In der Landesvertretung des Saarlandes in Berlin diskutierten Vertreter aus der Medienbranche, Wissenschaft, der Justiz und der Anwaltschaft am gestrigen „Vortag der DS-GVO“ über die Herausforderungen beim Umgang mit dem neuen Recht. Die Veranstaltung, die gemeinsam vom Institut für Europäisches Medienrecht (EMR) und dem Deutschen EDV-Gerichtstag (EDVGT) ausgerichtet wurde, behandelte vorwiegend die Datenverarbeitung in zwei jeweils auf den ersten Blick unterschiedlichen Bereichen – dem Journalismus und der Justiz – in deren jeweiligem Zusammenhang bedeutende Detailfragen erörtert wurden. Schnell wurde dabei klar, dass es auch hier Überschneidungen gibt und die Akteure teilweise vor den gleichen Herausforderungen stehen.
Hier geht es zur Bildergalerie
Prof. Dr. Stephan Ory wies bereits in seiner Begrüßung darauf hin, dass momentan vieles über die DS-GVO zu lesen sei, was teilweise richtige Ansätze verfolge teilweise aber auch ins Absurde gehe. Das löse in den unterschiedlichsten Bereichen derzeit eine Art DS-GVO-Panik aus „als hätten wir nie Datenschutz in Deutschland gehabt“ – so Ory. Diese einleitenden Beobachtungen zogen sich wie ein roter Faden durch die Veranstaltung, beginnend mit dem einführenden Vortrag von Prof. Dr. Mark D. Cole, wissenschaftlicher Direktor des EMR, der darüber berichtete, wo wir stehen und was sich ändern wird.
Cole leitete seine Einführung zur aktuellen Lage kurz vor Inkrafttreten der DS-GVO mit einem Vergleich zum „Millenium Day“ ein und verwies zur Begründung auf zahlreiche Artikel aus Zeitungen, die allesamt nicht älter als drei Tage waren und mit mehr oder minder warnenden Titeln das DS-GVO-Ereignis ankündigten. Zu lesen waren hier etwa die Meldungen „DSGVO und die Sorgen der Unternehmer“ oder „Nur ein Viertel der Unternehmen ist vorbereitet“ in Artikeln aus jedwedem Themenbereich und den unterschiedlichsten Auflagenstärken. Auch ein anderes Phänomen spiegele die derzeitige Stimmungslage recht gut wieder, nämlich der Versand unzähliger Mails, die nun noch schnell vor dem 25. Mai 2018 eine ausdrückliche Einwilligung zum Versand von Newsletter einholen wollen oder zumindest die Möglichkeit eines Opt-Outs einräumen. Die daraus resultierende Panik sei allerdings nicht notwendig und die Aufregung übertrieben – so Cole weiter. Es gebe nämlich auch eine nüchterne Seite, die mit den Herausforderungen des neuen Rechts auf andere Art umgehe. Beispielhaft nannte Cole hier – auch aus gegebenem Anlass jüngster, viel diskutierter Veröffentlichungen – die Kurzpapiere der Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) und vor allem des Bayerischen Landesamts für Datenschutzaufsicht, die vielen Unternehmen und Privaten Hinweise und Erklärungen an die Hand geben, um über Unsicherheiten im Umgang mit dem ‚neuen‘ Recht hinwegzuhelfen. Dieses Recht sei aber gar nicht so neu, insbesondere habe man sich innerhalb der zweijährigen Übergangszeit eigentlich gut vorbereiten können, zumindest sei an der Stelle dem Gesetzgeber kein Vorwurf zu machen. Zudem ändere sich auch um Mitternacht nicht plötzlich alles. Die DS-GVO trage die Grundgedanken der Datenschutzrichtlinie weiter und ändere häufig nur Nuancen, bekräftige oder intensiviere. Dies verdeutlichte Cole am Beispiel der Betroffenenrechte, die bereits seit 1995 das Recht auf Vergessenwerden beinhalten, dem allerdings erst mit der DS-GVO eine deutliche Kontur gegeben werde. Allerdings gebe es auch neue Rechte wie das Recht auf Datenübertragbarkeit, welches aber wiederum nur wenige Unternehmen tatsächlich betreffe. Was allerdings mit der DS-GVO völlig verändert worden sei, sei die Aufmerksamkeit für den Datenschutz. Daran, dass