Gratis
18. Juni 2019 - KI und DSGVO – es gäbe viel zu tun für DSBs – wenn sie noch gewollt sind

Viel zu tun für Datenschutzbeauftragte – wer soll es sonst machen?

Drucken

Zukunft mit oder ohne DSB, Volksverschlüsselung für alle, Datenschutz-Folgenabschätzung … Der BvD hatte unter dem Motto „Künstliche Intelligenz und die DSGVO – (k)ein Konflikt?“ zu seinen Verbandstagen geladen. Trotz des engen Fokus wurde die ganze Bandbreite des betrieblichen Datenschutzes sichtbar. Unser Produktmanager für den Bereich Datenschutz, Severin Putz, war vor Ort.

Vorsitzender Thomas Spaeign begrüßt die Teilnehmer der BVD-Verbandstagung 2019 Thomas Spaeing (Vorsitzender) begrüßt die Teilnehmer zu den BvD-Verbandstagen 2019 (Bild: BvD e.V. / Dirk Laessig)

Nur wenige Tage vor der Gründung des neuen EU-Dachverbands für Datenschutzbeauftragte begrüßte Vorstandsvorsitzender Thomas Spaeing Mitglieder und Interessierte zu den Verbandstagen des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. vom 4. bis 6. Juni 2019 in Berlin.

Bennenungspflicht soll bleiben

Neben dieser erfreulichen Nachricht und einem veritablen Grund zum Feiern – der BvD wird dieses Jahr 30 – ­nahm er vor allem zu den jüngsten Agitationen gegen die umfassende Benennungspflicht Stellung.

Gemeinsam mit Ulrich Kelber, dem Bundesdatenschutzbeauftragten, der in seiner Abschlussrede am 6. Juni mitreißend ins gleiche Horn stieß, versprach er den anwesenden Datenschutzbeauftragten (DSB), in der Information und Argumentation gegenüber der Politik nicht nachzulassen und so die drohende „Austrocknung“ des betrieblichen Datenschutzes zu verhindern.

Konkretes aus der Politik

Auch SPD-Abgeordnete Saskia Esken, bereits wiederholt auf Veranstaltungen des BvD anzutreffen, vertrat diese Position in einer sympathischen, kompetenten, aber leider zu kurzen Rede.

Esken ist selbst Mitglied des Innenausschusses, der Datenethikkommission der Bundesregierung sowie der Enquete-Kommission „Künstliche Intelligenz – Gesellschaftliche Verantwortung und wirtschaftliche, soziale und ökologische Potenziale“.

Gerne hätten die Anwesenden noch mehr und Konkreteres gehört, auch über ihre Einflussmöglichkeiten im Innenausschuss hinsichtlich der Benennungspflicht. Dies ließ leider ihre verfügbare Zeit nicht zu.

Karsten U. Bartels über das neue Geheimnisschutzrecht

Spannend, thematisch verwandt, jedoch fraglich, ob neben dem Datenschutz für DSBs zu stemmen: das neue Geheimnisschutzrecht (GeschGehG = Gesetz zum Schutz von Geschäftsgeheimnissen).

Karsten U. Bartels stellte jedenfalls in einem kurzweiligen Vortrag vor, welches eine mögliche Rolle des DSB bei der Umsetzung des GeschGehG sein könnte.

Das neue Gesetz sei ein „messerscharfes Schwert“ – wenn man denn die erforderlichen Schutzkonzepte und Geheimnisschutzmaßnahmen einhalte. Nur dann ließen sich Geschäftsgeheimnisse wirksam verteidigen.

Hier ist zugleich der engste Zusammenhang zum Datenschutz zu finden: in den technisch-organisatorischen Maßnahmen.

Geheimnisschutz vs. Auskunftsrecht

In folgenden Punkten werden Datenschutz und Geheimnisschutz keine Freunde, so stellten es auch die Teilnehmer in der anschließenden Diskussion fest: beim Auskunftsrecht und bei der Datenübertragbarkeit.

Zu groß sind die Risiken beispielsweise für Datenbankstrukturen, die bei bestimmten Datenschutz-Anfragen fast zwangsläufig mit ausgegeben werden müssten.

Und das, obwohl sie doch zugleich die mit am strengsten gehüteten Geschäftsgeheimnisse in vielen Branchen sind.

