YouTube

Got a YouTube account?

New: enable viewer-created translations and captions on your YouTube channel!

German subtitles

← Datenschutzgrundverordnung: Rechte für Menschen, Pflichten für Firmen & Chancen für uns (33c3)

Get Embed Code
1 Language

Showing Revision 4 created 01/13/2017 by derPUPE_dP.

  1. Öffentliche Daten nutzen,
    private Daten schützen.
  2. Das ist einer der Grundsätze
    der Hacker-Ethik.
  3. Leider, leider halten sich nicht
    alle an die Hacker-Ethik,
  4. beispielsweise Geheimdienste.
  5. Die machen das eher andersrum.
  6. Die machen das mit den, ähm, ja,
    private Daten nützen,
  7. und die öffentlichen Daten,
  8. also in dem Fall
    Daten über die Arbeit der Geheimdienste,
  9. mit denen man sie vielleicht
    kontrollieren könnte,
  10. die werden sehr gut beschützt.
  11. Der nächste Speaker
    findet das überhaupt nicht richtig.
  12. Er hat tatsächlich in den 42 Wochen
    nach den Snowden-Enthüllungen
  13. jede Woche vor dem Bundeskanzleramt
    eine Wutrede gehalten.
  14. Einen Applaus hierfür schon mal.
  15. Ja, und was macht jemand beruflich,
    der zehn Monate lang
  16. jede Woche eine Wutrede
    über Datenschutz hält?
  17. Natürlich ist er
    betrieblicher Datenschutzbeauftragter,
  18. aber er ist auch Datenschutzaktivist
    und kämpft mit seinem Kanal,
  19. dem Rundfunk, auch gegen
    die Depublizierungspflicht
  20. von öffentlich-rechtlichen Anbietern
    in den Mediatheken.
  21. Auch hierfür einen Applaus.
  22. Und eben dieser Lars Hohl,
    oder wie wir im Club ihn besser kennen,
  23. als der Pupe,
    wird uns jetzt etwas erzählen
  24. über die EU-Datenschutzgrundverordnung
    – schreckliches, langes deutsches Wort,
  25. ich denke, da gibt´s viel Spaß
    in der englischen Übersetzung,
  26. aber wir freuen uns darauf,
    endlich zu erfahren,
  27. was wir damit eigentlich anfangen können
    und was das für uns verändert.
  28. Einen Applaus!
  29. Ja,
    erstmal einen gesegneten guten Tag.
  30. Schön, dass ihr alle
    hierhin gekommen seid.
  31. Das Spannende: Man sieht
    – datenschutzbegeistert.
  32. Datenschutz füllt ganze Hallen.
  33. Datenschutz füllt Saal 1.
  34. Als Fred Astaire des Datenschutzes
    freue ich mich natürlich,
  35. auf dieses breite Interesse zu stoßen.
  36. Ich hab den Talk
    über die EU-Datenschutzgrundverordnung
  37. Rechte für Menschen
    – Pflichten für Firmen
  38. Chancen für uns genannt.
  39. Das ist natürlich ein bisschen pathetisch
    (könnte auch Clickbait genannt werden),
  40. aber da ist sehr viel Musik
    in diesem Gesetz
  41. – und wo, das werdet ihr gleich sehen.
  42. Ganz zu Anfang ein kleines Who am I.
  43. Und das Wichtige ist im Endeffekt:
    Man sieht dort zweimal mich,
  44. oder dreimal – oben im Netz,
  45. einmal in der Echtwelt
    mit Krawatte und Schlips,
  46. das ist halt,
    wenn ich beruflich unterwegs bin,
  47. oder eben so, wie ihr mich eher kennt.
  48. Warum sag ich das?
  49. Weil, als erstes natürlich der Disclaimer:
    Alles, was ich heute hier sage,
  50. sage ich in Form als Datenschutzaktivist,
  51. und ist nicht Aussage meines Arbeitgebers
    oder irgendwelcher Kunden, die ich habe.
  52. Ja, ich bin 43 Jahre, und im Endeffekt
    ist für mich ganz wichtig,
  53. dass alle, die ihr heute
    hierhin gekommen seid,
  54. dass alle die, die hier
    zum Kongress gekommen sind,
  55. auf zwei Ereignisse vielleicht
    aus meinem Leben
  56. oder der Prägung mal kurz hinzuweisen:
    Das eine war die Hacking at Large.
  57. Das war das Hacker-Camp
    in 2001 in den Niederlanden.
  58. Warum ist mir das wichtig?
  59. Dort hatte ich das Glück,
    diese gesamte Hacker-Ethik,
  60. diese gesamte Masse an Menschen,
    die gemeinsam daran arbeiten,
  61. die Welt zu verändern und zu verbessern,
    habe ich kennenlernen dürfen,
  62. und ihr habt mich stetig begeistert,
    weiter in den Tätigkeiten fähig zu sein.
