Bericht : 36. Internationale Datenschutzkonferenz auf Mauritius : aus der RDV 2/2015, Seite 102 bis 104
Im Oktober 2014 war die Datenschutzaufsichtsbehörde von Mauritius (mit Unterstützung des Premierministers) Gastgeber der 36. Internationalen Datenschutzkonferenz unter dem Motto „Eine Weltordnung zum Datenschutz: Wird unser Traum wahr?“ Zum ersten Mal in ihrer Geschichte fand die Konferenz in Afrika statt. Mauritius, bei uns vor allem als exotisches Reiseziel bekannt, hat sich, neben dem weiteren Ausbau des Tourismus, die Informationstechnologie als Entwicklungsschwerpunkt gesetzt. Im Übrigen besteht ein starkes Interesse daran, die eigene Rechtsordnung internationalen Standards anzupassen – daher wird Mauritius auch als potentielles Beitrittsland für die Konvention Nr. 108 des Europarats angesehen.
Nur 187 Personen aus aller Welt nahmen an der Datenschutzkonferenz teil. Trotz der um rund zwei Drittel im Vergleich zu anderen Konferenzen geringeren Teilnehmerzahl, gab es Vorkonferenzen mit wichtigen Themen, während parallel der nichtöffentliche Teil der Konferenz stattfand. Das Global Privacy Enforcement Network (GPEN) hat zum ersten Mal auch für Nichtmitglieder eine öffentliche Veranstaltung durchgeführt. Prof. Graham Greenleaf stellte die frei zugängliche internationale Bibliothek zum Datenschutzrecht (Privacy Law) vor. Sie ist über www.worldlii.org/int/special/privacy/ erreichbar und enthält neben verschiedenen Dokumenten zum Datenschutz vor allem auch Fallkonstellationen zu von Aufsichtsbehörden ergriffenen Maßnahmen. Die Bibliothek wird unter anderem die Aktivitäten der GPEN-Gruppe als gemeinsames Archiv unterstützen. Weitere Anstrengungen zur Verbesserung der internationalen Zusammenarbeit im Datenschutz übernimmt das von der EU maßgeblich geförderte PHAEDRA-Projekt. Das auf zwei Jahre angesetzte Projekt, das sich unter anderem auf die Resolution von Mexiko-City zur internationalen Zusammenarbeit als Mandat stützt, hatte den ersten Workshop auf der 35. Konferenz 2013 in Warschau und danach zwei weitere Treffen. Im Rahmen der Vorkonferenz auf Mauritius wurde der vierte Workshop durchgeführt. Mit Ergebnissen ist auf der 37. Konferenz 2015 zu rechnen. Mit dem Mandat der Konferenz im letzten Jahr in Warschau leitet die französische Datenschutzaufsicht CNIL eine internationale Arbeitsgruppe zur digitalen Erziehung, bei der weltweit unterschiedliche Konzepte im Dialog mit Aufsichtsbehörden, Wissenschaft und Wirtschaft mit dem Ziel verglichen werden, vorbildliche Lösungen herauszuarbeiten. Auch hier ist mit Ergebnissen vorerst noch nicht zu rechnen. Seitens privater Organisationen fand als Vorkonferenzbeitrag eine Podiumsdiskussion zum Thema der Accountability statt, die auf Einladung von Nymity erfolgte und auf der u.a. der ausscheidende EU-Datenschutzbeauftragte Peter Hustinx sprach. Die Kriterien zur Entwicklung eines Datenschutzprogramms im Sinne der Accountability sind weiter verfeinert worden und wirken ausgereifter, müssen aber in einzelnen Punkten noch weiter ergänzt werden, so zum Beispiel hinsichtlich der Notwendigkeit der ausreichenden Berücksichtigung von Löschkonzepten. Microsoft hielt eine Podiumsdiskussion zur Frage der Selbstverpflichtungen zum Datenschutz bei den sog. „Trusted Clouds“ ab.
In ihrem öffentlichen Teil begann die 36. Internationale Datenschutzkonferenz mit einer Zusammenfassung des Vorsitzenden des Exekutivkomitees der Konferenz, Jacob Kohnstamm. Es wurden fünf Resolutionen verabschiedet.
Resolution zur Akkreditierung: Die Gruppe der vertretenen Aufsichtsbehörden hat sich weiter vergrößert. Für Deutschland ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen, neben Ghana und Sene gal, als neues Mitglied aufgenommen worden. Mehrere Organisationen haben Beobachterstatus erhalten, u.a. die Commodity Futures Trading Commission (CFTC) der USA.