sogar große Firmen wie Facebook derzeit zumindest versuchen, ihre privacy policies datenschutzkonform(er) zu gestalten, zeige sich, dass sich etwas gewandelt habe. Cole wies jedoch darauf hin, dass es durchaus einige Dinge gebe, die wirklich neu wären. Hierzu gehöre insbesondere die neue Rolle der Akteure: Datenverarbeitende Unternehmen müssten nun selbst erkennen, welchen Datenverarbeitungsprozess sie wie datenschutzkonform gestalten können, Datenschutzbehörden verliessen die Position einer bloß beobachtenden nationalen Behörde nunmehr ausgestattet mit starken Überwachungs- und Durchsetzungsmitteln, die durch die Etablierung des europäischen Datenschutzausschusses eine übernationale Abstimmungsmöglichkeit beinhalte, und schließlich würden Datensubjekte mit der DS-GVO in die Lage versetzt, eigene Entscheidungen über ihre Daten treffen zu können – allerdings geschützt durch Schutzmechanismen wie Informationspflichten. Cole schloss damit, dass zwar weitere aufkommende Problematiken wie die ungewohnte internationale Dimension des Datenschutzes und die mangelnde Prognostizierbarkeit von Abmahnsituationen nicht einfach abzutun seien. Am Ende lohne sich aber die Besinnung auf „Keep Calm and don’t panic“
Prof. Dr. Jan Oster LL.M., Universität Leiden, Lehrbeauftragter für Telekommunikationsrecht und internationales Medienprivatrecht am Mainzer Medieninstitut, widmete sich anschließend dem Thema Medienprivileg als Teil der DS-GVO, dessen Ausgestaltung den Mitgliedstaaten überlassen ist. Oster begann mit einigen grundsätzlichen Ausführungen zu der Bedeutung des Datenschutzrechts für die Medien. Gegenstand des Journalismus seien Informationen, also im Wesentlichen auch Daten. Dennoch hätten das Datenschutzrecht und das Presserecht verschiedene Schutzgegenstände: Während ersteres personenbezogene Daten eben als solches Datum schütze, gehe es im Presserecht und insbesondere im Äußerungsrecht um den Inhalt der Informationen, insbesondere ihren möglichen persönlichkeitsrechtsverletzenden Charakter. Überschneidungen seien aber insoweit möglich, als personenbezogene Daten sich auch persönlichkeitsverletzend darstellen könnten, sodass das Datenschutzrecht zu einer Art neuem Ersatzdeliktsrecht werde. Es müsse daher verhindert werden, so Oster, dass Betroffene die kritische Berichterstattung über ihre Recht aus dem Datenschutz verhindern könnten und dabei die Rechte und Schranken aus dem Äußerungsrecht und deren Entwicklungen in der Rechtsprechung umgehen. Aus diesem Grund gebe es Art. 85 DS-GVO und insbesondere §§ 9c und 57 RStV sowie die landesrechtlichen Regelungen, die derzeit noch im Gesetzgebungsprozess befindlich seien. Wie diese Medienprivilegien allerdings auszulegen seien, richtet sich nach Ansicht von Oster ausschließlich nach dem Europarecht und damit auch nach der Rechtsprechung des EuGH, der hier schließlich auch die Letztentscheidungsbefugnis habe. Dies werde aber in der Begründung zum 21. Rundfunkänderungsstaatsvertrag anders gesehen, in der es heißt, dass den Mitgliedstaaten nach Art. 85 DS-GVO ein Ausgestaltungsauftrag zukomme auf Basis der Kulturklausel des Europarechts. Nach Osters Auffassung sei die Kulturpolitik allerdings an der Stelle (noch) nicht betroffen, da durch das Medienprivileg überhaupt erst die Voraussetzung geschaffen würde, Inhalte zu produzieren und damit kulturell relevant zu agieren. Daher sei Art. 85 DS-GVO aus seiner Sicht keine Einbruchstelle für eine Grundrechtsabwägung nach den Intentionen der nationalen Verfassungen. Vielmehr werde eine Pflicht für die Mitgliedstaaten etabliert, die sich jedoch an europäischen Vorgaben zu orientieren habe. So sei etwa der Begriff