Wirtschaft trifft Aufsicht – Nachrichten von der BvD-Herbstkonferenz 2021
Datenschutz-Stadt München
„Wirtschaft trifft Aufsicht“ oder Aufsicht trifft Wirtschaft? Das Motto der Herbstkonferenz galt in jedem Fall dem großen Branchentreff des BvD e.V Ende Oktober.
Erstmals fand die Tagung in München statt, was – nebenbei gesagt – München in diesem Herbst zu DEM Datenschutz-Ort der Republik macht. Nach der IAPP-Tagung im September und vor der kurz danach folgenden IDACON Anfang November können sich nicht nur die Münchner Datenschutzinteressierten gerade monatlich in der bayerischen Landeshauptstadt zum Informationsgewinn und regen Austausch versammeln.
Schwierig für die, die sich für eine Tagung entscheiden müssen.
Bollwerk gegen den übergriffigen Staat
Dr. Stefan Brink und Michael Will wiesen in ihren Grußworten auf die, gerade in der Coronapandemie bewiesene Funktionsfähigkeit ihrer föderal angesiedelten Behörden hin. Datenschutz sei stark, weil die Aufsichten funktionieren, sei stark, weil die Behörden zur Verteidigung des Datenschutzes existieren. Denn Datenschutz sei mehr, als Cookie-Banner und Verarbeitungsverzeichnisse – viel mehr…..!
Als Keynote-Speaker nahm Prof. Nico Härting diesen Faden auf, um den Datenschutz als „unbequem“ zu positionieren. Neben dem jungen, unauffälligen Compliance-Datenschutz in den Unternehmen brauche es gerade heute vor allem auch den alten, kantigen Datenschutz zur Verteidigung der Grundrechte und der Freiheit. Es brauche den Datenschutz, der seine politische Rolle erfüllt und der Datensammelwut Grenzen setzt.
Herausforderungen im 4. oder 6. Jahr der DSGVO?
Die neue rechtliche Datenschutzgrundlage Europas hält im Jahr 2021 weiter ihren Einfluss auf außereuropäische Gesetzgebungen aufrecht. In den sich abzeichnenden neuen Datenschutzgesetzen in US-Bundesstaaten aber auch Japan, Korea, Brasilien, Afrika erkennen Dr. Brink und Prof. Ulrich Kelber Chancen auf internationale Abkommen.
Die Hoffnung: Eine Art „Data free flow with trust“-Bereich gegenüber den Autokratien China und Russland. Dafür ist an vielen Datenschutz-Baustellen auch innerhalb Europas und Deutschlands weiter zu arbeiten. Die elektronische Patientenakte in Deutschland, die nicht existierende Regulierung von KI, die mangelnde Durchsetzung des europäischen Datenschutzrechts gegenüber GAFA, aber auch kleinere, jedoch nicht minder schwierige Projekte wie ein Beschäftigtendatenschutz-Gesetz in Deutschland fordern die europäischen und deutschen Gesetzgeber wie auch die Aufsichtsbehörden auch im Jahr 6 (!) der DSGVO heraus.
Big Data in der Personalarbeit
Unterhaltsam und zugleich mit harten Fakten setzte sich Prof. Dr. Uwe P. Kanning mit der Frage auseinander, ob KI die Personalauswahl besser kann.
Kanning ging drei häufigen Angeboten von Big-Data-Anwendungen für die Personalauswahl auf den Grund:
- Persönliche Profile aus Internetdaten von Bewerbern,
- Persönlichkeitsprofile aus Sprachanalysen,
- Persönliche Profile aus der Analyse der Körpersprache.
Mit Hilfe empirisch belegter Erkenntnisse der Eignungsdiagnostik zeigte Kanning in wenigen Minuten, dass diese sogenannten „KI-Angebote“ keine bis allenfalls geringe Aussagekraft haben und somit ihr Geld nicht wert seien.
In einem daran anknüpfenden, ebenfalls sehr spannenden Vortrag diskutierte die Rechtsanwältin Nina Diercks, die mit Kannings Forschung bestens vertraut ist, die rechtliche Zulässigkeit von KI-gestützter Personalsoftware. Die typische Diskriminierung durch Algorithmen ist dabei recht einfach beurteilen: Sie ist unzulässig.
Wenn jedoch tatsächlich die Verhältnismäßigkeit auf Grund signifikanter Aussagen über die Eignung gewährleistet sei, dann kann auch aus Datenschutz-Sicht ein Einsatz rechtlich möglich sein. Dazu ist zunächst das Dilemma „KI-Algorithmus = Geschäftsgeheimnis“ zu lösen. Zwar rechnet Diercks damit, dass sich ähnlich anderer geschützter, dennoch zertifizierbarer Bereiche Kriterien entwickeln werden. Es bleibt jedoch das, öfters auf der Konferenz beklagte Problem, dass die DSGVO leider die Hersteller nicht in die Pflicht nimmt.