Resolution zum Datenschutz im digitalen Zeitalter: In dieser Resolution begrüßt die Internationale Datenschutzkonferenz den Bericht des Hohen Kommissars der Vereinten Na tionen für Menschenrechte vom 30.06.2014 (A/ HRC/27/37), mandatiert das Exekutivkomitee, am Dialog zum Datenschutz im digitalen Zeitalter teilzunehmen, und fordert die Teilnehmer der Konferenz dazu auf, sich dafür einzusetzen, dass bei jeder elektronischen Überwachung als Minimum die Datenschutzgrundsätze der Erklärung von Madrid aus dem Jahr 2009 eingehalten werden. Zudem unterstützt die Konferenz den UN-Beschluss 68/167, nach dem jedermann die gleichen Rechte offwie online haben muss, einschließlich des Rechts auf Datenschutz. Diese wichtige Resolution ist die Positionierung der Datenschutzaufsichtsbehörden mit Blick auf die Snowden-Affäre.
Resolution zu Big Data: Nach den Resolutionen der 34. und 35. Internationalen Datenschutzkonferenz zum Profiling bringt diese Resolution Bedenken zu Big Data zum Ausdruck, nicht ausschließlich hinsichtlich des Datenschutzes, sondern auch bei Themen wie Antidiskriminierung und Wahrung der Bürgerrechte. Zentraler Kritikpunkt aus Datenschutzsicht ist die Wiederverwendung von Daten, was notwendig mit den Grundsätzen der Zweckbindung und Datenvermeidung kollidiert. Daher wird die Beachtung der Zweckbindung, der Begrenzung der Datenerhebung auf den verfolgten Zweck sowie, soweit angebracht, das Einholen einer Einwilligungserklärung bei Analysen und Profilbildungen gefordert. Transparenz, Zugang zu den erhobenen personenbezogenen Daten und insbesondere auch Information über die Schlüsselelemente der Entscheidungskriterien der zugrundeliegenden Algorithmen, Durchführung von Datenschutzfolgeabschätzungen und Nutzung von Privacy by Design kommen hinzu. Entscheidend ist zudem die Anonymisierung bereits bei der Datenanalyse. Die Verwendung pseudonymisierter Daten ist sorgfältig zu prüfen. Insgesamt müssen Entscheidungen bei Einsatz von Big Data fair, transparent und verantwortlich getroffen werden.
Resolution zum Internet der Dinge: Die Resolution betont, angesichts der unaufhaltsamen technologischen Entwicklung, das Recht auf informationelle Selbstbestimmung – die persönliche Entwicklung eines Jeden soll nicht dadurch bestimmt werden, was Unternehmen und Regierungen über die betreffenden Personen wissen. Das Internet der Dinge potenziert die Gefahren von Big Data. Daher sollen Transparenz, Privacy by Design und Default sowie eine Ende-zu-EndeVerschlüsselung als Lösungsansätze eingesetzt sowie Verstöße durch die internationale Gemeinschaft der Datenschutzaufsichtsbehörden angemessen geahndet werden.
Resolution zur Zusammenarbeit bei Aufsichtsmaßnahmen (Enforcement Cooperation): Die Grundlage der internationalen Zusammenarbeit der Datenschutzaufsichtsbehörden als Mitglieder der internationalen Datenschutzkonferenz wird mit dem nunmehr im Rahmen dieser Resolution verabschiedeten „Global Cross Border Enforcement Cooperation Arrangement“ weiter ausgebaut. Das elfseitige Papier ist als Positionierung ohne rechtlich verbindliche Verpflichtung anzusehen, was verständlich ist, da die jeweiligen Datenschutzaufsichtsbehörden (Privacy Enforcement Authorities) jeweils ihrem eigenen nationalen Recht als Handlungsgrundlage unterworfen sind. Als gemeinsame Grundsätze werden betont: Gegenseitigkeitsprinzip, Vertraulichkeit und der gegenseitige Respekt für die unterschiedlichen Datenschutzgrundsätze. Daneben werden Verfahrensfragen geregelt, worin vor allem das Exekutivkomitee der internationalen Datenschutzkonferenz unterstützt wird, unter anderem durch eine Bewertung der in der Resolution geregelten Zusammenarbeit nach drei Jahren. Durch die Resolution zur Enforcement Cooperation nimmt das seit Jahren diskutierte Thema, zu dem sich bereits die GPEN-Gruppe engagiert, deutlich an Fahrt auf.
