen sein, ausgeschlossen werden, dass eben ein Risiko besteht, wenn solche Informationen an einen falschen Adressaten geraten.

00:07:23: In anderen Ländern ist das generell kein meldepflichtiger Tatbestand.

00:07:29: Da ist eben unser Ziel, dass wir sagen, das muss noch konkretisiert, verbessert, vereinheitlicht werden, damit

00:07:37: in ganz Europa klar ist, was gemeldet werden muss,

00:07:41: was nicht gemeldet werden muss. Wenn man jetzt überlegt ... das ist ja sehr sehr spannend ... dass zum einen gerade in Bayern, das ist ja nun gerade nicht so oder kann man ja nicht sagen, dass dort besonders viele Datenschutzprobleme tatsächlich bestehen würden, wenn Sie den spannenden Vergleich gemacht haben, wenn man

00:07:59: Bayern, wenn man Deutschland mit anderen europäischen Ländern vergleicht, und dass die Zahlen da gar nicht sinnvoll übereinstimmen,

00:08:07: dann wäre doch vielleicht ein Punkt, oder wäre sowas dann auch hilfreich, es gibt ja für die Datenschutz-folgenabschätzung in einer Muss-Liste,

00:08:16: könnte man da auch sowas ...? Ist natürlich immer so eine Sache: Bei der Datenschutzfolgenabschätzung werden eben bestimmte Verarbeitungsvorgänge genannt. Und hier,

00:08:27: wäre es da hilfreich, wenn man vielleicht eine Beispielsammlung hätte oder irgendwas, wo sich die Unternehmen besser daran orientieren könnten.

00:08:35: Genau dieses Problem, lieber Herr Schonschek, haben wir eben auch erkannt und

00:08:41: es ist so, dass wir, das Landesamt für Datenschutzaufsicht von der datenschutzkonferenz den Auftrag bekommen haben, oder das Angebot unterbreitet, den Auftrag bekommen haben,

00:08:51: Kriterien zu erarbeiten, die Unternehmen helfen sollen dann

00:08:56: besser zu beurteilen, wann sie etwas melden müssen oder wann nicht. Diese Kriterien sollen dann mit den anderen Aufsichtsbehörden abgestimmt werden, so dass wir in Deutschland eine Auffassung haben, dass wir dort auch,

00:09:09: genauso wie es bei Datenschutzfolgenabschätzungen ist, Beispiele haben

00:09:12: und mit diesem Kriterienkatalog wollen wir dann nach Europa gehen und schauen, ob wir da ein gemeinsames Verständnis herstellen können.

00:09:23: Wenn uns das gelingt und wenn dann zum Ergebnis rauskommt, dass tatsächlich wirklich nur noch das gemeldet wird, was

00:09:31: tatsächlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen beinhaltet, dann haben wir das Ziel erreicht und dann könnte

00:09:41: man auch mit dem bestehenden, gesetzlichen Formulierungen eigentlich ganz gut weiterkommen.

00:09:47: Also das wäre auch einPunkt, da müsste ja gar nicht die Datenschutzgrundverordnung irgendwie geändert werden nach der Revision, sondern das wäre etwas, was die Aufsichtsbehörden auf der Ebene des europäischen Datenschutzausschuss

00:09:59: dann ja generieren, bereitstellen könnten, das, denke ich, wäre für unser Hörerinnen und Hörer auch eine sehr wichtige praktische Hilfe, wäre absolut wünschenswert, was Sie da

00:10:10: an wichtiger Unterstützung dann beitragen werden. Eine Frage nur noch: Wenn jetzt jemand einfach, um sich fast zu schützen, wie Sie es ja auch sagten ... "Lieber mal alles gemeldet, dann wird mir auch nichts passieren", obwohl das gar nicht

00:10:23: eine Datenschutzverletzung letztlich dann, sich als eine solche herausstellt ...

00:10:27: ... ist denn so eine exzessive "Melderei", so mal unter uns gesagt, ... damit stört man ja die Abläufe, ist es auch etwas, wo man einem Unternehmen sagen kann: "Stell das mal ab!"?

00:10:39: Es ist nicht das ganz große Problem, also wir haben, wenn ich das richtig im Kopf habe, weniger als 5% Meldungen, die bei uns eingehen,

00:10:50: wo wir sagen, wäre nicht notwendig gewesen. Also es ist nicht das große Massen-Problem, und wenn so etwas häufiger vorkommt, ja dann sprechen wir schon mit dem Meldenden und sagen "Pass mal auf das: Das ist aus unserer Sicht nicht meldepflichtig."