  63. Und als dann der 22C3 in Berlin war,
  64. da war es wirklich, als würd
    die Offenbarung über mich kommen.
  65. Damals gab es zwei Vorträge,
  66. und eigentlich die, die sind ein bisschen
    auch die Grundlage zu dem,
  67. was ich geworden bin und warum ich heute
    hier an dieser Stelle stehe.
  68. Das eine war ein Vortrag
  69. über das damals noch neue
    Informationsfreiheitsgesetz.
  70. Und mir wurde einfach klar:
    Es ist toll, es gibt dort draußen Rechte,
  71. und diese Rechte können wir als Bürger,
    wir als Menschen nutzen,
  72. um, wie heißt es,
    Transparenz einzufordern.
  73. Und genau diese Transparenz
    ist ein wichtiger Baustein im Datenschutz.
  74. Und das zweite war damals die Rede
    von Thomas Maus über die Gesundheitskarte.
  75. Und im Endeffekt war dieses,
    diese drei Stunden,
  76. die er damals referiert hatte,
  77. die Initialzündung zu sagen:
    Es geht so nicht weiter.
  78. Wir … Ich kann jetzt nicht einfach
    nur Nerd sein und als IT arbeiten,
  79. sondern ich möchte im Bereich
    Datenschutz aktiv mitgestalten.
  80. Und ihr alle, die ihr hier seid,
    könnt auch aktiv Datenschutz mitgestalten.
  81. Seid ihr in eurer Firma unterwegs
  82. – dort könnt ihr Datenschutz einfordern,
    dort könnt ihr auf Datenschutz hinweisen.
  83. Das ist mir wichtig.
  84. Und so beginne ich eigentlich
    am Anfang schon mit dem Call to Action.
  85. Datenschutz kommt
    nicht von alleine zu euch.
  86. Ihr müsst es selber
    durch euer Handeln einfordern,
  87. in eurem Umfeld oder in den Projekten,
    wo jeder von euch irgendwo tätig ist.
  88. Jeder muss wissen: Wer ist hier
    für den Datenschutz verantwortlich
  89. und ist das, was wir hier tun,
    mit dem Gesetz compliant?
  90. Punkt.
  91. So bin ich als Datenschutzbeauftragter,
    ich will nicht sagen geendet,
  92. aber wichtig ist, die drei Punkte:
  93. Ich mag Politik, ich mag Schach
    und ich mag meine Mitmenschen.
  94. Warum ist das wichtig?
    Beim Datenschutz geht es um Menschen.
  95. Also ihr braucht erstmal, wie heißt es,
    dieses Verständnis von Menschen.
  96. Datenschutz ist Politik,
    und das, was ich hier mache,
  97. ist ein wichtiger Schachzug:
    Dass innerhalb von Deutschland,
  98. innerhalb von der EU mehr Budgets
    für Datenschutz freigegeben werden.
  99. Ja.
  100. Extrem Use all your Auskunftsrechte.
  101. Fang ich am Anfang mal mit einem kurzen
  102. Mein … nicht Meinungsbild
    – mit ner Abfrage:
  103. Wer von euch weiß,
    was eine Datenschutzselbstauskunft ist?
  104. Für den Stream: Ungefähr die Hälfte.
  105. Wer von euch hat das Recht
  106. auf Selbstauskunft
    im Datenschutz auch schon genutzt?
  107. Für den Stream: Ungefähr ein Drittel.
  108. Will meinen:
    Da ist sozusagen noch Potential,
  109. dass wir die Rechte,
    die wir haben, auch aktiv nutzen.
  110. Ich möchte im Endeffekt,
    wenn wir hier rausgehen,
  111. dass ihr euch
    der Betroffenenrechte bewusst seid
  112. und diese aktiv nutzt,
    und Punkt Zwei dieses Talks:
  113. Ziel ist es – ich möchte,
    dass draußen bewusst ist,
  114. was die Sanktionsmöglichkeiten,
    die Bußgelder sind,
  115. welche festgelegt werden können,
  116. wenn sich nicht
    an Datenschutz gehalten wird,
  117. gerade in Bezug auf die neue
    EU-Datenschutzgrundverordnung.
  118. Gehen wir jetzt in Medias Res.
  119. Gehen wir jetzt
    in die Datenschutzgrundverordnung.
  120. Was bisher geschah:
  121. Hier in Deutschland
  122. haben wir den Rechtsrahmen
    des Bundesdatenschutzgesetzes,
  123. und zusätzlich dazu ist 1995
  124. die Datenschutzrichtlinie
    der EU erlassen worden.
