Öffentliche Daten nutzen,
private Daten schützen.
Das ist einer der Grundsätze
der Hacker-Ethik.
Leider, leider halten sich nicht
alle an die Hacker-Ethik,
beispielsweise Geheimdienste.
Die machen das eher andersrum.
Die machen das mit den, ähm, ja,
private Daten nützen,
und die öffentlichen Daten,
also in dem Fall
Daten über die Arbeit der Geheimdienste,
mit denen man sie vielleicht
kontrollieren könnte,
die werden sehr gut beschützt.
Der nächste Speaker
findet das überhaupt nicht richtig.
Er hat tatsächlich in den 42 Wochen
nach den Snowden-Enthüllungen
jede Woche vor dem Bundeskanzleramt
eine Wutrede gehalten.
Einen Applaus hierfür schon mal.
Ja, und was macht jemand beruflich,
der zehn Monate lang
jede Woche eine Wutrede
über Datenschutz hält?
Natürlich ist er
betrieblicher Datenschutzbeauftragter,
aber er ist auch Datenschutzaktivist
und kämpft mit seinem Kanal,
dem Rundfunk, auch gegen
die Depublizierungspflicht
von öffentlich-rechtlichen Anbietern
in den Mediatheken.
Auch hierfür einen Applaus.
Und eben dieser Lars Hohl,
oder wie wir im Club ihn besser kennen,
als der Pupe,
wird uns jetzt etwas erzählen
über die EU-Datenschutzgrundverordnung
– schreckliches, langes deutsches Wort,
ich denke, da gibt´s viel Spaß
in der englischen Übersetzung,
aber wir freuen uns darauf,
endlich zu erfahren,
was wir damit eigentlich anfangen können
und was das für uns verändert.
Einen Applaus!
Ja,
erstmal einen gesegneten guten Tag.
Schön, dass ihr alle
hierhin gekommen seid.
Das Spannende: Man sieht
– datenschutzbegeistert.
Datenschutz füllt ganze Hallen.
Datenschutz füllt Saal 1.
Als Fred Astaire des Datenschutzes
freue ich mich natürlich,
auf dieses breite Interesse zu stoßen.
Ich hab den Talk
über die EU-Datenschutzgrundverordnung
Rechte für Menschen
– Pflichten für Firmen
– Chancen für uns genannt.
Das ist natürlich ein bisschen pathetisch
(könnte auch Clickbait genannt werden),
aber da ist sehr viel Musik
in diesem Gesetz
– und wo, das werdet ihr gleich sehen.
Ganz zu Anfang ein kleines Who am I.
Und das Wichtige ist im Endeffekt:
Man sieht dort zweimal mich,
oder dreimal – oben im Netz,
einmal in der Echtwelt
mit Krawatte und Schlips,
das ist halt,
wenn ich beruflich unterwegs bin,
oder eben so, wie ihr mich eher kennt.
Warum sag ich das?
Weil, als erstes natürlich der Disclaimer:
Alles, was ich heute hier sage,
sage ich in Form als Datenschutzaktivist,
und ist nicht Aussage meines Arbeitgebers
oder irgendwelcher Kunden, die ich habe.
Ja, ich bin 43 Jahre, und im Endeffekt
ist für mich ganz wichtig,
dass alle, die ihr heute
hierhin gekommen seid,
dass alle die, die hier
zum Kongress gekommen sind,
auf zwei Ereignisse vielleicht
aus meinem Leben
oder der Prägung mal kurz hinzuweisen:
Das eine war die Hacking at Large.
Das war das Hacker-Camp
in 2001 in den Niederlanden.
Warum ist mir das wichtig?
Dort hatte ich das Glück,
diese gesamte Hacker-Ethik,
diese gesamte Masse an Menschen,
die gemeinsam daran arbeiten,
die Welt zu verändern und zu verbessern,
habe ich kennenlernen dürfen,
und ihr habt mich stetig begeistert,
weiter in den Tätigkeiten fähig zu sein.
Und als dann der 22C3 in Berlin war,
da war es wirklich, als würd
die Offenbarung über mich kommen.