00:11:05: Es klappt eigentlich ganz gut. Und wir hatten immer gesagt, sagen grundsätzlich, wenn sich jemand nicht sicher ist,

00:11:15: Dann lieber einmal zuviel melden, als zu wenig oder nur das, was nicht funktioniert, wenn wir es rauskriegen, wenn jemand sagt, er begeht grob fahrlässig eine Datenschutzverletzung

00:11:27: nur damit er aus dem Bußgeld-Risiko draußen ist, meldet das jetzt mal schnell.

00:11:31: Das kann dann schon Probleme bringen, dass wir sagen, okay, wenn so etwas passiert, dass man sagt, "Ich

00:11:37: mache bewusst Fehler, suche dann über den Hebel mich aus der Verantwortung zu ziehen", das könnte Probleme bereiten,

00:11:45: aber das haben wir noch nicht so erlebt, dass wir es tatsächlich nachweisen könnten.

00:11:51: Aber was auf jeden Fall sehr sehr spannend wäre, wenn es mal diese Muss-Liste, diesen Kriterienkatalog gäbe - europaweit - und dann würden,

00:12:00: davon gehe ich dann mal aus, jetzt auch gerade nach dem, was Sie gesagt haben, dass gar nicht mal so viele unnötige Meldungen kommen, sondern einfach mehr, dass dann aller Voraussicht nach mit dem Kriterienkatalog

00:12:11: die Zahlen der gemeldeten Datenschutzpannen in anderen Ländern auch ansteigen würden.

00:12:16: oder ansteigen sollten. Oder bei uns sinken, wenn man zum Ergebnis käme, dass man sagt, Datenschutz oder der Fehlversand,

00:12:25: der ja schon auch bei großen Unternehmen, bei Versicherungen immer wieder vorkommt, kann ganz unterschiedliche Gründe haben,

00:12:33: dass man sagt, das ist jetzt generell etwas, wo wir vom Risiko her sagen,

00:12:39: Jetzt steht in der Grundverordnung drin, dass nicht gemeldet werden muss, wenn kein Risiko besteht.

00:12:44: Wenn man sich da darauf verständigt ... kein Risiko heißt ja dann Null ... das gibt's ja, mathematisch gesehen, gar nicht, insofern müsste man sich darauf verständigen, ein geringes Risiko und da könnte man dann auch solche Fehlversendungen

00:12:59: zum größeren Teil vielleicht doch sagen, gut, das ist keine meldepflichtige Datenpanne mehr.

00:13:04: Aber da ist es sinnvoll, dass man sich wirklich europaweit da verständigt, erstmal deutschlandweit und dann europaweit drauf verständigt.

00:13:11: Absolut und so spannend Datenpannenmeldung sind, deshalb haben wir das auch gleich als erstes Thema genommen, haben Sie noch einige andere Punkte in dem Erfahrungsbericht, die ich gerne ansprechen werde, und zwar beim Thema Datenschutz durch Technikgestaltung.

00:13:28: Da bringen Sie in diesem Erfahrungsbericht, Sie, die Aufsichtsbehörden, die Rolle des Herstellers hervor, die eigentlich von der Logik her zwingend erforderlich wäre, wenn man sich bei Datenverarbeitung das anschaut, aber diese Rolle kommt ja halt in der Datenschutzgrundverordnung nicht vor. Könnten sie das erläutern,

00:13:50: warum Sie sagen, dass neben Verantwortlichen und Auftragsverarbeitern auch die Hersteller gezielter reguliert werden sollten?

00:14:01: Ja wenn man sich den Anwendungsbereich der Datenschutzgrundverordnung anschaut, im Artikel 2, dann heißt es, die Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten.

00:14:12: Das heißt, der der mit personenbezogenen Daten umgeht, ist im Anwendungsbereich.

00:14:17: Jemand der Produkte zur Verfügung stellt, mit denen ein anderer dann personenbezogene Daten verarbeiten kann,

00:14:25: ist nicht im Anwendungsbereich der Grundverordnung. Ein Beispiel, das momentan ja aus der Sicht diskutiert wird, wie schaut's aus mit Windows 10?

00:14:34: Gerade auch jetzt in diesen Tagen ein interessantes Thema, nachdem für Windows 7 die Unterstützung ausläuft.

00:14:42: Microsoft stellt ein Betriebssystem zur Verfügung, und sagt dann, das ist, jetzt mal als Beispiel im Wesentlichen, ihr verarbeitet damit, ihr macht das und die Verantwortung dafür liegt bei euch.

00:14:55: Oder wenn ich Apothekensoftware anschau, die wir angeschaut haben, dann gibt es irgendeinen Hersteller, der stellt das Apotheken zur Verfügung, und sagt, was die damit machen, ist nicht mehr meine Verantwortung.

00:15:08: Wir meinen, dass es eben gerade bei solchen

00:15:11: Betriebssystemen oder auch bei solcher Software, auch SAP wäre so ein Beispiel, was man dort sagt, wer

00:15:19: solche Produkte zur Verfügung stellt, die im Wesentlichen dazu dienen, personenbezogene Daten zu verarbeiten, der sollte verpflichtet werden, dass sein Produkt, dass er herstellt,

00:15:30: auch den Anforderungen der Datenschutzgrundverordnung entspricht.

