DA+

Bericht : 37. Internationale Datenschutzkonferenz in Amsterdam : aus der RDV 3/2016, Seite 163 bis 164

Archiv RDV
Lesezeit 4 Min.

Vom 26. – 29.10.2015 richtete die niederländische Datenschutzaufsicht die internationale Datenschutzkonferenz unter dem Motto „Privacy Bridges“ aus. Der Kreis der beteiligten Aufsichtsbehörden und staatlichen Stellen wird immer größer. In Amsterdam waren 101 Mitglieder bei der ICDPPC (International Conference of Data Protection and Privacy Commissioners) akkreditiert, hinzu kommen 17 mit Beobachterstatus. Unter Leitung des neuseeländischen Datenschutzbeauftragten, John Edwards, der seit 2014 den Vorsitz der Konferenz führt, hat die Organisation einen neuen Auftritt bekommen. Die Webseite der Konferenz, https://icdppc.org/, dokumentiert gut die Arbeit der ICDPPC. Hier finden sich u.a. ein Archiv der bisherigen Konferenzen sowie ein Kalender mit künftigen Aktivitäten.

Zwei Themen prägten maßgeblich die Konferenz in Amsterdam – die von den Veranstaltern zentral geführte Diskussion um Datenschutzbrücken auf Basis eines von EU- und US-Datenschutzexperten erarbeiteten Positionspapiers sowie die Entscheidung des Europäischen Gerichtshofs zum fehlenden Schutzniveau von auf die Safe Harbor Regelung gestützten Datenverarbeitungen vom 6.10.2015 (C-362/14). Die mögliche Ausweitung dieser Entscheidung auf US-Datenverarbeitungen mit Standardvertragsklauseln beherrschte sämtliche Diskussionen und belegt, dass das eher akademisch anmutende Leitthema von hoher Praxisrelevanz ist.

Wie in den Vorjahren erfolgte der nichtöffentliche Teil der Konferenz bereits vor dem öffentlichen Teil, so dass die Erklärung von Amsterdam sowie vier Entschließungen vorgestellt werden konnten. Die vierseitige Erklärung von Amsterdam trägt den sperrigen, aber inhaltlich genauen Titel: Amsterdamer Deklaration zu Genetik- und Gesundheitsdaten, Herausforderungen von Morgen sowie Datenschutzaufsicht über Sicherheits- und Geheimdienste und die Rolle von Datenschutzaufsichtsbehörden in einer sich wandelnden Gesellschaft. Hervorzuheben sind die Ausarbeitungen zu den Datenschutzrisiken von genetischen Daten und potentielle Lösungsansätze durch Aufsichtsorgane in Institutionen (IRBs – Institutional Review Boards), Privacy Management Programme, Privacy Impact Assessments, Privacy by design und Zertifizierungen sowie ein notwendiger Dialog der Aufsichtsbehördenvertreter mit Wissenschaftlern. Zum Thema Geheimdienste werden u.a. die Berücksichtigung von Verhältnismäßigkeit und Rechtmäßigkeit der Aktivitäten der Dienste und Sicherheitsorgane, Verbesserung der Transparenz sowie spezielle aufsichtliche Datenschutzmaßnahmen gefordert. Die Themen der vier Entschließungen beschäftigen sich mit der strategischen Ausrichtung der Konferenz bis 2018, der Verankerung von Datenschutz im internationalen Recht auf UN-Ebene, der Weiterentwicklung des Datenschutzes bei humanitären Aktionen sowie der Schaffung von Datenschutzregeln in internationalen Organisationen.[1]

In der Vorkonferenz, die von der Privatwirtschaft und NGOs getragen wird, sind zwei Veranstaltungen hervorzuheben: Zum einen die von NYMITY und dem Center for Information Policy Leadership initiierte Diskussion zur Angleichung unterschiedlicher Datenschutzordnungen durch in Organisationen eingebettete Accountability. Das Thema wurde zu verschiedenen Schwerpunkten beleuchtet, wobei der Einsatz von betrieblichen Datenschutzbeauftragten als Teil der Accountability bemerkenswert ist. Zum anderen erfolgte eine von der niederländischen Organisation für Datenschutzbeauftragte NGFG in Zusammenarbeit mit der Confederation of European Data Protection Organisations (CEDPO) durchgeführte Diskussion zum Thema Brückenschlag zwischen internationalen Rechtsordnungen in einer von Daten getriebenen Welt, in der ebenfalls die unverzichtbare Rolle des betrieblichen Datenschutzbeauftragten herausgearbeitet wurde.