des Journalismus bereits vom EuGH, dem EGMR und sogar den Zielsetzungen der DS-GVO selbst vordefiniert im Sinne eines weiten, gemischt formal-funktionalen Verständnisses, worunter unter Umständen auch Blogger fallen könnten, nicht aber auch reine Informationsintermediäre. Rechte der Betroffenen seien zukünftig nur nach §§ 9c und 57 zu beurteilen, wobei die Verpflichtung, Gegendarstellungen, Verpflichtungserklärungen etc. zu den personenbezogenen Daten zu nehmen, nach Auffassung Osters nach ohnehin bereits zur journalistischen Sorgfalt gehöre. Problematisch sei aber die Ausgestaltung vor dem Hintergrund, dass § 9c RStV erst bei der Berichterstattung greife, während § 57 schon bei der Datenverarbeitung, also etwa der Recherche, zu beachten sei. Damit ermögliche § 57 im Bereich der Telemedien viel schärfere Auskunftspflichten, obwohl im Newsroom doch regelmäßig journalistisch für Telemedien und Rundfunk zusammen gearbeitet werde. Nach Ansicht von Oster ist § 57 RStV daher grundrechtswidrig, wobei sich der Mangel auch nicht im Wege einer grundrechtskonformen Auslegung beheben lasse. Sodann warf Oster auch die Frage auf, ob die derzeitige Ausgestaltung der Rechtsbehelfe, der Haftung, Aufsicht und Sanktionen (Kapitel VIII der DS-GVO findet keine Anwendung auf die journalistische Datenverarbeitung von Presseunternehmen) europarechtskonform sei und stelle dies zumindest in Zweifel. Die Verlagerung auf die Überwachung durch den Deutschen Presserat sei insoweit problematisch, so Oster, als Art. 85 DSGVO überhaupt keine Ausnahmen von Kapitel VIII ermögliche. Allerdings seien Ausnahmen über Art. 11 Abs 2 der EU-Grundrechtecharta möglich und vor dem Hintergrund der Staatsferne des Rundfunks sogar möglicherweise geboten, was man aber viel besser begründen müsse als der Gesetzgeber es aktuell getan habe. Oster endete mit dem Fazit, dass der besondere Schutz des Journalismus durch das Medienprivileg richtig und grundrechtlich geboten sei. Allerdings sei die Umsetzung teilweise unklar in Art. 85 DSGVO geblieben und gut gemeinte Reparaturarbeiten des nationalen Gesetzgebers seien derzeit noch nicht zielführend.
Aus der Praxis der Umsetzung der DSGVO berichtete Anke Naujock, Datenschutzbeauftragte des Rundfunks Berlin-Brandenburg. Nach einer kurzen Darstellung der gesetzlichen Grundlagen (§§ 9c und 57 RStV) ging sie auf die Ausgestaltung der Aufsicht ein und hob hervor, dass innerhalb der deutschen Rundfunkanstalten ein unterschiedliches System die Praxis bestimme. So gebe es Rundfunkdatenschutzbeauftragte mit Vollzuständigkeit beim BR, MDR, NDR, SR, SWR, WDR, ZDF und deutschlandradio, während der Rundfunkdatenschutzbeauftragte nur die journalistische Datenverarbeitung überwache beim HR, radio bremen, rbb und Deutsche Welle. Dennoch sei man in den meisten Rundfunkanstalten durch die Umsetzung der DS-GVO zu einigen neuen Maßnahmen gezwungen gewesen, wie etwa der Neuwahl des Datenschutzbeauftragten, der herausgelöst werden musste aus den Justitiariaten und mit einem entsprechenden Budget ausgestattet werden musste. In einigen Anstalten sei auch die Benennung eines betrieblichen Datenschutzbeauftragten erforderlich gewesen. Im Hinblick auf das neue Zusammenspiel zwischen betrieblichem Datenschutzbeauftragten und Rundfunkdatenschutzbeauftragtem seien dabei der alltägliche und besondere Bereich zu unterscheiden. Der betriebliche Datenschutzbeauftragte sei dabei regelmäßig in alle Prozesse eingebunden, berate kontinuierlich und arbeite konstant an wiederkehrenden datenschutzrechtlichen Themen. Den Rundfunkdatenschutzbeauftragte treffe dagegen eher die ‚außergewöhnliche Bearbeitung‘ zum Beispiel von Beschwerden.