00:15:36: Nicht dass man alle möglichen Einstellungen, Umwege und was weiß ich was verbiegen muss, um das überhaupt datenschutzkonform einzusetzen und das war so die Idee, die Erweiterung des Anwendungsbereichs, wenn ich es mal so sagen will,

00:15:50: die Hersteller damit, App-Anbieter können auch dazu gehören, damit in die Verantwortung mit einzubeziehen.

00:15:58: Und das macht ja eigentlich auch absolut Sinn, wenn man sich vorstellt "privacy by default" durch Technikgestaltung, diese Gestaltung nimmt ja gar nicht der Anwender vor, sondern das wird ihm ja eigentlich, soll die Idee sein, wenn man jetzt installiert, sollte es schon so sein,

00:16:13: und wer hat's in der Hand, wie die Installation zu Beginn aussieht? Der Hersteller. Und das sind Sie

00:16:21: auch ganz auf einer Linie, würde ich mal sagen, mit dem BSI, dem Bundesamt für Sicherheit in der Informationstechnik, die ja auch sehr stark darauf drängen, dass man sagt da geht es

00:16:33: jetzt eben auch um Produkthaftung, dass man sagt, das Thema IT-Sicherheit muss einfach zu den zugesicherten garantierten Produkteigenschaften gehören, und da wollen die natürlich auch stärker an die Hersteller.

00:16:48: Da sehen wir auch so.

00:16:50: Wäre eigentlich auch wieder ein weiterer Punkt, sollte einer sein, wo sich die Sicherheit sind Datenschutz, so klar wie man es auch unterscheiden muss, aber dann doch wieder gemeinsame Ziele verfolgen könnten, wenn auch immer natürlich mit einem anderen Fokus, klar.

00:17:06: Ein weiterer Punkt, Herr Kranig, der uns interessiert, ist, Sie haben auch Punkte im Erfahrungsbericht zum Thema "Befugnisse der Aufsichtsbehörden", "Sanktionspraxis", was wären das für Punkte, wo sie sagen, da könnte was geändert werden?

00:17:20: Können Sie uns dazu was erzählen?

00:17:23: Ja wir haben als Aufsichtsbehörde in dem Artikel 58 eine ganzen Katalog und Befugnissen.

00:17:31: und haben dann parallel dazu, im Artikel 83, der Sanktionsvorschrift, an Regelungen, was wir machen dürfen, müssen, wenn eben

00:17:42: die Verarbeitung personenbezogener Daten nicht datenschutzkonform verläuft.

00:17:50: Wir haben in dem Artikel 58 eben den Begriff enthalten "Verarbeitungsvorgänge", dass wir dann, wenn da etwas nicht in Ordnung ist,

00:18:00: praktisch dann auch entsprechende Befugnisse ausüben können. Es gibt aber auch Verpflichtungen in der Datenschutzgrundverordnung. Ein Beispiel

00:18:10: ich muss einen Datenschutzbeauftragten bestellen, wenn die Voraussetzungen des Artikel 37 Grundverordnung eingehalten sind, und da ist es dann etwas unklar.

00:18:19: Wie es dort mit den Sanktionen aussieht, weil das ja kein Verarbeitungsvorgang in dem Sinne ist, und deswegen war unsere

00:18:29: Idee eben da

00:18:31: diese Formulierung zu streichen und einfach zu sagen, wenn etwas ... wenn wir etwas feststellen, dass jemand gegen die Grundverordnung verstößt, egal ob sie im Rahmen der Verarbeitung und im Rahmen der sonstigen Verpflichtungen ist,

00:18:45: dann ist das etwas, was sanktionswürdig ist.

00:18:50: Also wäre auf jeden Fall auch, denke ich, für die Unternehmen gut zu wissen, worauf achten denn letztendlich

00:18:59: die Aufsichtsbehörden, was sind denn Themen, die zu Sanktionen führen könnten, und jede Unschärfe, wenn die nur durch Formulierungen oder irgendwas Unklares da ist, sollte da natürlich vermieden werden, unbedingt.

00:19:12: Ein anderes zentrales Thema der Datenschutzgrundverordnung ist ja

00:19:19: das Thema - oder eben eigentlich nicht der Datenschutzgrundverordnung, sondern im Datenschutz - sind Direktwerbung und Profiling. Und wenn man in die Datenschutzgrundverordnung reinschaut,

00:19:30: findet man das jetzt nicht so direkt wieder, wie man sich das vielleicht wünschen würde, was könnte man dafür

00:19:37: anders machen in der Datenschutzgrundverordnung?

