35C3 Vorspannmusik
Herald Engel: So und jetzt sagen wir
Hallo zu unserem nächsten Talk mit dem
Titel Datenschutz für Neuländer. Unsere
Referentin ist Beata, die seit 2009
Datenschutzbeauftragte ist, sogar selbst
auch Datenschützer ausbildet und auch
Anwältin in dem Bereich ist. Bitte sagt
ihr Hallo.
Applaus
Beata Hubrig: Hallo. Danke schön. Hallo.
Ich freue mich sehr hier sein zu können
und über einer meiner Lieblingsthemen zu
sprechen. Das ist der Datenschutz. Ich
beschäftige mich schon etwas länger mit
diesem Bereich und bin hier um euch die
Basics mitzuteilen. Also was ist
eigentlich Datenschutz und was ist
Datenschutz nicht. Der Datenschutz ist ein
sehr junges Rechtsgebiet. Würde fast sagen
mir fällt gerade spontan kein jüngeres
Rechtsgebiet ein. Da wird natürlich noch
sehr viel gebastelt und einer der
Ergebnisse hatten wir dieses Jahr. Im Mai
hatte dann die Datenschutz-Grundverordnung
ihre Wirkung entfalten. Ich bin mir ganz
sicher, dass jeder von euch davon erfahren
hat. Datenschutz ist aber kein leichtes
Rechtsgebiet. Deshalb finde ich das so
wichtig und bin ich sehr froh, dass ich
hier darüber reden kann, was so die
Grundlagen sind. Mein Wunsch ist und ich
werde mir alle Mühe geben, dass wenn ihr
den Raum, also wenn der Vortrag vorbei
ist und ihr den Raum verlasst oder ihr den
später angesehen habt, dass hier ein
bisschen sicherer seid in diesem Bereich.
Datenschutz ist auch deshalb so
kompliziert, weil die Anfänge nicht so
ganz glatt waren. Der Gesetzgeber hat sich
nicht gleich hingesetzt und gesagt: "Oh
ich sehe hier Regelungsbedarf und höre die
einzelnen Meinungen an", hab Gesetzgeber,
die spezialisiert darauf sind, sich den
Bereich umfänglich anzusehen und regelt
dann diesen Bereich. Das hat er nicht
gemacht, sondern auf Landesebene ist es in
Deutschland schon passiert - in Hessen als
erstes, aber das ist mehr im
Verwaltungsbereich gewesen - und 1983 hat
das Bundesverfassungsgericht gesagt: "Es
gibt ein Grundrecht auf Datenschutz", also
ein Recht auf informationelle
Selbstbestimmung. Das bedeutet, ich habe
ein Recht darauf selber darüber zu
bestimmen, zu entscheiden, wer meine
personenbezogenen Daten hat, was er damit
macht und mich auch dagegen zu wehren, das
zu kontrollieren, das zu verbessern, nicht
einfach Objekt zu sein, sondern Subjekt.
Ich kann damit rein gehen in das
Verfahren. Dahin komme ich nochmal.
25 Jahre später hat das
Bundesverfassungsgericht noch
einmal gesagt, dass wir ein zweites
Grundrecht haben im Datenschutz und zwar
das Recht auf "Vertraulichkeit und
Integrität von kommunikationstechnischen
System". Also ich nehme mal an hier sind
über 2000 kommunikationstechnische Systeme
drinnen in diesem Raum, wahrscheinlich
noch viel mehr, und die sind alle
geschützt und zwar grundrechtlich
geschützt, also über unsere Verfassung,
weil das Bundesverfassungsgericht das
gesagt hat. Das einzige Gericht, das etwas
sagen kann, was dann Gesetzeskraft hat.
Also Datenschutz besitzt das Fundament
von zwei Grundrechten. Jetzt gehen
wir mal in die Praxis rein.