Im Anschluss stellte Naujock das Projekt EUDAGO vor, das im Rahmen des zentralen Beitragsservices etabliert worden sei, für dessen datenschutzkonformes Arbeiten alle Rundfunkdatenschutzbeauftragten verantwortlich seien. Die behördliche Datenschutzbeauftragte vor Ort erledige dabei ‚das alltägliche Geschäft‘ während sich die Rundfunkdatenschutzbeauftragten Herausforderungen wie der Gewährleistung der Auskunfts- und Informationspflichten und deren Bewerkstelligung sowie den Themen Auftragsverarbeitung und Verarbeitungsverzeichnisse intensiv widmen müssten.
Im Übrigen habe man in der eigenen Rundfunkanstalt selbst erstmal vor dem Problem gestanden, dass man das Management überzeugen musste, dass es sich bei der Umsetzung des Datenschutzes nicht um eine Aufgabe des Datenschutzbeauftragten handele, sondern hier viele organisatorische Hürden zu nehmen seien und insbesondere ein Konzept erstellt werden müsse. Hier habe man allerdings Fortschritte gemacht, insbesondere bei der Erneuerung von Formularen und dem Agieren nach außen in Form von Datenschutzerklärungen. Schließlich stellte Naujock die Arbeit des Arbeitskreises der Datenschutzbeauftragten von ARD, ZDF, Deutschlandradio vor, in dem durch eine koordinierte Zusammenarbeit Richtlinien gemeinsam für die Rundfunkanstalten festgelegt sowie Musterverträge, abgestimmte Datenschutzerklärungen und Informationsblätter erstellt werden können. Auch in diesem Kreis werde sich – personell und strukturell – durch die DS-GVO einiges ändern.
Im anschließenden Vortrag betonte Dr. Jörg Ukrow, stellvertretender Direktor der Landesmedienanstalt Saarland und geschäftsführendes Vorstandsmitglied des EMR, die Wichtigkeit einen angemessenen Ausgleich zwischen dem Datenschutz und der Medienfreiheit zu finden. Ausgangspunkt sei dabei Art. 85 DSGVO, wobei der Ausgleich jedoch unterschiedliche Ausprägungen in Deutschland erlange. Hierbei gelten für alle private Medien in Bezug auf die Datenverarbeitung zu journalistischen Zwecken der RStV, der seinerseits auf einzelne Regelungen der DS-GVO verweist, während einzelne Länder ergänzend auch landesgesetzliche Regelungen erlassen hätten bzw. (in Baden-Württemberg, Bremen, Mecklenburg-Vorpommern, Nordrhein-Westfalen, dem Saarland, Sachsen-Anhalt und Thüringen) in Bezug auf Telemedienangebote auch auf Verhaltenskodizes verwiesen. Private Medienanbieter sind aber selbstverständlich nicht nur mit journalistischer Datenverarbeitung befasst, sondern auch mit der ‚normalen‘ wie jedes andere Unternehmen auch, sodass hier uneingeschränkt die DS-GVO und die landesdatenschutzrechtlichen Regelungen gelten. Ukrow merkte an, dass seiner Ansicht nach Art. 85 Abs. 1 DS-GVO entwicklungsoffen sei, sodass zukünftig grundsätzlich Raum dafür sei, dass auch Informationsintermediäre oder Plattformen von den entsprechenden Regeln erfasst würden.