00:19:41: Es ist ja die Grundverordnung, das heißt wo nur grundsätzliche Sachen geregelt sind und das

00:19:48: ist auch gut so, dass man eben auch ne gewisse Anwendungsbreite hat und Auslegungsmöglichkeiten für die Aufsichtsbehörden. Werbung und auch Profiling, was man dann im Zusammenhang sehen muss, sind aber so zentrale Themen,

00:20:02: das Internet, ja Online-Angebote und so weiter,

00:20:09: wo es aus unserer Sicht schon sinnvoll sein könnte, das eben noch etwas detaillierter tatsächlich zu regeln. Wir haben, wenn ich es richtig sehe, nur einen

00:20:19: Erwägungsgrund, wo das Thema eben eine Rolle spielt, das heißt, dass bei der Interessensabwägung Direktwerbung in Richtung eines berechtigten Interesses auszulegen ist und ansonsten nicht aber die Frage ist.

00:20:33: Es muss nicht so detailliert sein, wie wir es früher in unserem § 28 Bundesdatenschutzgesetz hatten, aber es gibt schon ganz viele Fragen, die sich da stellen. Wie schauts aus mit den Daten? Dürfen sie an Dritte weitergegeben werden? Darf ich

00:20:48: sagen, was wir früher so unter dem Stichwort "Listenprivileg" nach BDSG

00:20:53: behandelt hatten? Darf ich Profile erstellen, zusammentippen, Kriterien sammeln? Und darf ich jetzt auch Unterschiede machen, zu welche Zwecken

00:21:05: dies gemacht wird? Das heißt, wenn ich jetzt für wohltätige Zwecke, gemeinnützige Organisationen,

00:21:12: sind die anders zu beurteilen, als ein Unternehmen, das eben damit Geld verdienen will, das heißt, da sind auch die Erfahrungen in den Mitgliedstaaten sehr, sehr unterschiedlich und durch die

00:21:26: jetzige Regelung, das wir sagen, es wird alles über die Interessensabwägung abgewickelt,

00:21:33: ist festzustellen oder auch noch mehr zu befürchten, dass sich das in Europa sehr weit auseinander entwickelt.

00:21:42: Deswegen könnte es sinnvoll sein, wenn man dort, was diese Werbebereich betrifft, etwas detaillierte Regelungen noch ergänzend

00:21:52: ja erstellt.

00:21:53: Und wenn man jetzt das in die, Sie sagten ja auch, Grundverordnung, in die Datenschutzgrundverordnung nicht hinein bekäme, dann wäre das doch auf jeden Fall hilfreich und auch so ja vorgesehen, dass der europäische Datenschutzausschuss dann da

00:22:08: noch weitere Vorgaben, Empfehlungen machen wird, dass die Unternehmen dann zumindest

00:22:15: soweit Vorgaben finden oder Richtlinien finden, wie man es früher im BDSG hatte. Dass man da vielleicht

00:22:23: dadurch Unterstützung kriegt und nicht immer bei Adam und Eva anfangen muss und sich selber alles überlegen, was ist denn das jetzt bei meiner Direktwerbung, dass man ein bisschen konkretere Unterstützung hat.

00:22:34: Richtig, Herr Schonschek, das wäre auch ein richtiger Weg, vielleicht doch noch einmal ganz allgemein:

00:22:41: Diese Evaluierung so wie vorher angesprochen muss die Kommission machen und ja muss muss der Kommission machen.

00:22:52: Und dann eben vorlegen. Nach den Informationen, die wir haben,

00:22:56: ist nicht geplant, dass jetzt ganz kurzfristig wieder am Text irgendwie gearbeitet wird. Insofern ist das, was jetzt gesammelt wird, etwas was aber die Grundlage für eine erste Evaluation und dann weiter getragen wird, und was vielleicht in Jahren

00:23:11: man dann wieder dran denken könnte, den Text irgendwie zu ändern. Schon das zwingt uns dazu Themen, die wir erkennen, und dazu gehört dieses Thema aus der Werbung,

00:23:22: auf der Basis des derzeit geltenden Rechts versuchen

00:23:26: gut zu vollziehen, und damit auch über den europäischen Datenschutzausschuss schauen, ob wir da eine Opinionn erstellen können, die uns vielleicht dann schon hilft

00:23:37: und wenn alles gut geht, was ich jetzt noch nicht ganz so fest glaube, dann auch eine Gesetzesänderung überflüssig machen könnte.

00:23:46: Ich befürchte aber, dass uns das so, weil wir in den Mitgliedstaaten so unterschiedliche Rechtskulturen haben

00:23:51: das uns das nicht so ganz leicht gelingen wird, dass auch wirklich ein einheitlicher Vollzug sichergestellt ist, und das ist ja das oberste Prinzip der Grundverordnung, ein einheitlicher Vollzug in ganz Europa.