Damals gab es zwei Vorträge,
und eigentlich die, die sind ein bisschen
auch die Grundlage zu dem,
was ich geworden bin und warum ich heute
hier an dieser Stelle stehe.
Das eine war ein Vortrag
über das damals noch neue
Informationsfreiheitsgesetz.
Und mir wurde einfach klar:
Es ist toll, es gibt dort draußen Rechte,
und diese Rechte können wir als Bürger,
wir als Menschen nutzen,
um, wie heißt es,
Transparenz einzufordern.
Und genau diese Transparenz
ist ein wichtiger Baustein im Datenschutz.
Und das zweite war damals die Rede
von Thomas Maus über die Gesundheitskarte.
Und im Endeffekt war dieses,
diese drei Stunden,
die er damals referiert hatte,
die Initialzündung zu sagen:
Es geht so nicht weiter.
Wir … Ich kann jetzt nicht einfach
nur Nerd sein und als IT arbeiten,
sondern ich möchte im Bereich
Datenschutz aktiv mitgestalten.
Und ihr alle, die ihr hier seid,
könnt auch aktiv Datenschutz mitgestalten.
Seid ihr in eurer Firma unterwegs
– dort könnt ihr Datenschutz einfordern,
dort könnt ihr auf Datenschutz hinweisen.
Das ist mir wichtig.
Und so beginne ich eigentlich
am Anfang schon mit dem Call to Action.
Datenschutz kommt
nicht von alleine zu euch.
Ihr müsst es selber
durch euer Handeln einfordern,
in eurem Umfeld oder in den Projekten,
wo jeder von euch irgendwo tätig ist.
Jeder muss wissen: Wer ist hier
für den Datenschutz verantwortlich
und ist das, was wir hier tun,
mit dem Gesetz compliant?
Punkt.
So bin ich als Datenschutzbeauftragter,
ich will nicht sagen geendet,
aber wichtig ist, die drei Punkte:
Ich mag Politik, ich mag Schach
und ich mag meine Mitmenschen.
Warum ist das wichtig?
Beim Datenschutz geht es um Menschen.
Also ihr braucht erstmal, wie heißt es,
dieses Verständnis von Menschen.
Datenschutz ist Politik,
und das, was ich hier mache,
ist ein wichtiger Schachzug:
Dass innerhalb von Deutschland,
innerhalb von der EU mehr Budgets
für Datenschutz freigegeben werden.
Ja.
Extrem Use all your Auskunftsrechte.
Fang ich am Anfang mal mit einem kurzen
Mein … nicht Meinungsbild
– mit ner Abfrage:
Wer von euch weiß,
was eine Datenschutzselbstauskunft ist?
Für den Stream: Ungefähr die Hälfte.
Wer von euch hat das Recht
auf Selbstauskunft
im Datenschutz auch schon genutzt?
Für den Stream: Ungefähr ein Drittel.
Will meinen:
Da ist sozusagen noch Potential,
dass wir die Rechte,
die wir haben, auch aktiv nutzen.
Ich möchte im Endeffekt,
wenn wir hier rausgehen,
dass ihr euch
der Betroffenenrechte bewusst seid
und diese aktiv nutzt,
und Punkt Zwei dieses Talks:
Ziel ist es – ich möchte,
dass draußen bewusst ist,
was die Sanktionsmöglichkeiten,
die Bußgelder sind,
welche festgelegt werden können,
wenn sich nicht
an Datenschutz gehalten wird,
gerade in Bezug auf die neue
EU-Datenschutzgrundverordnung.
Gehen wir jetzt in Medias Res.
Gehen wir jetzt
in die Datenschutzgrundverordnung.
Was bisher geschah:
Hier in Deutschland
haben wir den Rechtsrahmen
des Bundesdatenschutzgesetzes,
und zusätzlich dazu ist 1995
die Datenschutzrichtlinie
der EU erlassen worden.
Eine Richtlinie ist
nicht unmittelbar sofort wirksam,
sondern sie muss erst noch von Staaten
in nationales Recht gegossen werden.