  125. Eine Richtlinie ist
    nicht unmittelbar sofort wirksam,
  126. sondern sie muss erst noch von Staaten
    in nationales Recht gegossen werden.
  127. Bei diesem In-Gesetz-Gießen
    gibt es verschiedene Ausprägungen.
  128. Die Konsequenz ist,
  129. dass wir eigentlich
    bei den 28 Mitgliedsstaaten in der EU
  130. einen Flickenteppich
    an Datenschutzgesetzgebung haben.
  131. Und um diesen Flickenteppich zu kitten,
  132. wurde 2012 das Ziel einer
    Datenschutzreform auf EU-Ebene angestoßen,
  133. und dazu wollte man das Stilmittel
    einer Grundverordnung nehmen.
  134. Grundverordnung ist deshalb eigentlich
    ein sehr tolles Instrumentarium,
  135. weil eine Grundverordnung sofort für alle
    Staaten auf gleicher Weise gilt.
  136. Als Frau Reding
    auf dem Datenschutzkongress 2012
  137. den Plan der Grundverordnung vorstellte,
  138. war das Meinungsbild
  139. unter den Konzerndatenschützern
    in Deutschland eher durchwachsen,
  140. weil wir wussten jetzt ja nicht …
  141. Wir kommen alle hier von diesem hohen
    deutschen Datenschutzniveau.
  142. Was ist die Konsequenz
    für das deutsche Datenschutzrecht?
  143. Wie sehen wir das jetzt, ich sag mal,
    aus dem nationalen Interesse heraus?
  144. Müssen wir sehr viel davon abgeben?
  145. Und viele hatten erst diese Befürchtung.
  146. Für meinen Teil muss ich sagen:
    Ich sehe eher das Glück dadrin,
  147. weil altruistisch, wenn Gesamteuropa
    das Niveau nach oben geht,
  148. geht vielleicht Deutschland leicht runter,
  149. aber das Gesamtniveau
    vom Bruttoniveau steigt nach oben.
  150. Und wichtig ist, dass das Ziel
    dieser EU-Datenschutzgrundverordnung
  151. ein freier Datenverkehr
    innerhalb der EU ist,
  152. mit fairer,
    transparenter Datenverarbeitung.
  153. Das war ein langer Kampf:
    Darüber gibt es auch mehrere Vorträge
  154. unter media.ccc.de von … innerhalb der EU,
    wie das dazu gekommen ist.
  155. Wichtig ist jetzt: Im Mai diesen Jahres
  156. ist die EU-Datenschutzgrundverordnung
    jetzt unterschrieben worden.
  157. Und mit zwei Jahren Latenz
  158. wird diese
    ab dem 25.5.2018 in allen Ländern
  159. für alle Firmen/Institutionen
    bindend sein.
  160. Und ein Punkt, der in dem Fall
    eben auch ein ganz spannender ist,
  161. gerade in dieser ganzen Cloud-Diskussion:
    Es gilt das Marktortprinzip.
  162. Was ist das Marktortprinzip?
  163. Das heißt: Firmen,
    die in Europa Datendienste anbieten,
  164. für die gilt
    die Datenschutzgrundverordnung,
  165. auch wenn sie selber
    keine Niederlassung in Europa haben.
  166. Und das ist eine ganz spannende Sache,
    wenn wir später zu den Bußgeldern kommen.
  167. Ja.
  168. Talk über Datenschutz:
  169. Woran denken denn dann die meisten,
    wenn wir über Datenschutz reden?
  170. Traurig, aber wahr: Ich geh draußen
    auf die Straße, frag nach Datenschutz
  171. – zuerst denken die meisten eigentlich
    eher an Datenschutzskandale.
  172. Sei es Lidl, die Deutsche Bahn
    oder die lustige Konfettikanone,
  173. wo Krankenakten geschreddert
    im Karneval verteilt werden
  174. – so ist eigentlich
    das Bild in der Öffentlichkeit.
  175. Das heißt, bewusst wird
    Menschen eher die Abwesenheit,
  176. anstatt die Bedeutung von Datenschutz.
  177. Also, kommen wir jetzt wirklich
    zur echten Definition,
  178. das, was es bedeutet,
    Datenschutz umsetzen zu wollen.
  179. Datenschutz schützt keine Daten.
  180. Die wichtigste Datenschutzbeauftragte,
    Prinzessin Leya:
  181. Ich verteidige Menschen.
  182. Datenschutz schützt Menschen
    vor dem Umgang mit ihren Daten.