Die Datenschutzkonferenz beschäftigte sich vor allem vor dem Hintergrund des diesjährigen Mottos „Eine Datenschutzweltordnung: Wird unser Traum wahr?“ mit bekannten Themen, so Interkonnektivität und Datenschutz ohne territoriale Grenzen, sowie mit der Tatsache, dass in Entwicklungsländern nunmehr von Jahr zu Jahr eigene Datenschutzgesetze verabschiedet werden. Für Afrika sprach die Leiterin der Datenschutzaufsicht von Burkina Faso, das in 2014 ein Datenschutzgesetz verabschiedet hat. In ihrer Rede machte sie deutlich, dass immer mehr afrikanische Staaten Datenschutzgesetze verabschieden werden. Frau Falque-Pierrotin, Chefin der CNIL und Vorsitzende der Art. 29 Gruppe, sprach sich für einen pragmatischen Ansatz bei der Weiterentwicklung des Datenschutzes aus, der auch in der Resolution zur Zusammenarbeit von Aufsichtsmaßnahmen zum Ausdruck kommt. Man sei sich trotz aller Unterschiede einig in dem, was Datenschutz leisten soll, nämlich die Betroffenen angemessen zu schützen. Der Datenschutzbeauftrage von Hongkong zeigte anhand von vier Aufsichtsfällen seiner Behörde auf, dass die bekannten Grundsätze der Zweckbindung, Verhältnismäßigkeit und Transparenz gute Grundlagen zur Durchsetzung von Datenschutzprinzipien im Einzelfall sind. Die Vertreter der FTC betonten erneut die Notwendigkeit, eine globale Interoperabilität zu schaffen. Hinsichtlich der Entwicklung im eigenen Land, der Consumer Privacy Bill of Rights zum Datenschutz von 2012, war nichts Neues zu hören. Es bleibt abzuwarten, ob die Ankündigung von Präsident Obama vom 15. Januar 2015 über die beabsichtigte Einführung eines Bundesgesetzes zum Datenschutz in Form der Consumer Privacy Bill of Rights neuen Auftrieb für die Entwicklung des Datenschutzes in den USA gibt.
Auf der Konferenz wurden ebenfalls ausführlich die EU-Reformvorhaben vorgestellt. Als eine der grundsätzlichen Differenzen zwischen EU und USA wurden die Unterschiede im Verständnis des Verhältnismäßigkeitsprinzips genannt. Wie auch in den vergangenen Jahren fand eine Vielzahl von parallelen Diskussionen zu unterschiedlichen Datenschutzthemen statt, von denen vor allem die Diskussion um den Vergleich von APEC Cross Border Privacy Rules (CBPR) zu den EU Binding Corporate Rules hervorzuheben ist. Unter der Leitung der französischen Datenschutzaufsicht mit Teilnahme eines Vertreters des US Departments of Commerce sowie Wirtschaftsvertretern und Wissenschaftlern wurde das Thema kontrovers diskutiert. Vor allem Prof. Graham Greenleaf von der Universität von New South Wales machte deutlich, wie weit die beiden Regelungen in der Praxis noch voneinander entfernt sind. Zum Beispiel ist eine Zertifizierung nach CBPR für Endverbraucher wenig aussagekräftig, da die Zertifizierung sich nur auf die Daten erstreckt, die das Unternehmen zu exportieren beabsichtigt, nicht aber auf die tatsächlich von dem Unternehmen erhobenen und verarbeiteten Daten. Zum Abschluss wurde das komplexe Thema Ethik, Menschenrechte und Big Data diskutiert. Mit dem Big Data Ethics Projekt, das von Firmen unterstützt wird, soll versucht werden, eine weltweit einheitliche ethische Grundlage für Datenverarbeitungen zu finden. Ob es hierzu aber überhaupt einen Lösungsansatz geben kann, blieb offen.
Der langjährige Vorsitzende der Internationalen Datenschutzkonferenz, der niederländische Datenschutzbeauftragte Jakob Kohnstamm, hat seinen Vorsitz niedergelegt und an den Privacy Commissioner Neuseelands, John Edwards, übergeben. Der Dialog wird auf der 37. Internationalen Datenschutzkonferenz in Amsterdam im Oktober 2015 fortgesetzt. Die Konferenz findet voraussichtlich vom 26. bis 29.10.2015 statt.
(Paul Gürtler, TARGOBANK, Düsseldorf)
Der Bericht gibt ausschließlich die persönliche Meinung des Referenten wieder.