Das EMR und die Arbeitsgemeinschaft Privater Rundfunk (APR) hatten am 04. Mai 2018 zu einem praxisorientierten Workshop für Medienunternehmen geladen, der an der Schnittstelle zwischen der wissenschaftlichen Betrachtung des EMR und den praktischen Arbeiten der Medienhäuser einen Überblick über sowohl den Datenschutz der DS-GVO als auch weitergehend den Bereich der Datensicherheit bei kritischen Infrastrukturen gab. Die Teilnehmer setzten sich dementsprechend sowohl aus interessierten und mit datenschutzrechtlichen/datensicherheitsrechtlichen Fragestellungen befassten Mitarbeiterinnen und Mitarbeitern aus Medienunternehmen als auch Vertretern aus den Unternehmensleitungen zusammen.
In seiner Einführung gab Prof. Dr. Mark D. Cole, wissenschaftlicher Direktor des EMR, einen Überblick über die Grundzüge der Datenschutz-Grundverordnung, die ab dem 25. Mai 2018 in Europa unmittelbar gelten wird. Dabei betonte er, dass es zwar in bestimmten Bereichen wie zum Beispiel bei der Ausgestaltung der Aufsicht und der Konkretisierung der Dokumentationspflichten von Datenverarbeitern beachtenswerte Neuerungen durch die Verordnung geben werde. Allerdings baue die DS-GVO doch im Wesentlichen noch auf der Substanz der Datenschutzrichtlinie auf, die bereits ein hohes Datenschutzniveau gewährleistet hat. Das führe, so Cole weiter, vor allem in Ländern wie Deutschland, in denen bereits ein strenges Datenschutzrecht etabliert war, eher zu Änderungen in Form von Verbesserungen, Intensivierungen und Anpassungen im Hinblick auf die geltende Rechtslage. So sei beispielhaft die europaweite Einführung des Datenschutzbeauftragten in Unternehmen oder der Datenschutz-Folgeabschätzung durch die DS-GVO in Deutschland nicht neu. Trotz ihres Charakters als Verordnung, führe die DS-GVO allerdings nicht zu einer Vollharmonisierung des Datenschutzrechts in Europa, da insbesondere zahlreiche Öffnungsklauseln und Gestaltungsaufträge den Mitgliedstaaten einen Gestaltungsspielraum für nationale Lösungen oder auch Sonderwege bieten. Zur Beantwortung der Frage wie unterschiedlich die Ausgestaltung werden kann, führte Cole beispielhaft die Umsetzung des Medienprivilegs aus Art. 85 DS-GVO in Deutschland an, die bereits in den landesrechtlichen Gesetzesentwürfen der Bundesländer stark divergiere. Zu dieser auch vor dem Hintergrund der DS-GVO teilweise recht unterschiedlichen Datenschutzlandschaft komme noch hinzu, dass die DS-GVO nicht die einzige und abschließende Quelle der Regulierung von Datenverarbeitungsprozessen und Datenverkehr sei. So hinterlasse insbesondere die ePrivacy-Verordnung, die eigentlich zusammen mit der DS-GVO in Kraft treten sollte, aber von einer Einigung im Trilogverfahren noch weit entfernt sei, eine große Lücke bei der Frage nach der Beurteilung der Rechtmäßigkeit von Datenverarbeitungsvorgängen im Bereich der elektronischen Kommunikation. Während dies vor allem persönlichkeitsrechtliche Aspekte des Datenschutzrechts betreffen würde, würden sich datensicherheitsrechtliche Fragestellungen bei der DS-GVO und der NIS-Richtlinie überschneiden. Während erstere das Schutzziel der Betroffenen anvisiere, wolle zweite ein hohes gemeinsames Sicherheitsniveaus von Netz- und Informationssystemen in der europäischen Union gewährleisten. All diese Verzweigungen und Optionen müssen – so Cole abschließend – im derzeitigen spannenden Entwicklungsprozess Berücksichtigung finden und daher heiße es „Ruhe bewahren und in Unruhe bleiben“.
