Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.
Am 18.11.2021 fand die jährliche Datenschutzfachtagung (45. DAFTA) der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. statt.
In diesem Jahr konnte die Fachtagung, welche pandemiebedingt nochmals digital stattfand, wieder durch ihre vielfältige Themenauswahl überzeugen und damit allen Teilnehmerinnen und Teilnehmern einen Mehrwert ins Büro, Homeoffice oder auf das heimische Sofa liefern.
Auch digital konnte die DAFTA mit einer Vielzahl von Teilnehmern und Dozenten aus dem „Who’s Who“ der Datenschutzwelt aufwarten, welche sich zu den aktuell wichtigsten Datenschutzthemen geäußert haben:
Geprägt wurde die DAFTA durch drei aktuelle und praxisrelevante Themen. Das am 01.12.2021 in Kraft getretene neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) war ein Thema, welches eine ebenso große Rolle auf der Agenda spielte, wie die nicht anhaltenden Umsetzungsfragen bezüglich der „Schrems II“-Entscheidung des EuGHs. Ein weiteres Thema auf der diesjährigen DAFTA waren darüber hinaus die Entwicklungen im Zusammenhang mit datenschutzrechtlichen Schadensersatzansprüchen nach Art. 82 DS-GVO.
Über die Entstehungsgeschichte, wesentliche Neuregelungen des TTDSG und die Tatsache, dass nicht nur Telekommunikationsanbieter, sondern nahezu jedes Unternehmen bzw. jede öffentliche Stelle von der Umsetzung des TTDSG betroffen ist, informierte die Teilnehmer daher Rolf Bender vom BMWi.
Zu Umsetzungsfragen der Schrems-II-Entscheidung äußerte sich Dr. Stefan Brink, LfDI Baden-Württemberg. Brink hielt eine neue Vereinbarung zwischen der EU und den USA, für die einzige belastbare Lösung der Herausforderungen von Schrems-II, da sich die Wirtschaft Transfer Impact Assessments nicht leisten könnte. Denn das Erfordernis von ergänzenden Prüfungen und Maßnahmen bei Datenexporten entfällt – bekanntlich auch nach Veröffentlichung der neuen EU-Standardvertragsklauseln – nicht.
Steffen Weiß, GDD, hat den Teilnehmern zudem in einem spannenden Beitrag aufgezeigt, dass es in Ländern mit Datenschutzgesetzen grundsätzlich eine Vielzahl Transferrestriktionen für Daten zu beachten gilt und das Unternehmen daher angewiesen sind Vereinbarungen abzuschließen bzw. ihre Datenflüsse und Datenexporte entsprechend zu organisieren und frühzeitig abzusichern.
Debattiert wurde außerdem darüber, ob ein Schadensersatz wegen eines DS-GVO-Verstoßes eine Erheblichkeitsschwelle überschreiten müsse. Geklärt wurde, dass die DS-GVO eine solche Grenze jedoch nicht kennt. Die Frage nach einer sogenannten Erheblichkeitsschwelle für DS-GVO-Schadensersatzansprüche wird trotzdem erst der EuGH abschließend klären, da dem EuGH diese Frage zur Entscheidung vorgelegt wurde (Beschluss vom 14. Januar 2021, 1 BvR 2853/19). Generell gilt aber trotzdem, dass der Betroffene den Schaden (Beweislast) belastbar beweisen muss.
Clemens Dörner, 2B Advice GmbH, präsentierte zudem im Anbieterforum einen Beitrag zum Thema Transferimpact Assement, in dem er den Zuhörerinnen und Zuhören aus Sicht von 2B Advice die entscheidenden Anhaltspunkte aufgezeigt, wie Verantwortliche Ihr Datenschutzrisiko und damit das Risiko von Datenschutzverstößen beim Einsatz neuer Technologien mindern können. Ein Risiko entsteht vor allem dann, wenn Unternehmen Technologien in die Cloud migrieren oder neue Technologien wie Videoüberwachung einführen. Er Verwies darauf, dass Unternehmen beim Einsatz von neuen Technologien zwingend eine angemessene Risikobewertung für den Datenschutz vornehmen sollten. Aufgezeigt wurde den Teilnehmern unter anderem, wann eine Risikobewertung durchgeführt werden sollte und welche Arten von Risikobewertungen für unterschiedliche Szenarien geeignet sind (z. B. PIA, CMIA, DTIA oder DSFA).
Die 45te DAFTA zeigte damit seinen Teilnehmern auf, dass die Unsicherheiten zwischen Rechtsprechung, Datenschutzaufsicht und der Legislative einen nicht unerhebliche wirtschaftliche Herausforderungen für die Unternehmen bereithalten.
Wie zum Ende der DAFTA hin deutlich wurde, wird sich in Zukunft, neben dem Datenschutzrecht, auch vermehrt das das IT-Sicherheitsgesetz, aktuell nur im Hinblick auf die kritischen Infrastrukturen, zu den Herausforderungen von Unternehmen dazugesellen. Zur Abmilderung dieser Herausforderungen und um hieraus Chancen für Wettbewerbsvorteile zu entwickeln, bedarf es daher einer Professionalisierung des Datenschutzes und der Informationssicherheit in den Bereichen Technik, Organisation, Strategie und Recht im Unternehmen.
Bei der Professionalisierung des Datenschutzes unterstützen wir Sie als zuverlässiger Partner daher gerne. Wir freuen uns bereits auf die nächste DAFTA, hoffentlich sehen wir Sie bald wieder in Präsenz.