  183. Privatsphäre ist ein Menschenrecht.
  184. Das Recht
    auf informationelle Selbstbestimmung sagt,
  185. dass jeder Mensch entscheiden kann,
  186. wem wann welche seiner
    personenbezogenen Daten zugänglich sind.
  187. Und ihr seht bei genau dieser Definition,
  188. dass die Anforderung
    aus der Datenschutzgrundverordnung
  189. einer fairen
    und transparenten Datenverarbeitung
  190. essentielle Grundvoraussetzung ist,
  191. um diese informationelle
    elbstbestimmung sicherzustellen.
  192. Warum machen Firmen das eigentlich?
  193. Da kann man sagen:
  194. Okay,der ersichtlichste Grund
    ist irgendwie so ein juristischer,
  195. weil es halt gesetzlich
    vorgeschrieben ist.
  196. Alle wollen datenschutz-compliant sein.
  197. Aber die zwei anderen Gründe
    sind eher ökonomischer Natur.
  198. Sanktionierte Datenschutzverstöße
    kosten Geld.
  199. Im aktuellen Datenschutzgesetz
  200. ist die maximale Penalty
    für einen Datenschutzverstoß bei €300.000.
  201. Das ist Geld, und Geld,
    was man bezahlen muss,
  202. ist erstmal aus
    ökonomischer Sicht nicht gut.
  203. Je nach Budget
    kann das natürlich auch Portokasse sein.
  204. Zusätzlich dazu kommt aber meist noch
    ein gravierender zweiter Aspekt,
  205. und zwar der Imageverlust.
  206. Datenschutzskandale beschädigen die Marke,
    beziehungsweise das Image,
  207. und Marken- beziehungsweise Imageaufbau
    kostet auch richtig Geld.
  208. Darum mein Tipp
    an alle Datenschutzbeauftragten:
  209. Sprecht mit eurer
    Unternehmenskommunikationsabteilung
  210. und lasst euch das einfach mal ausrechnen.
  211. So in der Relation:
    Wieviel Millionen geben wir im Jahr aus
  212. für Marketingaktivitäten,
    und was glaubt ihr, wie teuer es wäre,
  213. wenn wir so einen richtig schönen
    Datenschutzskandal in der Presse hätten,
  214. um das angekratzte Image wieder zu fixen.
  215. Ich habe dazu einige Thesen:
  216. Was Datenschutz anbetrifft,
    bin ich der festen Überzeugung,
  217. dass wir Law and Order
    nicht primär für Menschen,
  218. sondern für Firmen
    im Bereich Datenschutz benötigen.
  219. Warum?
  220. Datenschutz ist in der Regel
    kein Primärziel von Firmen.
  221. Diese agieren
    mit Gewinnerzielungsabsichten.
  222. Datenschutz ist, wie alles andere auch,
    nur eine Kostenstelle.
  223. Das finanzielle Risiko,
    nicht datenschutzkonform zu handeln,
  224. muss visibel sein, sodass mein Tipp
    als Datenschutzbeauftragter ist:
  225. Bringt die finanziellen Risiken
    ein ins Risikomanagement eurer Firmen.
  226. In Geld quantifizierbare Risiken
    schaffen Managementawareness.
  227. Und die hilft uns bei der Umsetzung
    der Anforderungen,
  228. welche wir aus dem Gesetz haben.
  229. Wie machen wir das?
  230. In der Informationssicherheit
    gibt es folgende Formel:
  231. Risiko ist Schadenspotential
    mal Eintrittswahrscheinlichkeit.
  232. Was bedeutet diese Formel
    in Bezug auf Datenschutzbußgelder?
  233. Das maximale Datenschutzbußgeld
    mal der Wahrscheinlichkeit,
  234. dass von einer Aufsichtsbehörde bei einem
    Sachverhalt ein Bußgeld verhängt wird,
  235. ergibt das betriebswirtschaftliche
    Gesamtrisiko.
  236. Ja, und da ist ja jetzt
    mal die spannende Frage:
  237. Was ändert sich jetzt
    bei der EU-Datenschutzgrundverordnung
  238. in Bezug auf Bußgelder?
  239. Ich hatte vorhin gesagt, diese 300.000
    ist zu jetzt der aktuelle Höchstbetrag.
  240. Und genau hier ist richtig Musik in der
    aktuellen EU-Datenschutzgrundverordnung.
  241. Jeder einzelne Verstoß kann
    ein Bußgeld auslösen.
  242. Und die Maximalstrafen sind
    dabei entweder 20.000 €
  243. oder 4 Prozent des weltweiten
    Konzernumsatzes.
  244. Dabei gilt der jeweils höhere Betrag.
  245. Ja, schluck!
    Ihr könnt euch vorstellen, (Applaus)
  246. da kann Law and Order richtig Spaß machen,
    da kann Law and Order richtig kosten.