Ich nehme meinen Schlüssel, meine
Handtasche, meine Jacke und gehe raus
und will mich mit Freunden treffen heute
Abend Party und vohrer noch ein paar
Besorgungen machen. Und bin privat,
gehe auf die Straße und das Nachbarhaus
hat Videoüberwachung.
Datenschutzproblem und zwar einfach
schon mal deshalb, weil ich muss an diesem
Bürgersteig muss ich langlaufen können
ohne überwacht zu werden, weil ich habe ja
ein Grundrecht. Und da hat das Amtsgericht
Berlin-Mitte gesagt: "Ja das stimmt, aber
der Eigentümer hat auch das Grundrecht auf
Eigentum, sein Eigentum zu schützen."
Technische Überwachung ist eine Maßnahme
um Eigentum zu schützen. Kompromiss ein
Drittel des Gehweg darf überwacht werden,
zwei Drittel nicht, sa müssen die Leute
vorbeikommen können ohne überwacht werden.
Das heißt an den Kameras sind
die Kameras "so" eingestellt.
Ich bin die Häuserwand.
Und dann geht es, aber weiter
dann hole ich mir Geld: wird aufgezeichnet,
technisch aufgezeichnet. Dann hole ich
mir ein Ticket, dann springe ich in die S-Bahn
rein, dann werde ich da überwacht, geh raus
werde wieder überwacht. Also wo ich
einsteige, wie ich da sitze, was ich lese, wo
ich wieder aussteige. Dann gehe ich in ein
Café, treffe mich mit jemanden. Leider hat
sich das so entwickelt, dass sogar Cafés
überwacht werden. Vor 50 Jahren war das
noch anders, da konnte man dann ruhig
sitzen. Was ich damit sagen will, im
öffentlichen Raum ist die technische
Überwachung sehr weitläufig und ich muss
mich damit auseinandersetzen. Die erste
Auseinandersetzung ist natürlich, dass ich
mir klar mache, dass es so ist. Und dann
gehe ich abends auf eine Party. Ich bin
immer noch bei dem Thema "Was ist Datenschutz
und was ist Datenschutz eben nicht" und lerne
Leute kennen und treffe Leute wieder.
Datenschutz ist nicht, dass ich ihnen nicht
meine E-Mail-Adresse gebe oder meine
Telefonnummer, sondern Datenschutz ist,
dass ich nicht zur Belustigung von anderen
Geschichten von meiner Arbeit erzähle, zum
Beispiel. Da fängt der Datenschutz an. Vor
allem wenn ich im sozialen Bereich tätig
bin oder wenn ich in der Personalabteilung
arbeite. Wir Menschen lieben es uns
Geschichten zu erzählen und wir sollen
doch nicht davon aufhören uns Geschichten
zu erzählen. Das machen wir ständig. Aber
wir müssen es anonymisiert machen. Ich darf
die verrücktesten Sachen erzählen, die mir
in meinem Leben passieren. Die meisten
Sachen passieren halt auf Arbeit, jeweils da wo
ich mit anderen Menschen zu tun haben. Das
kann ich alles machen. Aber ich darf
diejenigen nicht nennen, um die es geht.
Also ich muss das anonymisieren.
Okay. Viele denken sich sicher, dass der
Datenschutz älter ist als diese paar
Jahrzehnte, weil es ja schon immer Bereiche
gab, wo Vertraulichkeit wichtig war. Zum
Beispiel, wenn ich zum Arzt gehe. Wum Arzt
sind die Menschen schon immer gegangen.
Und da ist ein Bereich zwischen Arzt und
Patient, der geschützt ist und zwar über
die Berufsregeln, über das Berufsrecht.
