Der zweitägige Kongressteil informierte über die neuesten Trends und gab Hinweise zu gesetzlichen Entwicklungen. Im Rahmen von Intensivseminaren konnten die Teilnehmer aus verschiedenen Themen wie „Compliance- und Risikomanagement für den Datenschutzbeauftragten“, „Dokumentation von IT-Systemen und sachgerechte Spezifikation aus Datenschutzsicht“ oder „Praktischer Einsatz moderner Verschlüsselungstechniken für den Datenschutz“ wählen. Die Kongressleitung oblag Dr. Eugen Ehmann, Regierungsvizepräsident von Mittelfranken.

In seiner Keynote zu aktuellen datenschutzpolitischen Entwicklungen wies Innenminister Joachim Herrmann darauf hin, „dass die großen Internetunternehmen in vielen Bereichen bereits heute breitere und oft auch weit sensiblere Informationen über ihre Nutzer haben, als der Staat über seine Bürgerinnen und Bürger. Trotzdem wird meist weit engagierter darüber diskutiert, ob der Staat Informationen, die ihm schon anvertraut sind, auch an anderer Stelle nutzen darf.“

Deshalb sehe er, Herrmann, mit großem Interesse, dass sowohl die Datenschutz-Grundverordnung als auch die EU-Datenschutzrichtlinie für Polizei und Justiz mit den Regelungen über die sogenannte Zweckänderung neue Maßstäbe mit sich bringen, die jetzt im Anpassungs- und Umsetzungsprozess genauer ausgelotet werden müssten.

Zu den im Rechtssetzungsverfahren der Datenschutz-Grundverordnung stark umstrittenen Regelungen zählt Herrmann zufolge etwa die Befugnis des nationalen Gesetzgebers, Betroffenenrechte zu beschränken. Ein Beispiel ist die Beschränkung des Auskunftsanspruchs bei der Weitergabe von Daten Privater zu Zwecken der Strafverfolgung, wie hierzulande bereits bekannt.

Datenschutz-Grundverordnung

Auch über die in der Datenschutz-Grundverordnung vorgesehenen Bedingungen und Garantien für die Verarbeitung von besonders geschützten Daten, zum Beispiel zum Gesundheitszustand oder der Religionszugehörigkeit, müsse man sich Gedanken machen, hob Herrmann hervor. Für den Umgang mit diesen Daten bestünden hierzulande bereits erprobte Lösungen, die die Datenschutz-Grundverordnung letztlich nicht grundsätzlich in Frage stellt. Gleichwohl „stellt sie uns aber Regelungsaufgaben, die eher das Fachrecht als eine allgemeine Regelung des Bundes- oder Landesdatenschutzgesetzes leisten kann“. Herrmanns zentrales rechtspolitisches Anliegen lautet deshalb: „Bewahren wir die bewährten Strukturen unserer nationalen Datenschutz-Gesetzgebung, wo immer dies mit guten Argumenten mit den europäischen Vorgaben in Einklang zu bringen ist.“

Strukturen bewahren

Schließlich stellten die Instrumente der Selbstregulierung Bund und Länder noch vor eine weitere Herausforderung: Im Europäischen Datenschutzausschuss ist für jeden Mitgliedstaat nur ein einziger Vertreter vorgesehen. Umso mehr müsse dieser Deutschland mit einer starken Stimme vertreten. Aus bayerischer Sicht sollte die Ausgestaltung der Vertretung Deutschlands im Europäischen Datenschutzausschuss auf nationaler Ebene klar an den Verwaltungskompetenzen der Länder ausgerichtet bleiben und nicht alleine der Bundesbeauftragten für den Datenschutz übertragen werden.

Im nicht-öffentlichen Bereich werden in Zukunft laut Herrmann einheitliche europaweite Maßstäbe gelten. Für ein Land wie Bayern mit vielen starken, innovationsfreudigen und global agierenden Unternehmen sei dies aus wirtschaftspolitischer Sicht stets von großem Interesse gewesen. Elemente wie das Marktortprinzip oder auch empfindliche Sanktionsregelungen sollen nun dazu beitragen, europäisches Datenschutzrecht auch im globalen Datenverkehr stärker als bisher durchzusetzen.

Das heutige materielle Datenschutzrecht werde im nicht-öffentlichen Bereich auf Grundstrukturen reduziert. Allenfalls die Hälfte der 99 Artikel der Datenschutz-Grundverordnung behandle materielle Datenschutzfragen. Herrmann: „Ich hielte es für falsch, angesichts dieses Befundes nun in erster Linie nach möglichst zahlreichen Schlupflöchern für nationale Datenschutzregelungen im nicht-öffentlichen Bereich zu suchen. Denn solche nationalen Sonderregelungen für private Datenverarbeitungen konterkarieren die Zielsetzung eines europaweit einheitlichen Schutzstandards und schmälern die Wettbewerbspotenziale der Digitalisierung in Deutschland.“

Sicherlich, so der Minister, seien einzelne Ausnahmen gut begründbar, wie etwa Regelungen zum betrieblichen Datenschutzbeauftragten im Rahmen der Öffnungsklausel oder Regelungen zu besonderen Klagerechten der Verbraucherschutzverbände. Auch die deutschen Datenschutzregelungen zum Scoring, für die Verbraucherschützer, Versandhandel und Kreditwirtschaft bis zuletzt einmütig gekämpft haben, hätten sich bewährt, weshalb eine Abschaffung nicht sinnvoll sei.

Instrumente der Selbstregulierung

„Richten wir unser Augenmerk jetzt vielmehr auf die Potentiale, die die Verordnung für mehr Selbstregulierung im Datenschutz bietet. Die Datenschutz-Grundverordnung stellt mit Zertifizierungen, Datenschutzsiegel oder gar einem Verhaltenskodex über Datenschutzstandards verschiedene Instrumente der Selbstregulierung bereit. Für die dynamischen Veränderungsprozesse der Digitalisierung sind diese vielfach weit zielgenauer als Gesetze“, lautete Herrmanns abschließender Appell.

Gerade dort, wo technologische Innovationen einen vertrauensstiftenden Rahmen benötigen, wie etwa bei der Auswertung von Autodaten, bei neuen smarten Technologien oder auch bei der Videoüberwachung böten sich die in der Verordnung geschaffenen Instrumente für regulierte Selbstregulierung in besonderer Weise an.