Bei diesem In-Gesetz-Gießen
gibt es verschiedene Ausprägungen.
Die Konsequenz ist,
dass wir eigentlich
bei den 28 Mitgliedsstaaten in der EU
einen Flickenteppich
an Datenschutzgesetzgebung haben.
Und um diesen Flickenteppich zu kitten,
wurde 2012 das Ziel einer
Datenschutzreform auf EU-Ebene angestoßen,
und dazu wollte man das Stilmittel
einer Grundverordnung nehmen.
Grundverordnung ist deshalb eigentlich
ein sehr tolles Instrumentarium,
weil eine Grundverordnung sofort für alle
Staaten auf gleicher Weise gilt.
Als Frau Reding
auf dem Datenschutzkongress 2012
den Plan der Grundverordnung vorstellte,
war das Meinungsbild
unter den Konzerndatenschützern
in Deutschland eher durchwachsen,
weil wir wussten jetzt ja nicht …
Wir kommen alle hier von diesem hohen
deutschen Datenschutzniveau.
Was ist die Konsequenz
für das deutsche Datenschutzrecht?
Wie sehen wir das jetzt, ich sag mal,
aus dem nationalen Interesse heraus?
Müssen wir sehr viel davon abgeben?
Und viele hatten erst diese Befürchtung.
Für meinen Teil muss ich sagen:
Ich sehe eher das Glück dadrin,
weil altruistisch, wenn Gesamteuropa
das Niveau nach oben geht,
geht vielleicht Deutschland leicht runter,
aber das Gesamtniveau
vom Bruttoniveau steigt nach oben.
Und wichtig ist, dass das Ziel
dieser EU-Datenschutzgrundverordnung
ein freier Datenverkehr
innerhalb der EU ist,
mit fairer,
transparenter Datenverarbeitung.
Das war ein langer Kampf:
Darüber gibt es auch mehrere Vorträge
unter media.ccc.de von … innerhalb der EU,
wie das dazu gekommen ist.
Wichtig ist jetzt: Im Mai diesen Jahres
ist die EU-Datenschutzgrundverordnung
jetzt unterschrieben worden.
Und mit zwei Jahren Latenz
wird diese
ab dem 25.5.2018 in allen Ländern
für alle Firmen/Institutionen
bindend sein.
Und ein Punkt, der in dem Fall
eben auch ein ganz spannender ist,
gerade in dieser ganzen Cloud-Diskussion:
Es gilt das Marktortprinzip.
Was ist das Marktortprinzip?
Das heißt: Firmen,
die in Europa Datendienste anbieten,
für die gilt
die Datenschutzgrundverordnung,
auch wenn sie selber
keine Niederlassung in Europa haben.
Und das ist eine ganz spannende Sache,
wenn wir später zu den Bußgeldern kommen.
Ja.
Talk über Datenschutz:
Woran denken denn dann die meisten,
wenn wir über Datenschutz reden?
Traurig, aber wahr: Ich geh draußen
auf die Straße, frag nach Datenschutz
– zuerst denken die meisten eigentlich
eher an Datenschutzskandale.
Sei es Lidl, die Deutsche Bahn
oder die lustige Konfettikanone,
wo Krankenakten geschreddert
im Karneval verteilt werden
– so ist eigentlich
das Bild in der Öffentlichkeit.
Das heißt, bewusst wird
Menschen eher die Abwesenheit,
anstatt die Bedeutung von Datenschutz.
Also, kommen wir jetzt wirklich
zur echten Definition,
das, was es bedeutet,
Datenschutz umsetzen zu wollen.
Datenschutz schützt keine Daten.
Die wichtigste Datenschutzbeauftragte,
Prinzessin Leya:
Ich verteidige Menschen.
Datenschutz schützt Menschen
vor dem Umgang mit ihren Daten.
Privatsphäre ist ein Menschenrecht.
Das Recht
auf informationelle Selbstbestimmung sagt,
dass jeder Mensch entscheiden kann,
wem wann welche seiner
personenbezogenen Daten zugänglich sind.