00:24:03: Ein vielen Dank also auch da noch mal für die Einordnung, für die Hinweise, das ist ganz spannend und wichtig zu wissen, auch gerade vom zeitlichen Horizont,

00:24:13: dass man weiß, na ja gut, jetzt werden erstmal Erfahrungen über längere Zeit gesammelt, man versucht Punkte, die sich eben in der Datenschutzgrundverordnung nicht finden

00:24:23: aber konform mit der Verordnung dann vielleicht durch Opinions im europäischen Datenschutzausschuss zu erwirken, da etwas zusammenzustellen, aber wie Sie uns ja auch

00:24:33: gerade erläutern, ist es nicht ganz einfach da immer, so wie wir es ja auch aus

00:24:40: dem Europäischen Parlament kennen, also wenn ganz viele Parteien dabei sind, wird es zunehmend schwierig Konsens herbeizuführen.

00:24:51: Mir wäre ein weiteres Thema eine echte Herzensangelegenheit, wo ich noch mal gerade drüber sprechen wollte, und das ist die Datenschutzzertifizierung

00:24:59: und die Akkreditierung der Stellen, die solche Zertifizierungen machen dürfen, weil Datenschutzzertifizierung wäre in meiner Sicht ein wunderbares Instrument, was

00:25:10: vielen Stellen helfen könnte, wenn man in die Datenschutzgrundverordnung guckt, hat das ja viele positive mögliche Wirkungen, wenn man sowas hätte,

00:25:20: aber

00:25:21: im Bericht findet man jetzt dazu, in diesem Erfahrungsbericht, in Deutschland gibt es eine Auseinandersetzung zwischen der deutschen nationalen Akkreditierungsstelle und den Aufsichtsbehörden über die Anwendung von Artikel 41.

00:25:35: Können Sie uns hierzu ein bisschen Erläuterung geben, Einsichten geben, was es für eine Auseinandersetzung ist, was man sich da vorstellen kann, und

00:25:43: dem nachgeschoben, ist vielleicht so die noch laufende Abstimmung zwischen Akkreditierungsstellen und Aufsichtsbehörden ein möglicher Grund dafür, dass wir eigentlich noch keine Datenschutzzertifizierung nach Datenschutzgrundverordnung haben?

00:25:59: Zunächst mal ich sehe es genauso wie Sie, diese Zertifizierung, wenn sie denn tatsächlich endlich losgehen würde,

00:26:09: ist ein wunderbares Instrument zur Schaffung von Rechtssicherheit.

00:26:14: Wir haben das immer gesagt, und jetzt hängen wir auch als Aufsichtsbehörden tatsächlich, wir etwas hinterher, und ja, wir haben auch nach dem BDSG eben gesetzliche Regelungen die die deutsche Akkreditierungsstelle,

00:26:29: die uns als Aufsichtsbehörden verpflichtet mit der deutschen Akkreditierungsstelle eben zusammenzuarbeiten und jetzt zunächst mal die Stellen, die eben

00:26:39: dann zertifizieren sollen zu akkreditieren.

00:26:43: Das heißt, auch alles was jetzt an Kriterien läuft, eben zwischen uns abgestimmt werden muss.

00:26:50: Unsere Vorstellung ist, dass eben die Akkreditierung dieser Zertifizierungsstellen,

00:26:57: das heißt, wer sagt, dass eben eine Stelle geeignet ist, um die Datenschutzverarbeitungen danach zu zertifizieren,

00:27:05: wer sagt das? Sagen das die Aufsichtsbehörden? Sagt das die DAkks, diese deutsche Akkreditierungsstelle? Sagen wir das nur im Einvernehmen? Da ist momentan eine gewisse ist unterschiedliche Auffassung,

00:27:18: und das ist eine gewisse Blockade, die wir momentan haben, und unsere Vorstellung wäre, dass man eben

00:27:26: das so regelt, dass also für die Frage der Akkreditierung ausschließlich die Aufsichtsbehörden zuständig sind, und nicht die sonstigen Stellen, die es in den Mitgliedstaaten geben kann,

00:27:39: um da auch schneller zu Potte zu kommen.

00:27:43: Andererseits siehts aber, wenn ich richtig informiert bin, auch so aus dass, ich hoffe, dass wir relativ bald doch auch jetzt auf der Basis des geltenden Rechts dazu kommen, die

00:27:54: Unternehmen, die Stellen, die sich bei uns jetzt auch schon beworben haben, dass sie akkreditiert werden, damit

00:28:02: dann, was auch für uns ein enormer Aufwand ist, weil wir dort hingehen, anschauen müssen, wie machen die das,

00:28:10: das eben durchzuführen, damit eben die Zertifizierung, ich sage mal, endlich losgehen kann. Aber ich befürchte, das wird etwas sein, was

00:28:19: mit zweijähriger Verzögerung nach Wirksamwerden der Grundordnung wohl erst wirksam werden könnte.

