Am 18.09. und 19.09.2018 fand in München die erste deutsche Veranstaltung „Data Protection Intensive“ der IAPP statt. Es wurden spannende und interessante Vorträge sowie ein reger Austausch zwischen den Privacy Professionals geboten. Mit Spannung wurde der Vortrag der Aufsichtsbehörden erwartet.
Der Inhalt im Überblick
Die Veranstaltung
Zum ersten Mal überhaupt fand die Veranstaltung „Data Protection Intensive“ der IAPP in Deutschland statt.
Das Programm bot folgende Beiträge:
- Data Mapping & Verarbeitungsverzeichnis: Empfehlungen für die Praxis!
- Lieferanten: Vergabe, Prüfung und Ausführung
- Die Stellung des DSB in der Organisation
- Die Datenschutz-Folgenabschätzung (DPIA) bewältigen: Formate und Schwäche
- Micro Talks: Kurzvorträge von Datenschutzbeauftragten für Datenschutzbeauftragte
- Aus dem Blickwinkel der Aufsichtsbehörden
- Betroffenen Personen zu ihrem Recht verhelfen
- Datenschutz durch Technikgestaltung & standardmäßiger Datenschutz— in der Praxis
Die Präsentationen dazu sind auch online abrufbar.
Gleichzeitig gab es für die Teilnehmer eine Vielzahl von Möglichkeiten, sich mit anderen Privacy Professionals auszutauschen. Für viele Datenschutzbeauftragte dürfte es beruhigend zu hören sein, dass alle vor denselben Problemen, Herausforderungen und Unsicherheiten stehen.
Aufsichtsbehörden sehr offen
Auf Seiten der Aufsichtsbehörden stellten sich Frau Barbara Thiel (Landesbeauftragte für den Datenschutz Niedersachen) und Frau Möldner (Bayerisches Landesamt für Datenschutzaufsicht) dem Gespräch, das von Herrn Dr. Sebastian Kraska moderiert wurde.
Nicht nur der Programmpunkt „Aus dem Blickwinkel der Aufsichtsbehörden“ klang vielversprechend, auch das Gespräch war sehr offen und interessant.
Zunächst erläuterte Frau Thiel, dass auch die Aufsichtsbehörde in Niedersachen auf transparente Prüfungen setzt. Dies gelte auch für den ersten, bereits veröffentlichten Prüfungsfragebogen aus Niedersachen. In dieser Prüfungsrunde gehe es darum, zu sehen, wo die Unternehmen stehen, wo Defizite liegen und an welchen Stellen Handlungsbedarf besteht. Die Aufsichtsbehörde möchte in einem ersten Schritt sehen, wie die Fragen beantwortet werden. In einem zweiten Schritt soll es bei manchen Unternehmen Ortstermine geben, um mit diesen ins Gespräch zu kommen. Frau Thiel ergänzte, dass es jedoch nicht darum geht, Bußgelder zu verhängen. Verstöße, bei denen jedoch auch andere aufsichtsrechtliche Maßnahmen nicht helfen, können zu einem Bußgeld führen können. Im Vordergrund steht jedoch die Beratung der Unternehmen.
Spannung um Bußgeldpraxis
Die Frage nach der künftigen Bußgeldpraxis dürfte die größte Spannung erzeugt haben:
Zur Bußgeldpraxis hat Frau Thiel offen gestanden, dass im Jahr 2018 von der Aufsichtsbehörde Niedersachen wohl kein Bußgeld verhängt werden wird. Sogar für 2019 sei fraglich, wie die Bußgeldpraxis für die Aufsichtsbehörde Niedersachen aussehen könnte, da kaum Ressourcen vorhanden sind und man für die Sanktionspraxis derzeit schlecht ausgestattet sei. Frau Möldner antwortete auf Nachfrage, dass es in Bayern offen sei, ob ein Bußgeld verhängt werde; es bestehe jedenfalls aber auch hier eine hohe Arbeitsbelastung.
Mit Blick auf die hohe Arbeitsbelastung der Aufsichtsbehörden wurde von beiden Rednerinnen letztlich betont, dass eine Priorisierung auf Beschwerden liegt (reaktive Tätigkeiten) und proaktive Kontrollen und damit verbundene Bußgelder eher von den vorhandenen Ressourcen abhängig sein dürften.
Wenig erhellend: DSK-Papiere
Auch die Aufsichtsbehörden müssen zu vielen Fragestellungen noch Lösungen und Antworten finden. Dabei ist es auch so, dass für Unternehmen die DSK-Papiere derzeit „nur wenig Licht ins Dunkel“ bringen, so Frau Thiel.
