Bericht : 35. Internationale Datenschutzkonferenz in Polen : aus der RDV 1/2014, Seite 53 bis 54
Ende September 2013 war die Datenschutzaufsichtsbehörde von Polen (GIODO) Gastgeberin der 35. Internationalen Datenschutzkonferenz in Warschau unter dem Motto „Privacy: A Compass in Turbulent World“. Wie im Vorjahr wurde die Hauptkonferenz von weiteren Veranstaltungen begleitet (vgl. http:// privacyconference2013.org/ mit weiterführenden Links). Die Konferenz war geprägt von Ausblicken auf die Zukunft des Datenschutzes und einer Vielzahl von Resolutionen, stand aber auch im Zeichen des Abschieds. Viele langjährige Teilnehmer verlassen als Behördenvertreter den Kreis, so z.B. Peter Hustinx (Europäischer DSB), Peter Schaar (BfDI), Yoram Hacohen (Israel) und Marie Shroff (Neuseeland), die durch ihre Beiträge auf den internationalen Datenschutzkonferenzen der letzten Jahre Akzente gesetzt haben. Strukturell gab es ebenfalls eine Neuerung. Ab der 35. Internationalen Datenschutzkonferenz endet die Veranstaltung mit dem öffentlichen Teil, was den Vorteil bringt, dass die getroffenen Entschließungen der Aufsichtsbehörden unmittelbar besprochen werden können und der Gastgeber der nächsten Veranstaltung bereits feststeht.
Auf inhaltlicher Ebene stand das neue Rahmenwerk zum datenschutzkonformen grenzüberschreitenden Datenverkehr der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) im Mittelpunkt der Diskussionen, das der Modernisierung des Datenschutzes neue Impulse geben soll. Die Organisation mit Sitz in Paris, der zur Zeit 34 Staaten angehören, hat mit der im Sommer 2013 vorgelegten Neufassung des „OECD Privacy Framework“ grundlegende Konzepte überarbeitet, ohne jedoch den Kern der Regelungen aus dem Jahr 1980 anzutasten. Wesentliche Neuerung ist die Ausweitung der Accountability, die in der Vorversion lediglich als Element der Datenschutzcompliance einer verantwortlichen Stelle erwähnt wurde und nunmehr einen eigenen Abschnitt erhalten hat. Die Begriffsbestimmung und Weiterentwicklung des Konzepts der Accountability im dritten Abschnitt der Regelung ist zukunftsweisend und von allgemeinem Interesse. Die verantwortliche Stelle wird verpflichtet, ein Privacy Management Program (PMP), das auf die gesamte Datenverarbeitung der personenbezogenen Daten Anwendung findet, mit den folgenden Details durchzuführen.
Zum einen sind die Besonderheiten der Datenverarbeitung vor allem hinsichtlich Struktur, Umfang, Volumen und Sensitivität zu berücksichtigen. Es sind angemessene Schutzmaßnahmen zu ergreifen, die auf Basis einer Risikoeinschätzung erfolgen und in das interne Kontrollsystem und Risikomanagement zu integrieren sind. Das PMP erfordert ebenfalls Strukturen für Sicherheitsvorfälle und Aufsichtsanfragen. Das Programm ist kontinuierlich zu überprüfen und auf Basis der Bewertungen regelmäßig anzupassen. Besonderes Gewicht wird auf die Verpflichtung der verantwortlichen Stelle auf enge Zusammenarbeit mit Aufsichtsbehörden gelegt, die zum Beispiel einen Code of Conduct oder andere verbindliche Richtlinien prüfen. Hier muss die verantwortliche Stelle im Einzelfall die Einhaltung des Programms gegenüber der jeweiligen Aufsicht als angemessen Maßnahme nachweisen. Zum anderen wird die generelle Verpflichtung der verantwortlichen Stelle betont, von sich aus die zuständigen Aufsichtsbehörden bei signifikanten Sicherheitsvorfällen im Zusammenhang mit personenbezogenen Daten zu informieren. Soweit Schäden drohen, sind auch die Betroffenen zu informieren.
Im Teil der internationalen Kooperation ist der Begriff der Interoperabilität von Datenschutzrechtsordnungen hinzugekommen, die u.a. durch internationale Vereinbarungen, der Entwicklung von international vergleichbaren Fakten für Gesetzgeber sowie der verbindlichen Einhaltung von Datenschutzregeln weiterentwickelt wird. Durch angemessene Maßnahmen soll die grenzüberschreitende Zusammenarbeit der Datenschutzaufsichtsbehörden erleichtert werden, wozu vor allem das von der OECD initiierte GPEN (Global Privacy Enforcement Network) dient, das bei der Konferenz separat tagte und zudem an einer der Resolutionen der Konferenz beteiligt war. Mit dem OECD Privacy Framework sind die Reformvorhaben im Datenschutz (vgl. RDV 2012, 16 ff.) einen ersten Schritt weitergekommen.
