zurück zur Übersicht

Danke Facebook!

„Danke Facebook!“ So könnte man das Fazit der Datenschutzkonferenz 2018, ausgerichtet von Handelsblatt Fachmedien und der Zeitschrift Datenschutz-Berater, zusammenfassen.

Dass das Thema Datenschutz für nicht Fachleute schon immer ein sperriges Thema war, lässt sich nicht von der Hand weißen. Zwei Faktoren führen jedoch zu einer verstärkten Wahrnehmung: Zum einen, dass am 25. Mai nach einer zweijährigen Übergangsfrist die neue europäische Datenschutzgrundverordnung (EU-DSGVO oder DS-GVO) in Kraft tritt und somit jedes Unternehmen sich mit den Vorgaben schon länger beschäftigt, zum anderen aber der jüngste Datenskandal um Facebook und Cambridge Analytica, der vor allem bei der breiten Bevölkerung zu einer verstärkten Wahrnehmung des Datenschutzes führte.

Danke Facebook, so hat es Andrea Voßhoff, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit bei ihrem Vortrag dann auch treffend zusammengefasst. Ohne den jüngsten Datenskandal und die weitreichende Berichterstattung wäre die öffentliche Wahrnehmung zum Thema Datenschutz nach wie vor nicht so ausgeprägt. Trotz allem muss man das Thema auch differenziert betrachten. Natürlich ist die politische und öffentliche und Aufregung nun groß, aber wirklich überraschend ist es nicht. Wie naiv muss der Anwender sein, wenn er davon ausgeht, dass ein global verfügbarer und kostenloser Dienst nicht versucht mit den Daten seiner Nutzer Geld zu verdienen. Und wer hat die Daten überhaupt bei Facebook eingegeben? Von allein sind sie da nicht hingekommen. Hat nicht jüngst der Hauptgeschäftsführer des deutschen Städte- und Gemeindebunds Gerd Landsberg gefordert, dass die Kommunen die Daten ihrer Bürger (immerhin anonym) verkaufen sollen, da man auch in der Politik langsam erkennt, dass Daten das neue Öl sind?

Doch konzentrieren wir uns wieder auf die Datenschutzkonferenz 2018, die Mitte April in Düsseldorf stattgefunden hat. Die zweitägige Veranstaltung war gespickt mit interessanten Vorträgen, Diskussionen und Break-Out Sessions, die alle von überaus erfahrenen Referenten gehalten wurden. Es war ein informatives und für das Thema durchaus unterhaltsames Event mit vielen praktischen Hinweisen, in dem Redner aus Politik, Wirtschaft, Aufsichtsbehörden und der Lehre ihre Ansichten und Einblicke Rund um das Thema Datenschutz und insbesondere die Umsetzung der Anforderungen aus der DS-GVO zum Besten gaben.

Viele Praxisberichte zur Umsetzung der Datenschutzregeln gaben einen Einblick, wie große Unternehmen die Umsetzungsprojekte angegangen haben und wo sie in diesen aktuell stehen. Interessant ist in diesem Zusammenhang, dass keines der anwesenden Unternehmen es bis zum 25.Mai schaffen wird, compliant mit den Anforderungen der DS-GVO zu sein. Wohl aber wird eine gewisse readiness erreicht werden. Sowohl Andrea Voßhoff als auch Andreas Sachs, vom Bayrischen Landessamt für Datenschutzaufsicht hat die Anwesenden dann auch in gewissem Maße dahingehend beruhigt, dass die Aufsichtsbehörden am 26. Mai nicht beginnen werden, Mahnbescheide zu verschicken und intensive Prüfungen vorzunehmen. Es werden aber Auskunftsverfahren und Rückfragen eingeleitet werden, die jedoch nicht neu sind, sondern zum normalen Tagesgeschäft der Behörden gehören.

Und was heißt denn eigentlich „neu“: Prof. Dr. Thüsing, Direktor des Insituts für Arbeitsrecht und Recht der Sozialen Sicherheit an der Universität Bonn hat in seinem Vortrag zu den Neuerungen im Beschäftigtendatenschutz ausgeführt, dass das Grundrecht auf Privatsphäre nicht neu ist, sondern sich in alten Kirchengesetzen bereits beim Beichtgeheimnis finden und an der Universität Harvard von S. Warren und L. Brandeis bereits 1890 das Recht auf Privatsphäre eingeführt wurde.
Darüber hinaus gibt es in Deutschland seit 1977 das Bundesdatenschutzgesetz, das bis heute gilt und dessen Anforderungen ebenfalls seit dieser Zeit anzuwenden sind.