Der Hauptteil der Konferenz begann mit der Ansprache des ausscheidenden langjährigen Vorsitzenden der niederländischen Datenschutzaufsicht, Jakob Kohnstamm als Gastgeber. Hieran schloss sich nach einem Bericht von John Edwards über die Entscheidungen und Entschließungen der Internationalen Konferenz eine in vielen Kleingruppen geführte Diskussion über das „Privacy Bridges Projekt“ an, was den Schwerpunkt des ersten Tages darstellte. Das in über einjähriger Arbeit erstellte fünfzigseitige Dokument „Privacy Bridges“ wurde zu spät vor Konferenzbeginn veröffentlicht, was die Diskussion für viele Teilnehmer beeinträchtigte. Das Dokument, das keine überraschenden Erkenntnisse enthält, ist eine gute Grundlage, um die Fragestellung zu beantworten, wie sich unterschiedliche Datenschutzwelten am Beispiel der USA und Europa annähern und gemeinsam kooperieren können. Das Positionspapier stellt zehn Datenschutzbrücken zur Diskussion vor:

  1. Formalisierung der Zusammenarbeit zwischen den betroffenen US/ EUAufsichtsbehörden, der Federal Trade Commission und der Art. 29 Arbeitsgruppe.
  2. Verbesserung der Kontrollmöglichkeiten der Betroffenen über ihre Daten, z.B. durch Schaffung von entsprechenden Standards.
  3. Neue Ansätze zur Schaffung von Transparenz, u.a. am Beispiel anderer Industriezweige hinsichtlich Kennzeichnungspflichten.
  4. Klärung der Frage, wie Betroffene Schadensersatz erhalten, wenn die Verletzungen außerhalb ihres geographischen Lebensraums erfolgen.
  5. Zugriff von Regierungsstellen auf Daten des privaten Sektors.
  6. Etablierung von Standards, wie der Personenbezug von Daten herausgenommen werden kann – sog. DeIdentifikation.
  7. Entwicklung weiterer Standards zur Information bei Datenpannen.
  8. Accountability – hier verstanden als organisationale Verantwortlichkeit, d.h. die verbindliche Übernahme der Verantwortung für den Datenschutz und die Einhaltung und Umsetzung weiterer rechtlicher Verpflichtungen durch eine Organisation.
  9. Größeres Engagement zwischen Regierungen, ihre regulatorischen Aktivitäten stärker miteinander zu koordinieren, was einen regelmäßigen intensiven Austausch auf Arbeitsebene voraussetzt.
  10. Zusammenarbeit im Hinblick auf Forschungsprogramme zum Datenschutz.

Der zweite Konferenztag begann mit der Ansprache von Vera Jourová, EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung, zum Stand der Verhandlungen der EU-Datenschutzgrundverordnung und zur Lösung der Safe Harbor Fragestellung nach dem Schrems-Urteil des Europäischen Gerichtshofs. Mit einer Datenschutztour um die Welt ging der offizielle Teil der Konferenz mit einer daran anschließenden Podiumsdiskussion zu Ende. Die Datenschutztour du Monde berichtet über Datenschutzereignisse der letzten 80 Monate vor der Konferenz. Sie ist als 57-seitiger Bericht verfügbar

Das auf der Konferenz inflationär genutzte Bild einer Datenschutzbrücke wird die weitere Entwicklung des internationalen Datenschutzes prägen, da sie ein gelungenes Synonym für den sperrigeren Begriff der Interoperabilität darstellt. Die Schrems-Entscheidung des Europäischen Gerichtshofs zur Unzulässigkeit der Safe-Harbor-Datenverarbeitungen unterstreicht die besondere Aktualität der praxisgerechten Suche nach sicheren Datenschutzbrücken.

Marokko wird die 38. Internationale Datenschutzkonferenz in Marrakesch ausrichten. Die Konferenz findet vor aussichtlich vom 18. bis 22.10.2016 statt.

(Paul Gürtler, TARGOBANK, Düsseldorf)

Der Bericht gibt ausschließlich die persönliche Meinung des Referenten wieder.

[1] Die Entschließungen sind unter https://icdppc.org/document-archive/adopted-resolutions/ abrufbar.