Sie hat weiter angeführt, dass es wohl noch drei bis fünf Jahre dauern werde, bis viele Unsicherheiten rund um die DSGVO besser beurteilt werden können. Es wird sich auch zeigen, ob eine Überarbeitung der DSGVO in Betracht zu ziehen ist.
Selbst den Aufsichtsbehörden sei es nicht möglich, „streng dogmatisch“ vorzugehen. Frau Thiel plädierte dafür, dass Aufsichtsbehörden einheitlicher und mit einem offenen Ohr für die Wirtschaft vorgehen. Sowohl Frau Thiel als auch Frau Möldner waren sich einig, dass viele Fragestellungen letztlich nur von den Gerichten geklärt werden können. Nach Ansicht von Frau Thiel können aber auch Beschwerden von Betroffenen dazu führen, dass sich Umsetzungslösungen für die Praxis finden werden.
Aufsichtsbehörden zeigen Schwerpunkte erneut auf
Für Frau Thiel sind derzeit insbesondere drei Kernbereiche hervorzuheben:
- Verzeichnis der Verarbeitungstätigkeiten
- Umgang mit hohen Risiken (insbesondere Risikobeurteilung und Datenschutz-Folgenabschätzung)
- Sicherheit der Verarbeitung.
Frau Möldner hat erläutert, dass das BayLDA besonderen Wert auf ein – auch inhaltlich – vollständiges Verzeichnis der Verarbeitungstätigkeiten legt. Dies sei ein wichtiger Indikator für die Umsetzung des Datenschutzmanagements. Insbesondere müssen die Unternehmen versuchen, hier nach „bestem Wissen und Gewissen“ zu arbeiten. Die Detailtiefe wird bei vielen Unternehmen wohl auch noch einen Verbesserungsprozess erfordern.
Frau Möldner hat zudem immer wieder darauf hingewiesen, dass sich die Umsetzung der DSGVO am Schutzzweck orientieren sollte, was dazu führt, dass man sich auch vom Wortlaut einzelner Regelungen der DSGVO lösen müsse. Dies kann zu pragmatischeren und praxistauglicheren Lösungen führen, z. B. bei den Informationspflichten. Die Aufsichtsbehörden seien darüber hinaus sehr kooperativ und hilfsbereit.
Beratungsansatz versus Kontrollaufgaben
Auch der Widerspruch zwischen dem offenen Beratungsansatz der Aufsichtsbehörden und den normierten Kontrollaufgaben als Kernaufgabe wurde thematisiert. Für die Aufsichtsbehörde in Niedersachen gilt dabei der Grundsatz, dass die Tatsachen, welche in der Beratung bekannt werden, grundsätzlich nicht gegen das Unternehmen verwendet werden. Zeigt sich ein Unternehmen jedoch beratungsresistent, können auch aufsichtsrechtliche Maßnahmen drohen.
Letztlich haben Frau Möldner und Frau Thiel den bisherigen Eindruck bestätigt: Die Aufsichtsbehörden sind sehr darum bemüht, verständnisvoll zu beraten und praxistaugliche Lösungen zu finden.
Bei allen Rednern und der IAPP möchten wir uns für die gelungene Veranstaltung bedanken.
Betr.: IAPP: Die Präsentationen dieser Veranstaltung in München sollten online abrufbar sein. Dieser u.a.m. leider nicht:
„Die Datenschutz-Folgenabschätzung (DPIA) bewältigen: Formate und Schwäche“. Hinweise zur DSFA gibt es überall viele, nur leider nie ein konkretes Beispiel. Mir fehlt eines für Schulungszwecke. MfG I.K.
„Die Präsentation zum Vortrag „Die Folgenabschätzung (DPIA) bewältigen: Formate und Schwäche“ finden Sie konkret hier: https://iapp.my.salesforce.com/sfc/p/#1a000000HSGV/a/1a000000HpZb/psiw4Q2UIuUnCOM7o_Gn5QcluHcPFavf_rPLlyAI5VM
Darüber hinaus bietet aus unserer Sicht das BayLDA eine erste gute Hilfestellung: https://www.lda.bayern.de/de/dsfa.html.“
Ein sehr schönes Tool für die DSFA findet sich hier:
https://github.com/kosmas58/pia-app/releases
Es handelt sich um das Tool der französischen Aufsichtsbehörde und wurde von einem DS-Kollegen ins Deutsche übersetzt.
Wäre schön, wenn alle Präsentationen online abrufbar wären – so schreiben Sie das doch auch oben? Leider komme ich durch Klicken des Links oben nicht auf die Präsentationen. Könnten Sie weiterhelfen? Vielen Dank.
Die Präsentationen finden Sie auch hier:
https://iapp.org/conference/iapp-data-protection-intensive-deutschland/sessions-dpid18/
Sie müssen auf die einzelne Veranstaltung klicken und im Anschluss auf „View Presentation“.