Die Praxis und die Gerichte müssen hier in der Zukunft Wege der rechtssicheren Umsetzung beider Ansprüche aufzeigen.

Bruno Rodrigues nimmt die Verantwortlichen in die Pflicht

Bruno Rodrigues, stellvertretend für die APDPO PORTUGAL Associação dos Profissionais de Proteção e de Segurança de Dados, Gründungsmitglied des neuen Dachverbands, gab Einblicke in die bereits mit 1975 früh begonnene, und doch irgendwie stecken gebliebene Datenschutz-Durchsetzung in Portugal.

Er brachte einmal mehr das Problem der Datenbanken, die scheinbar keinen Zuständigen mehr kennen, für die sich niemand verantwortlich fühlen möchte, zur Sprache.

Mit der klaren Forderung nach einem Owner, einem Zuständigen für jede Datenbank, nahm er die Verantwortlichen in die Pflicht.

Nach Rodrigues wäre Portugal für den Datenschutz ein großer Markt. Problem: Keiner möchte für den Datenschutz Geld ausgeben.

Nichts Neues zu e-Privacy

Leider keine Neuigkeiten gibt es zur e-Privacy-Verordnung. Achim Klabunde, Mitarbeiter des europäischen Datenschutzbeauftragten (EDSB), berichtete von der Blockade-Haltung der deutschen Bundesregierung gegenüber der bereits seit Januar 2017 im Gesetzgebungsverfahren befindlichen Norm.

Neben ETIAS, ECRIS, biometrischer e-Ausweis, e-evidence und US-Cloud-Act beschäftigt sich der EDSB derzeit mit der Akkreditierung und Zertifizierung des Datenschutzes.

Unverständnis über Microsoft -Verträge

Für allgemeines Kopfschütteln bei den vielen rechtskundigen Anwesenden sorgte Klabundes Bericht über die Überprüfung von Microsoft-Verträgen.

Darin habe sich Microsoft allen Ernstes einseitige nachträgliche Vertragsänderungen vorbehalten. Kaum vorstellbar, und doch von vielen Verantwortlichen unterschrieben.

Von Austausch und Diskurs geprägt

Nicht zu kurz kamen die Pausen, die die Anwesenden intensiv zum Netzwerken und zum Auffrischen alter und Knüpfen neuer Freundschaften nutzten.

Eine lebhafte Diskussion entspann sich am spannenden Vortrag „Datenschutz by Design & by Default“ von Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein.

Nach kurzer Klarstellung der erweiterten Rechtsgrundlagen innerhalb der Datenschutz-Grundverordnung (DSGVO) für Design und Default kam Hansen schnell auf die psychologischen Hintergründe von „Dark Patterns“ zu sprechen.

Klicken und klicken und klicken und klicken und … ok, Einwilligung erteilt.

Kann das eine gültige und bewusste Zustimmung sein? Schnell wird klar, Design und Gestaltung sind mehr als nur Technik. Und Datenschutz muss folgerichtig mehr als Datensicherheit sein.

DSGVO-Pflichten für eigene Produkte

Entsprechend fragten die Teilnehmer, welche Informationspflichten Hersteller für die eigenen Produkte hinsichtlich z.B. der Sendung und Auslesung von Telematik-Daten hätten: Die klare Antwort hierauf war: alle gemäß DSGVO-relevanten Pflichten.

Jeder entlang der Lieferkette ist in der Pflicht, den Datenschutz zu beachten und entsprechend zu informieren und vor allem vorzubeugen.

Gleichwohl dürfen Datenschutz-Funktionen, man denke an die Nachrüstung von Löschfunktionen in ERP-Software, gegen Geld angeboten werden.

Den Datenschutz von Anfang an mit ins Boot holen

Was Privacy by Design in der Entwicklung digitaler Produkte bedeutet, machte Peter Schmidt, Manager Digital Product Security, ditis – The Security Company, im Event-Raum 3 verständlich.

Sein Ansatz: Der Datenschutz muss am Anfang der Entwicklung mitgedacht werden. Viel zu häufig wird der Datenschutzbeauftragte im Test kurz vor Markteinführung hinzugezogen – mit all den teuren oder negativen Folgen.