Zwischenstand zur Zertifizierung
Joachim Ries berichtete vor dem Hintergrund der eigenen Entwicklung eines Konformitätsbewertungsprogramms für den Datenschutz im Krankenhaussektor über den Stand der Akkreditierungsverfahren bei der DAkks. Derzeit laufen 9 Akkreditierungsverfahren, die maximal die Begutachtungsphase 4 von 6 erreicht haben. Eventuell ist mit ersten akkreditierten Zertifizierern im 1. Quartal 2022 zu rechnen. Weitere können noch im 1. Halbjahr 2022 folgen.
Als problematisch können die voraussichtlich hohen Kosten pro Zertifizierung angesehen werden, die laut Ries bei schätzungsweise 15.000 € und mehr pro Verfahren liegen können und die Zertifizierungen für kleinere Unternehmen unattraktiv machen können. Gegenüber den zertifizierbaren ISO-Normen hat ein DSGVO-Zertifikat zudem Nachteile: Es ist beschränkt auf den EU-/DSGVO-Raum. Und es umfasst nach Auffassung des Referenten nicht Managementsysteme, sondern allenfalls Produkte, Prozesse daraus.
TTDSG – Cookie-Opt-in jetzt richtig
Dr. Julia V. Pörschke stellte das neue TTDSG mit seinen Stärken und Schwächen vor. Wichtig sei die Frist zum 1.12., wenn das Cookie-Einwilligungsmanagement geprüft, Texte angepasst und die letzten Opt-Out-Relikte abgeschaltet sein müssen. Spannend sei außerdem der erweiterte Rahmen, der auch nicht-personenbezogene Daten in Betracht zieht: IoT und der Geräteschutz in Unternehmen kämen damit in den Fokus. Zur erwarteten PIMS-Regelung fehle derzeit noch die Rechtsverordnung mit den Details. Als Silberstreif am Horizont stellte Frau Pörschke die DSK-Arbeitshilfe zum TTDSG in Aussicht.
Vier Fachvorträge parallel – viel Datenschutz und die Qual der Wahl
Mit seinen fünf Wellen zu jeweils 4 parallelen Fachvorträgen bot die BvD-Herbstkonferenz zwar eine großartige Bandbreite an Themen und unterschiedlichen Referentinnen und Referenten, stellte jedoch die Teilnehmer und auch den Autor dieser Zeilen immer wieder vor die „Qual der Wahl“. Die Entscheidung war in der Regel nicht leicht zu treffen.
Beschäftigtendatenschutzgesetz: ja bitte?
In einer spannenden Podiumsdiskussion beharkten sich die zwei, einander gut bekannten Kontrahenten Prof. Dr. Peter Wedde und Roland Wolf dazu, ob es ein Beschäftigtendatenschutzgesetz nun brauche oder nicht. Wedde, auf Seite der Beschäftigten, führte die zahlreichen Anlässe für neue Gestaltungsbedarfe an, Impfstatus, Gesundheitsdaten, Software-Lösungen.
Dies alles erfordere ein echtes BeschDSDG. Wolf wies auf die vertane Chance einer europaweiten Regelung innerhalb der DSGVO an. Dennoch reiche § 26 BDSG aus. Eine weitere Regulierung sei abzulehnen. Dr. Brink schlug sich klar auf Seiten der Beschäftigten mit einem klaren Bekenntnis zu einer dringend nötigen, ausführlicheren rechtlichen Klärung des Beschäftigtendatenschutzes.
Wirtschaft fragt Aufsicht
In der abschließenden Frage-Runde konnte die „Wirtschaft“ in Person der anwesenden und online zugeschalteten Teilnehmer dann nochmal direkt die „Aufsicht“, vertreten durch Dr. Stefan Brink und Michael Will, treffen. Der am Freitag folgende Behördentag widmete sich wie gewohnt dem Datenschutz in öffentlichen Stellen.
Ein intensiver zweitägiger Austausch ging zu Ende. Neben den Themen bleiben die vielen Wiedersehen mit lieben Bekannten in Erinnerung – mit der Hoffnung auf ein baldiges Wiedersehen.
Das Programm der Konferenz mit allen spannenden Beiträgen und Referentinnen und Referenten sowie den Sponsoren, Ausstellern und Medienpartnern ist noch unter dem Link https://www.bvdnet.de/wp-content/uploads/2021/08/Programm-Flyer_BvD-Herbstkonferenz.pdf erreichbar.
