32. RDV-Forum: ein Tagungsbericht

Am 13.11.2013 fand im Maternushaus zu Köln unter der Leitung des Ehrenvorsitzenden des GDD Gesellschaft für Datenschutz und Datensicherheit  e.V. Prof. Peter Gola in seiner Funktion als Verantwortlicher Schriftleiter der Fachzeitschrift RDV das 32. RDV-Forum statt.

Unter dem Titel „Big Data für die Big Brothers – Staatliche Massenüberwachung innerhalb und außerhalb der Legalität“ erläuterte Dr. Thilo Weichert, Leiter des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), dass sich das ULD seit ca. einem Jahr sehr intensiv mit dem Thema Big Data befasse. Dabei stehe neben den Spielarten Online-Durchsuchung und Vorratsdatenspeicherung ganz allgemein das massenhafte Ausspähen von privaten Daten durch staatliche Institutionen im Fokus, nicht nur seitens der US-Amerikaner, sondern auch und insbesondere seitens des britischen Geheimdienstes GCHQ und der deutschen Nachrichtendienste. Massive Bedenken würden bei den unabhängigen Datenschützern bestehen im Hinblick auf das von allen Mitgliedsstaaten der EU abgegebene Bekenntnis zu Art. 8 der EU-Grundrechte-Charta. Dies sei insoweit zu betonen, als dass die US-Amerikaner aus einer deutlich anderen Verfassungstradition heraus handeln. In den USA sei der Schutz der Privatsphäre auch heute noch nicht ansatzweise ausgerichtet auf die technischen Möglichkeiten des 21. Jahrhunderts, weil jenseits des Atlantiks immer noch die „reasonable expectations of privacy“ den Maßstab bilden würden, obwohl US-amerikanische Rechtsgelehrte bereits in 1960-ern die Unzulänglichkeiten dieser Kurzformel analysiert und dagegen mit den Prinzipien argumentiert hätten, die dem kontinentaleuropäischen Verständnis des Datenschutzrechts seit der Richtlinie 95/46/EG immanent sind. Auf eine Nachfrage aus dem Zuhörerkreis führte Herr Dr. Weichert noch ergänzend aus, dass aus Sicht des ULD sinngemäß die „Geschäftsgrundlage“ für das Safe Harbor Abkommen mit der EU weggefallen sei. Dies sei mit „besonderer Aufmerksamkeit“ bei der Einführung neuer Verfahren zu berücksichtigen, z.B. bei MS-Office 365, welches als Cloud-Anwendung mit einem Transfer von Daten in die USA als unzulässig anzusehen sei. Unsere Berater hatten zum Thema Datentransfer in die USA bereits 2012 öffentlich ausgeführt, dass das Safe Harbor Abkommen mit dem Text der Richtlinie 95/46/EG nicht vereinbar ist und aufgezeigt, welche Lösungsmöglichkeiten das geltende Recht für die Bedürfnisse transatlantischer Beziehungen vorhält.

Rechtsanwalt Sebastian Schulz führte anschließend unter dem Titel „Datenschutz bei der Verarbeitung von Daten von Kindern – Rechtslage und Blick auf angedachte Regelungen“ zu den Gefahren von Big Data im Hinblick auf Minderjährige aus. Denn das geltende Recht, so sein für einige Zuhörer überraschendes Kernanliegen, schütze den Minderjährigen nicht mehr als den Volljährigen. Der Vortrag behandelte schwerpunktmäßig die Frage der Wirksamkeit der (datenschutzrechtlichen) Einwilligung durch Minderjährige am Beispiel der vertragsrechtlichen Situation bei Benutzung von sozialen Netzwerken und führte zu analogen Gedanken bezüglich der §§ 104 ff. BGB und § 19 StGB, §§ 3 , 105 JGG. Den datenschutzrechtlichen Erwägungen wurde eine Zweiteilung der Vertragslage vorgeschlagsweise zugrunde gelegt, die sich thematisch an der datenschutzrechtlichen (umstrittenen) Unterscheidung der Behandlung von einerseits Bestands- und Nutzungsdaten (TMG) und andererseits Inhaltsdaten (BDSG) orientiert. Abschließend wurde ein Ausblick auf den vor knapp einem Monat seitens des EU-Parlaments abgeänderten Vorschlag der Kommission zu Art. 8 der Datenschutzgrundverordnung gegeben, der  erstmals die Verarbeitung personenbezogener Daten von Kindern besonders berücksichtigt. Ob jedoch das Abstellen auf die Einwilligung durch die Eltern oder den Vormund des Kindes im Tatsächlichen wird umsetzbar sein, wurde allgemein bezweifelt.

Dr. Alexander Nguyen, der in der Vergangenheit nach Brüssel abgeordnet war und dort der Art. 29 Unterarbeitsgruppe angehörte, welche das Gesetzgebungsverfahren zur Datenschutzgrundverordnung begleitet, referierte anschließend – nun wieder als Mitarbeiter des Berliner Beauftragter für Datenschutz und Informationsfreiheit – zum aktuellen Stand des Verfahrens der Datenschutzgrundverordnung. Nach Vorstellung einiger Einzelheiten des Standpunktes des EU-Parlamentes resümierte er, dass das EU-Parlament durch den am 21.10.2013 fast einstimmig angenommenen Vorschlag des LIBE-Ausschusses jetzt „trilogfähig“ sei. Zum Beginn dieser als Trilog bezeichneten informellen Abstimmungen zwischen Kommission, Parlament und Rat fehle nun nur noch eine einheitliche Position des Rates. Im Einzelnen vorgestellt wurden abschließend die Hauptstreitpunkte, die in den bisherigen Beratungen des Rates zutage getreten waren. Hervorgehoben werden sollen hier insbesondere die Streitigkeiten über die unterschiedlichen Modelle bezüglich der Kompetenzen der Datenschutzaufsichtsbehörden. Dieser Punkt ist sehr neuralgisch im Hinblick auf die flächendeckend gleichmäßige Durchsetzung der – aufgrund der Form „Verordnung“ i.S.v. Art. 288 Abs. 2 AEUV – flächendeckend geltenden Regeln. Zur Diskussion stehen Modelle, die effektive Zwangsmittel zur Durchsetzung der Grundverordnung ausschließlich den jeweiligen Behörden eines einzelnen Mitgliedsstaates zusprechen wollen, so dass durch diese Hintertür wieder eine datenschutzrechtliche Zersplitterung droht, weil die gemeinsamen Regeln sodann unterschiedlich vollzogen werden könnten. Dies scheint den Vorbehalten der Mitgliedstaaten geschuldet, die zu weitgehende Eingriffe in ihre Souveränität befürchten.

Im Übrigen führten Frau Rechtsanwältin Yvette Reif, LL.M., zur „Aktuellen Rechtsprechung zum einwilligungsbasierten Marketing“, Herr Dr. Gerrit Forst zum „Whistleblowing und Datenschutz“ und der Notwendigkeit spezieller Regelungen, Herr Dr. Oliver Bungartz zu „Internen Kontrollsystemen im Personalwesen“ und abschließend Herr Prof. Dr. Gregor Thüsing, LL.M., zu „Mitarbeiterbefragungen im Rahmen der Durchführung des Beschäftigungsverhältnisses“ vor dem besonderen Hintergrund der aus sozialen Netzwerken zu generierenden Big Data Analysemöglichkeiten aus.