  247. Ob jetzt Firmen
    dafür Rücklagen bilden werden
  248. oder ob sie entsprechende
    Versicherungen abschließen,
  249. das ist sozusagen noch offen,
    das wird die Zukunft zeigen,
  250. aber wichtig ist, ich kann euch sagen,
    upps, das, wie heißt es:
  251. 4 Prozent merkt man sich.
  252. Nehmen wir doch mal einfach die Beispiele,
  253. die ihr alle noch
    von der letzten Folie kennt,
  254. welche auch
    in unserem Bewusstsein so sind:
  255. Bei der Bahn waren es im Endeffekt …
  256. Ich glaube, die haben 1,1 Millionen
    damals Strafzahlungen
  257. für alle akkumulierten Fälle
    zusammen bezahlt.
  258. Nimmt man einfach mal
    den aktuellen Umsatz,
  259. den sie haben laut Wikipedia,
    39,2 Milliarden,
  260. nimmt das mal 4 Prozent:
    Zenga! 1,568 Milliarden.
  261. Und ihr könnt euch vorstellen,
    das sind Zahlen, die werden verstanden.
  262. Das sind Zahlen oder Muster,
  263. die man die sozusagen
    von Entscheidern in Firmen
  264. haben wir vielleicht Handlungsbedarf?“
  265. Ich habe gesehen, auf zehn Minuten,
  266. auf den zweiten Fall gehe
    ich dann so direkt nicht ein.
  267. Aber hier seht ihr jetzt einfach mal
    die Liste der dreißig DAX-Konzerne,
  268. dahinter den Jahresumsatz und daraus
    berechnet das maximale Datenschutzbußgeld,
  269. welches zu bezahlen ist.
  270. Und man sieht einfach: Also, die Anzahl
    der Ziffern ist beachtlich.
  271. Ich hab einfach mal so als prominentes
    Beispiel unseren Klassenprimus,
  272. die Deutsche Volkswagen AG.
  273. Bezüglich Treue und Verbraucherschutz
  274. und Verbraucheraussagen
    kann man da ja zur Zeit sehen,
  275. dass dort noch manchmal ein bisschen
    Optimierungsbedarf ist.
  276. Was würde es für die Volkswagen
    AG denn bedeuten,
  277. wenn sie sich jetzt, vielleicht
    im Bereich Selbstfahrende Autos,
  278. vorschnell mit irgendwelchen
    neuen Sachen hinreißen lässt?
  279. Bei 213 Milliarden Konzernumsatz
  280. könnten dort einfach 3,58 Milliarden
    Strafzahlung fällig sein.
  281. Das ist immer noch weniger,
    als VW zur Zeit in den USA bezahlen muss,
  282. aber ihr seht ja, in
    Deutschland und in Europa
  283. ist der Konsument nicht
    so gut geschützt.
  284. Im Bereich Datenschutz
    wird sich das ändern.
  285. Das heißt, dort werden
    Bußgelder sein,
  286. und die werden auch entsprechend
    benutzt werden.
  287. Aber jetzt nochmal:
    Law and Order, Bu0geld – Pupe,
  288. was willst du hier von uns, ist die Frage,
  289. Und wo kommen jetzt hier die Hacksoren
    oder eben die Datenschutzaktivisten
  290. oder
    die Betroffenen ins Spiel?
  291. Kommen wir nochmal
    zurück zur Risikoformel.
  292. Was ich euch gezeigt habe, ist,
  293. dass durch die EU-Datenschutzgrund-
    verordnung das Schadenspotential
  294. sich signifikant erhöht hat.
  295. Parameter 1 ist somit gestiegen.
  296. Jetzt ist ja die Frage:
    Wird Parameter 2,
  297. die Eintrittswahrscheinlichkeit,
    zurückgehen?
  298. Und das Schöne ist, da kann
    ich vorab schon mal sagen: Nein.
  299. Wir können an der Stelle nämlich
    tollerweise aktiv mitgestalten.
  300. Jeder. (Applaus)
  301. Und das Wichtige an der Stelle, oder, sage
    ich mal, das Schwert, was wir da haben,
  302. sind Betroffenenrechte.
    Die können wir nutzen.
  303. Denn das Tolle ist:
    Rechte, die wir als Betroffene haben,
  304. daraus ergeben sich immer Pflichten
    für verantwortliche Stellen,
  305. oder eben für Firmen, für Leute,
    die mit euren Daten umgehen.
  306. Und diese Pflichten, die die haben,
    können wir einfordern.
  307. Und die Auskunftsrechte
    und Informationsrechte
  308. in der EU-Datenschutzgrundverordnung
    haben sich wirklich verbessert.