Es ist zu erwarten, dass – wie bereits 1980 – von dem OECD-Regelwerk ein starker Einfluss auf die Neufassung der Konvention Nr. 108 des Europarats ausgehen wird. Wie von Teilnehmern aus der Arbeitsgruppe zur Modernisierung der Konvention Nr. 108 zu hören war, sind die Beratungen der Experten in der Zwischenzeit abgeschlossen. Die Diskussion um die Neufassung ist von der politischen Ebene übernommen worden. Der Stand der EU-Datenschutzreform wurde durch Jan Philipp Albrecht aus Sicht des Europäischen Parlaments vorgestellt. Der Referent erschien verspätet, was manche Teilnehmer als Omen für das Vorhaben als Ganzes werteten. Viele Detailfragen sind nach wie vor unklar. Der geplante Trilog setzt die Bereitschaft aller drei am europäischen Gesetzgebungsverfahren Beteiligten zu Gesprächen voraus, was angesichts des Fortschritts der Arbeiten im Europäischen Rat als problematisch erscheint. Das US Consumer Privacy Framework hat aufgrund der aktuellen politischen Situation in den USA keine Fortschritte gemacht. Dafür war von Teilnehmern zu erfahren, dass China seit September 2013 im Bereich der Telekommunikation und des Internets ein eigenes Datenschutzrecht hat. Anders als die geplante EU-Regelung, die auf hohe Geldstrafen setzt, sind im chinesischen Ansatz moderate Strafen bei Gesichtsverlust des Bestraften durch entsprechende Veröffentlichung (sog. „name and shame“) vorgesehen. Auch Indien soll in aktive Beratungen zur Gestaltung eines Datenschutzrechts eingetreten sein. Die APEC-Staaten haben ihren Privacy-Ansatz weiter ausgebaut – zum ersten Mal hat ein internationales Unternehmen, IBM, den Zertifizierungsprozess durch einen Accountability Agenten durchlaufen und ist seit Sommer 2013 zertifiziert. Unbeeinflusst von der EU bildet sich in einem großen Wirtschaftsraum eine eigenständige Privacy-Rechtsordnung heraus.
Angesichts der vielen Reformvorhaben versuchte man zu Beginn der Konferenz herauszuarbeiten, was Privacy und Datenschutz als kultureller Wert bedeutet. Der Begriff der Privacy entstand in den Vereinigten Staaten als Reaktion auf die durch die Firma Kodak in Gang gesetzte Entwicklung, eine Kamera für jedermann bereitzustellen. Bereits seit 1890 wurde die Diskussion um das Recht auf Privacy geführt. Vortragende aus Japan, Norwegen und Polen zeigten neben kulturellen Differenzen auch Gemeinsamkeiten auf. Einigkeit besteht darin, dass sowohl Datenschutz als auch Privacy für die Weiterentwicklung der Informationsgesellschaft zentral sind. Die Unterschiede liegen vor allem in der europäisch geprägten Ansicht von Datenschutz als Menschenrecht und der US-amerikanisch geprägten Ansicht von Privacy als Verbraucherschutzrecht.
Weitere Themen der Konferenz betrafen, neben den aufgezeigten Datenschutzreformen, Big Data, die Erziehung in der digitalen Welt sowie Technologie und Datenschutz. In der letzten Diskussionsrunde wurde vergeblich versucht, Anschluss an die Ausgangsdiskussion zu finden, indem man über die verschiedenen Handelnden, Perspektiven und Rollen im Datenschutz diskutierte. Insbesondere zwischen Jacob Kohnstamm als Vorsitzendem der Artikel-29-Datenschutzgruppe und Omar Tene als Repräsentanten der IAPP (International Association of Privacy Professionals) wurden Differenzen zu grundlegenden Fragen wie zum Beispiel die Bewertung von Einwilligungserklärungen deutlich und zeigten auf, dass eine Vertiefung des Dialogs dringend notwendig ist.
