Das EMR und die Arbeitsgemeinschaft Privater Rundfunk (APR) hatten am 04. Mai 2018 zu einem praxisorientierten Workshop f\u00fcr Medienunternehmen geladen, der an der Schnittstelle zwischen der wissenschaftlichen Betrachtung des EMR und den praktischen Arbeiten der Medienh\u00e4user einen \u00dcberblick \u00fcber sowohl den Datenschutz der DS-GVO als auch weitergehend den Bereich der Datensicherheit bei kritischen Infrastrukturen gab. Die Teilnehmer setzten sich dementsprechend sowohl aus interessierten und mit datenschutzrechtlichen\/datensicherheitsrechtlichen Fragestellungen befassten Mitarbeiterinnen und Mitarbeitern aus Medienunternehmen als auch Vertretern aus den Unternehmensleitungen zusammen.<\/p>\n
In seiner Einf\u00fchrung gab Prof. Dr. Mark D. Cole, wissenschaftlicher Direktor des EMR, einen \u00dcberblick \u00fcber die Grundz\u00fcge der Datenschutz-Grundverordnung, die ab dem 25. Mai 2018 in Europa unmittelbar gelten wird. Dabei betonte er, dass es zwar in bestimmten Bereichen wie zum Beispiel bei der Ausgestaltung der Aufsicht und der Konkretisierung der Dokumentationspflichten von Datenverarbeitern beachtenswerte Neuerungen durch die Verordnung geben werde. Allerdings baue die DS-GVO doch im Wesentlichen noch auf der Substanz der Datenschutzrichtlinie auf, die bereits ein hohes Datenschutzniveau gew\u00e4hrleistet hat. Das f\u00fchre, so Cole weiter, vor allem in L\u00e4ndern wie Deutschland, in denen bereits ein strenges Datenschutzrecht etabliert war, eher zu \u00c4nderungen in Form von Verbesserungen, Intensivierungen und Anpassungen im Hinblick auf die geltende Rechtslage. So sei beispielhaft die europaweite Einf\u00fchrung des Datenschutzbeauftragten in Unternehmen oder der Datenschutz-Folgeabsch\u00e4tzung durch die DS-GVO in Deutschland nicht neu. Trotz ihres Charakters als Verordnung, f\u00fchre die DS-GVO allerdings nicht zu einer Vollharmonisierung des Datenschutzrechts in Europa, da insbesondere zahlreiche \u00d6ffnungsklauseln und Gestaltungsauftr\u00e4ge den Mitgliedstaaten einen Gestaltungsspielraum f\u00fcr nationale L\u00f6sungen oder auch Sonderwege bieten. Zur Beantwortung der Frage wie unterschiedlich die Ausgestaltung werden kann, f\u00fchrte Cole beispielhaft die Umsetzung des Medienprivilegs aus Art. 85 DS-GVO in Deutschland an, die bereits in den landesrechtlichen Gesetzesentw\u00fcrfen der Bundesl\u00e4nder stark divergiere. Zu dieser auch vor dem Hintergrund der DS-GVO teilweise recht unterschiedlichen Datenschutzlandschaft komme noch hinzu, dass die DS-GVO nicht die einzige und abschlie\u00dfende Quelle der Regulierung von Datenverarbeitungsprozessen und Datenverkehr sei. So hinterlasse insbesondere die ePrivacy-Verordnung, die eigentlich zusammen mit der DS-GVO in Kraft treten sollte, aber von einer Einigung im Trilogverfahren noch weit entfernt sei, eine gro\u00dfe L\u00fccke bei der Frage nach der Beurteilung der Rechtm\u00e4\u00dfigkeit von Datenverarbeitungsvorg\u00e4ngen im Bereich der elektronischen Kommunikation. W\u00e4hrend dies vor allem