Gefährdet seien hier vor allem traditionelle Hersteller und Produzenten, die ihre Produkte nun zunehmend digitalisieren.

Der Datenschutz müsse in Form der nötigen Prozesse und Richtlinien bereits „in die PE-Tools, wie Jira & Co., hineinformuliert werden“, so Schmidt.

Idealerweise tun sich DSB und Vertriebler, die bereits häufig nach der DSGVO-Konformität ihrer Produkte gefragt werden, zusammen und üben sozusagen von beiden Seiten Druck auf den Verantwortlichen aus – in seinem eigenen Interesse. Schließlich kann es ihm an den Geldbeutel gehen.

Verleihung des DAME-Awards 2018

Den fulminanten Abschluss eines spannenden Datenschutztags bot die Gala-Veranstaltung mit der Verleihung des DAME-Awards 2018.

Die drei Preisträger trafen mit ihrem professionellen Herangehen an das Thema Datenschutz gleichermaßen den Nerv ihrer jungen Zielgruppe wie auch den von Jury und anwesendem Fachpublikum.

Mit 39 Bewerbungen ist der Preis ein toller Erfolg für den Datenschutz und dieses junge Format der Vermittlung von Awareness und Privacy.

Volksverschlüsselung des Fraunhofer-Institut

Am zweiten Kongresstag nahm vor allem das Angebot „Volksverschlüsselung“ des Fraunhofer-Instituts für Sichere Informationstechnologie Fahrt auf.

Viele Teilnehmer nutzten die unkomplizierte Vor-Ort-Registrierung und sicherten sich so ein privat-persönliches oder gleich das angebotene Firmen-Zertifikat.

Datenschutz spannend vermitteln

Mit Stefan Purder, Konzerndatenschutzbeauftragter Xella International GmbH, stellte ein echter Experte auf dem Gebiet von Schulung, Vermittlung und Awareness vor, wie Datenschutz das Gegenteil von „langweilig“ sein kann.

Der Risikobegriff in der Datenschutz-Folgenabschätzung

Parallel dazu widmete sich Andreas Sachs, Stellvertreter der Präsidenten des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), einem der Schwerpunktthemen des zweiten Tages, der Datenschutz-Folgenabschätzung (DSFA). Er kam gleich auf eine häufig anzutreffende Problematik beim Risikobegriff zu sprechen.

Unternehmen kennen Risikomanagement, betrachten hierbei jedoch stets die Risiken für das Unternehmen selbst. Beim Datenschutz geht es jedoch um die Risiken für jeden einzelnen Betroffenen.

Nicht ganz einer Meinung werden die umsetzenden Datenschutzbeauftragten mit der Vorstellung gewesen sein, am Ende der DSFA liege ein Dokument von ca. 70 Seiten vor einem. Viele werden hier einen „schlankeren“ Weg wählen.

Mit dem folgenden Vortrag seiner Kollegin Katja Horlbeck, Referat Beschäftigtendatenschutz beim Hessischen Datenschutzbeauftragten, trat Sachs‘ Vortrag hinsichtlich der Risikoformel in die Diskussion ein.

Wenn Sachs die Eintrittswahrscheinlichkeit „in Beziehung zur“ Schadensauswirkung setzt, vertritt Horlbeck hier die „Addition“ der beiden Werte. Im klassischen Risikomanagement werden die Werte hingegen multipliziert.

Zwar mag das Argument gelten, dass nicht alle Schadensauswirkungen, vor allem die Immateriellen, klar bezifferbar sind. Dennoch kann es Sinn machen, passende Zahlen zu finden, schon um die einzelnen Risiken priorisieren zu können.

Es bleibt spannend um die praktische Umsetzung der DSFA.

Eine gelungene Veranstaltung

Unterstützt von Partnern und Ausstellern hat der BvD auch 2019 wieder einen informativen und unterhaltsamen Rahmen für Austausch und Netzwerken unter den Datenschutzbeauftragten geschaffen.

Bleibt zu hoffen, dass die anstehenden Verhandlungen um die Benennungspflicht zugunsten des BvD und der Datenschutzbeauftragten ausgehen.

Severin Putz
Produktmanager Datenschutz
Datenschutz PRAXIS und WEKA MEDIA
Datenschutzbeauftragter (IHK)