Wie die Aufsicht über die erfassten privaten Medien konkret ausgestaltet sei – und daran zeige sich die föderale Vielfalt in besonders hinterfragungsfähiger Weise, so Ukrow – lasse sich in vier Modelle gliedern: In Berlin, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Rheinland-Pfalz und Thüringen hat der Landesbeauftragte für den Datenschutz die Aufsicht, während in Sachsen-Anhalt und in Baden-Württemberg eine Splittung zwischen dem Landesbeauftragten und einem Datenschutzbeauftragten der Veranstalter vorgenommen werde. Im Saarland und in Nordrhein-Westfalen werde die Zuständigkeit zwischen einem Datenschutzbeauftragten der jeweiligen Landesmedienanstalt und dem Datenschutzbeauftragten der Veranstalter gesplittet. Schließlich gebe es in Bayern und Mecklenburg-Vorpommern nur einen Datenschutzbeauftragten der Landesmedienanstalten. Vor diesem Hintergrund wagte Ukrow einen rechtspolitischen Ausblick in die nahe Zukunft: Daten seien der Rohstoff der Zukunft, was auch für medienbezogene Daten gelten müsse, insbesondere, wenn man die Geschäftsmodelle von Intermediären betrachte. Darauf basierend müsse man sich die Frage stellen, ob nicht durch die unterschiedliche Ausgestaltung der Aufsicht ein Level-Playing-Field beeinträchtigt werde. Deshalb sprach sich Ukrow abschließend dafür aus, den Datenschutz zum regulatorischen Bestandteil eines Modernisierungsstaatsvertrages für die Regulierung von Massenkommunikation zu machen. Die derzeitigen Risiken unterschiedlicher Auslegung und Anwendung gleichen Datenschutzrechts an der Schnittstelle zum Medienrecht könnten durch eine stärkere Vereinheitlichung der Aufsichtspraxis eingehegt werden; zu erwägen wäre insoweit, die Schaffung einheitlicher Organstrukturen über die bisherigen Organe von KEK über die KJM und die ZAK sowie die GVK hinaus auf den Datenschutzbereich in Form einer DSK (Datenschutzkommission) fortzuentwickeln.
Lutz Tillmanns, Geschäftsführer des Deutschen Presserats, berichtete im Anschluss über die Selbstregulierung der Presse einschließlich der Onlinepresse. Der Presserat – so Tillmanns gleich zu Beginn – beschäftige sich eigentlich mit Fragen der Ethik. Aber auch in diesem Bereich, seien datenschutzrechtliche Gesichtspunkte nicht unbekannt oder irrelevant. Dies zeige sich an einem Beispielfall, hinsichtlich dessen der Presserat vor einigen Jahren eine Missbilligung ausgesprochen habe, bei dem eine Zeitung über Datenschutzverstöße einer Schule bei der Entsorgung von Papieren mit empfindlichen Daten berichtete, während das Foto eben dieser Daten lesbar abgedruckt wurde. Stützen müsse man sich dabei vorrangig auf den Pressekodex als wichtigstes Instrument für den Deutschen Presserat, der bereits 2001 eine Ergänzung zu datenschutzrechtlichen Aspekten erfahren habe (Ziffer 2 Adressangaben bei Leserbriefen und Forenbeiträgen, Ziffer 3 Dokumentation von Richtigstellungen, Ziffer 4: Regeln zur Recherche insbesondere zur Sperrung und Löschung, Ziffer 5 Datenübermittlung, Ziffer 8 Informationelle Selbstbestimmung und schließlich auch die Prozessberichterstattung). Der Presserat, der nunmehr bei vielen Presseangehörigen die Aufsicht über die journalistische Datenverarbeitung führe (ausdrücklich in RP, HH, SL, ST, im Übrigen aber entsprechende Anmerkung in der Gesetzesbegründung der Bundesländer), gehe aber davon aus, dass durch die DS-GVO keine großen Änderungen erfolgen müssten. Allerdings sei man durch das System der freiwilligen Selbstverpflichtung eher auf journalistisch-redaktionelle Adressaten ausgerichtet (wie das Medienprivileg vorher auch lautete) und nicht auf ‚nur‘ journalistische, worunter etwa auch Blogger fallen würden. Nuancen könnten aber auch im Pressekodex auf die DS-GVO angepasst werden.