pers\u00f6nlichkeitsrechtliche Aspekte des Datenschutzrechts betreffen w\u00fcrde, w\u00fcrden sich datensicherheitsrechtliche Fragestellungen bei der DS-GVO und der NIS-Richtlinie \u00fcberschneiden. W\u00e4hrend erstere das Schutzziel der Betroffenen anvisiere, wolle zweite ein hohes gemeinsames Sicherheitsniveaus von Netz- und Informationssystemen in der europ\u00e4ischen Union gew\u00e4hrleisten. All diese Verzweigungen und Optionen m\u00fcssen \u2013 so Cole abschlie\u00dfend \u2013 im derzeitigen spannenden Entwicklungsprozess Ber\u00fccksichtigung finden und daher hei\u00dfe es “Ruhe bewahren und in Unruhe bleiben”.<\/p>\n
Pr\u00e4sentation Prof. Dr. Mark D. Cole<\/a><\/p>\n Um den Aspekt der Sicherheit von informationstechnischen Systemen ging es auch im anschlie\u00dfenden Vortrag von Dr. Uwe Jendricke, Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI). Er gab einen Einblick in den Arbeitsbereich und die Arbeitsweise des BSI in Bezug auf die IT-Sicherheit vor allem im Bereich der sog. Kritischen Infrastrukturen (KRITIS). \u00a0Nach der Darstellung von Gefahren, die sich f\u00fcr alle Unternehmen beim Einsatz von IT ergeben, betonte er, dass Medienunternehmen einer besonderen Gef\u00e4hrdungslage ausgesetzt seien und daher dem Kreis der KRITIS zuzuordnen seien, obwohl sie weder von der NIS-Richtlinie noch von deren Umsetzung im IT-Sicherheitsgesetz in Deutschland direkt adressiert seien. Eine Auseinandersetzung mit dem Thema IT-Sicherheit sei daher sinnvoll. An dieser Stelle stellte Jendricke den UP KRITIS vor, eine \u00f6ffentlich-private Kooperationsplattform zwischen Betreibern Kritischer Infrastrukturen, deren Verb\u00e4nden und den zust\u00e4ndigen staatlichen Stellen, auf der sich die Beteiligten \u00fcber gemeinsame Probleme und L\u00f6sungen austauschen und Konzepte f\u00fcr die Sicherheit ihrer Systeme erarbeiten k\u00f6nnen. Konkrete Auseinandersetzungen mit branchenspezifischen Fragestellungen seien dabei insbesondere in den einzelnen Branchenarbeitskreisen m\u00f6glich \u2013 f\u00fcr Medienunternehmen der BAK Medien und Kultur, an dem sich beispielsweise die APR bereits beteiligt. Strategisch-konzeptionelle Methoden oder die Einhaltung des Stands der Technik seien nur einige der vielen Themen die hier diskutiert w\u00fcrden. \u00a0Jendrick warb vor diesem Hintergrund vor allem daf\u00fcr, sich mit anderen Betroffenen aus der Branche und auch dem BSI auszutauschen, da auf diese Weise L\u00f6sungen (gemeinsam) entwickelt und bereitgestellt werden. Sicherheitsvorf\u00e4lle beim BSI freiwillig zu melden, sei dabei ein notwendiger Schritt, um einen Datenbestand zu erstellen und f\u00fcr zuk\u00fcnftige Vorf\u00e4lle ger\u00fcstet zu sein.