Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Nachbericht 38. RDV-Forum 2019 in Köln

Am 20.11.2019 fand im Maternus­haus zu Köln das 38. RDV-Forum statt. Durch die Veranstaltung führte Prof. Peter Gola, Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und Chef­redakteur der RDV. Der Vormittag der Veranstaltung war im Schwerpunkt Themen rund um den betrieblichen bzw. behördlichen Datenschutzbeauf­tragten gewidmet.

Zunächst sprach die stellvertre­tende Geschäftsführerin der GDD RAin Yvette Reif, LL.M. über die risiko­orientierte Aufgabenwahrnehmung durch Datenschutzbeauftragte. Dabei hielt sie fest, dass sich der risikoba­sierte Ansatz nicht nur an den Verant­wortlichen und die Fachabteilungen richtet, sondern eben auch für den DSB gilt. Dieser sollte besonders kri­tische Verarbeitungstätigkeiten in den Fokus seiner Tätigkeit legen. Bei der Beurteilung der Risikoträchtigkeit von Verarbeitungen seien insbesondere die Risiken für Rechte und Freiheiten der betroffenen Person entscheidend, so Reif. Dem Wortlaut nach sei Art. 39 Abs. 2 DS-GVO aber nicht auf Risiken für betroffene Personen beschränkt, so dass auch wirtschaftliche Risiken für den Verantwortlichen zu berück­sichtigen seien, wie z.B. Reputations­schäden, Bußgelder, Schadensersatz etc.

RDV-Forumes9kgH5lPP4tu

Prof. Dr. Lorenz Franck referierte zu den Spezifika des Rechts des be­hördlichen Datenschutzbeauftragten. Dabei ging er u.a. auf die Benen­nung von stellvertretenden Daten­schutzbeauftragten, die Benennung mehrerer Datenschutzbeauftragter, die Benennung eines gemeinsamen Datenschutzbeauftragten für mehre­re öffentlichen Stellen und den Ein­satz von externen Dienstleistern ein. Ein weiterer wichtiger Punkt war die Stellung des behördlichen Daten­schutzbeauftragten. Franck beleuch­tete die Ermittlung des notwendigen Zeitbudgets für die DSB-Tätigkeit und zeigte als eine Möglichkeit eine Be­rechnungsformel des LfDI Rheinland-Pfalz auf. Abschließend thematisier­te er die Aufgaben des behördlichen Datenschutzbeauftragten und stellte fest, dass die gesetzlichen Standard­aufgaben in DS-GVO, JI-Richtlinie und BDSG weitgehend identisch sind. Ge­setzliche Sonderaufgaben finden sich in den Landesdatenschutzgesetzen und in den Spezialgesetzen wie bspw. dem BKA-Gesetz.

Rechtsanwalt Steffen Weiß, LL.M., GDD e.V., wandte sich der interna­tionalen Seite des Datenschutzbe­auftragten zu und stellte diesen in den europäischen Vergleich. Ledig­lich sieben Mitgliedstaaten hätten Konkretisierungen bzw. Erweiterun­gen zur Benennungspflicht gemäß Art. 37 DS-GVO in ihren nationalen Regelungen vorgenommen. Weiß be­tonte, dass Datenschutzbeauftragte unabhängig ihrer Nationalität für eine Unternehmensgruppe benannt wer­den könnten. Ausführlich stellte Weiß sodann den französischen (CNIL) bzw. spanischen (AEPD und ENAC) Ansatz zur Zertifizierung von Datenschutzbe­auftragten dar.

Rechtsanwalt Dr. Carlo Piltz refe­rierte zum Thema „Der Datenschutz­beauftragte – Anwalt, Berater, Haf­tungsobjekt“. Er warf die Frage auf, ob die Datenschutz-Folgenabschät­zung bzw. das Führen des Verzeich­nisses der Verarbeitungstätigkeiten dem Datenschutzbeauftragten über­tragen werden dürfen und stellte Pro und Kontra gegenüber. Zum Thema Haftung führte Piltz aus, dass zwischen vertraglicher, deliktischer und weitergehender Haftung zu unter­scheiden sei. Vertraglich hafte der in­terne DSB nach den Grundsätzen der beschränkten Arbeitnehmerhaftung. Eine deliktische Haftung komme nur in Frage, wenn eine Datenschutzver­letzung konkret auf ihn zurückzufüh­ren sei, wie bspw. bei aktiver Falsch­beratung. In der Praxis scheitere es allerdings oft an der Nachweisbarkeit der Kausalität der Falschberatung für den Datenschutzverstoß. Eine Haftung aus Unterlassen scheide wegen der nicht vorhandenen Ver­hinderungspflicht aus. Zum Schluss seines Vortrages ging Piltz auf die ak­tuelle Rechtsprechung des BGH zum Rechtsanwalt als Datenschutzbeauftragten ein. Danach steige beim An­walt das Haftungsrisiko, wenn er als DSB tätig wird.