00:28:27: Also ist auf jeden Fall für all die Unternehmen, für all die Datenschutzbeauftragten, die jetzt ein bisschen darauf gewartet haben, Datenschutzzertifizierung, auch dass man weiß, das ist jetzt nicht so, dass das Thema

00:28:41: wird nicht irgendwo liegen gelassen, sondern da gibt es eben

00:28:44: Punkte, die zu klären sind, Zuständigkeiten, die zu klären sind, wo vielleicht auch der deutsche Gesetzgeber gucken müsste, ob irgendwas ein bisschen klarer

00:28:53: geregelt wird im neuen BDSG, oder dass man das ja auch immer regelt.

00:29:00: Also aus meiner Sicht, dass auch da ein einheitlicher europäischer Weg sein sollte. Sicherlich dann die Aufsichtsbehörden, wenn es in anderen Ländern auch so ist, auch bei uns eigentlich das eigentliche GO geben sollten, aber da müssen wir schauen, was das deutsche Recht, was man sich da

00:29:17: dann überlegt. Und wir hoffen für alle Beteiligten, dass es die Datenschutzzertifizierungen möglichst bald gibt,

00:29:24: Von meiner Seite zum Schluss wie ist denn, Herr Kranig, ihre persönliche Beurteilung der Datenschutzgrundverordnung?

00:29:33: Die Wirtschaft ist ja manchmal doch einigermaßen kritisch eingestellt. Man kriegt immer noch Umfrageergebnisse per Pressemitteilung zugesandt, wo dann drinnen steht, nee wir haben das immer noch nicht richtig umsetzen können, da gibt's noch Unklarheiten.

00:29:47: Und da gibt's auch einige Kritik von Wirtschaftsverbänden. Ist davon etwas berechtigt oder wie ist Ihr persönlicher Eindruck von der Datenschutzgrundverordnung?

00:29:59: Ich bin vielleicht berufsmäßig befangen. Ich bin ein absoluter Fan der Datenschutzgrundverordnung und bin zunehmend begeistert, was den Verfassern dieses Norm tatsächlich da gelungen ist.

00:30:15: Die Kritik der Wirtschaft ja ist in manchen Bereichen verständlich.

00:30:24: Weil es doch auch heute noch immer wieder Punkte gibt, wo unklar ist, wie das zu verstehen ist.

00:30:31: Andererseits wenn ein neues Gesetz irgendwo auf den Markt kommt, das kann Europa sein, das kann Deutschland sein, das kann Bayern sein,

00:30:40: dann ist es immer mit ner gewissen Unsicherheit verbunden, was bedeuten die Vorschriften tatsächlich.

00:30:46: Im sonstigen Leben, in anderen Rechtsbereichen hat man die Möglichkeit durch die Ministerien

00:30:51: Rechtsverordnungen, Anwendungshinweise oder sowas zu erlassen, und klarzustellen. Das haben wir im Datenschutzrecht nicht, weil die Aufsichtsbehörden

00:31:00: kraft Europarechts unabhängig sind. Dh. da kann es das nicht geben, es sei denn, wir würden uns über den vorher  angesprochenen europäischen Datenschutzausschuss auf ein Vollzugsverständnis einigen.

00:31:14: Manche Kritik der Wirtschaft kann ich aber eher nicht verstehen, weil manches auch kritisiert wird, was es grundsätzlich schon immer gab und nie gemacht wurde, man jetzt der Datenschutzgrundverordnung in die Schuhe schiebt.

00:31:28: Was aber gar nicht stimmt, sondern schon Verpflichtungen waren, die einfach nicht erfüllt wurden. Wo ich jetzt

00:31:36: Probleme sehe, einfach im praktischen Leben, das ist so, was auch in unserem Erfahrungsbericht drinsteht, ist der tatsächlich gelebt Kohärenzmechanismus.

00:31:47: Wir stellen fest, dass viele Unternehmen, die mit der Verarbeitung personenbezogener Daten und ihr Geld verdienen,

00:31:56: Beispiel Facebook, und andere sich ihren Sitz aus steuerlichen und vielleicht auch sonstigen datenschutzaufsichtsrechtlichen Gründen nach Irland verlegt haben, und es vorher immer hieß

00:32:11: das Forum Shopping oder sowas spielt alles keine Rolle mehr, wir haben eine Verordnung, wo Europasitz hat, ist völlig egal, es gibt überall das gleiche Recht.

00:32:22: Das ist richtig, es gilt überall das gleiche Recht. Es wird aber nicht überall gleich vollzogen. Das haben wir heute noch so und

00:32:31: das ist für mich das Hauptproblem, dass wir eben dort, wo wir jetzt wirklich einen von Mangel

00:32:39: im Vollzug, und das ist konkret Facebook und Irland, sehen, dass wir das irgendwie besser in Griff kriegen können.