  309. Dort sind Anforderungen gestellt worden,
    welche ich als Nerd sagen muss:
  310. Super.
    Klare Vorgaben, viele Auskunftsrechte.
  311. Bei der diesjährigen
    Datenschutzkonferenz war es so,
  312. dass das sogar ein Thema war, dass dort,
    wie heißt es, Konzerndatenschützer sagten:
  313. Was machen wir denn,
    wenn jetzt alle Betroffenen,
  314. wenn alle Datensubjekte jetzt
    ihre Auskunftsrechte auch nutzen?
  315. Und gerade diese Fragestellung
    hat mich damals bewogen zu sagen:
  316. Oh, ist ja ein extrem spannendes Thema,
    lass mal einen Vortrag darüber machen.
  317. Vielleicht gibt es ja
    sowas wie „Frag den Staat“,
  318. irgendwie
    mit Auskunftsersuchen bei Firmen.
  319. Was gibt es denn für Betroffenenrechte?
  320. Im Endeffekt kann man Betroffenenrechte
    in fünf Kategorien unterteilen.
  321. Und Chancen. Man kann an der Stelle
    sagen, es gibt Permissionsrechte.
  322. Permissionsrechte sind Rechte,
    wo wir einwilligen,
  323. dass Datenverarbeitung
    mit unseren Informationen geschieht,
  324. zum Beispiel, die Einwilligungserklärung,
    welche freiwillig ist.
  325. Spannend in der EU-
    Datenschutzgrundverordnung ist,
  326. dass diese Vorgaben im Bereich
    der Transparenz nochmal erhöht wurden
  327. und dass wir an der
    Stelle noch mehr
  328. Informationen von den
    Firmen bekommen können.
  329. Ich sehe gerade,
    die Zeit läuft ein bisschen ab.
  330. Wichtig ist dann,
    wir haben Interventionsrechte.
  331. Das heißt, jeder, der schon mal
    irgendwo eingewilligt hat,
  332. irgendwo, dass Daten
    genutzt werden können,
  333. kann eine Einwilligungserklärung
    auch widerrufen.
  334. Wir hatten vorhin hier
    den Talk über die Gen-Bude,
  335. welche, wie heißt es,
    die ja wo ihr einwilligt,
  336. dass sie eure Genom-Sachen benutzt
    oder gegebenenfalls weiterverarbeitet.
  337. Solche Einwilligungen können
    auch entzogen werden.
  338. Und es gibt eben Petitionsrechte.
    Das ist da, wo jetzt Beschwerderechte.
  339. Und das heißt, ihr könnt euch bei
    Datenschutzbeauftragten direkt beschweren.
  340. Und das Tolle an
    der EU-Datenschutzgrundverordnung ist,
  341. es ist verpflichtend, dass zukünftig bei
    jeder Datenverarbeitung mit angegeben ist:
  342. Wer ist der Datenverarbeiter?
  343. Welche Firmen nutzen
    diese Daten auch noch alle?
  344. An welche Daten
    werden diese weitergegeben?
  345. Wer sind
    die Datenschutzbeauftragten in den Firmen?
  346. Und an der Stelle ist es so,
    dass auch die Kontaktinformationen
  347. von den Datenschutzbeauftragten
    euch zur Verfügung gestellt werden müssen.
  348. Das heißt, es wird sehr
    einfach möglich sein,
  349. elektronische Anfragen
    an Firmen zu stellen,
  350. und Firmen sind verpflichtet,
  351. diese euch dann auch angemessen
    elektronisch wieder bereitzustellen.
  352. Das heißt, eine sehr schöne Spielwiese,
    viele Informationen abzugreifen.
  353. Ich komme gleich dazu, wo wir dann
  354. dort ein bisschen
    Interdependenz-Checks machen können.
  355. Es gibt noch Kompensationsrechte
    für Schadensersatz und Entschädigung
  356. und Informationsrechte
    bin ich schon drauf eingegangen.
  357. Überblick: Zum Nachgucken
    habe ich gleich noch eine Folie.
  358. Ich springe mal kurz,
    weil die Zeit schon wenig wird.
  359. An welchen Stellen kann man
    jetzt richtig pieksen, ja?
  360. Weil, ich frag mich ja immer:
    Jetzt haben wir hier so ein tolles Gesetz,
  361. wo viele Rechte drin sind,
  362. Sachen, die wir erfragen können.
  363. Und im Endeffekt ist es so:
  364. Erstmal, Datenschutzbeauftragte
    sind in der Regel eure Freunde,
  365. genauso wie die Aufsichtsbehörden.