Einen neuen Block zum Thema Datenverarbeitung in der Justiz leitete Prof. Dr. Stephan Weth, Direktor des Instituts für Verfahrensrecht im elektronischen Rechtsverkehr, mit den Worten „Frau Vera Egenberger ist konfessionslos“ ein. Er verwies damit auf ein vom EuGH gefälltes Urteil zu arbeitsrechtlichen Fragen, in dem wie üblich der Name der Klägerin des Ausgangsverfahrens sowie die näheren Umstände des Falls genannt wurden. Diese Praxis bedeute, so Weth, dass der Kampf um das Recht vor dem EuGH immer auch damit verbunden sei, dass der Name der Klägerin heute und in Zukunft in den Augen Dritter immer mit dem Rechtsfall verbunden sein werde. Weth warf daher die Frage auf, ob ein Verfahrensbeteiligter die Möglichkeit haben müsse, sich gegen die Namensnennung und damit die Verwendung seiner personenbezogenen Daten zu wehren. Die DS-GVO sei anwendbar, was Weth mit einer längeren Begründung – auch gestützt auf mangelnde anderweitige Aussagen der DS-GVO selbst – im Ergebnis aus den Regelungen der Artikel 9 Abs. 2 lit. f, 37 und 55 DSGVO und aus Erwägungsgrund 20 ableitete. Somit sei eigentlich eine Einwilligung oder Rechtfertigung zur Datenverarbeitung erforderlich. Eine Einwilligung sei jedoch in der Justiz keine geeignete Rechtsgrundlage. Das wäre unpraktikabel vor dem Hintergrund der Folgen einer Nichterteilung sowie dem Koppelungsverbot, da eine Entscheidung wegen des Ungleichgewichts zwischen den Beteiligten nie als frei gelten könnte (Erwägungsgrund 43). Umfassende Rechtsgrundlage könne jedoch Art. 6 I lit. e ) iVm §3 BDSG sein, wobei Weth die Ansicht vertrat, dass § 3 BDSG im Sinne der gesetzlichen Definition des Begriffs der öffentlichen Stellen auch für die Anwaltschaft gelten müsse, was er unter anderem mit Verweisen auf die BRAO intensiv begründete. Folgefrage müsse dann aber sein, ob sich betroffene Personen auf die Rechte aus Kapitel 3 im Zivilverfahren berufen könnten und falls ja, wie dies in Einklang mit dem Prozessrecht zu bringen sei. Insbesondere die Rechte auf Löschung und Berichtigung würden hier den Konfrontationskurs mit der gerichtlichen Praxis dokumentieren – so erscheine es insbesondere abwegig, dass ein Betroffener unter Berufung auf den Datenschutz den Inhalt der Akten und im schlimmsten Fall die Entscheidungsfindung durch das Gericht mitbestimmen könnte. Eine unmittelbare Anwendung komme daher vor dem Hintergrund praktischer Erwägungen nicht in Betracht. Für die Gerichte bedeute dies in tatsächlicher Hinsicht, dass sie es schwer haben werden ihren grundsätzlich bestehenden Informationspflichten nachzukommen. In rechtlicher Hinsicht – so Weth – müsse aber ebenfalls eine Lösung gefunden werden, wie diese offensichtlichen Widersprüche zwischen der Gesetzeslage und der Praxis aufgeschlüsselt werden. Von der grundsätzlich bestehenden Öffnungsklausel des Art. 23 DS-GVO vor dem Hintergrund des Schutzes von Gerichtsverfahren oder der Gewährleistung von Chancengleichheit der Parteien habe der Gesetzgeber keinen Gebrauch gemacht. Das Bundesministerium des Innern arbeite allerdings bereits an einer Novelle, die das Verhältnis zwischen der ZPO einerseits und den Datenschutzgesetzen des Bundes und der Länder andererseits regele und daher etwas Licht ins Dunkel bringen könne. Bis dorthin könne man sich nur an den vorhandenen Regeln orientieren, wobei Weth insbesondere auf die Regelung des Art. 9 DS-GVO näher einging, was an dieser Stelle jedoch nicht näher dargestellt werden soll, da man bereits im Rahmen der Diskussion übereinkam, dass man diese Thematik im Rahmen einer eigenen Veranstaltung behandeln wolle. Abschließend verwies Weth auf Brecht mit den Worten „Wir stehen selbst enttäuscht und sehn betroffen. Den Vorhang zu und alle Fragen offen.“.
