Die 45. Datenschutzfachtagung (DAFTA)

Die bITs GmbH war dabei!

20.11.2021

Seit 1977 führt die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) jedes Jahr eine Datenschutzfachtagung (DAFTA) durch. Diese Fachtagung ist in Deutschland wohl die bedeutendste Expertentagung zum Thema Datenschutz.

Die DAFTA war auch in diesem Jahr geprägt durch aktuelle und besonders praxisrelevante Themen, wie das Thema Onlinedatenschutz, internationaler Datentransfer und Schadensersatz für Datenschutzverletzungen.

Wir waren auf der 45. DAFTA dabei und möchten Ihnen über die wesentlichen Themen und die aktuellen Entwicklungen, die im Fokus der Experten standen, berichten.

Onlinedatenschutz nach neuem TTDSG sowie Stand des Trilogs bei der ePrivacy-Verordnung

Morgen (am 01.12.2021) wird das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft treten.

Die Regelungen des neuen Gesetzes betreffen nicht nur Telekommunikationsanbieter, sondern praktisch jedes Unternehmen oder auch jede öffentliche Stelle, die eine Internet-Website oder ein Intranet für die eigenen Beschäftigten betreibt. Denn bereits dann wird eine Stelle zum Anbieter von Telemedien im Sinne des TTDSG und muss alle Pflichten, die das Gesetz Telemedienanbietern auferlegt, beachten.

Auf der diesjährigen DAFTA berichtete Frau Renate Nikolay (Kabinettschefin der Vizepräsidentin der EU-Kommission Věra Jourová) über die Strategie der EU zur Datennutzung in Zeiten der digitalen Transformation. Sie und auch zahlreiche andere Expert*innen äußerten sich hinsichtlich der e-Privacy-Verordnung, die gegenüber nationalen Regelungen wie dem TTDSG eine spezialgesetzliche europäische Regelung darstellen sollte, dahingehend, dass es sehr fraglich wäre, ob es dieser datenschutzrechtlichen Spezialregelung überhaupt noch bedarf. Denn das Fehlen der ePrivacy-Verordnung wird (zumindest für Deutschland) durch die nationalen Regelungen im TTDSG gut kompensiert. Zudem seien die Verhandlungspositionen der Verhandlungspartner im Rahmen des Trilogs zur ePrivacy-Verordnung noch weit auseinander. Es sei nicht damit zu rechnen, dass Frankreich, das demnächst den Vorsitz im Rat der EU übernehmen wird, hier einen Schwerpunkt seiner Tätigkeit setzen wird.

Hinsichtlich der Umsetzung der Pflichten aus dem TTDSG wies Frau Kristin Benedikt, Richterin und Datenschutzbeauftragte am Verwaltungsgericht Regensburg sowie Mitglied des GDD-Vorstands, darauf hin, dass beim Thema Onlinedatenschutz insbesondere darauf zu achten sei, dass für jeden Onlinesachverhalt in der Praxis das anwendbare Recht genau ermittelt werden müsste. So kennt das TTDSG weder das Prinzip der Verantwortlichkeit noch die Drittlandübermittlung, wie sie in der DSGVO festgelegt werden. Damit ergeben sich je nach anwendbarem Gesetz auch unterschiedliche Pflichten.

Der Herr Rolf Bender vom Bundesministerium für Wirtschaft und Energie (BMWi), der auch als „Schmied des TTDSG“ bezeichnet wurde, informierte die DAFTA-Teilnehmer*innen insbesondere darüber, dass das Ministerium aktuell an der Rechtsverordnung zu § 26 TTDSG arbeite. Diese Verordnung soll eine Detailregelung für die neu geregelten „Dienste zur Einwilligungsverwaltung“ (die sogenannten PIMS) liefern. Solche Dienste sind sehr wünschenswert und würden dem „Bannerterror“ ein Ende bereiten. Allerdings sei mit der Verordnung nicht vor Herbst 2022 zu rechnen.

