Datenschutz-Konferenz München: IAPP Data Protection Intensive 2021
27.09.2021
[IITR – 27.09.21] Nach langer Zeit des Wartens stand am 14. und 15. September wieder eine Konferenz an, die nicht lediglich im Internet, zuhause oder im Büro vor Bildschirmen, mitzuverfolgen war. Die IAPP Data Protection Intensive: Deutschland 2021.
Dialog mit der Aufsicht: Michael Will (Präsident des Bayerischen Landesamts für Datenschutzaufsicht)
Der erste Vortrag war ein „Dialog mit der Aufsichtsbehörde“, bei dem Ulrich Baumgartner (Regional Leader, DACH, IAPP) und Undine von Diemar (Partner, Jones Day) dem Präsidenten des Bayerischen Landesamts für Datenschutzaufsicht Michael Will Fragen zu den gegenwärtigen Themen im Datenschutz stellten.
Zentrale Aussagen von Herrn Will in diesem Zusammenhang waren:
- Für den Zeitraum, in dem Gespräche mit Microsoft zum Einsatz von Office 365 stattfinden, wird durch das Bayerische Landesamt für Datenschutzaufsicht der Einsatz von Office 365 bei Unternehmen faktisch geduldet.
- Dem “risikobasierten Ansatz” bei Drittlandtransfers erteilte Herr Will eine Absage.
- Allerding stellte Herr Will auch klar, dass bei der Überprüfung eines Transfer Impact Assessments zwar offensichtliche Fehler beanstandet würden, soweit aber die formalen Anforderungen erfüllt seien und der Vortrag in sich schlüssig sei, werde es zu keiner Beanstandung kommen.
Schrems II: politisches Urteil das politischer Lösung bedarf
Im Anschluss sprachen Jana Fuchs (Director, General Counsel, EMEA, EU DPO, Cerner), Barbara Schmitz (Company Counsel, Data Privacy, IT Law, SWMH-Service) und Sebastian Kraska (DPO, Lawyer, IITR Datenschutz) über internationale Datenübermittlungen. So kam man darin überein, dass man die Schrems-II-Entscheidung und ihre Folgen wohl eher als politisches Problem betrachten sollte, anstatt rein juristisch. (Folien ansehen)
Arbeitgeber und die Zulässigkeit nach der Frage des Impfstatus
Ein Thema, dem man sich derzeit – insbesondere auch aus datenschutzrechtlicher Sicht – immer noch nicht entziehen kann, sind Fragen und Probleme in der Covid-19-Zeit. Wie die Ausgabe der Testkits zu dokumentieren sein könnte und ob man als Arbeitgeber den Impfstatus seiner Mitarbeiter abfragen dürfe. In den Unternehmen von Jana Fuchs (Director, General Counsel, EMEA, EU DPO, Cerner), Shirin Huber (Director, Legal, UPS) und Monika Kuschewsky (Group DPO, Messe Berlin) geschieht hier mangels verbindlicher Rechtsgrundlage durch den Gesetzgeber so manches (noch) in der Grauzone. (Folien ansehen)
Erfahrungsaustausch von Datenschutzbeauftragten
Aus Sicht von Jutta Löwe (Group DPO, Head of Global Data Protection Organization, Brenntag Holding), Sachiko Scheuing (Co-Chairwoman, FEDMA; European Privacy Officer, Acxiom) und Stefan Plier (Corporate DPO, Siemens Energy) als Deutsche Datenschutzbeauftragte sei insbesondere innerhalb der Unternehmen noch viel Überzeugungsarbeit notwendig, um die internen Prozesse datenschutzkonform(er) umsetzen zu können. Hauptaugenmerk lag aber in den vergangenen Monaten – kaum überraschend – auf der Coronakrise. (Folien ansehen)
Online-Werbung und das TTDSG
Auch Bereiche der Online-Werbung wurden beleuchtet. Das TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz), das Ende des Jahres in Kraft treten wird, käme viel zu spät, sei zu abstrakt und eigentlich lediglich ein Lückenfüller bis zu einer einheitlichen europäischen Lösung, da waren sich Stefan Hanloser (VP, Data Protection Law, Policy, ProSiebenSat.1 Media SE), Matthias Horn (Syndicus Lawyer for Data Law, Axel Springer), Carolin Loy (Government Councilor, Bavarian State Officer for Data Protection Supervision) und Barbara Nietzer (VP, Associate General Counsel, Global Head of Legal Commercial, Criteo) einig. Ziel müsse es sein, die Nutzer ganz im Sinne der Gesetze transparent und fair zu informieren und aufzuklären. So sei jeder von Cookie-Bannern genervt und so sei jede umsetzbare Alternative mehr als willkommen.
Reaktion auf Datenschutz-Verletzungen
Am Ende der Konferenz richtete sich der Blick auf den Umgang mit Datenschutzverletzungen und der Risikominimierung solcher. Zunächst legten Anna Zeiter (CPO, ebay) und Paul Voigt (Partner, Information Technology Law, Taylor Wessing) dar, wie man sich am besten auf den „worst case“ vorbereiten kann. Ein immer wichtigeres Thema, denn insbesondere externe Angriffe hätten in letzter Zeit deutlich zugenommen und seien auch deutlich besser vorbereitet und organisiert. Somit sei es auf der anderen Seite unerlässlich Checklisten im Vornherein zu erarbeiten, die dann bei Eintritt eines Vorfalls abgearbeitet werden könnten. Mit einer klaren Struktur ließe sich die Situation am besten bewältigen. (Folien ansehen)
Optimierung der Zusammenarbeit mit Dienstleistern
Zum Abschluss erarbeiteten Jutta Löwe (Group DPO, Head of Global Data Protection Organization, Brenntag Holding) und Tim Wybitul (Partner, Latham & Watkins) Ansätze der Risikominimierung insbesondere bei Zusammenarbeit mit Dienstleistern. Wichtig sei zunächst der genaue Überblick, mit welchen Subunternehmern überhaupt zusammengearbeitet würde. Die Datenschutzrisiken im Zuge einer Auftragsverarbeitung seien genau zu dokumentieren: Wie wurde ausgesucht? Wie wurde überwacht? Wie wurde instruiert? – Eine klare Struktur und Dokumentation sei hilfreich, um bei Verfahren mit der Aufsichtsbehörde „etwas in der Hand zu haben“, was das Risiko hoher Bußgelder deutlich verringere.
Sollte dennoch ein Bußgeld ausgesprochen werden, so sei eine offene und präventive Kommunikationsstrategie anzuraten, denn mittlerweile würden auch Presseberichte bei derartigen Themen zusehends härter. (Folien ansehen)
Datenschutz-Kongress der IAPP am 17./18.11.2021 in Brüssel
Damit endet ein erster Ausflug weg vom Bildschirm zurück in die Präsenz. Der Blick der IAPP richtet sich nun nach vorne, denn am 17. und 18. November 2021 findet der IAPP Europe Data Protection Congress 2021 in Brüssel statt.
