Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Datenschutzfachtagung: Der Kampf um und mit der DSGVO

Gerichte legen den internationalen Datentransfer prinzipiell lahm, die E-Privacy-Verordnung liegt in weiter Ferne. Doch die EU feiert die DSGVO als Erfolg.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen

(Bild: mixmagic/Shutterstock.com)

Lesezeit: 6 Min.
Von
  • Torsten Kleinz
Inhaltsverzeichnis

Ein gemischtes Bild von der aktuellen Datenschutz-Lage zeichneten Experten auf der Datenschutzfachtagung (DAFTA) der Gesellschaft für Datenschutz und Datensicherheit (GDD) in Köln. Während die TTDSG als neue Grundlage des Datenschutz-Rechts in Deutschland als Fortschritt bewertet wurde, gibt es noch viele Baustellen wie den internationalen Datentransfer.

In seinem Grußwort verteidigte der Bundestagsabgeordnete und Beauftragter des Bundeswirtschaftsministeriums für die Digitale Wirtschaft und Start-Ups Thomas Jarzombek (CDU) den Datenschutz allgemein. "Niemand würde digitale Dienste benutzen, wenn man nicht das Vertrauen hätte, dass die Dinge, die man dort tut, tatsächlich auch vertraulich bleiben", sagte der Abgeordnete. Gleichzeitig forderte der Politiker jedoch auch radikale Vereinfachungen im Interesse der Wirtschaft. So sei die Verteilung der Zuständigkeit der Datenschutzaufsicht auf 16 Bundesländer nicht zielführend. Besser sei ein Kollegialgremium, das für die gesamte Bundesebene einheitlich entscheide.

Kein schnelles Ende für Cookie-Banner

Rolf Bender, der den Gesetzgebungsprozess im Bundeswirtschaftsministerium betreut, dämpfte die Erwartungen an das neue Gesetz zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG), das am 1. Dezember in Kraft tritt. Das Gesetz enthält mit Paragraph 26 eine Vorschrift für Einwilligungsdienste, die theoretische Cookie-Banner überflüssig machen könnten, aber im Gesetzgebungsverfahren zunächst gestrichen worden waren. "Wir wollen versuchen, eine nutzerfreundliche, aber auch wettbewerbskonforme Lösung zu schaffen", erklärte Bender am Donnerstag. Allerdings gibt es bisher kein Konzept, wie ein solches System der Pauschal-Erlaubnis mit dem Einwilligungserfordernis der Datenschutz-Grundverordnung (DSGVO) vereinbar sein soll. Nun haben mehrere Arbeitskreise die Arbeit aufgenommen und ein Gutachten wurde in Auftrag gegeben. Im besten Fall könnte eine Lösung Ende des kommenden Jahres in Kraft treten.

Wer gehofft hat, dass die fünf Jahre überfällige E-Privacy-Verordnung in absehbarer Zeit direkte Wirkung in den EU-Mitgliedsländern entfalten könnte, wurde enttäuscht. Bender erklärte, dass die Trilog-Verhandlungen zwischen Kommission, Rat und Parlament noch am Anfang stünden. In der Tat hat ein jüngst veröffentlichtes Verhandlungsdokument (PDF-Datei) kritische Fragen, wie die um Cookies und Datenverarbeitung auf Endgeräten noch komplett ausgespart.

Deshalb müssen sich jetzt Juristen und Aufsichtsbehörden mit dem neuen deutschen Recht auseinandersetzen und die verbliebenen Unklarheiten ausarbeiten. Beispielsweise ist die Datenübermittlung von Internet-of-Things-Geräten oder auch Browser-Fingerabdrücken nicht eindeutig geregelt, was Einfluss darauf hat, welches Recht angewandt werden muss. Nach einer Rechtsauffassung sind Firmen, die etwa Videokonferenzlösungen aus den USA einsetzen, durch das TTDSG geschützt, dürften also von den Aufsichtsbehörden nicht als Verantwortliche für die Datenverarbeitung behandelt werden. Das änderte sich aber, sobald man die Videokonferenz auf eigenen Rechner mitschneidet. Hier wäre dann die DSGVO anzuwenden.