Über die wesentlichen Regelungen des TTDSG und darüber, welche Regelungen besonders praxisrelevant sind, haben wir übrigens bereits in der Vergangenheit hier und hier ausführlich berichtet.

Internationaler Datentransfer

Ein weiteres heißdiskutiertes Thema auf der diesjährigen DAFTA war das Thema des internationalen Datentransfers.

Nachdem das sogenannte Privacy Shield-Abkommen, welches als Rechtsgrundlage zur Datenübermittlung in die USA diente, durch den Europäischen Gerichtshof (EuGH) in seiner sogenannten Schrems II-Entscheidung für ungültig erklärt wurde, ergaben sich zahlreiche Umsetzungsfragen für die verantwortlichen Stellen. Bezüglich der Schrems II-Entscheidung des EuGH haben wir hier bereits ausführlich berichtet.

Der EuGH forderte, dass die Verantwortlichen eine Bewertung durchführen, ob die Rechte der betroffenen Personen im Drittland sichergestellt werden können und das jeweilige Drittland, in welches die Daten übermittelt werden, ein Datenschutzniveau hat, das einer Übermittlung in das jeweilige Drittland nicht entgegensteht. Gegebenenfalls ist zu prüfen, durch welche zusätzlichen Maßnahmen im Drittland ein dem Schutzniveau in der EU im Wesentlichen gleichwertigen Schutzniveau erreicht werden kann.

Sollte im Rahmen der Prüfung festgestellt werden, dass ein ausreichendes Datenschutzniveau durch Zusatzmaßnahmen nicht zu erreichen ist, dürfen die Daten in das betreffende Drittland nicht transferiert werden. Sofern durch zusätzliche Maßnahmen ein ausreichendes Datenschutzniveau erreicht werden kann, ist zu ermitteln, mit welchen Maßnahmen dieses Ziel erreicht werde kann. Diese Verfahren werden Transfer Impact Assessments (TIA) genannt und können sowohl unternehmensintern als auch extern, am besten durch Ihren Datenschutzbeauftragten, durchgeführt werden.  Dem TIA haben wir übrigens auch eine Folge in unserem Podcast gewidmet (TIA)

Nach Auskunft der Kabinettschefin der Vizepräsidentin der EU-Kommission, der Frau Nikolay, liefen die Verhandlungen mit den USA für ein Nachfolgeabkommen, welches das Privacy Shield ersetzen soll, jedoch gut. Die Verhandlungen könnten allerdings ins Stocken geraten, wenn zur Erreichung des angemessenen Schutzniveaus in den USA Gesetzesänderungen erforderlich würden, denn diese dürften viel Zeit in Anspruch nehmen.

Nach Auffassung des Landesbeauftragten für Datenschutz und Informationsfreiheit des Landes Baden-Württemberg (LfDI BW) Herr Dr. Stefan Brink wäre eine Vereinbarung zwischen der EU und den USA der einzige Ausweg aus der aktuellen, sehr unsicheren Situation, die sich als Folge der Schrems II-Entscheidung des EuGH ergeben habe. Er wies insbesondere darauf hin, dass die Transfer Impact Assessments sehr komplex und sehr teuer seien und von einem durchschnittlichen Unternehmen kaum zu leisten wären. Hier zeigt sich vor allem, dass die Aufsichtsbehörden die Probleme kennen und sich nicht nur als eine strafende, sondern auch helfende Instanz verstehen. So hat insbesondere der LfDI BW durch seine Orientierungshilfe dafür gesorgt, dass sich die Lage dort, wo es möglich ist, wenigstens etwas entspannt.

Schadensersatz für Datenschutzverletzungen

Ein weiteres brandaktuelles Thema auf der diesjährigen DAFTA waren die Entwicklungen und Praxisfragen im Zusammenhang mit den datenschutzrechtlichen Schadensersatzansprüchen aus Art. 82 DSGVO.  