Und ihr seht bei genau dieser Definition,
dass die Anforderung
aus der Datenschutzgrundverordnung
einer fairen
und transparenten Datenverarbeitung
essentielle Grundvoraussetzung ist,
um diese informationelle
elbstbestimmung sicherzustellen.
Warum machen Firmen das eigentlich?
Da kann man sagen:
Okay,der ersichtlichste Grund
ist irgendwie so ein juristischer,
weil es halt gesetzlich
vorgeschrieben ist.
Alle wollen datenschutz-compliant sein.
Aber die zwei anderen Gründe
sind eher ökonomischer Natur.
Sanktionierte Datenschutzverstöße
kosten Geld.
Im aktuellen Datenschutzgesetz
ist die maximale Penalty
für einen Datenschutzverstoß bei €300.000.
Das ist Geld, und Geld,
was man bezahlen muss,
ist erstmal aus
ökonomischer Sicht nicht gut.
Je nach Budget
kann das natürlich auch Portokasse sein.
Zusätzlich dazu kommt aber meist noch
ein gravierender zweiter Aspekt,
und zwar der Imageverlust.
Datenschutzskandale beschädigen die Marke,
beziehungsweise das Image,
und Marken- beziehungsweise Imageaufbau
kostet auch richtig Geld.
Darum mein Tipp
an alle Datenschutzbeauftragten:
Sprecht mit eurer
Unternehmenskommunikationsabteilung
und lasst euch das einfach mal ausrechnen.
So in der Relation:
Wieviel Millionen geben wir im Jahr aus
für Marketingaktivitäten,
und was glaubt ihr, wie teuer es wäre,
wenn wir so einen richtig schönen
Datenschutzskandal in der Presse hätten,
um das angekratzte Image wieder zu fixen.
Ich habe dazu einige Thesen:
Was Datenschutz anbetrifft,
bin ich der festen Überzeugung,
dass wir Law and Order
nicht primär für Menschen,
sondern für Firmen
im Bereich Datenschutz benötigen.
Warum?
Datenschutz ist in der Regel
kein Primärziel von Firmen.
Diese agieren
mit Gewinnerzielungsabsichten.
Datenschutz ist, wie alles andere auch,
nur eine Kostenstelle.
Das finanzielle Risiko,
nicht datenschutzkonform zu handeln,
muss visibel sein, sodass mein Tipp
als Datenschutzbeauftragter ist:
Bringt die finanziellen Risiken
ein ins Risikomanagement eurer Firmen.
In Geld quantifizierbare Risiken
schaffen Managementawareness.
Und die hilft uns bei der Umsetzung
der Anforderungen,
welche wir aus dem Gesetz haben.
Wie machen wir das?
In der Informationssicherheit
gibt es folgende Formel:
Risiko ist Schadenspotential
mal Eintrittswahrscheinlichkeit.
Was bedeutet diese Formel
in Bezug auf Datenschutzbußgelder?
Das maximale Datenschutzbußgeld
mal der Wahrscheinlichkeit,
dass von einer Aufsichtsbehörde bei einem
Sachverhalt ein Bußgeld verhängt wird,
ergibt das betriebswirtschaftliche
Gesamtrisiko.
Ja, und da ist ja jetzt
mal die spannende Frage:
Was ändert sich jetzt
bei der EU-Datenschutzgrundverordnung
in Bezug auf Bußgelder?
Ich hatte vorhin gesagt, diese 300.000
ist zu jetzt der aktuelle Höchstbetrag.
Und genau hier ist richtig Musik in der
aktuellen EU-Datenschutzgrundverordnung.
Jeder einzelne Verstoß kann
ein Bußgeld auslösen.
Und die Maximalstrafen sind
dabei entweder 20.000 €
oder 4 Prozent des weltweiten
Konzernumsatzes.
Dabei gilt der jeweils höhere Betrag.
Ja, schluck!
Ihr könnt euch vorstellen, (Applaus)
da kann Law and Order richtig Spaß machen,
da kann Law and Order richtig kosten.