<\/p>\n Pr\u00e4sentation Dr. Uwe Jendricke<\/a><\/p>\n Im Anschluss erl\u00e4uterte Robert Dorsch (DS2018 GmbH) konkrete M\u00f6glichkeiten, in Medienunternehmen die Datensicherheit zu verbessern. Er betonte in seinem Vortrag insbesondere die Bedeutung von organisatorischen Konzepten und insbesondere auch (fr\u00fchzeitigen) Notfall-Pl\u00e4nen, die die Vorgehensweise des Unternehmens bei einem Sicherheitsvorfall vorgeben und damit den Ausfall von Betriebsabl\u00e4ufen verhindern. Eine wirtschaftlich vern\u00fcnftige und technisch schlagkr\u00e4ftige Abwehr sei allerdings nicht ohne ganzheitlichen Security-Ansatz realisierbar. Dabei stellte Dorsch bereits einige konkrete Optionen vor, die Datensicherheit im eigenen Unternehmen zu verbessern beispielsweise im Bereich der Zugangskontrolle durch Passwortsicherheitssysteme oder im Bereich der Netzzugangskontrolle durch die Einrichtung moderner \u201eNext Generation Firewallsysteme\u201c. Ein Umdenken hin zur IT-Sicherheit sei bereits in vielen Unternehmen \u2212 angetrieben von der DS-GVO, Cybersicherheitsattacken und SSL\u2019s \u2212 erfolgt, was sich etwa an dem deutlichen Anstieg der IT-Budgets zeige. Im Ergebnis lasse sich IT-Sicherheit aber nur bedingt kaufen. Gezielte Angriffe erfordern vielmehr einen mehrstufigen Schutz und intelligente Sicherheit auf allen Endger\u00e4ten \u2013 so Dorsch in seinem Fazit.<\/p>\n Pr\u00e4sentation Robert Dorsch<\/a><\/p>\n Einen \u00dcberblick \u00fcber das Medienprivileg bei Rundfunk und Telemedien gab Andreas Gummer, Datenschutzbeauftragter der BLM. Er betonte, dass die gerade in den Landesparlamenten befindlichen Regelungen des 21. Rundfunk\u00e4nderungsstaatsvertrages f\u00fcr die Medien die Regelungen der DS-GVO weitgehend verdr\u00e4ngen, was nicht zuletzt auch einer vorzunehmenden weiten Auslegung des Begriffes der redaktionellen T\u00e4tigkeit geschuldet sei. Art. 85 sei dabei seiner Ansicht nach nicht als Gestaltungsauftrag an die Mitgliedstaaten anzusehen, sondern als \u00d6ffnungsklausel f\u00fcr die journalistische T\u00e4tigkeit, die einen Gestaltungsspielraum er\u00f6ffne. Die Gew\u00e4hrleistung bestimmter Rechte wie das Auskunftsrecht oder das Recht auf Berichtigung oder L\u00f6schung von Daten, die die DS-GVO verlangt, ist Medienunternehmen auch unter geltendem Recht nicht fremd. Gummer unterstrich allerdings im Hinblick auf die im 21. R\u00c4ndStV vorgesehene Ausgestaltung, dass zwar Regelungen f\u00fcr Rundfunkanbieter fast wortgleich auch f\u00fcr Telemedien gelten, bestimmte Details sich aber doch unterscheiden. Bedeutung habe das insbesondere vor dem Hintergrund, dass die Regelungen f\u00fcr Telemedien nur journalistisch-redaktionell gestaltete Angebote und damit haupts\u00e4chlich Rundfunk- und Presseunternehmen adressiere, die ihre Inhalte auch online zur Verf\u00fcgung stellen. \u00a0<\/p>\n Pr\u00e4sentation Andreas Gummer<\/a><\/p>\n Einen Schwerpunkt der Veranstaltung bildete der Vortrag von Kristin Benedikt vom Bayerischen Landesamt f\u00fcr Datenschutzaufsicht. Sie betonte einleitend die Bedeutung der in der DS-GVO enthaltenen Grunds\u00e4tze der Transparenz und Information f\u00fcr die zuk\u00fcnftige Arbeit in der Praxis. Ziel m\u00fcsse insbesondere sein, dass die Betroffenen \u00fcber den Umgang mit ihren personenbezogenen Daten mehr Klarheit und dadurch auch mehr Kontrolle erhalten. Hierzu sei es erforderlich, dass die von verarbeitenden