00:32:48: Dass andere Aufsichtsbehörden dann, wenn die zuständige nicht tatsächlich so reagiert, wie es der europäische Ausschuss das sich vorstellt, dass man dann eben noch andere Mittel findet, um auf diese Verantwortlichen zuzugreifen.

00:33:01: Wir haben in Deutschland eben jetzt,

00:33:04: wenn ich einfach nur das eine Beispiel Facebook-Fanpages ansehe, das Problem, dass wir sagen, ja so wie das momentan läuft mit der gemeinsamen Verantwortlichkeit,

00:33:13: kann kein Facebook-Fanpage-Anbieter seiner gesetzlichen Verpflichtung nachkommen, weil er nicht weiß, was sein "Partner" Facebook mit den Daten macht. Das heißt,

00:33:25: er kann die Rechenschaftspflicht nicht erfüllen.

00:33:29: Jetzt wäre es eigentlich sinnvoll, dass die zuständige Aufsichtsbehörde an Facebook herantritt und sie verpflichtet,

00:33:36: das offen zu legen, wenn das aber nicht passiert, dann heißt das eben, dann können wir nur in den anderen Mitgliedstaaten

00:33:45: Facebook-Fanpage-Betreiber "schlagen", und meinen aber letztendlich Facebook, weil wir an die nicht direkt rankommen.

00:33:56: Das wird so werden müssen, aber es ist eine Situatio,n die ich schlecht finde, und das wollte der Kohärenzmechanismus eigentlich auch anders haben,

00:34:05: aber das haben wir noch nicht geschafft, den wirklich so gut zum Laufen zu bringen.

00:34:11: das man im Ergebnis wirklich sagen kann, ist völlig egal, wo jemand seinen Sitz hat.

00:34:16: Überall gilt die Datenschutzgrundverordnung gleich und ist harmonisierend. Da ist noch ein gewisser Weg hin.

00:34:24: Ganz herzlichen Dank für Ihre Einschätzung und für ihre Stellungnahme dazu. Das ist immer wieder gut, wenn man bisschen hinter die Kulissen gucken kann, auch da die Sorgen und Schwierigkeiten, Herausforderungen der Aufsichtsbehörden sieht und das versteht,

00:34:42: was da eigentlich alles zu tun ist,

00:34:45: und gleichzeitig freuen wir uns schon darauf, wenn uns die AUfsichtsbehörden, so hoffen wir auch auf europäischer Ebene dann mit so einem Kriterienkatalog dann

00:34:54: später helfen, dass man die Datenschutzverletzungen besser einordnen und dann richtig melden kann, das wär auch auf jeden Fall ein sehr

00:35:02: praktischer wichtiger Punkte, der allen Hörerinnen und Hörern garantiert helfen wird.

00:35:07: Ich würd an dieser Stelle an meinen Kollegen noch mal zurückgeben und danke an der Stelle ganz herzlich lieber Herr Kranig für Ihre wertvollen Informationen.

00:35:19: Sehr gern. Ja dann sage ich auch vielen Dank, Oliver, vielen Dank Herr Kranig, bis jetzt. Von meiner Seite noch mal die Frage

00:35:29: viele spannende mögliche Vorschläge, eben die die Aufsichtsbehörden indem Erfahrungsbericht zusammengetragen haben.

00:35:38: Sie haben jetzt gesagt, das ist dann noch mal europäische zu harmonisieren und dann wird es erst der Kommission im Prinzip zugeführt.

00:35:47: Wie wahrscheinlich ist es, was denken Sie, welche Vorschläge dann Eingang in

00:35:54: diese etwaigen Änderungen, die dann vielleicht irgendwann möglich sind, finden werden? Wenn ich diese prophetische Gabe hätte,

00:36:04: würde ich Lotto spielen und wäre Millionär, nein, ich weiß es nicht, weil ich sagen kann,

00:36:13: es sind so ich vorher gesagt habe auch Themen, wo ich denke, ja das könnten wir im Vollzug das ein oder andere glattziehen, das wir es gar nicht brauchen.

00:36:22: Dass wir keine Gesetzesänderung brauchen, aber ich kenne noch nicht das, was die anderen Aufsichtsbehörden in Europa

00:36:30: als Beitrag liefern und dann zu sehen wie

00:36:35: passt das zusammen. Ich kann nur sagen, wenn wir uns anschauen, wie das Herr Schonschek vorher angesprochen hat,

00:36:42: diese Musterbeispiele für Datenschutz-folgenabschätzungen, die wir aus den einzelnen Mitgliedsstaaten bekommen haben.

00:36:50: Sie sind so unterschiedlich gewesen, das Verständnis so unterschiedlich, dass ich davon ausgehe, dass auch diese Erfahrungen jetzt mit der Grundverordnung extrem unterschiedlich werden.