Ob jetzt Firmen
dafür Rücklagen bilden werden
oder ob sie entsprechende
Versicherungen abschließen,
das ist sozusagen noch offen,
das wird die Zukunft zeigen,
aber wichtig ist, ich kann euch sagen,
upps, das, wie heißt es:
4 Prozent merkt man sich.
Nehmen wir doch mal einfach die Beispiele,
die ihr alle noch
von der letzten Folie kennt,
welche auch
in unserem Bewusstsein so sind:
Bei der Bahn waren es im Endeffekt …
Ich glaube, die haben 1,1 Millionen
damals Strafzahlungen
für alle akkumulierten Fälle
zusammen bezahlt.
Nimmt man einfach mal
den aktuellen Umsatz,
den sie haben laut Wikipedia,
39,2 Milliarden,
nimmt das mal 4 Prozent:
Zenga! 1,568 Milliarden.
Und ihr könnt euch vorstellen,
das sind Zahlen, die werden verstanden.
Das sind Zahlen oder Muster,
die man die sozusagen
von Entscheidern in Firmen
haben wir vielleicht Handlungsbedarf?“
Ich habe gesehen, auf zehn Minuten,
auf den zweiten Fall gehe
ich dann so direkt nicht ein.
Aber hier seht ihr jetzt einfach mal
die Liste der dreißig DAX-Konzerne,
dahinter den Jahresumsatz und daraus
berechnet das maximale Datenschutzbußgeld,
welches zu bezahlen ist.
Und man sieht einfach: Also, die Anzahl
der Ziffern ist beachtlich.
Ich hab einfach mal so als prominentes
Beispiel unseren Klassenprimus,
die Deutsche Volkswagen AG.
Bezüglich Treue und Verbraucherschutz
und Verbraucheraussagen
kann man da ja zur Zeit sehen,
dass dort noch manchmal ein bisschen
Optimierungsbedarf ist.
Was würde es für die Volkswagen
AG denn bedeuten,
wenn sie sich jetzt, vielleicht
im Bereich Selbstfahrende Autos,
vorschnell mit irgendwelchen
neuen Sachen hinreißen lässt?
Bei 213 Milliarden Konzernumsatz
könnten dort einfach 3,58 Milliarden
Strafzahlung fällig sein.
Das ist immer noch weniger,
als VW zur Zeit in den USA bezahlen muss,
aber ihr seht ja, in
Deutschland und in Europa
ist der Konsument nicht
so gut geschützt.
Im Bereich Datenschutz
wird sich das ändern.
Das heißt, dort werden
Bußgelder sein,
und die werden auch entsprechend
benutzt werden.
Aber jetzt nochmal:
Law and Order, Bu0geld – Pupe,
was willst du hier von uns, ist die Frage,
Und wo kommen jetzt hier die Hacksoren
oder eben die Datenschutzaktivisten
oder
die Betroffenen ins Spiel?
Kommen wir nochmal
zurück zur Risikoformel.
Was ich euch gezeigt habe, ist,
dass durch die EU-Datenschutzgrund-
verordnung das Schadenspotential
sich signifikant erhöht hat.
Parameter 1 ist somit gestiegen.
Jetzt ist ja die Frage:
Wird Parameter 2,
die Eintrittswahrscheinlichkeit,
zurückgehen?
Und das Schöne ist, da kann
ich vorab schon mal sagen: Nein.
Wir können an der Stelle nämlich
tollerweise aktiv mitgestalten.
Jeder. (Applaus)
Und das Wichtige an der Stelle, oder, sage
ich mal, das Schwert, was wir da haben,
sind Betroffenenrechte.
Die können wir nutzen.
Denn das Tolle ist:
Rechte, die wir als Betroffene haben,
daraus ergeben sich immer Pflichten
für verantwortliche Stellen,
oder eben für Firmen, für Leute,
die mit euren Daten umgehen.
Und diese Pflichten, die die haben,
können wir einfordern.
Und die Auskunftsrechte
und Informationsrechte
in der EU-Datenschutzgrundverordnung
haben sich wirklich verbessert.
Dort sind Anforderungen gestellt worden,
welche ich als Nerd sagen muss:
Super.