In der anschließenden Diskussion wurde die Fragen der Handhabe bei den Gerichten, sowie nach den Intentionen des Gesetzgebers und ihren Auswirkungen näher diskutiert. Insbesondere wurde auf die Gefahren einer Lahmlegung der Justiz durch die missbräuchliche Geltendmachung von Betroffenenrechten hingewiesen.
Im Anschluss wurde Jan-Philipp Albrecht MdEP, ehemaliger Berichterstatter zur DS-GVO, per Video zugeschaltet. Er berichtete dass er sich am heutigen Tage seltsam fühle, denn das was man die letzten zehn Jahre diskutiert habe, werde nun Realität. Bemerkenswert sei dabei, dass die DS-GVO auch weltweit und nicht nur europaweit Beachtung finde. Angesprochen auf die derzeit herrschende Panik sagte Albrecht, dass sie zurzeit viele Meldungen sowohl in die eine als auch in die andere Richtung erreichen, man aber zur Zeit eher versuchen würde, die Panik etwas abzuschwächen. Dabei sei wichtig, dass die DS-GVO keiner Umsetzung bedürfe und es daher auf rechtlicher Ebene auch ohne Umsetzungsgesetz keine Unsicherheiten gebe. Dass es in vielen Staaten noch kein nationales Gesetz gebe, mache aber die Gegebenheiten der Anwendung unsicher, wobei allerdings die sofortige Umsetzung notwendiger Preis für einen digitalen Binnenmarkt gewesen sei. Gefragt nach seiner Zufriedenheit mit dem BDSG, zeigte sich Albrecht zumindest nicht unzufrieden, da man notwendige Kompromisse auch in Deutschland habe eingehen müssen. Zu kritisieren seien aber die Forderungen nach Nachbesserungen, die nicht einfach mal so auf EU-Ebene bei einer fast einstimmig beschlossenen Verordnung möglich seien. Ein Hebel wie der für den europäischen Binnenmarkt könne schließlich nur gemeinsam betätigt werden. Es sei aber bereits ein wichtiges Signal für die Bedeutung des Datenschutzes dass Microsoft und Facebook die EU Regeln jetzt weltweit anwenden wollen. Die größte Errungenschaft der DS-GVO sei dabei der einheitliche Markt und die gemeinsame Durchsetzung auch auf Ebene der Datenschutzbehörden, die zu einer Einigung gezwungen werden. Abschließend betonte Albrecht, dass es wichtig sei festzustellen, dass niemand an Tag eins nach Inkrafttreten der DS-GVO Besuch von den Datenschutzbehörden bekommen würde und schließlich auch alles erst nachzuweisen und zu dokumentieren sei. Ein sofortiges Vorgehen mit Strafcharakter wäre nicht verhältnismäßig. Besser sei es, seitens der Behörden Unterstützung zu leisten. Wer sich an das jetzige Recht halte der werde auch in Zukunft keine Probleme mehr haben unter der DS-GVO.
Zum Schluss berichtete Corinna Lapp, Rechtsanwältin, Mitglied in der Arbeitsgemeinschaft IT-Recht im DAV (davit) und im Deutsche Gesellschaft für Mediation e.V. (DGM)., über die Herausforderungen die die DS-GVO der Anwaltschaft aufgibt. Sie nannte unter anderem die Frage nach der Trennung von mandatsbezogenen und sonstigen personenbezogenen Daten auf Basis von Art. 90 Abs. 1 DS-GVO in Verbindung mit § 90 BDSG, der Etablierung eines Datenschutzbeauftragten gerade vor dem Hintergrund der Folgenabschätzung, der Pflicht zur Führung von Verfahrensverzeichnissen und der Einhaltung von Löschfristen, die von spezielleren Vorschriften (insbesondere der BRAO) überlagert werden. Auch die Einhaltung der Informationspflichten stelle Anwälte als Berufsgeheimnisträger vor Herausforderungen. Rechte wie das Recht auf Berichtigung oder auf Datenübertragbarkeit seien dagegen nach Ansicht von Lapp leichter in der anwaltlichen Praxis zu gewährleisten.
Hier geht es zur Bildergalerie