  366. Und spannend
    an der EU-Datenschutzgrundverordnung ist:
  367. Ihr müsst euch nicht mehr
    bei der Aufsichtsbehörde einer Firma,
  368. wo die ihren Sitz hat, beschweren.
  369. Ihr könnt zu eurer Datenschutzbehörde
    vor Ort gehen,
  370. oder aber auch zu jeder anderen.
  371. Und die Datenschutzbehörden von euch
  372. und die Datenschutzbehörden
    der Firmen müssen sich dann abstimmen,
  373. wie sie mit dem Fall, mit der Anfrage,
    mit der Beschwerde umgehen.
  374. Das ist deshalb ganz spannend,
    weil natürlich dann dort,
  375. wo vielleicht Firmen schon
    ein ganz gutes Verhältnis
  376. zu ihrer Aufsichtsbehörde haben,
  377. da nochmal ein Crosscheck mit reinkommt,
  378. ob das gleichzeitig auch die Sichtweise
    der anderen Aufsichtsbehörde ist.
  379. Gerade an dem Punkt sehe ich
    noch spannende Diskussionen,
  380. weil ja die Frage immer sein wird:
    An wen gehen die Bußgelder?
  381. Zum Beispiel ist es so, dass in Spanien
  382. eine sehr mächtige
    Datenschutzaufsichtsbehörde ist,
  383. weil diese aktiv alle
    Einnahmen aus Bußgeldern
  384. selber in ihre Taschen
    bekommt. (Applaus) Und …
  385. ja, und das ist ganz spannend,
    wenn der europäische Datenschutzkongress
  386. jedes Jahr hier stattfindet,
  387. und dann kommen
    die von den Aufsichtsbehörden,
  388. und dann sagt sozusagen da der spanische:
  389. Das hab ich dieses Jahr unternommen,
    das hab ich eingenommen.
  390. Und ich seh da vielleicht sogar
    ein Geschäftsmodell für Staaten
  391. bei den Summen,
    aber das ist ein anderes Thema.
  392. Darum aber prinzipiell:
    Nutzt eure Aufsichtsbehörden!
  393. Ich hoffe, dass
    mit den zunehmenden Aufgaben,
  394. die diese jetzt durch die
    EU-Datenschutzgrundverordnung bekommen,
  395. sie auch die dafür benötigten
    Mittel zugesetzt bekommen,
  396. weil, traurig aber wahr,
    meine Wahrnehmung ist,
  397. dass in allen … sowohl in der
    Bundesdatenschutzbehörde
  398. als auch in den
    einzelnen Ländern,
  399. noch wirklich Potential nach oben ist.
  400. Und das meinte ich
    vorhin mit Law and Order.
  401. Wenn, wie heißt es, wir wollen,
    dass wir Rechte haben,
  402. dann sollten auch die Behörden,
  403. welche für die Durchsetzung
    dieser Gesetze zuständig sind,
  404. über die entsprechenden Mittel verfügen,
  405. damit, wie heißt es, auch
  406. diese Schadenseintrittswahrscheinlichkeit
    auch entsprechend hoch ist.
  407. Spannend ist im Endeffekt noch:
  408. Wir haben jetzt Rechte über
    die es jetzt auch gibt, über:
  409. Was ist der Verwendungszweck
    von Datenverarbeitung?
  410. Aus dem Verwendungszweck ergibt sich ja
    häufig auch der Erlaubnistatbestand:
  411. Warum dürfen Firmen etwas verarbeiten?
  412. Und daraus ergeben
    sich häufig dann auch
  413. Löschfristen, beziehungsweise
    Speicherdauern.
  414. Und wenn wir solche Sachen
    bei Firmen abfragen können,
  415. können wir an der Stelle
    auch noch gucken:
  416. Was ist sozusagen an der Stelle
  417. Ich war gerade von der Null irritiert,
    lasst ihr euch davon nicht irritieren.
  418. Wie können wir das jetzt nutzen,
    um, wie heißt es,
  419. dort abzufragen und auf, vielleicht,
    Missstände hinzuweisen?
  420. Weil, wenn es transparent ist, können wir
    bei Datenschutzbeauf behörden nachfragen:
  421. „Ist denn das, was Firma XY hier sagt,
    mit dem Datenschutzrecht konform?“
  422. Auf die anderen Sachen gehe
    ich jetzt nicht ein, weil:
  423. Ich muss schnell zum Ende kommen.
  424. Wichtig am Ende nochmal: Motivation.
  425. Mir ist wichtig, dass
    wir hier alle rausgehen,
  426. dass und motiviert sind,
    unsere Rechte aktiv zu nutzen.
