Datenschutz: Bericht von der Sommerakademie 2017 des ULD in Kiel
[IITR – 26.9.17] Am Montag den 18.09.2017 lud das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) unter dem Titel „Herausforderung Informationelle Nichtbestimmung“ zur diesjährigen Sommerakademie nach Kiel. Basierend auf der zentralen Frage „Wer bestimmt? – Datenschutz fordert, dass die Menschen keiner unkontrollierten Fremdbestimmung ausgesetzt werden“ diskutierten Datenschützer die bisherige Entwicklung der datenschutzrechtlichen Fremdbestimmung und die zukünftigen Auswirkungen für den Einzelnen.
Einführung in das Thema
Frau Margit Hansen, Leiterin des ULD und Landesdatenschutzbeauftragte für Datenschutz in Schleswig-Holstein, stellte in ihrer Eröffnungsrede die weiter zunehmende Fremdbestimmung in allen Lebensbereichen in den Mittelpunkt. Durch die technische Entwicklung und die zunehmende Intransparenz der Datenverarbeitung seien die Nachvollziehbarkeit und die Transparenz für den Einzelnen nicht mehr gegeben. Internet of Things (IoT) ermögliche der Gesellschaft ganz neue positive Ansätze, bspw. in den Bereichen Energie, Gebäudemanagement, autonomes Fahren u.v.m. Jedoch berge diese Technologie ein hohes Risiko für den Einzelnen. Wo bleibt der Datenschutz für den Einzelnen, inwieweit ist der Einzelne überhaupt noch Herr seiner Daten? Muss der Staat hier stärker und nachhaltig regulierend eingreifen, damit der Datenschutz des Einzelnen noch gewährleistet werden kann und die Informationelle Selbstbestimmung erhalten bleibt?
Dr. Ulf Kämpfer (Oberbürgermeister der Landeshauptstadt Kiel) stellt in seinem Grußwort die Digitalisierung und die stetige Zunahme des digitalen Datentransfers in den Mittelpunkt. Mit dem Statement „Bedenken First – Digitalisierung second“ stellte er berechtigt kritische Fragen zu den Auswirkungen der immer größeren Regelungs- und Dokumentationspflicht im Datenschutz und machte dies am Beispiel der Einwilligungserklärung zur Nutzung des Bildnisses auf Klassenfotos deutlich.
Herausforderung „Informationelle Nichtbestimmung“
Frau Hansen berichtete in ihrem Vortrag Herausforderung „Informationelle Nichtbestimmung“ über die Risiken und Ursachen, die zu einer Nichtbestimmung führen. Überlastung, Aufwand, Hilflosigkeit, aber auch die Bequemlichkeit und Resignation des einzelnen werden als Ursachen der informationellen Nichtbestimmung identifiziert.
Datenschutz als eingebaute Pflicht bei Produkten und Anwendungen sei nicht flächendeckend gegeben. „Privacy by design“ und „Privacy by default“ – wie nun auch in der EU-Datenschutzgrundverordnung verankerte – seien Themen, die von den öffentlichen und nicht-öffentlichen Stellen ab 25. Mai 2018 verbindlich eingehalten werden müssten. Dass Datenschutz heute nicht durchgängig gewährleistet werde begründete Frau Hansen sehr anschaulich u.a. damit, dass beispielsweise bei vielen Farbausdrucken und Fotos ungefragt Metadaten auf den Dokumenten vorhanden seien, welche die Rückverfolgbarkeit auf den Einzelnen ohne dessen Einwilligung, sogar ohne dessen Wissen ermöglichen würden. In den sogenannten gelben Punkten (yellow dots) seien neben der Seriennummer des Druckers oftmals auch das Datum und die Uhrzeit des Ausdrucks für das menschliche Auge nicht wahrnehmbar dokumentiert. Bereits hier sei die informationelle Selbstbestimmung eingeschränkt und dies obwohl die Bürgerrechtsorganisation Electronic Frontier Foundation bereits im Jahre 2005 auf diesen Missstand hingewiesen habe.