Höchst umstritten ist hierbei nach wie vor die Frage, inwiefern Schadensersatz wegen der DSGVO-Verstöße auch bei Bagatellverletzungen zu leisten ist oder ob es eine Erheblichkeitsschwelle gibt, die überschritten sein müsste, damit ein datenschutzrechtlicher Schadensersatzanspruch überhaupt entsteht. Hier liegt das Problem vor allem darin, dass das deutsche Zivilrecht Ersatz für immaterielle Schäden nur dann gewährt, wenn es sich nicht lediglich um einen unerheblichen Schaden handelt. In der DSGVO findet sich eine solche Grenze jedoch nicht, so dass durch die Rechtsprechung zu klären wäre, inwiefern diese Grenze in die DSGVO „hineinzulesen“ wäre. Da die Gerichte in Deutschland hierzu unterschiedliche Auffassungen vertreten, muss auch diese Frage durch den EuGH geklärt werden. Es gibt aktuell entsprechende Vorlagen der Gerichte beim EuGH zu dieser und auch anderen Fragen im Zusammenhang mit dem datenschutzrechtlichen Schadensersatzanspruch, so dass in absehbarer Zeit mit mehr Klarheit bei diesen Fragen zu rechnen ist.

Im Rahmen seines sehr interessanten Praxisberichts berichtete der Herr Sebastian Schulz (HÄRTING Rechtsanwälte), dass sich je nach Fallkonstellation durchaus Muster bei den Schadensersatzforderungen erkennen lassen. Im Wesentlichen lassen sich dabei drei Gruppen unterscheiden, nämlich

  • die nachvollziehbaren Verfahren, bei denen die Forderung auf eine nachvollziehbare Begründung gestützt wird,
  • die Verfahren, bei denen durch nicht nachvollziehbare Begründung versucht wird, den datenschutzrechtlichen Schadensersatzanspruch als (regelmäßige) Einnahmequelle zu erschließen,
  • Verfahren, von Beschäftigten oder ehemaligen Mitarbeiter*innen, die nicht immer nachvollziehbar sind und eher als ein „Nachtreten“ anmuten.

Diese Unterscheidung können wir bestätigen, da wir diese Gruppen auch in unserer Beratungspraxis beobachten können. Letztlich lohnt es immer, stets den Einzelfall und die Begleitumstände zu betrachten, um diesen einer der oben genannten Gruppen zuzuordnen. Denn die Reaktionsstrategien sind je nach Gruppe sehr unterschiedlich und es gibt kein allgemeingültiges Verfahren zur Reaktion auf Schadensersatzforderungen.

Bezüglich der Probleme im Zusammenhang mit den datenschutzrechtlichen Schadensersatzansprüchen haben wir hier ausführlich berichtet.

Fazit

Die Beiträge und Diskussionen auf der DAFTA haben gezeigt, dass der Datenschutz zwar ein sehr fordernder Bereich der unternehmerischen Tätigkeit ist, jedoch keinesfalls in Frage gestellt werden und nicht als ein Hemmschuh verstanden und betrachtet werden sollte. Vielmehr ist er insbesondere für europäische Unternehmen als eine Chance zu sehen. Durch Beachtung der hohen Datenschutzstandards und durch datenschutzfreundliche Produkte und Leistungen ist es möglich, sich vom außereuropäischen Wettbewerb abzugrenzen, da dieser dem Datenschutz häufig nicht die notwendige Beachtung zukommen lässt. Gelebter Datenschutz wird dadurch zum Alleinstellungsmerkmal und kann zu mehr Marktmacht und -anteil führen. Hierbei können wir Ihnen gerne behilflich sein.

Benötigen Sie Unterstützung im Rahmen der Umsetzung der Pflichten aus dem neuen TTDSG oder bei Datenübermittlungen in ein Drittland? Rufen Sie uns an, wir helfen Ihnen gerne!