  427. Ich möchte, dass
    Datenschutzbeauftragte motiviert sind,
  428. in ihren Firmen die Awareness
    für das Thema entsprechend zu platzieren,
  429. um mit entsprechenden
    Budgetmitteln versorgt zu werden,
  430. um Datenschutzniveau in den Firmen
  431. bis zum Beginn 05/2018 auch
    entsprechend der Richtlinie umzusetzen.
  432. Ich möchte, dass ihr
    alle jetzt schon
  433. Paragraph-34-Auskunftsersuche
    bei Firmen stellt,
  434. damit ihr mal ein Bauchgefühl bekommt,
    wie spannend es ist,
  435. was ihr an Informationen
    bei anderen Firmen habt,
  436. dass ihr eine Information bekommt,
  437. wohin die Reise dort geht.
  438. Aber ich muss leider am Ende
  439. noch ein kurzes Wort sagen zu unserem
    Innenminister, beziehungsweise, nein,
  440. ich würde niemals was
    über den Innenminister sagen,
  441. sondern über
    das Innenministerium,
  442. weil, das was ich gerade
    dargestellt habe,
  443. dass die Datenschutzgrundverordnung
    jetzt unterzeichnet ist
  444. und damit wäre alles klar
    und tutti, stimmt nicht ganz.
  445. In der Datenschutzgrundverordnung sind
    sogenannte Öffnungsklauseln enthalten.
  446. Öffnungsklauseln sind
    Passagen,
  447. wo man sich auf europäischer Ebene
    nicht einigen konnte,
  448. wie man sie jetzt genau verbindlich
    für alle machen sollte.
  449. Und man erkennt daran,
    dass jetzt an Öffnungsklauseln
  450. auf nationaler Ebene wieder
    Ausgestaltung möglich ist.
  451. Das heißt, im Endeffekt wird
    die Datenschutzgrundverordnung
  452. eigentlich so ein Hybrid aus einer
    Verordnung und einer Richtlinie,
  453. weil jetzt auf nationaler Ebene
    wieder das Feilschen anfängt,
  454. wo wir Datenschutzgesetze
    nochmal ein bisschen nach links schieben,
  455. nochmal ein
    bisschen nach rechts biegen,
  456. überall dort, wo Öffnungsklauseln
    uns Handlungsspielraum geben.
  457. Im Endeffekt ist es so,
  458. dass wir einen Entwurf gerade
    gelegt haben über netzpolitik.org,
  459. wo man schon mal reingucken
    kann, und ich muss
  460. an der Stelle einfach mit
    Erschrecken feststellen,
  461. dass das, was dort geht, weit
  462. über die … für die Öffnungsklauseln
    Zulässiges hinausgeht.
  463. Und ich habe die
    Befürchtung, dass, wenn
  464. Deutschland mit schlechtem
    Beispiel vorangeht
  465. und wir jetzt anfangen,
    nachträglich aus vermeintlichem
  466. Wettbewerbsvorteilen
    Datenschutzniveau abzusenken,
  467. dass das leider ein Vorbild sein
    wird für andere Länder in der EU,
  468. die dem nicht hinterherstehen wollen,
    was die Konsequenz hat,
  469. dass plötzlich alle Länder diese
    Öffnungsklauseln maximal ausdehnen werden
  470. und das eigentliche Ziel
    der Grundverordnung ,
  471. dass sich das Datenschutzniveau
    gesamteuropäisch nach oben versetzt,
  472. ad absurdum geführt wird.
  473. Mein Fazit ist, oder meine Befürchtung:
  474. Der Klassenprimus im Bereich
    Datenschutz, Deutschland,
  475. läuft Gefahr, zum
    Klassenclown zu werden.
  476. Ich möchte nicht, dass an der Stelle
  477. wir mehr Eingeständnisse machen,
    als notwendig sind. (Applaus)
  478. Und an der Stelle jetzt der letzte Appell:
  479. Wichtig ist, dass wir die Zeit …
    Im ersten Quartal soll dieses
  480. Datenschutzanpassungsumsetzungsgesetz
    verabschiedet werden,
  481. dass wir diese Zeit noch nutzen,
  482. in der Öffentlichkeit ein Bewusstsein
    dafür zu schaffen,
  483. dass es nicht okay ist,
    dass Deutschland
  484. durch die Hintertür Datenschutz
    wieder absenkt.
  485. Vielen Dank! (Applaus)
  486. Ja, vielen Dank auch von unserer Seite
    für diesen sehr erfrischenden Talk.
  487. Leider können wir aus Zeitgründen
    diesmal keine Fragen zulassen,
  488. weder aus dem Internet noch offline,
    weil wir sonst Gefahr laufen,
  489. den nächsten Talk später
    anfangen zu lassen.
  490. Okay.
  491. Von daher nochmal einen sehr, sehr
    herzlichen Applaus! (Applaus)