Genauso auch zwischen Anwalt und Mandant
oder auch im Geldleihsysteme. Das ist
nicht Datenschutz, sondern das ist
notwendig, damit man überhaupt seinen Beruf
ausüben kann. Als Arzt muss ich meinen
Patienten garantieren, dass ich nicht
anderen Leuten weiter erzähle, was bei mir
in der Praxis passiert. Genauso auch der
Anwalt kann nicht arbeiten, wenn sein
Mandant nicht vertrauensvoll mit ihm reden
kann. Datenschutz ist das, wenn dann eine
dritte Person personenbezogene Daten hat,
dass sie nicht damit wirtschaften darf
oder nach eigenem Interesse diese Daten
verarbeiten darf. Da fängt dann der
Datenschutz an. Also auch beim Priester,
zum Beispiel, gibt es auch ein
Vertrauensverhältnis, aber dann, wenn
er irgendwie technische Geräte benutzt und
Daten speichert, zum Beispiel, die Mitglieder,
wer, wann geboren ist, gestorben ist,
ausgetreten ist, Heirat et cetera. Das sind
geschützte Daten. Weil es so wichtig ist,
dass man sich einigt, worüber man redet gibt es
Begriffe, die erklärt werden, die auch vom
Gesetzgeber erklärt werden. Das nennt man
Legaldefinition. Ich hab mir hier vier
wichtige Begriffe herausgesucht. Wenn man
versteht was das ist, dann hat man schon
die halbe Miete im Datenschutz. Das sind
einmal die berühmten personenbezogenen
Daten, dann der Betroffene, der
Verantwortliche und die Verarbeitung. Wir
fangen mit den personenbezogenen Daten an
der Datenschutz hat so eine - wie so Beamte,
Behörden et cetera - so eine ganz klare
Zuständigkeit. Es geht nur um
personenbezogene Daten. Es gibt ja viele
Daten die sie nicht personenbezogen. So
eine Static von einem Haus ist nicht
personenbezogen. Nur wenn es darum geht,
wer wohnt in dem Haus oder wem gehört das
Haus oder wer zahlt das Haus ab oder wer
ist der Gläubiger von einem Kredit von
dem Haus, das sind personenbezogene
Daten. Der Gesetzgeber sagt, dass
personenbezogene Daten, welche sind die
Auskunft über sachliche oder persönliche
Verhältnisse von natürlichen Personen
geben und zwar identifizierte und
identifizierbare natürliche Personen - nicht
von juristischen Personen. Nur dann wieder
von juristischen Personen, wenn es um die
handelnden Organe geht. Wenn ich's mit dem
Geschäftsführer zu tun habe, wenn ich es
mit dem Leiter von HR zu tun habe, wenn ich
mit dem Vertriebler zu tun habe, et cetera,
dann habe ich, wenn er mir seiner Karte
gibt oder wenn er mir auch noch so Sachen
von sich erzählt, dann habe ich wieder
personenbezogene Daten, aber dann von den
Organen von der juristischen Person nicht
von der juristischen Person als solche. Die
ist durch den Datenschutz nicht geschützt.
Jetzt komme ich mal zu den Beispielen.
Ist ein bisschen nerdig, aber ich möchte,
dass ihr ein Gefühl dafür habt, was alles
personenbezogene Daten sind und warum sich
so gut wie jeder mit personenbezogenen
Daten beschäftigen sollte. Wir erinnern
uns, geschützt und persönliche Verhältnisse
und sachliche Verhältnisse. Da nenne ich
ein paar Beispiele. Nummer eins: Name,
Geburtsdatum und Alter und Anschrift,
E-Mail Adresse, Telefonnummer, Foto, die
Ausbildung, Beruf, Familienstand,
Staatsangehörigkeit, religiöse oder
politische Überzeugungen, Vorlieben (im
Flugzeug z.B. oder ein Hotel, da gibt's immer
Vorlieben von Leuten), die Sexualität,
Gesundheitsdaten, Urlaubsplanung, Vorstrafen
sind Beispiele von Personen bezogenen Daten.