Weitere Risiken sieht Frau Margit Hansen darin, dass bei der Nutzung von Apps und Internetanwendungen nicht immer die Informationelle Selbstbestimmung gewährleistet sei. So komme auch hier vermehrt der Ansatz „Take it or leave it“ zum Tragen. Faktisch habe der Einzelne dann keine Wahlmöglichkeit darüber zu entscheiden, welche personenbezogenen Daten er bei Nutzung einer App tatsächlich preisgeben wolle.
Informationelle Selbstbestimmung ist wichtig
Herr Peter Schaar von der Europäischen Akademie für Inforationsfreiheit und Datenschutz und Bundesbeauftragter für den Datenschutz und die Informationsfreiheit a. D. schilderte seine Erfahrungen und Gedanken unter der Überschrift „ Informationelle Selbstbestimmung im 21. Jahrhundert“. Neben der Datenerfassung durch Smartphones ging Herr Schaar insbesondere auf die Menschenrechtssituation in der Türkei ein.
Auch die zunehmende staatliche Videoüberwachung in Deutschland u.a. am Berliner Südkreuz bezeichnete Herr Schaar als kritischen Eingriff in die Privatsphäre. Die Vergangenheit habe gezeigt, dass es vor allem bei der Videoüberwachung nicht immer bei dem eigentlich ausgerufenen Zweck einer Datenverarbeitung bleibe. Die Unverhältnismäßigkeit der staatlichen und auch privatwirtschaftlichen Überwachung nähmen weiter zu. Intelligente Lautsprecher/Hörboxen und TV-Geräte ermöglichten mittlerweile eine vollständige Überwachung der Wohnung und Privatsphäre. Die Auswertungsmöglichkeiten nähmen in Zeiten von Big Data immer weiter zu. Es bleibe aus Sicht von Herrn Schaar damit die Frage offen, ob die technischen Schutzvorkehrungen zur Wahrung der Rechte eines Betroffenen ausreichend seien.
Herr Schaar zog den Vergleich zum Umweltschutz. So habe es auch hier sehr lange gedauert, bis der Umweltschutz die Gesellschaft vollständig durchdrungen habe. Der Datenschutz hätte dies noch vor sich.
Scoring, Risiko der Informationellen Selbstbestimmung
Frau Jaume-Pasalí von AlgorithmWatch vermittelte in Ihrem Vortrag „Technikneutrale Ethik – warum der Datenschutz zu kurz greift“ Möglichkeiten, wie der einzelne Bürger zum Datenschutz beitragen könne.
Intransparenter Datenschutz
Frau Susanne Dehmel von der Bitkom e.V. stellte in Ihrem Vortrag „Informationelle Nichtbestimmung –die Sicht der Wirtschaft“ die aktuelle Situation zum Datenschutz und zur Inforationellen Selbstbestimmung dar. Datenschutzerklärungen würden von 80 % der Nutzer nicht wirklich gelesen und somit ohne inhaltliches Verständnis akzeptiert.
Siegel und Zertifizierungen würden zukünftig für die Nutzer ein wichtiges Kriterium zu Vermittlung von Sicherheit und Datenschutz bilden. Hier sieht Frau Susanne Dehmel noch erhebliches Potenzial für die Behörden und die Wirtschaft. Privacy by design rücke in den Mittelpunkt: so müssen bereits bei der Entwicklung von Produkten und Diensten die Datenschutzprinzipien vollständig beachtet und auch umgesetzt werden. Allerdings dürfe der Datenschutz auch keine negativen Auswirkungen auf die Funktionalität von Produkten und Anwendungen bewirken. Hierbei seien auch die teilweise gegenläufigen Verbraucherinteressen angemessen zu berücksichtigen.