00:37:01: Was davon tatsächlich einfließt, weiß ich nicht. Weil erst müssen wir immer sehen, was macht der Ausschuss damit, was gibt er dann an die Kommission weiter.

00:37:10: Und was überzeugt die Kommission, was sie dann tatsächlich in ihren Bericht mit aufnimmt, den sie dann eben dem Parlament und dem Rat abgeben muss.

00:37:19: Das bleibt spannend und ich bin auch interessiert, dann zu sehen, was tatsächlich jetzt dann Mitte oder Ende des Jahres von der Kommission veröffentlicht wird.

00:37:27: Genau dann wird man ja mehr sehen, was sich jetzt offenbar dann über mehrere Länder hinweg als als wichtiger Änderungsbedarf

00:37:36: angezeigt hat. Mit welchem

00:37:39: Zeiträumen muss man da rechnen, wann eine eventuelle Änderung der DSGVO denn denkbar wäre?

00:37:47: Klar, die Sachen, die Sie im europäischen Datenschutzausschuss harmonisieren und da auch schon machen können, das geht vermutlich schneller. Eine Änderung der DSGVO

00:37:59: könnte länger dauern, oder?

00:38:02: Ja, und wenn man zurückschaut und sagt, wie war der Prozess die Datenschutzgrundverordnung zu entwickeln, vorzustellen, zu verabschieden,

00:38:12: dann war das ein langer und ein sehr intensiver Prozess, weniger im Europäischen Parlament,

00:38:18: Was jetzt die unterschiedlichen Auffassungen betrifft aus dem Europäischen Rat, und ich gehe mal davon aus, dass die Kommission die ja

00:38:26: einzige ist, die ja den Vorschlag für die Änderung machen kann, das Paket, so will ich es mal nennen, zur Datenschutzgrundverordnung

00:38:34: nur dann wieder auf schnürt, wenn sie auch die Chancen sieht, dass tatsächlich etwas geändert werden kann und besser wird.

00:38:42: Ich schätze mal, insofern trau ich es mich mal da ein bisschen was zu sagen, dass also vor fünf Jahren

00:38:48: eine Änderung, außer vielleicht kleinen redaktionellen Sachen, eine Änderung auch bei Punkten, die wir vorgeschlagen haben, nicht Gesetz werden wird.

00:38:59: Mehrere wesentliche Personen haben immer wieder gesagt, die Datenschutzgrundverordnung ist gekommen um zu bleiben. Ich denke, das ist mal wieder so ein Zeitpunkt, wo man das sagen kann und wo wo auch klar wird,

00:39:15: Die Unternehmen können nicht damit rechnen, dass irgendwann was in ihrem Sinne angepasst, geändert, erleichtert wird. Es ist ein Gesetz da und das muss man erfüllen.

00:39:31: Ja. So ist es, ja.

00:39:33: Lieber Herr Kranig, vielen herzlichen Dank, vielen Dank für das Gespräch, vielen Dank für Ihre Bereitschaft sich unseren Fragen zu stellen, alles Gute Ihnen.

00:39:44: Vielen Dank auch für das Interesse an dem, was ich gesagt habe.

00:39:48: Und lieber Oliver, vielen Dank für die spannende Moderation, auch das war wie immer sehr gut, vielen herzlichen Dank! Ja, sehr gerne, hat mir auch sehr gut gefallen und wir

00:39:58: haben es gar nicht anders

00:39:59: erwartet, als dass Herr Kranig ein Anhänger, ja einen überzeugter Fan ist der Datenschutzgrundverordnung, aber es ist sehr schön das zu hören. Wir sind natürlich auch Anhänger der Datenschutzgrundverordnung.

00:40:15: Und auch mit allen Wehwehchen und Problemen, was man sich noch wünschen würde, es ist auf jeden Fall ein Meilenstein, und da freuen wir uns sehr, dass Sie

00:40:25: uns da noch mal Ihre Bewertung dazu gegeben haben und wichtige Hinweise geben, Dankeschön,

00:40:31: Liebe Hörerinnen und Hörer, auch Ihnen ein herzliches Dankeschön, ich hoffe, dass es Ihnen wieder gefallen hat und dass Sie auch unsere nächste Podcast-Folge wieder mitverfolgen.

00:40:41: Wenn Sie Fragen zum diesmaligen Thema, das wir hier mit Herrn Kranig besprochen haben, haben oder weitere Fragen, die wir stellen können in weiteren Podcast-Folgen, dann schreiben Sie uns doch einfach an

00:40:56: dsp@weka.de oder über andere Kanäle, wie Sie uns auch immer erreichen mögen. Vielen Dank für Ihr Interesse,

00:41:06: und bis zur nächsten Folge von Datenschutz-PRAXIS - der Podcast.