Bericht : 22. Euroforum Datenschutzkongress : aus der RDV 4/2021, Seite 236
Am 19. und 20. Mai dieses Jahrs fand der 22. Euroforum Datenschutzkongress statt. Erstmals in ihrer Geschichte wurde die Veranstaltung dabei in digitaler Form durchgeführt.
Ein Themenschwerpunkt der Veranstaltung war der Drittlandtransfer personenbezogener Daten und die Konsequenzen aus der diesbezüglichen „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH). Den Auftakt zum Thema Drittlandtransfer bildete ein Impulsreferat von Max Schrems selbst. Mit seinen Klagen beim EuGH kippte der Datenschutzaktivist zunächst das Safe-Harbor-Abkommen und zuletzt auch dessen Nachfolger, das Privacy Shield Abkommen. Die letzterwähnte EuGH-Entscheidung hat weitreichende Konsequenzen für Drittlandtransfers, und dies nicht nur dann, wenn diese bislang aufgrund des Privacy Shield Abkommens erfolgten, sondern auch bei Einsatz der Standarddatenschutzklauseln der EU-Kommission (EU-Standardvertragsklauseln). Nach dem Urteil des EuGH reichen bei Datenübermittlungen in sog. Drittländer die Standardvertragsklauseln ohne zusätzliche Maßnahmen nicht mehr ohne Weiteres aus.
Dr. Anna Zeiter, Chief Privacy Officer eBay Inc., erklärte, dass man sich bei eBay in Europa eng an die Empfehlungen des Europäischen Datenschutzausschusses (EDSA) zum Thema „Schrems II“ halten, und betonte den immensen Aufwand, der mit der Umsetzung der Vorgaben einhergehe. Die geforderte Überprüfung, ob die übermittelten Daten im Drittland einem dem EWR im Wesentlichen gleichwertigen Schutzniveau unterliegen, sei insbesondere von kleineren Stellen gar nicht leistbar, so Zeiter.
Dr. Axel Frhr. von dem Bussche, TaylorWessing, gab im Rahmen eines Forums Hinweise zur Umsetzung der „Schrems II“-Entscheidung in der Praxis und erläuterte insbesondere die einzelnen Verfahrensschritte der diesbezüglichen Empfehlungen des EDSA. Fraglich sei aus seiner Sicht, ob bei der Bewertung des Schutzniveaus im Zielland des Datentransfers (Schritt 3 der Empfehlungen des EDSA) das abstrakte oder das konkrete Risiko zugrunde zu legen sei. Während nach dem EDSA bei Bewertung des Datenschutzniveaus kein risikobasierter Ansatz gelten, vielmehr die abstrakte Gefahr im Zielland maßgeblich sein solle, verstehe er selbst die EuGH-Entscheidung so, dass eine „case to case“-Bewertung, also eine Beurteilung des konkreten Datentransfers vorzunehmen sei. Von dem Bussche empfahl Unternehmern dringend, mit der Umsetzung der „Schrems II“-Entscheidung umgehend zu beginnen und nicht zuzuwarten. Bei Erstellung des Umsetzungsplans sei zu berücksichtigen, dass es sich nicht um ein Projekt handele, dass kurzfristig abgeschlossen werden könne. Es handele sich um einen andauernden Prozess, der potenziell mehrere Jahre in Anspruch nehme.
Dr. Claus-Dieter Ulmer, Global Data Privacy Officer der Deutschen Telekom AG, stellte das Projekt GAIA-X vor. Dieses hat den Aufbau einer leistungsund wettbewerbsfähigen, sicheren und vertrauenswürdigen Dateninfrastruktur für Europa zum Ziel und wird von Vertretern aus Wirtschaft, Wissenschaft und Verwaltung aus Deutschland und Frankreich, gemeinsam mit weiteren europäischen Partnern getragen. GAIA-X werde häufig im Sinne eines europäischen Rechenzentrums fehlverstanden. Zielsetzung des Projekts sei, strukturelle Grundlagen und Standards für ein digitales Ökosystem nach europäischen Maßstäben zu schaffen. Die Datenverarbeitung solle ausschließlich in der EU bzw. im EWR erfolgen. Anbieter aus anderen Ländern dürften die Standards aber nutzen.
Neben dem Drittlandtransfer lag ein weiterer inhaltlicher Schwerpunkt des 22. Euroforum Datenschutzkongresses auf der Bedeutung des Datenschutzes in Zeiten beschleunigter Digitalisierung. Sowohl der Auftaktvortrag von Prof. Dr. Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, am ersten Veranstaltungstag als auch der Vortrag von Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, am zweiten Veranstaltungstag befassten sich mit dieser Thematik. Als „Sauerteig in der Digitalisierungsbäckerei“ bezeichnete Kelber in diesem Zusammenhang den Datenschutz und kritisierte scharf die aus seiner Sicht aktuell sichtbare Tendenz, ohne jegliche belastbare Belege den Datenschutz als Hindernis bei der Pandemiebekämpfung zu verunglimpfen. Als „Innovationstreiber“ bewertete Jutta Löwe, Group Data Protection Officer, Brenntag.
Holding, den Datenschutz. Als Beispiel nennt sie die Einführung eines durchgehend digitalen Einkaufsprozesses von Gefahrstoffen mittels Einsatzes von eSignaturen anstelle von mit diversen Datenschutzimplikationen verbundenen Ausweiskopien.
Marit Hansen, LfD Schleswig-Holstein, berichtete über den aktuellen Stand des Verfahrens zum Erlass einer ePrivacy Verordnung. Diese fast unendliche Geschichte sei nunmehr doch noch in die nächste Runde gelangt, indem sich der EU-Ministerrat nach langer Zeit im Februar auf eine gemeinsame Position verständigen konnte. Damit könne jetzt das Trilogverfahren zwischen Rat, EU-Parlament und EU-Kommission beginnen. Für richtig erachtete Hansen, dass der Bundesgesetzgeber parallel zum Verfahren zum Erlass einer ePrivacy Verordnung begonnen habe, mittels der geplanten Schaffung eines Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) das Telekommunikations- und Onlinedatenschutzrecht auf nationaler Ebene zu novellieren. Die ePrivacy Verordnung habe nicht länger abgewartet werden können, so Hansen. Sofern sich später Konflikte zwischen nationalem und europäischem Recht ergäben, könnten diese durch entsprechende Nacharbeit behoben werden.
RAin Yvette Reif, LL.M.