ales "" & is zhaw mitarbeiter: "zhaw_staff"

(Fast) ein Jahr DSGVO – ein Update

Im Rahmen der Veranstaltung «(fast) ein Jahr GDPR – Update Datenschutzgrundverordnung» diskutierten Experten über  aktuelle datenschutzrechtliche Entwicklungen im Zusammenhang mit der DSGVO. 

von Carole Del Degan

GDPR_Beitragsbild

Gegenstand der Veranstaltung waren die aktuellen datenschutzrechtlichen Fragestellungen rund um die DSGVO. Als Referent konnte Rechtsanwalt Dr. Sebastian Brüggemann begrüsst werden, der einen umfassenden Überblick über die derzeitigen Hot-Topics im Datenschutzrecht gab und sich auch nach Ende der Veranstaltung noch Zeit nahm, weitere Fragen zu beantworten und Wissen mit den zahlreichen Teilnehmenden auszutauschen.

Wir blicken über den Tellerrand des nationalen Rechts hinaus…
Auch im Rahmen der zweiten Durchführung des CAS Datenschutzverantwortliche wurde erneut die Möglichkeit wahrgenommen, über den Tellerrand des Schweizer Rechts auf die internationale Entwicklung des Datenschutzes unserer Nachbarländer zu blicken.
Nachdem im letzten Jahr Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg referierte, konnte dieses Jahr mit Dr. Sebastian Brüggemann, Fachanwalt für Informationstechnologierecht, Legal Counsel und Privacy Specialist in einem großen internationalen IT-Unternehmen, sowie Lehrbeauftragter für Internetrecht an der Universität Tübingen, erneut ein angesehener Experten auf seinem Gebiet gewonnen werden.

Extraterritorialer Anwendungsbereich der DSGVO
Besonders interessiert haben das Zielpublikum die Ausführungen zum extraterritorialen Anwendungsbereich der DSGVO. Dabei geht es um die Fragestellung, in welchen Konstellationen die Regelungen der DSGVO zur Anwendung kommen. Unterschieden werden können vier Fälle. So ist die DSGVO anwendbar, wenn die Verarbeitungstätigkeit innerhalb der EU erfolgt. Ebenfalls zur Anwendung hat sie zu gelangen bei der Verarbeitung personenbezogener Daten von Personen, die sich in der Union befinden (nicht zwingend EU Bürger), durch einen nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter, sofern die Verarbeitung entweder im Zusammenhang mit dem Angebot von (un-)entgeltlichen Waren und Dienstleistungen an betroffene Personen in der EU steht, oder im Zusammenhang dem Beobachten von deren Verhalten, soweit dieses in der EU erfolgt (bspw. Webtracking).  Auch nicht zu vergessen, in der Praxis jedoch wenig relevant, ist der Anwendungsfall der Verarbeitungstätigkeit im Ausland ansässiger Verantwortlicher oder Auftragsverarbeiter, die dort dem Recht eines Mitgliedstaates unterliegen, wie beispielsweise die Datenverarbeitung in einem Konsulat. Zu diskutierende Fragen im Anwendungsbereich waren die möglichen Anforderungen an eine Rückübermittlung der Daten in Drittländer.