Stellen bereitgestellten Datenschutzhinweise in einer einfachen, klaren und verst\u00e4ndlichen Form verfasst sind und von anderen Erkl\u00e4rungen wie AGB und Nutzungsbedingungen klar abgetrennt werden. Dabei k\u00f6nne beispielsweise eine optische Strukturierung und\/oder ansprechende Gestaltung f\u00f6rderlich sein, insbesondere auf Webseiten. Nat\u00fcrlich sei dies mit Blick auf die Verpflichtung, jedes auf der Webseite eingebundene Tool und dessen datenrelevante Funktionsweise in der Datenschutzerkl\u00e4rung aufzulisten, schwierig umzusetzen, wenn nicht die Notwendigkeit einer gro\u00dfen Anzahl verschiedener Programme hinterfragt werde. Beim Thema Tools und Plugins stellte Benedikt sodann die Ergebnisse eines Positionspapiers<\/a> vor, dass die Konferenz der unabh\u00e4ngigen Datenschutzbeh\u00f6rden des Bundes und der L\u00e4nder (DSK) k\u00fcrzlich herausgegeben hat und dass deren Auffassung im Umgang mit Cookies und Tracking-Tools beschreibt. Hiernach seien die Datenschutzbestimmungen der \u00a7\u00a7 12, 13, 15 des Telemediengesetzes (TMG) nicht mehr anwendbar seien und die rechtliche Lage daher allein nach der DS-GVO zu beurteilen, wobei schlie\u00dflich vorwiegend eine Interessenabw\u00e4gung nah Art. 6 Abs. 1 Buchts. f) zur Beurteilung der Rechtm\u00e4\u00dfigkeit in Betracht komme. Eine Rechtfertigung komme dabei regelm\u00e4\u00dfig f\u00fcr eine reine Reichweitenmessung in Betracht, sei aber im \u00dcbrigen einzelfallabh\u00e4ngig. Das Tracking im Sinne der Erstellung und Analyse von Nutzerprofilen bed\u00fcrfe jedoch einer ausdr\u00fccklichen Einwilligung, die zudem vor der Datenerhebung eingeholt werden m\u00fcsse. F\u00fcr die damit verbundenen schwerwiegenden Folgen, die vor allem werbefinanzierte Online-Inhalte von Medienunternehmen treffen w\u00fcrden, zeigte Benedikt Verst\u00e4ndnis, stellte aber klar, dass Finanzierungsfragen keiner Kl\u00e4rung \u00fcber das Datenschutzrecht zug\u00e4nglich sind und daher andere Wege gefunden werden m\u00fcssten. Abschlie\u00dfend stellte sich Benedikt auch den Fragen der Teilnehmer, die sich vorwiegend um die rechtssichere Einbindung ganz bestimmter Tools und Plugins drehten.<\/p>\n Im Anschluss folgt der Vortrag von Christina Etteldorf, wissenschaftliche Mitarbeiterin EMR, DS2018 GmbH. Sie stellte zun\u00e4chst knapp die allgemeinen Anforderungen der DS-GVO an elektronische Medien vor und ging kurz auf die Bedeutung der ePrivacy-Verordnung ein, die in noch\u00a0 nicht absehbarer Zukunft diesen Bereich regeln wird. Bereits jetzt m\u00fcsse man aber L\u00f6sungen anhand des geltenden Rechts finden, wobei ma\u00dfgeblich auf die Grundprinzipien und Zielsetzungen der DS-GVO \u00a0zur\u00fcckgegriffen werden m\u00fcsse. Nachfolgend behandelte Etteldorf Detailfragen zur Trennung von AGB und Datenschutzrecht sowie zur Umsetzung der DS-GVO-Vorgaben auf Webseiten f\u00fcr bestimmte Angebote. Ziel war es dabei vor allem ein Bewusstsein bei den Teilnehmern hervorzurufen, mit welchen Fragestellungen sie im Einzelfall konfrontiert werden k\u00f6nnen.<\/p>\n