Dann sachliche Verhältnisse sind so was wie
Einkommen, Kapitalvermögen, Schulden,
Eigentum von Haus, von Wohnung, Fahrrad,
Schmuck et cetera. Das sind die sachlichen
Verhältnisse. Durch die Datenschutz-
Grundverordnung hat sich das nochmal
erweitert. Ist ein bisschen spezifischer
geworden. Es gibt unter den
Datenschutzfragen auch die ganzen
Kennnummer, die wir haben, also
Sozialversicherungskennnummer,
Steueridentifikationsnummer,
Krankenversicherungsnummer,
Personalausweisnummer, Matrikelnummer,
und die ganzen Datensätze, die sich dahinter
verbergen. Dann weiter: die Onlinedaten, die
IP-Adressen - da haben wir lange gestritten,
ob dynamische IP-Adressen tatsächlich
personenbezogen sind. Hat der Europäische
Gerichtshof gesagt: "Ja der Streit ist
beendet." Und dann die Geodaten. Auch ganz
wichtig, die wir natürlich immer wieder
jeden Tag erzeugen. Dann Besitzmerkmale:
Besitzt ist die tatsächliche Sachherrschaft,
das heißt bin ich Mieter besitze ich halt
die Wohnung also die Besitzmerkmale sind
personenbezogene Daten Werturteile auch
ganz wichtig so wie Bewertungen halt
Zeugnisse. Profiling fällt auch darunter,
dann Kundendaten, Personaldaten,
Gesundheitsdaten und am Ende schreibt
sogar der europäische Gesetzgeber vor dass
auch physische Merkmale personenbezogen
sind. Er nennt sie nochmal wie Geschlecht
Statur. Kleidergröße, Augenfarbe,
Haarfarbe, Haarlänge, Hautfarbe. Das sind
alles personenbezogene Daten, Beispiele für
personenbezogene Daten. Dann werden
diejenigen von denen diese personen-
bezogenen Daten vorgehalten werden,
verarbeitet werden, Betroffene genannt.
Die betroffene Person.
Als nächstes ist dann die Frage, was fällt
alles unter die Datenverarbeitung?
Datenverarbeitung ist zum Beispiel:
Erheben, erfassen, speichern, anpassen
oder verändern, auslesen, abfragen,
organisieren und ordnen.
Da ist ja dieser Witz von den Anwälten,
der in den Social Medien rumgelaufen ist,
der passt genau dahin.
Sie haben halt gesagt, sie haben
lauter Visitenkarten und schmeißen
die dann bei sich in die Schublade und
ordnen das gar nicht. Und dann fällt keine
Verarbeitung und dann fällt es nicht unter
die Regelung der Datenschutz-
Grundverordnung. Kann man gerne so machen
dann kann man aber natürlich auch gleich
wegschmeißen. Kann man nicht mehr
gebrauchen. Also wenn ich irgendwas suche
dann nehme ich mir die wieder und ordne
die, also verarbeite ich die halt wieder.
Weiter sagt der Gesetzgeber:
auslesen, abfragen, verwenden,
Offenlegung durch Übermittlung,
Verbreitung oder eine andere
Form der Bereitstellung
abgleichen, verknüpfen, einschränken,
löschen und vernichten. Ich habe jetzt den
Gesetzestext wiederholt. Das Ergebnis ist
egal was ich mit personenbezogenen Daten
mache, ich verarbeite sie. Ich komme da
nicht raus mit:
"Na ja ich habe es irgendwie so
ein bisschen gemacht."
Selbst wenn ich sie ordne
komme ich in die Regelung rein
und verantwortlich ist derjenige für die
Datenverarbeitung der über Zweck und
Mittel der Verarbeitung selber
entscheidet. Ein Beispiel dafür:
Ein Mitarbeiter ist weisungsgebunden,
kriegt von seinem Arbeitgeber gesagt,
was er mit personenbezogenen Daten
zu machen hat. Dann ist der Arbeitgeber der
Verantwortliche.
Zieht aber der Mitarbeiter
personenbezogenen Daten von den Kunden
oder Personaldaten von seinen Mitarbeitern
ab und wirtschaftet mit ihnen oder
belustigt eine Party,
dann ist er selber verantwortlich dafür.