Es wurden neun Resolutionen verabschiedet. Neben der strategischen Ausrichtung der Konferenz mit dem Plan für die weitere Entwicklung bis 2015 und Akkreditierungen (neu im Kreis sind u.a. Mauritius und der Kosovo) gab es eine Aktualisierung der Positionen zum sog. Profiling mit Schwerpunkten vor allem hinsichtlich Transparenz und Aufsicht sowie eine Positionierung, Datenschutz im internationalen Recht zu verankern (Aufnahme eines Zusatzprotokolls zu Art. 17 der ICCPR, d.h. des UN-Zivilpakts). Von genereller Bedeutung ist die Entschließung zur internationalen Koordination von Datenschutzaufsichtsbehörden, ein weiterer Baustein in Richtung einer globalen datenschutzaufsichtsbehördlichen Zusammenarbeit. Ehrgeiziges Ziel der Gruppe, zu der u.a. GPEN, APEC, Artikel-29-Datenschutzgruppe, OECD, Europarat, die Frankophonie und das iberoamerikanische Netz (Zusammenschlüsse der französischsprachigen und spanischsprachigen Datenschutzaufsichtsbehörden) gehören, ist, ein Rahmenwerk zur internationalen Zusammenarbeit der Datenschutzaufsicht zu schaffen. Angestrebt wird, eine Regelung bei der 36. Internationalen Datenschutzkonferenz zu verabschieden. Weitere Resolutionen rufen zu mehr Transparenz im Umgang mit personenbezogenen Daten und zu digitaler Erziehung auf (u.a. spezieller Schutzbedarf für Minderjährige bei digitaler Technologie). Neu ist auch die Entschließung zum sog. Webtracking, bei dem u.a. ein Browser-Fingerabdruck zum Einsatz kommt. Die Behörden empfehlen den transparenten Einsatz der Technik und die Einhaltung der Zweckbestimmung gegenüber den Betroffenen. Während die bislang aufgeführten Entschließungen nur am Rande im öffentlichen Teil der Datenschutzkonferenz diskutiert wurden, war die Resolution zur sogenannten „Appifizierung“ der Gesellschaft Teil der öffentlichen Diskussion. Unter „Appifizierung“ wird der gesellschaftliche Trend verstanden, der sich durch die Nutzung der Smarphones und der Vielzahl der auf ihnen verarbeiteten sog. Apps seit dem Siegeszug des iPhones ergibt. Hier empfehlen die Datenschutzaufsichtsbehörden den Anbietern von Apps nachdrücklich, ihre datenschutzrechtliche Verantwortung wahrzunehmen. Es ist damit zu rechnen, dass die Fragestellung 2014 intensiver von den Aufsichtsbehörden thematisiert werden wird.
Wie auch in den Vorjahren gab es im Zusammenhang mit der Hauptkonferenz zahlreiche Nebenkonferenzen, in denen in speziellen Foren und Gruppen verschiedene Datenschutzthemen behandelt wurden. Das Datenschutzforum „The Public Voice“ mit Datenschutzschwerpunkten aus Sicht der Betroffenen (Civil Rights) und Verbraucherschutzaspekten hatte dieses Jahr unter dem Motto „unsere Daten, unser Leben“ die Modernisierung des Datenschutzes mit den Themen EUUS-Gespräche zum Freihandelsabkommen und NSA-Affäre im Fokus. In einem Workshop zur Accountability hat die Organisation Nymity Grundlagen eines Privacy Management Programms diskutiert. Insgesamt wurden dreizehn Punkte herausgearbeitet. Eine Checkliste und weitere Unterlagen hierzu sind auf der Webseite der Organisation in englischer Sprache erhältlich, Voraussetzung ist eine Registrierung und die Bitte um Feedback, das bei der Weiterentwicklung der Checkliste berücksichtigt werden soll. Der Europäische Datenschutz-Dachverband CEDPO hat mit seiner Warschauer Erklärung erneut auf die maßgebliche Rolle des Datenschutzbeauftragten als wichtigen Teil der Selbstregulierung im Rahmen der Modernisierung des europäischen Datenschutzrechts hingewiesen. Unternehmen, die einen Datenschutzbeauftragten bestellen, sollen davon in der betrieblichen Praxis auch profitieren.
Der Dialog wird auf der 36. Internationalen Datenschutzkonferenz in Afrika fortgesetzt. Gastgeber der im September 2014 stattfindenden Konferenz ist das neue Mitglied im Kreis der internationalen Datenschutzaufsichtsbehörden, Mauritius. Wie auch in diesem Jahr wird es einen öffentlichen Teil nur dann geben, wenn sich genügend Sponsoren zur Unterstützung finden.
(Paul Gürtler, TARGOBANK, Düsseldorf)