Die «Joint Controllership»
Im Rahmen der Veranstaltung setzten sich Referent und Teilnehmende vertieft damit auseinander, wann und unter welchen Voraussetzungen von einer sogenannten Joint Controllership gemäss Art. 26 DSGVO auszugehen ist. Ein eher zufälliger common-interest, genügt hierfür wohl nicht. Vielmehr bedarf es einer bewussten Entscheidung, beispielsweise zur Planung und Durchführung eines Forschungsprojektes inklusive der Suche nach Partnern zur Bündelung von Ressourcen und dem nötigen Know-how. Nicht gemeint ist also eine Zusammenarbeit, die lediglich als Zweck die Nutzung eines gemeinsamen Tools oder eines gemeinsamen Systems hat.
Wie auch bei der Unterscheidung der Rollen, wer Verantwortlicher und wer Auftragsverarbeiter ist, kommt es darauf an, wer über die Zwecke und Mittel der Verarbeitung entscheidet. Analysiert wurden dazu unter anderem die Entscheide WAK Schleswig-Holstein und Jehovan todistajat (EuGH, Urteil v. 05.06.2018-C-210/16; EuGH, Urteil v. 10.07.2018 – C-25/17). Dabei zeigt sich, dass der EuGH die Schwelle zur gemeinsamen bzw. (Mit-)Verantwortung eher niedrig ansetzt. Erforderlich ist beispielsweise, dass die Verarbeitung ermöglicht wird und eine Einwirkungsmöglichkeit auf die Verarbeitung besteht (Insights durch Parametrisierung als Hinweis zum Urteil EuGH v. 05.06.2018 – C-210/16) sowie eine Förderung der eigenen Tätigkeit bezweckt bzw. sich wechselseitig ergänzende Zwecke vorliegen.
Hingegen ist nicht erforderlich, dass die Parteien sich auf Augenhöhe begegnen (ähnlich viel Einfluss haben) oder dass beide Parteien tatsächlich Zugang zu den personenbezogenen Daten haben. Ziel des Verordnungsgebers war, der bei modernen Verarbeitungsprozessen häufigen Realität einer vernetzten, kollaborativen Datenverarbeitung Rechnung zu tragen. Die Normierung der Joint Controllership in Art. 26 DSGVO zielt dabei vorwiegend auf den Schutz der Betroffenenrechte ab, enthält im Übrigen jedoch keine Regelung zur weiteren Ausgestaltung der Rechtsfigur, was eine Vielzahl von Fragen auswirft, deren Klärung gespannt zu erwarten ist.

Betroffenenrechte und ihre Umsetzung in Unternehmen
Ein weiteres spannendes Thema widmete sich den Betroffenenrechten und deren Umsetzung in Unternehmen. So ist der Auskunftsanspruch von Betroffenen in Art. 15 DSGVO geregelt. Wertvoll für die Teilnehmenden waren dazu die Tipps und Tricks, wie mit solchen Auskunftsbegehren aus Sicht eines Unternehmens vor- und umzugehen ist.  Es genügt an dieser Stelle das Sprichwort: «Weniger ist mehr! ». Wichtig zu beachten aus unternehmerischer Sicht ist sicherlich die Dokumentationspflicht sowie die allenfalls vorzubringenden Einschränkungen was den Herausgabeanspruch von Daten betrifft sowie ein korrekter Ablauf (Validierung der Identität des Antragsstellers, Fristeneinhaltung etc.).

Bisherige Bussgeldpraxis und Entwicklungstendenzen
Eine Schwierigkeit liegt sicher darin, dass die grundlegenden Kompetenzen für die Einleitung von Bussgeldverfahren zwar in der DSGVO normiert sind, sich die verfahrensrechtlichen Vorschriften aber nach nationalem Recht bestimmen. Dadurch wird Raum geschaffen für taktische Vorgehensweisen wie beispielsweise hinsichtlich der Frage nach den jeweiligen Interessen der Behörden der verschiedenen Länder an der Verhängung besonders hoher Bussgelder und Überlegungen zur Rechtssicherheit im Falle der Beschreitung des Rechtsweges.
Insbesondere auch deshalb wird dieses Thema Gegenstand zukünftiger Entwicklungen sein. Diskutiert wird beispielsweise der Erlass eines Kataloges für Standardverstösse.

Haben wir ihr Interesse geweckt? Möchten Sie das nächste Mal auch dabei sein, Fragen stellen und mitdiskutieren? Verfolgen Sie unsere Veranstaltungen auf der Weiterbildungsseite.

Auskunft: Carole Del Degan, Zentrum für Sozialrecht