Diskussionsrunde zum Verhältnis von Daten­schutzbeauftragtem und Betriebsrat

In einer Diskussionsrunde be­fassten sich Gola, Reif, Franck und Piltz zum Abschluss des Vormitta­ges mit dem Verhältnis von Daten­schutzbeauftragtem und Betriebsrat und insbesondere der Frage, ob der Betriebsrat ein eigener Verantwortli­cher i.S. der DS-GVO ist. In der Pra­xis werde das Problem häufig von der Rechtsfolgenseite und mit der Intention diskutiert, unliebsame Kon­sequenzen zu vermeiden, insbeson­dere eine eigene Verpflichtung des Betriebsrats zur Benennung eines Datenschutzbeauftragten. Für eine datenschutzrechtliche Eigenstän­digkeit spreche insbesondere die betriebsverfassungsrechtliche Un­abhängigkeit des Betriebsrats. Eine praxistaugliche Lösung, so Gola, kön­ne darin bestehen, dass Betriebsrat und Geschäftsleitung sich auf einen Datenschutzbeauftragten verständi­gen und diesen zusätzlich zu den DS-GVO-Vorgaben auf die Vertraulichkeit der Betriebsratstätigkeit verpflichten.

Am Nachmittag befasste sich Prof. Dr. Jürgen Taeger zunächst mit dem Thema Data Breach Notification. Ver­antwortliche Stellen sollten ein Ma­nagementsystem für die geforderten Melde- und Informationspflichten schaffen und dieses in ein vorhande­nes Risikomanagementsys-tem inte­grieren. Erforderlich seien auch ver­tragliche Regelungen mit Auftrags­verarbeitern und gemeinsam Verant­wortlichen zur Sicherstellung eines reibungslosen Informationsflusses. Zudem betonte Taeger die Wichtigkeit der Einbeziehung des Datenschutz­beauftragten sowie des Rückgriffs auf externe Rechtsberatung oder die in­terne Rechtsabteilung.

Prof. Dr. Gregor Thüsing, LL.M. (Harvard) brachte mit seinem Vor­trag zum neuen Geschäftsgeheim­nisschutzgesetz eine neue Seite des Datenschutzes in die Vortragsreihe. Er führte die Zuhörer durch die wich­tigsten Regelungen dieses neuen Ge­setzes, welches auf den Schutz von aus wirtschaftlicher Sicht schützens­werten Unternehmensinformationen abstellt. Thüsing stellte u.a. die Rege­lung zum Whistleblowing vor, die un­ter Umständen auch die Offenlegung von Geschäftsgeheimnissen rechtfer­tigen kann. Der Geschäftsgeheimnis­schutz habe auch datenschutzrecht­liche Implikationen, so Thüsing. So müssten durch Auskunft bzw. Kopie nach Art. 15 DS-GVO keine Geschäfts­geheimnisse enthüllt werden. Die Un­ternehmensinteressen überstiegen insofern regelmäßig die Interessen des Betroffenen auf Auskunft.

Ausblick auf die ePrivacy-VO

Kristin Benedikt, Bayerisches Landesamt für Datenschutzaufsicht, gab einen Ausblick auf die ePrivacy-VO und gab Handlungsempfehlungen für die Umsetzungszeit. Eine praxisrelevante Frage sei in diesem Zusammenhang insbesondere die Frage nach der Zulässigkeit der Verarbeitung von Informationen auf Endeinrichtungen der Nutzer, z.B. in Form von Cookies. Mit der geplanten ePrivacy-VO sollten solche Datenverarbeitungen unabhängig von ihrem Personenbezug reguliert und die Integrität von Endgeräten allgemein geschützt werden, so Benedikt. Für die Übergangszeit bis zum Inkrafttreten der ePrivacy-VO richte sich die datenschutzrechtliche Beurteilung von Tracking-Verfahren nach Art. 6 DS-GVO. § 15 Abs. 3 TMG sei aus Sicht der Aufsichtsbehörden nicht mehr anwendbar. Prof. Dr. Rolf Schwartmann, Vorstandsvorsitzender der GDD e.V., stellte zum Abschluss des RDV-Forums wichtige Aspekte des Gutachtens der Datenethikkommission (DEK) vor und ging dabei speziell auf den Bereich der Künstlichen Intelligenz im Unternehmen und die Auswirkung auf die Praxis des betrieblichen Datenschutzbeauftragten ein. Im Hinblick auf das Recht auf Datenportabilität aus Art. 20 DS-GVO empfehle die DEK die Entwicklung branchenbezogener Standards bzw. Verhaltensregeln. Bezüglich algorithmischer Systeme/ KI rege die DEK an, Schutzmechanismen zu entwickeln, die sich nicht wie aktuell am Verbotsprinzip orientieren, sondern ein flexibleres, risikoadaptiertes Regulierungsregime mit angemessenen Schutzgarantien und Verteidigungsmöglichkeiten für den Einzelnen gewähren.

Passende Artikel
Kongress 44. DAFTA + 39. RDV-Forum
18.-20.11.2020 | DAFTA + RDV-Forum | Köln 19.-20.11.2020 | DAFTA | Köln
1.725,50 €
Zeitschrift RDV

Prof. Peter Gola, RA Andreas Jaspers, Prof. Dr. Rolf Schwartmann

155,00 €

Preis für Jahresabonnement Inland

Kongress 39. RDV-Forum
18.11.2020 | RDV-Forum | Köln 18.-20.11.2020 | RDV-Forum + DAFTA | Köln
1.130,50 €