Präsentation Prof. Dr. Mark D. Cole
Um den Aspekt der Sicherheit von informationstechnischen Systemen ging es auch im anschließenden Vortrag von Dr. Uwe Jendricke, Bundesamt für Sicherheit in der Informationstechnik (BSI). Er gab einen Einblick in den Arbeitsbereich und die Arbeitsweise des BSI in Bezug auf die IT-Sicherheit vor allem im Bereich der sog. Kritischen Infrastrukturen (KRITIS). Nach der Darstellung von Gefahren, die sich für alle Unternehmen beim Einsatz von IT ergeben, betonte er, dass Medienunternehmen einer besonderen Gefährdungslage ausgesetzt seien und daher dem Kreis der KRITIS zuzuordnen seien, obwohl sie weder von der NIS-Richtlinie noch von deren Umsetzung im IT-Sicherheitsgesetz in Deutschland direkt adressiert seien. Eine Auseinandersetzung mit dem Thema IT-Sicherheit sei daher sinnvoll. An dieser Stelle stellte Jendricke den UP KRITIS vor, eine öffentlich-private Kooperationsplattform zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen, auf der sich die Beteiligten über gemeinsame Probleme und Lösungen austauschen und Konzepte für die Sicherheit ihrer Systeme erarbeiten können. Konkrete Auseinandersetzungen mit branchenspezifischen Fragestellungen seien dabei insbesondere in den einzelnen Branchenarbeitskreisen möglich – für Medienunternehmen der BAK Medien und Kultur, an dem sich beispielsweise die APR bereits beteiligt. Strategisch-konzeptionelle Methoden oder die Einhaltung des Stands der Technik seien nur einige der vielen Themen die hier diskutiert würden. Jendrick warb vor diesem Hintergrund vor allem dafür, sich mit anderen Betroffenen aus der Branche und auch dem BSI auszutauschen, da auf diese Weise Lösungen (gemeinsam) entwickelt und bereitgestellt werden. Sicherheitsvorfälle beim BSI freiwillig zu melden, sei dabei ein notwendiger Schritt, um einen Datenbestand zu erstellen und für zukünftige Vorfälle gerüstet zu sein.
Präsentation Dr. Uwe Jendricke
Im Anschluss erläuterte Robert Dorsch (DS2018 GmbH) konkrete Möglichkeiten, in Medienunternehmen die Datensicherheit zu verbessern. Er betonte in seinem Vortrag insbesondere die Bedeutung von organisatorischen Konzepten und insbesondere auch (frühzeitigen) Notfall-Plänen, die die Vorgehensweise des Unternehmens bei einem Sicherheitsvorfall vorgeben und damit den Ausfall von Betriebsabläufen verhindern. Eine wirtschaftlich vernünftige und technisch schlagkräftige Abwehr sei allerdings nicht ohne ganzheitlichen Security-Ansatz realisierbar. Dabei stellte Dorsch bereits einige konkrete Optionen vor, die Datensicherheit im eigenen Unternehmen zu verbessern beispielsweise im Bereich der Zugangskontrolle durch Passwortsicherheitssysteme oder im Bereich der Netzzugangskontrolle durch die Einrichtung moderner „Next Generation Firewallsysteme“. Ein Umdenken hin zur IT-Sicherheit sei bereits in vielen Unternehmen − angetrieben von der DS-GVO, Cybersicherheitsattacken und SSL’s − erfolgt, was sich etwa an dem deutlichen Anstieg der IT-Budgets zeige. Im Ergebnis lasse sich IT-Sicherheit aber nur bedingt kaufen. Gezielte Angriffe erfordern vielmehr einen mehrstufigen Schutz und intelligente Sicherheit auf allen Endgeräten – so Dorsch in seinem Fazit.
Einen Überblick über das Medienprivileg bei Rundfunk und Telemedien gab Andreas Gummer, Datenschutzbeauftragter der BLM. Er betonte, dass die gerade in den Landesparlamenten befindlichen Regelungen des 21. Rundfunkänderungsstaatsvertrages für die Medien die Regelungen der DS-GVO weitgehend verdrängen, was nicht zuletzt auch einer vorzunehmenden weiten Auslegung des Begriffes der redaktionellen Tätigkeit geschuldet sei. Art. 85 sei dabei seiner Ansicht nach nicht als Gestaltungsauftrag an die Mitgliedstaaten anzusehen, sondern als Öffnungsklausel für die journalistische Tätigkeit, die einen Gestaltungsspielraum eröffne. Die Gewährleistung bestimmter Rechte wie das Auskunftsrecht oder das Recht auf Berichtigung oder Löschung von Daten, die die DS-GVO verlangt, ist Medienunternehmen auch unter geltendem Recht nicht fremd. Gummer unterstrich allerdings im Hinblick auf die im 21. RÄndStV vorgesehene Ausgestaltung, dass zwar Regelungen für Rundfunkanbieter fast wortgleich auch für Telemedien gelten, bestimmte Details sich aber doch unterscheiden. Bedeutung habe das insbesondere vor dem Hintergrund, dass die Regelungen für Telemedien nur journalistisch-redaktionell gestaltete Angebote und damit hauptsächlich Rundfunk- und Presseunternehmen adressiere, die ihre Inhalte auch online zur Verfügung stellen.