Weitere Vorträge und Vertiefungs-Sessions haben sich sehr praxisnah mit den Themen
• das Verfahrensverzeichnis 2.0
• Anforderungen der erweiterten Betroffenenrechten
• Fragen zur Haftung bei Datenschutzfehlern
• verschärften Rechenschaftspflichten
• Datenschutz-Folgeabschätzung in der Praxis
• Datenschutz und die Realität von Social Media
• Datenschutz als zentrales Compliance Thema
• KI & Blockchain als neue Herausforderungen für den Datenschutz
sowie der Frage, was Aufsichtsbehörden können, dürfen und letztlich machen, beschäftigt.

Viele Pausen wurden zur vertiefenden Diskussion genutzt, wobei ich hier zu meinem Erstaunen feststellen musste, dass ich als eher technisch geprägter und lösungsorientierter Consultant mit den leider oftmals realitätsfremden Forderungen der DS-GVO und den Ansichten mancher Datenschützer nicht wirklich einer Meinung bin, vor allem wenn es um technische oder organisatorischen Maßnahmen (TOM) geht. Daten von einem WORM Speicher zu löschen geht per Definition nicht (weiteres Stichwort: Revisionssicherheit bei elektronischer Archivierung). Auf der anderen Seite muss man der neuen Anforderungen zugutehalten, dass ein Löschen durch sperren des Zugriffs, wie er in Löschkonzepten oft angedacht wird, zukünftig nicht mehr zulässig ist. Kommentar von Andreas Sachs: „Löschen bedeutet löschen“.

Was bleibt am Ende? Die Umsetzung der DS-GVO Anforderungen wird uns noch viele Jahre beanspruchen. Nachdem nun in vielen Unternehme die notwendige Transparenz über die relevanten Verarbeitungsprozesse herrscht, wird die Einführung und Durchsetzung technisch-organisatorischer Maßnahmen zur Überwachung und Feststellung von Datenschutzverstößen aber auch die Abbildung notwendiger Prozesse wie z.B. Auskunftsprozesse noch einige Zeit in Anspruch nehmen. Auch darf gespannt verfolgt werden, wie sich die föderalen Aufsichtsbehörden in Deutschland weiter positionieren und was von der neu zu schaffenden Europäischen Datenschutzbehörde zu erwarten ist.

Allen Unternehmen, Kleinbetrieben, Vereinen etc. die das Thema DS-GVO bisher nicht auf der Agenda hatten und nach wie vor nicht wissen, wie sie sich der Aufgabe nähern sollen ein gut gemeinter, praktischer Rat: konzentrieren Sie sich auf die öffentlich zugänglichen Informationen. Erstellen oder überarbeiten Sie ihre Datenschutzerklärung und dokumentieren sie die Verfahren, bei denen personenbezogene Daten erhoben und verarbeitet werden. Dann gehen sie den umfänglichen Rest an, vor allem aber, holen Sie sich professionelle Hilfe, die z.B. von Verbänden, Kammern oder Dachorganisationen zur Verfügung gestellt werden. Das Bayrische Landesamt für Datenschutzaufsicht selbst hat ein Infopapier für Kleinunternehmen und Vereine herausgegeben und stellt am Beispiel eines Handwerksbetriebs dar, wie ein Verzeichnis von Verarbeitungstätigkeiten aussehen kann.

Fun Facts am Rande, die im Kontext Datenschutz zum Nachdenken anregen sollten:
• Mit Verkündung des WLAN Passworts vom Hotel werden eifrig Laptops, Mobiltelefone und Tablets mit dem Netz verbunden, der schlaue Teilnehmer war schon online – es gab kein Passwort
• Arbeitswillige Teilnehmer waren teilweise so in ihre Tabellen und Dokumente vertieft, dass gar nicht aufgefallen ist, dass der Privacy Filter nicht am Bildschirm war
• Bei vielen Teilnehmern konnte beobachtet werden, wie permanent Facebook, WhatsApp und andere Social Network Dienste benutzt wurden – es ist noch ein langer Weg. Danke Facebook!

 


Bild: ©SecureLink Germany GmbH 2018

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer