Am 20.11.2019 fand im Maternushaus zu Köln das 38. RDV-Forum statt. Durch die Veranstaltung führte Prof. Peter Gola, Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und Chefredakteur der RDV. Der Vormittag der Veranstaltung war im Schwerpunkt Themen rund um den betrieblichen bzw. behördlichen Datenschutzbeauftragten gewidmet.
Zunächst sprach die stellvertretende Geschäftsführerin der GDD RAin Yvette Reif, LL.M. über die risikoorientierte Aufgabenwahrnehmung durch Datenschutzbeauftragte. Dabei hielt sie fest, dass sich der risikobasierte Ansatz nicht nur an den Verantwortlichen und die Fachabteilungen richtet, sondern eben auch für den DSB gilt. Dieser sollte besonders kritische Verarbeitungstätigkeiten in den Fokus seiner Tätigkeit legen. Bei der Beurteilung der Risikoträchtigkeit von Verarbeitungen seien insbesondere die Risiken für Rechte und Freiheiten der betroffenen Person entscheidend, so Reif. Dem Wortlaut nach sei Art. 39 Abs. 2 DS-GVO aber nicht auf Risiken für betroffene Personen beschränkt, so dass auch wirtschaftliche Risiken für den Verantwortlichen zu berücksichtigen seien, wie z.B. Reputationsschäden, Bußgelder, Schadensersatz etc.
Prof. Dr. Lorenz Franck referierte zu den Spezifika des Rechts des behördlichen Datenschutzbeauftragten. Dabei ging er u.a. auf die Benennung von stellvertretenden Datenschutzbeauftragten, die Benennung mehrerer Datenschutzbeauftragter, die Benennung eines gemeinsamen Datenschutzbeauftragten für mehrere öffentlichen Stellen und den Einsatz von externen Dienstleistern ein. Ein weiterer wichtiger Punkt war die Stellung des behördlichen Datenschutzbeauftragten. Franck beleuchtete die Ermittlung des notwendigen Zeitbudgets für die DSB-Tätigkeit und zeigte als eine Möglichkeit eine Berechnungsformel des LfDI Rheinland-Pfalz auf. Abschließend thematisierte er die Aufgaben des behördlichen Datenschutzbeauftragten und stellte fest, dass die gesetzlichen Standardaufgaben in DS-GVO, JI-Richtlinie und BDSG weitgehend identisch sind. Gesetzliche Sonderaufgaben finden sich in den Landesdatenschutzgesetzen und in den Spezialgesetzen wie bspw. dem BKA-Gesetz.
Rechtsanwalt Steffen Weiß, LL.M., GDD e.V., wandte sich der internationalen Seite des Datenschutzbeauftragten zu und stellte diesen in den europäischen Vergleich. Lediglich sieben Mitgliedstaaten hätten Konkretisierungen bzw. Erweiterungen zur Benennungspflicht gemäß Art. 37 DS-GVO in ihren nationalen Regelungen vorgenommen. Weiß betonte, dass Datenschutzbeauftragte unabhängig ihrer Nationalität für eine Unternehmensgruppe benannt werden könnten. Ausführlich stellte Weiß sodann den französischen (CNIL) bzw. spanischen (AEPD und ENAC) Ansatz zur Zertifizierung von Datenschutzbeauftragten dar.
Rechtsanwalt Dr. Carlo Piltz referierte zum Thema „Der Datenschutzbeauftragte – Anwalt, Berater, Haftungsobjekt“. Er warf die Frage auf, ob die Datenschutz-Folgenabschätzung bzw. das Führen des Verzeichnisses der Verarbeitungstätigkeiten dem Datenschutzbeauftragten übertragen werden dürfen und stellte Pro und Kontra gegenüber. Zum Thema Haftung führte Piltz aus, dass zwischen vertraglicher, deliktischer und weitergehender Haftung zu unterscheiden sei. Vertraglich hafte der interne DSB nach den Grundsätzen der beschränkten Arbeitnehmerhaftung. Eine deliktische Haftung komme nur in Frage, wenn eine Datenschutzverletzung konkret auf ihn zurückzuführen sei, wie bspw. bei aktiver Falschberatung. In der Praxis scheitere es allerdings oft an der Nachweisbarkeit der Kausalität der Falschberatung für den Datenschutzverstoß. Eine Haftung aus Unterlassen scheide wegen der nicht vorhandenen Verhinderungspflicht aus. Zum Schluss seines Vortrages ging Piltz auf die aktuelle Rechtsprechung des BGH zum Rechtsanwalt als Datenschutzbeauftragten ein. Danach steige beim Anwalt das Haftungsrisiko, wenn er als DSB tätig wird.
Diskussionsrunde zum Verhältnis von Datenschutzbeauftragtem und Betriebsrat
In einer Diskussionsrunde befassten sich Gola, Reif, Franck und Piltz zum Abschluss des Vormittages mit dem Verhältnis von Datenschutzbeauftragtem und Betriebsrat und insbesondere der Frage, ob der Betriebsrat ein eigener Verantwortlicher i.S. der DS-GVO ist. In der Praxis werde das Problem häufig von der Rechtsfolgenseite und mit der Intention diskutiert, unliebsame Konsequenzen zu vermeiden, insbesondere eine eigene Verpflichtung des Betriebsrats zur Benennung eines Datenschutzbeauftragten. Für eine datenschutzrechtliche Eigenständigkeit spreche insbesondere die betriebsverfassungsrechtliche Unabhängigkeit des Betriebsrats. Eine praxistaugliche Lösung, so Gola, könne darin bestehen, dass Betriebsrat und Geschäftsleitung sich auf einen Datenschutzbeauftragten verständigen und diesen zusätzlich zu den DS-GVO-Vorgaben auf die Vertraulichkeit der Betriebsratstätigkeit verpflichten.
Am Nachmittag befasste sich Prof. Dr. Jürgen Taeger zunächst mit dem Thema Data Breach Notification. Verantwortliche Stellen sollten ein Managementsystem für die geforderten Melde- und Informationspflichten schaffen und dieses in ein vorhandenes Risikomanagementsys-tem integrieren. Erforderlich seien auch vertragliche Regelungen mit Auftragsverarbeitern und gemeinsam Verantwortlichen zur Sicherstellung eines reibungslosen Informationsflusses. Zudem betonte Taeger die Wichtigkeit der Einbeziehung des Datenschutzbeauftragten sowie des Rückgriffs auf externe Rechtsberatung oder die interne Rechtsabteilung.
Prof. Dr. Gregor Thüsing, LL.M. (Harvard) brachte mit seinem Vortrag zum neuen Geschäftsgeheimnisschutzgesetz eine neue Seite des Datenschutzes in die Vortragsreihe. Er führte die Zuhörer durch die wichtigsten Regelungen dieses neuen Gesetzes, welches auf den Schutz von aus wirtschaftlicher Sicht schützenswerten Unternehmensinformationen abstellt. Thüsing stellte u.a. die Regelung zum Whistleblowing vor, die unter Umständen auch die Offenlegung von Geschäftsgeheimnissen rechtfertigen kann. Der Geschäftsgeheimnisschutz habe auch datenschutzrechtliche Implikationen, so Thüsing. So müssten durch Auskunft bzw. Kopie nach Art. 15 DS-GVO keine Geschäftsgeheimnisse enthüllt werden. Die Unternehmensinteressen überstiegen insofern regelmäßig die Interessen des Betroffenen auf Auskunft.
Ausblick auf die ePrivacy-VO
Kristin Benedikt, Bayerisches Landesamt für Datenschutzaufsicht, gab einen Ausblick auf die ePrivacy-VO und gab Handlungsempfehlungen für die Umsetzungszeit. Eine praxisrelevante Frage sei in diesem Zusammenhang insbesondere die Frage nach der Zulässigkeit der Verarbeitung von Informationen auf Endeinrichtungen der Nutzer, z.B. in Form von Cookies. Mit der geplanten ePrivacy-VO sollten solche Datenverarbeitungen unabhängig von ihrem Personenbezug reguliert und die Integrität von Endgeräten allgemein geschützt werden, so Benedikt. Für die Übergangszeit bis zum Inkrafttreten der ePrivacy-VO richte sich die datenschutzrechtliche Beurteilung von Tracking-Verfahren nach Art. 6 DS-GVO. § 15 Abs. 3 TMG sei aus Sicht der Aufsichtsbehörden nicht mehr anwendbar. Prof. Dr. Rolf Schwartmann, Vorstandsvorsitzender der GDD e.V., stellte zum Abschluss des RDV-Forums wichtige Aspekte des Gutachtens der Datenethikkommission (DEK) vor und ging dabei speziell auf den Bereich der Künstlichen Intelligenz im Unternehmen und die Auswirkung auf die Praxis des betrieblichen Datenschutzbeauftragten ein. Im Hinblick auf das Recht auf Datenportabilität aus Art. 20 DS-GVO empfehle die DEK die Entwicklung branchenbezogener Standards bzw. Verhaltensregeln. Bezüglich algorithmischer Systeme/ KI rege die DEK an, Schutzmechanismen zu entwickeln, die sich nicht wie aktuell am Verbotsprinzip orientieren, sondern ein flexibleres, risikoadaptiertes Regulierungsregime mit angemessenen Schutzgarantien und Verteidigungsmöglichkeiten für den Einzelnen gewähren.