Kampf gegen "Daten-Oasen"

Eine weitere datenschutzrechtliche Großbaustelle ist der Datentransfer in Staaten außerhalb der EU nach dem Scheitern des Privacy Shields durch ein Urteil des Europäischen Gerichtshofs. Der baden-württembergische Datenschutzbeauftragte Stefan Brink plädierte hier für eine Aufsicht mit Augenmaß. So hätte eine sofortige strikte Auslegung "schwere wirtschaftliche Verwerfungen" gehabt. Unternehmen dürften sich aber nicht auf den Status Quo verlassen. "Für uns steht im Zentrum, ob es alternative Möglichkeiten gibt", erklärte Brink. Sprich: Wer an alten Prozessen festhält, obwohl es gleichwertige Angebote ohne Datentransfer in die USA gibt, muss sich auf kritische Nachfragen gefasst machen.

Grundsätzlich begrüße er aber eine "wehrhafte" Datenschutz-Gesetzgebung. Das Marktortprinzip, das nicht nur Firmen in der EU oder mit EU-Niederlassungen an die hohen Vorgaben der DSGVO binde, bewege sich zwar an der Grenze der Völkerrechtswidrigkeit. Anders könne man aber nicht verhindern, dass das europäische Datenschutzniveau durch sogenannte "Daten-Oasen" systematisch unterlaufen werde. Die komplexen Vorgaben für die heimische Wirtschaft dienten aber dazu, Druck auf die anderen Regierungen auszuüben. Unzureichende Abkommen mit den USA zu schließen, die wesentliche Fragen wie das rechtliche Gehör für US-Bürger ausklammerten, seien deshalb zum Scheitern verurteilt. Das Dilemma werde nur durch ein substantiell neues transatlantisches Abkommen gelöst.

"Der Wille ist auf beiden Seiten"

In dieser Frage verbreitete Renate Nikolay, Kabinettschefin von EU-Kommissions-Vizepräsidentin Věra Jourová, vorsichtigen Optimismus. Die Verhandlungen um ein neues Abkommen liefen und die amerikanische Regierung sei nun deutlich besser darauf vorbereitet, woraus es in dem Abkommen ankomme. "Der Wille auf beiden Seiten ist groß", sagte Nikolay. Statt nur mit dem Wirtschaftsministerium und dem Weißen Haus rede die Kommission nun auch mit dem Sicherheitsapparat der USA, was für eine gerichtsfeste Neufassung des Privacy Shield notwendig sei. Der kaum beschränkte Zugriff von Geheimdiensten wie der NSA auf in den USA gespeicherten Daten ist ein Haupt-Streitpunkt. Allerdings sei es ein großes Problem, neue Gesetzgebung derzeit durch den US-Kongress zu bekommen. Dessen ungeachtet arbeite der Datenschutzaktivist Max Schrems aber bereits an seiner nächsten Klage.

Insgesamt zog Nikolay ein positives Fazit der ersten Jahre der DSGVO. So habe sich die Kontrolle der EU-Bürger über ihre Daten wesentlich verbessert. Auch seien konstruktive Lösungen wie die europäischen Impf-Zertifikate durch die DSGVO ermöglicht worden. Die EU-Vertreterin erwartet deshalb auch nicht, dass es in den kommenden Jahren zu einer wesentlichen Öffnung der DSGVO komme. Allerdings werde Brüssel jetzt an der Kohärenz arbeiten müssen, weil die Verantwortlichkeit derzeit auf zu viele verschiedene Stellen verteilt sei. Hierbei brachte Nikolay auch eine europäische Datenagentur ins Gespräch, die die Kompetenzen EU-weit bündeln könnte.

(bme)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum zum Thema: Datenschutz

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten