Veranstaltungsrückschau: Bitkom Privacy Conference am 17.09.2019
Die Privacy Conference war ein Forum für den Austausch zwischen Regulierern, Unternehmen und Anwaltschaft. Die großen Internet-Unternehmen, deutsche Datenschutzaufseher und viele Datenschutzbeauftragte diskutierten aktuelle Herausforderungen. Dabei wurde deutlich, dass der Dialog auf beiden Seiten erwünscht und gefordert wird. Dazu kommen ausgewählte Themen, die in kleineren Panels erörtert wurden. In einer kompakten Rückschau sollen hier noch einmal die diskutierten Kernprobleme in den Blick genommen werden.
17 Monate DSGVO
Die Konferenz begann mit einer Rückschau auf die letzten 17 Monate mit der DSGVO. Nach einer kurzen Einführung durch den Bundesdatenschutzbeauftragten Ulrich Kelber begann ein lebhafter Austausch. Bojana Bellamy vom Centre für Information Policy Leadership führte in das Gespräch mit der Frage ein, ob Datenschutz auch geschäftsfördernd wirken könne. Datenschutz könne doch ein zentrales Verkaufsargument für Unternehmen sein. Nicht umgesetzter Datenschutz führe im Falle von Leaks sogar zu einem erheblichen Ansehensverlust. Claus Ullmer (Deutsche Telekom) verwies in diesem Zusammenhang auf die hauseigenen Smart-Speaker. Diese seien nach europäischen Datenschutzvorgaben entwickelt, was einen Marktvorteil gegenüber amerikanischen Produkten darstelle. Im Geschäftskundenbereich sei allerdings die Implementierung der DSGVO im Cloud-Bereich im Fokus. Hier sei ohne Code of Conduct eine regelkonforme Zusammenarbeit mit amerikanischen Anbietern schwierig. Bellamy wollte daher wissen, ob die DSGVO auch abschreckend wirke und Geschäftsmodelle ausbremse. Kelber verwies auf die positiven Wirkungen der DSGVO. Denn wenn Unternehmen Datenschutz ernstnähmen, führe dies zu einem fairen Geschäftsmodell gegenüber den Kunden. Vielfach sei im Detail auch keine große Veränderung nötig, da Ausnahmetatbestände das Einholen einer Einwilligung vielfach nicht erfordere. Ullmer forderte, dass dafür den Unternehmen aber Unsicherheit bei der Anwendung von Datenschutznormen genommen werden müsse. Dafür sei ein intensiver Dialog mit den Aufsichtsbehörden notwendig. Eine europaweit einheitliche Auslegung der DSGVO sei dringend erforderlich. Diesem Bemühen stimmte auch Kelber zu.
Datenschutzfolgeabschätzung
Die DSGVO fordert von einigen Unternehmen eine Datenschutzfolgeabschätzung (DFA). Das Vorgehen der niedersächsischen Aufsichtsbehörde erläuterte dazu die Landesdatenschutzbeauftragte Barbara Thiel. Aus Sicht der Unternehmen sprach Oliver Draf von der Volkswagen AG.
Thiel stellte dabei das Instrument der DFA vor. Zur Auslegung sei das Arbeitspapier 248 der europäischen Datenschutzkonferenz ein hilfreicher Leitfaden. Sie berichtete von der Prüfung ihrer Behörde, die 50 niedersächsische Unternehmen nach ihrem Umgang mit DFA befragte. Mittlerweile hätten fast alle eigene Datenschutzabteilungen. Zu oft werde aber etwa eine Einwilligung eingeholt, obwohl dies aufgrund von Ausnahmetatbeständen nicht nötig sei. In der Dokumentation von DFA offenbaren sich Lücken und generell sei die Anwendung von Art. 35 I DSGVO nicht immer zufriedenstellend. Thiels Rat an die Unternehmen war, die DFA nicht durch den eigenen Datenschutzbeauftragten durchführen zu lassen und bei Umsetzung einer DFA das WP 248 heranzuziehen.
Draf berichtete daraufhin von den Herausforderungen, die die DSGVO an die Entwicklung von autonomen Fahrsystemen stellen. Da hier die Fehlertoleranz extrem gering sei, sei auch eine saubere DFA notwendig. In Zusammenarbeit mit der Aufsichtsbehörde und entsprechenden Tools sei diese aber zu bewältigen. Wichtig sei, bereits vor einer Prüfung durch die Behörde gut aufgestellt zu sein. Dazu sollten innerbetriebliche Daten gesichtet und strukturiert werden. So könne dann auch innerhalb einer angemessenen Frist reagiert werden.
Datenportabilität
Im Gespräch mit Marie-Therese Ettmayer (EU-Kommission) sowie Cecilia Álvarez Rigaudias (Facebook) sprach Frederick Richter von der Stiftung Datenschutz über Datenportabilität. Das Thema erhielt durch die DSGVO neuen Schwung, da Nutzern nun ein Recht eingeräumt wird ihre Daten umzuziehen. Da mittlerweile auch etwa das Justizministerium die Nutzung von Daten auf verschiedenen Plattformen ermöglichen will, stelle sich Richter die Frage, wie Facebook diesem Verlangen nachkommen will. Rigaudias stellte heraus, dass personenbezogenen Daten das Kerngeschäft von Facebook seien. Schon weit vor der DSGVO habe Facebook in Technologien investiert, die einen Datentransfer ermöglichen sollen. Praktisch bedeute dies aber einige Herausforderungen. Nicht alle Daten die Facebook habe, seien auch in neuen Umgebungen legitim zu verarbeiten. Im „Data Transfer Project“ sei daher das Ziel, die Daten auf Wunsch des Nutzers direkt an einen anderen Dienstanbieter zu übermitteln. Facebook setze sich dann direkt mit dem anderen Dienst auseinander.
Ettmayer stellte aus Sicht der Kommission dar, dass dem einzelnen Nutzer wieder mehr Souveränität gegenüber den Plattformbetreibern eingeräumt werden solle. Außerdem fördere Datenschutz den Wettbewerb und verhindere zu große Marktmacht. Dies sei gerade im B2B-Bereich zu beobachten. Die unternehmenseigene Cloud-Lösung zu wechseln sei bis jetzt eine schwierige Herausforderung. Diesem „Vendor-Lock“ könne durch den Code of Conduct für den Cloud-Bereich entgegengewirkt werden. Sie hoffe, dass bis Mitte 2020 den Dienstanbietern klare Vorgaben gemacht werden.
Auch abseits der Hauptbühne gab es interessante Kurzvorträge. Zwei Impulsreferate zu DSGVO-Anforderungen an Netzbetreiber sowie Kartellrecht und digitale Marktmacht sollen hier wiedergegeben werden.
ePrivacy bei Vodafone
Laure Wagener aus dem Vodafone-Büro in Brüssel skizzierte in ihrem Vortrag, welche Regulierungsthemen Vodafone aktuell beschäftigen. Die zentrale Herausforderung sei innerhalb dem neuen EU-Rechtsrahmen innovativ zu bleiben. Es müsse genügend Freiraum bestehen, damit auch ein europäischer Service weltweit wettbewerbsfähig sei. Europäische Werte dürften dafür aber nicht aufgegeben werden.
Als Beispiel für eine datenökonomische Anwendung nannte Wagener die im Netz von Vodafone entstehenden Metadaten. Diese Ortsdaten seien nicht vergleichbar mit GPS, innerstädtisch aber auf bis zu 50 Meter genau. Diese Daten nutze Vodafone nicht um sie weiter abzugleichen oder mit einem Kartendienst zu verbinden. Ganz ungenutzt wolle man die Daten aber auch nicht lassen. Durch die Auswertung großer Mengen an Metadaten könnten etwa Städte genauer analysiert werden. Dies ergebe Anwendungsfelder für Bereiche wie Smart City, bei Unglücken oder im Energiebereich.
Personenbezogene Daten verarbeite Vodafone im Rahmen der DSGVO nicht ohne Einwilligung. In einem größeren Rahmen wolle man aber zugunsten der eigenen Geschäftsmodelle Datenströme verarbeiten können. Werden europäische Anbieter, etwa durch ePrivacy, zu stark reguliert, könnten Nicht-EU-Akteure diese Geschäftsmodelle nutzen. Wenn innerhalb der EU Marktmacht nur unter Beachtung von Datenschutz möglich sei, dann sei aber auch rechtliche Sicherheit gefragt, etwa bei der Vorratsdatenspeicherung.
Kommt der Datenschutz ins Kartellrecht?
In diesem Kurzpanel stellten Sebastian Louven und Aline Blankertz ihre unterschiedlichen Sichtweisen vor. Das vom Bundeskartellamt angestrengte Verfahren gegen Facebook wirft ein Schlaglicht auf neue Verbindungen zwischen Datenschutz- und Kartellrecht. Louven stellte zunächst den aktuellen Stand im Verfahren vor. Das OLG Düsseldorf entschied im Eilrechtsschutz zu Gunsten von Facebook. Ob ein Verstoß gegen Datenschutzbestimmungen also (digitalen) Marktmachtmissbrauch begründen kann, wird sich im Hauptverfahren zeigen. Blankertz betrachtete die starke Stellung von Facebook aus ökonomischer Perspektive. Marktmacht könne im Bereich des Datenschutzes genutzt werden, um einseitig Standards vorzugeben. Ein starker gesetzlicher Datenschutz führe somit zu mehr Wettbewerb und in der Folge womöglich zu mehr Innovation. Eine funktionierende Dateninteroperabilität könnte hier ein Werkzeug sein, um Datenschutz und Kartellrecht zu verbinden.
Die Vortragenden betrachteten in diesem Zusammenhang das Vorgehen des Bundeskartellamtes. Kann der Verlust von Datensouveränität wirklich Marktmachtmissbrauch darstellen? Der Vorwurf des BKart lautete, Facebook vernetzte Nutzerdaten außerhalb ihrer Plattform. Aber würde dieses Verhalten bei mehr Wettbewerb unterbleiben? Kritisch zu hinterfragen sein auch, ob Facebook überhaupt eine solch wichtige Stellung in Deutschland innehabe. Denn die meisten Bürger*innen nutzen die Dienste von Facebook gar nicht. Ob Facebook daher als Monopolist reguliert werden könne, sei nicht ohne weiteres ersichtlich. Louven und Blankertz schlossen mit einem Aufruf für mehr interdisziplinären Austausch.
Fazit
Aufsichtsbehörden und Unternehmen werden sich ihrer Aufgaben und Verantwortung bewusst. Um in einem rechtssicheren Rahmen tätig werden zu können, braucht es einen Dialog. Die Bitkom Privacy Conference war hierfür eine gute Gelegenheit.