Klare Vorgaben, viele Auskunftsrechte.
Bei der diesjährigen
Datenschutzkonferenz war es so,
dass das sogar ein Thema war, dass dort,
wie heißt es, Konzerndatenschützer sagten:
Was machen wir denn,
wenn jetzt alle Betroffenen,
wenn alle Datensubjekte jetzt
ihre Auskunftsrechte auch nutzen?
Und gerade diese Fragestellung
hat mich damals bewogen zu sagen:
Oh, ist ja ein extrem spannendes Thema,
lass mal einen Vortrag darüber machen.
Vielleicht gibt es ja
sowas wie „Frag den Staat“,
irgendwie
mit Auskunftsersuchen bei Firmen.
Was gibt es denn für Betroffenenrechte?
Im Endeffekt kann man Betroffenenrechte
in fünf Kategorien unterteilen.
Und Chancen. Man kann an der Stelle
sagen, es gibt Permissionsrechte.
Permissionsrechte sind Rechte,
wo wir einwilligen,
dass Datenverarbeitung
mit unseren Informationen geschieht,
zum Beispiel, die Einwilligungserklärung,
welche freiwillig ist.
Spannend in der EU-
Datenschutzgrundverordnung ist,
dass diese Vorgaben im Bereich
der Transparenz nochmal erhöht wurden
und dass wir an der
Stelle noch mehr
Informationen von den
Firmen bekommen können.
Ich sehe gerade,
die Zeit läuft ein bisschen ab.
Wichtig ist dann,
wir haben Interventionsrechte.
Das heißt, jeder, der schon mal
irgendwo eingewilligt hat,
irgendwo, dass Daten
genutzt werden können,
kann eine Einwilligungserklärung
auch widerrufen.
Wir hatten vorhin hier
den Talk über die Gen-Bude,
welche, wie heißt es,
die ja wo ihr einwilligt,
dass sie eure Genom-Sachen benutzt
oder gegebenenfalls weiterverarbeitet.
Solche Einwilligungen können
auch entzogen werden.
Und es gibt eben Petitionsrechte.
Das ist da, wo jetzt Beschwerderechte.
Und das heißt, ihr könnt euch bei
Datenschutzbeauftragten direkt beschweren.
Und das Tolle an
der EU-Datenschutzgrundverordnung ist,
es ist verpflichtend, dass zukünftig bei
jeder Datenverarbeitung mit angegeben ist:
Wer ist der Datenverarbeiter?
Welche Firmen nutzen
diese Daten auch noch alle?
An welche Daten
werden diese weitergegeben?
Wer sind
die Datenschutzbeauftragten in den Firmen?
Und an der Stelle ist es so,
dass auch die Kontaktinformationen
von den Datenschutzbeauftragten
euch zur Verfügung gestellt werden müssen.
Das heißt, es wird sehr
einfach möglich sein,
elektronische Anfragen
an Firmen zu stellen,
und Firmen sind verpflichtet,
diese euch dann auch angemessen
elektronisch wieder bereitzustellen.
Das heißt, eine sehr schöne Spielwiese,
viele Informationen abzugreifen.
Ich komme gleich dazu, wo wir dann
dort ein bisschen
Interdependenz-Checks machen können.
Es gibt noch Kompensationsrechte
für Schadensersatz und Entschädigung
und Informationsrechte
bin ich schon drauf eingegangen.
Überblick: Zum Nachgucken
habe ich gleich noch eine Folie.
Ich springe mal kurz,
weil die Zeit schon wenig wird.
An welchen Stellen kann man
jetzt richtig pieksen, ja?
Weil, ich frag mich ja immer:
Jetzt haben wir hier so ein tolles Gesetz,
wo viele Rechte drin sind,
Sachen, die wir erfragen können.
Und im Endeffekt ist es so:
Erstmal, Datenschutzbeauftragte
sind in der Regel eure Freunde,
genauso wie die Aufsichtsbehörden.
Und spannend
an der EU-Datenschutzgrundverordnung ist:
Ihr müsst euch nicht mehr
bei der Aufsichtsbehörde einer Firma,
wo die ihren Sitz hat, beschweren.