Vorrausschauender Datenschutz
Herr Frank Wagner von der Deutschen Telekom AG beschrieb unter der Überschrift „Privacy by default and beyond“ die Ansätze und Maßnahmen, die in seinem Unternehmen bereits in der Vergangenheit regelmäßig Berücksichtigung fanden, wenn es um die Entwicklung von zukunftsfähiger und datenschutzkonformer Kommunikationstechnologie geht. Er erläuterte, warum der Datenschutz frühzeitig berücksichtigt und in interne Prozesse eingebunden werden müsse. Weiter beschrieb Herr Wagner die vielen Vorteile, die eine frühzeitige Einbindung des Datenschutzes bei der Entwicklung und Implementierung neuer Verfahren haben könne.
Aufsichtsbehörden müssen tätig werden
Herr Paul Nemitz von der EU-Kommission stellte in seinem Vortrag „Die europäischen Lösungsinstrumente für Datenschutz effektiv nutzen“ neben der Vermarktung von Datenschutz als Geschäftsmodel auch die technische Entwicklung und Auslegung der Europäischen Datenschutz-Grundverordnung in den Mittelpunkt. Als Industriestandort Deutschland bräuchten wir Big Data, aber nicht um jeden Preis und unter der Aufgabe der informationellen Selbstbestimmung.
Herr Paul Nemitz bezog klare Positionen zur zukünftigen Rolle der Aufsichtsbehörden. Diese bräuchten eine Kulturänderung, denn nach der DS-GVO müssten die Aufsichtsbehörden tätig werden und Ihrer Kontroll- und Überwachungsaufgabe gerecht werden. Im Zweifel seien sie gerichtlich zum Handeln zu zwingen.
Podiumsdiskussion
Bei der an die Vorträge anknüpfenden und von der stellvertretenden Landesbeauftragten für Datenschutz Schleswig-Holstein Frau Barbara Körffer moderierten Podiumsdiskussion wurden von den Vortragenden die zu erwartenden Maßnahmen der Datenschutzaufsichtsbehörden und der Wirtschaftsunternehmen diskutiert.
Im Anschluss an diesen Vorträgen folgten folgende Infobörsen:
- Startschuss DSGVO: Die wichtigsten Neuerungen für Unternehmen auf einen Blick
- Datenschutz „by Default“ – Zwischen Paternalismus und Pragmatismus
- PCs, Tablets und Smartphones Umgang mit Schwachstellen und Risiken im praktischen Einsatz
- Datenschutz-Folgenabschätzung – von der Theorie zur Praxis
- Big Data und Datenschutz
- Der gläserne Kurgast – Was dürfen Gemeinden erfragen
- Analyse des Nutzerverhaltens nach der zukünftigen ePrivacy-Verordnung
- Videoüberwachung nach der DSGVO – was nichtöffentliche Stellen beachten müssen
- Aktiv voran: Möglichkeiten der Zertifizierung für Unternehmen und Verwaltung durch die DSGVO Teil 1
- Aktiv voran: Möglichkeiten der Zertifizierung für Unternehmen und Verwaltung durch die DSGVO Teil 2
- Datenschutzwerkzeuge „by Design“ und „by Default“
- Neues aus der Datenschutzforschung – Datenpannen, Transparenz, Dopingkontrolle
- Selbstschutz-Konzepte im Wandel: Internetnutzung zwischen Krypto-Trojaner und Tracking-Krieg
Fazit
Die mit rund 400 Teilnehmern ausgebuchte Sommerakademie des ULD lieferte einen lebhaften Ausblick auf die Einführung der EU-Datenschutzgrundverordnung. Es wurde deutlich, wie weit sich mit der EU-Datenschutzgrundverordnung das Spannungsfeld zwischen regulativer Erwartung und praktischer Umsetzung durch Unternehmen verschärfen wird.
Kontakt:
Ralf Zlamal, externer Datenschutzbeauftragter und InformationssicherheitsbeauftragterTelefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