Einen Schwerpunkt der Veranstaltung bildete der Vortrag von Kristin Benedikt vom Bayerischen Landesamt für Datenschutzaufsicht. Sie betonte einleitend die Bedeutung der in der DS-GVO enthaltenen Grundsätze der Transparenz und Information für die zukünftige Arbeit in der Praxis. Ziel müsse insbesondere sein, dass die Betroffenen über den Umgang mit ihren personenbezogenen Daten mehr Klarheit und dadurch auch mehr Kontrolle erhalten. Hierzu sei es erforderlich, dass die von verarbeitenden Stellen bereitgestellten Datenschutzhinweise in einer einfachen, klaren und verständlichen Form verfasst sind und von anderen Erklärungen wie AGB und Nutzungsbedingungen klar abgetrennt werden. Dabei könne beispielsweise eine optische Strukturierung und/oder ansprechende Gestaltung förderlich sein, insbesondere auf Webseiten. Natürlich sei dies mit Blick auf die Verpflichtung, jedes auf der Webseite eingebundene Tool und dessen datenrelevante Funktionsweise in der Datenschutzerklärung aufzulisten, schwierig umzusetzen, wenn nicht die Notwendigkeit einer großen Anzahl verschiedener Programme hinterfragt werde. Beim Thema Tools und Plugins stellte Benedikt sodann die Ergebnisse eines Positionspapiers vor, dass die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) kürzlich herausgegeben hat und dass deren Auffassung im Umgang mit Cookies und Tracking-Tools beschreibt. Hiernach seien die Datenschutzbestimmungen der §§ 12, 13, 15 des Telemediengesetzes (TMG) nicht mehr anwendbar seien und die rechtliche Lage daher allein nach der DS-GVO zu beurteilen, wobei schließlich vorwiegend eine Interessenabwägung nah Art. 6 Abs. 1 Buchts. f) zur Beurteilung der Rechtmäßigkeit in Betracht komme. Eine Rechtfertigung komme dabei regelmäßig für eine reine Reichweitenmessung in Betracht, sei aber im Übrigen einzelfallabhängig. Das Tracking im Sinne der Erstellung und Analyse von Nutzerprofilen bedürfe jedoch einer ausdrücklichen Einwilligung, die zudem vor der Datenerhebung eingeholt werden müsse. Für die damit verbundenen schwerwiegenden Folgen, die vor allem werbefinanzierte Online-Inhalte von Medienunternehmen treffen würden, zeigte Benedikt Verständnis, stellte aber klar, dass Finanzierungsfragen keiner Klärung über das Datenschutzrecht zugänglich sind und daher andere Wege gefunden werden müssten. Abschließend stellte sich Benedikt auch den Fragen der Teilnehmer, die sich vorwiegend um die rechtssichere Einbindung ganz bestimmter Tools und Plugins drehten.
Im Anschluss folgt der Vortrag von Christina Etteldorf, wissenschaftliche Mitarbeiterin EMR, DS2018 GmbH. Sie stellte zunächst knapp die allgemeinen Anforderungen der DS-GVO an elektronische Medien vor und ging kurz auf die Bedeutung der ePrivacy-Verordnung ein, die in noch nicht absehbarer Zukunft diesen Bereich regeln wird. Bereits jetzt müsse man aber Lösungen anhand des geltenden Rechts finden, wobei maßgeblich auf die Grundprinzipien und Zielsetzungen der DS-GVO zurückgegriffen werden müsse. Nachfolgend behandelte Etteldorf Detailfragen zur Trennung von AGB und Datenschutzrecht sowie zur Umsetzung der DS-GVO-Vorgaben auf Webseiten für bestimmte Angebote. Ziel war es dabei vor allem ein Bewusstsein bei den Teilnehmern hervorzurufen, mit welchen Fragestellungen sie im Einzelfall konfrontiert werden können.
Präsentation Christina Etteldorf
Der die Veranstaltung abschließende Vortrag von Prof. Dr. Stephan Ory, Direktor des EMR, behandelte den Datenschutz in Redaktionen. Der Journalist, der ständig beim Schreiben, Recherchieren und Publizieren personenbezogene Daten verarbeitet und auch darauf angewiesen ist, befinde sich stets auf der Schwelle zwischen Redaktionsgeheimnis und öffentlicher Informationsaufgabe – so Ory. Welcher Seite im Einzelfall der Vortritt zu geben sei, hänge dabei hauptsächlich von einer Abwägung zwischen Medienfreiheit und Persönlichkeitsschutz ab, wobei auf eine umfangreiche Rechtsprechung des BGH zurückgegriffen werden könne, die nicht zwischen Recht auf Schutz personenbezogener Daten und Persönlichkeitsrecht unterscheidet. Ory schlussfolgerte, dass das Medienprivileg den Datenschutz für die Medien nicht aufhebt sondern dass das Äußerungsrecht die Rechte der Betroffenen in anderer Weise berücksichtige. Dabei sei das Medienprivileg auch in Zusammenhang mit den Sorgfaltspflichten der Medien zu sehen, dem Informationsanspruch und anderen Regeln der Vielfaltssicherung.