Ihr könnt zu eurer Datenschutzbehörde
vor Ort gehen,
oder aber auch zu jeder anderen.
Und die Datenschutzbehörden von euch
und die Datenschutzbehörden
der Firmen müssen sich dann abstimmen,
wie sie mit dem Fall, mit der Anfrage,
mit der Beschwerde umgehen.
Das ist deshalb ganz spannend,
weil natürlich dann dort,
wo vielleicht Firmen schon
ein ganz gutes Verhältnis
zu ihrer Aufsichtsbehörde haben,
da nochmal ein Crosscheck mit reinkommt,
ob das gleichzeitig auch die Sichtweise
der anderen Aufsichtsbehörde ist.
Gerade an dem Punkt sehe ich
noch spannende Diskussionen,
weil ja die Frage immer sein wird:
An wen gehen die Bußgelder?
Zum Beispiel ist es so, dass in Spanien
eine sehr mächtige
Datenschutzaufsichtsbehörde ist,
weil diese aktiv alle
Einnahmen aus Bußgeldern
selber in ihre Taschen
bekommt. (Applaus) Und …
ja, und das ist ganz spannend,
wenn der europäische Datenschutzkongress
jedes Jahr hier stattfindet,
und dann kommen
die von den Aufsichtsbehörden,
und dann sagt sozusagen da der spanische:
Das hab ich dieses Jahr unternommen,
das hab ich eingenommen.
Und ich seh da vielleicht sogar
ein Geschäftsmodell für Staaten
bei den Summen,
aber das ist ein anderes Thema.
Darum aber prinzipiell:
Nutzt eure Aufsichtsbehörden!
Ich hoffe, dass
mit den zunehmenden Aufgaben,
die diese jetzt durch die
EU-Datenschutzgrundverordnung bekommen,
sie auch die dafür benötigten
Mittel zugesetzt bekommen,
weil, traurig aber wahr,
meine Wahrnehmung ist,
dass in allen … sowohl in der
Bundesdatenschutzbehörde
als auch in den
einzelnen Ländern,
noch wirklich Potential nach oben ist.
Und das meinte ich
vorhin mit Law and Order.
Wenn, wie heißt es, wir wollen,
dass wir Rechte haben,
dann sollten auch die Behörden,
welche für die Durchsetzung
dieser Gesetze zuständig sind,
über die entsprechenden Mittel verfügen,
damit, wie heißt es, auch
diese Schadenseintrittswahrscheinlichkeit
auch entsprechend hoch ist.
Spannend ist im Endeffekt noch:
Wir haben jetzt Rechte über
die es jetzt auch gibt, über:
Was ist der Verwendungszweck
von Datenverarbeitung?
Aus dem Verwendungszweck ergibt sich ja
häufig auch der Erlaubnistatbestand:
Warum dürfen Firmen etwas verarbeiten?
Und daraus ergeben
sich häufig dann auch
Löschfristen, beziehungsweise
Speicherdauern.
Und wenn wir solche Sachen
bei Firmen abfragen können,
können wir an der Stelle
auch noch gucken:
Was ist sozusagen an der Stelle
Ich war gerade von der Null irritiert,
lasst ihr euch davon nicht irritieren.
Wie können wir das jetzt nutzen,
um, wie heißt es,
dort abzufragen und auf, vielleicht,
Missstände hinzuweisen?
Weil, wenn es transparent ist, können wir
bei Datenschutzbeauf behörden nachfragen:
„Ist denn das, was Firma XY hier sagt,
mit dem Datenschutzrecht konform?“
Auf die anderen Sachen gehe
ich jetzt nicht ein, weil:
Ich muss schnell zum Ende kommen.
Wichtig am Ende nochmal: Motivation.
Mir ist wichtig, dass
wir hier alle rausgehen,
dass und motiviert sind,
unsere Rechte aktiv zu nutzen.
Ich möchte, dass
Datenschutzbeauftragte motiviert sind,
in ihren Firmen die Awareness
für das Thema entsprechend zu platzieren,
um mit entsprechenden
Budgetmitteln versorgt zu werden,
um Datenschutzniveau in den Firmen
bis zum Beginn 05/2018 auch
entsprechend der Richtlinie umzusetzen.
Ich möchte, dass ihr
alle jetzt schon
Paragraph-34-Auskunftsersuche
bei Firmen stellt,
damit ihr mal ein Bauchgefühl bekommt,
wie spannend es ist,
was ihr an Informationen
bei anderen Firmen habt,
dass ihr eine Information bekommt,
wohin die Reise dort geht.
Aber ich muss leider am Ende
noch ein kurzes Wort sagen zu unserem
Innenminister, beziehungsweise, nein,
ich würde niemals was
über den Innenminister sagen,
sondern über
das Innenministerium,
weil, das was ich gerade
dargestellt habe,
dass die Datenschutzgrundverordnung
jetzt unterzeichnet ist
und damit wäre alles klar
und tutti, stimmt nicht ganz.
In der Datenschutzgrundverordnung sind
sogenannte Öffnungsklauseln enthalten.
Öffnungsklauseln sind
Passagen,
wo man sich auf europäischer Ebene
nicht einigen konnte,
wie man sie jetzt genau verbindlich
für alle machen sollte.
Und man erkennt daran,
dass jetzt an Öffnungsklauseln
auf nationaler Ebene wieder
Ausgestaltung möglich ist.
Das heißt, im Endeffekt wird
die Datenschutzgrundverordnung
eigentlich so ein Hybrid aus einer
Verordnung und einer Richtlinie,
weil jetzt auf nationaler Ebene
wieder das Feilschen anfängt,
wo wir Datenschutzgesetze
nochmal ein bisschen nach links schieben,
nochmal ein
bisschen nach rechts biegen,
überall dort, wo Öffnungsklauseln
uns Handlungsspielraum geben.
Im Endeffekt ist es so,
dass wir einen Entwurf gerade
gelegt haben über netzpolitik.org,
wo man schon mal reingucken
kann, und ich muss
an der Stelle einfach mit
Erschrecken feststellen,
dass das, was dort geht, weit
über die … für die Öffnungsklauseln
Zulässiges hinausgeht.
Und ich habe die
Befürchtung, dass, wenn
Deutschland mit schlechtem
Beispiel vorangeht
und wir jetzt anfangen,
nachträglich aus vermeintlichem
Wettbewerbsvorteilen
Datenschutzniveau abzusenken,
dass das leider ein Vorbild sein
wird für andere Länder in der EU,
die dem nicht hinterherstehen wollen,
was die Konsequenz hat,
dass plötzlich alle Länder diese
Öffnungsklauseln maximal ausdehnen werden
und das eigentliche Ziel
der Grundverordnung ,
dass sich das Datenschutzniveau
gesamteuropäisch nach oben versetzt,
ad absurdum geführt wird.
Mein Fazit ist, oder meine Befürchtung:
Der Klassenprimus im Bereich
Datenschutz, Deutschland,
läuft Gefahr, zum
Klassenclown zu werden.
Ich möchte nicht, dass an der Stelle
wir mehr Eingeständnisse machen,
als notwendig sind. (Applaus)
Und an der Stelle jetzt der letzte Appell:
Wichtig ist, dass wir die Zeit …
Im ersten Quartal soll dieses
Datenschutzanpassungsumsetzungsgesetz
verabschiedet werden,
dass wir diese Zeit noch nutzen,
in der Öffentlichkeit ein Bewusstsein
dafür zu schaffen,
dass es nicht okay ist,
dass Deutschland
durch die Hintertür Datenschutz
wieder absenkt.
Vielen Dank! (Applaus)
Ja, vielen Dank auch von unserer Seite
für diesen sehr erfrischenden Talk.
Leider können wir aus Zeitgründen
diesmal keine Fragen zulassen,
weder aus dem Internet noch offline,
weil wir sonst Gefahr laufen,
den nächsten Talk später
anfangen zu lassen.
Okay.
Von daher nochmal einen sehr, sehr
herzlichen Applaus! (Applaus)