In dem Moment wird
er Verantwortlicher im Sinne der
Datenschutz-Grundverordnung weil er
außerhalb der Weisungen von seinem
Arbeitgeber handelt und ihn treffen
natürlich auch die
dazugehörenden Sanktionen.
So jetzt hab ich euch den
Sachverhalt dargelegt also
darum geht es inhaltlich um Datenschutz
und der Gesetzgeber hat auf diese Art und
Weise reagiert, Er hat eine sehr strenge
Struktur geschaffen. Die nennt sich
präventives Verbot mit Erlaubnisvorbehalt.
Das bedeutet es ist
präventiv im Vorfeld
nicht repressiv, nicht wenn ein
Schaden entstanden ist wird der
Gesetzgeber tätig, sondern vorher,
es ist noch gar nichts passiert.
Präventiv sagt der:
Ich verbiete es,
personenbezogene Daten
zu verarbeiten.
Es sei denn, es gibt eine
Erlaubnis, eine kodifizierte Erlaubnis
auf die sich jemand
berufen kann. Das ist
etwas was in unserem Rechtssystem
etwas aus der Reihe schert.
Normalerweise haben
wir Blacklists
- das heißt wir haben
ganz klare Verbote -
und wenn das was ich machen
will nicht festgeschrieben ist,
dass ich das nicht darf,
dann darf ich es machen.
Im Datenschutz ist es anders.
Übrigens genauso im Baurecht.
Es liegt daran, dass die
Gefahren die mit dem Datenschutz
verbunden sind,
so groß sind und der
Gesetzgeber das eindämmen
möchte, der europäische Gesetzgeber.
Genauso wie der
Bundesgesetzgeber davor.
Für uns in Deutschland hat sich das
nicht geändert.
Also brauche ich, wenn ich
diese ganzen personenbezogenen Daten
die ich vorgelesen und erzählt habe,
verarbeiten möchte,
dann brauche ich eine Erlaubnis. Für die
private Wirtschaft gibt es, so im Großen
und Ganzen - Es gibt immer Ausnahmen.
Jura ist kompliziert.
Aber von der Basic gibt es
vier Erlaubnistatbestände.
Größter Erlaubnistatbestand ist der Vertrag.
Innerhalb von einem Vertragsverhältnis
kann ich genau die Daten erheben, also die
Daten verarbeiten, die ich tatsächlich
auch benötige, die erforderlich sind für
das Vertragsverhältnis. Dazu gehört die
Anbahnung das Vertragsverhältnises, die
Abwicklung und natürlich auch die
Archivierung zu buchhalterischen Zwecken.
Das ist der allergrößte
Erlaubnisstatbestand den wir haben. Man
sollte immer, wenn man personenbezogene
Daten verarbeiten möchte gucken, ob wir
das über die Vertragsbeziehung schaffen.
Danach kommt die Einwilligung,
und zwar entweder oder.
Die beiden Erlaubnistatbestände
gehören nicht zusammen,
sondern sind voneinander getrennt.
Wenn ich einen Vertrag habe und
ich will Daten erheben,
die für das Vertragsverhältnis
nicht erforderlich sind,
dann darf ich nicht.
Ende.
Da ist wieder das Verbot.
Und nur außerhalb von
Vertragsverhältnissen kann ich
mit der Einwilligung arbeiten.
Die Einwilligung ist streng.
Ist eine informierte Einwilligung.
Der Gesetzgeber sagt:
Betroffener, du musst wissen was da
passiert. Wer verantwortlich ist, was er
damit macht, welche Daten. Und dann, musst
du einwilligen.
Dann gibt es noch als dritter Erlaubnis-
tatbestand die gesetzlichen
Verpflichtungen.
Es gibt viele gesetzliche Verpflichtungen.
Die Personalabteilungen wissen das.
Zum Beispiel, dass man verpflichtet ist
personenbezogene Daten zum Beispiel ans
Finanzamt zu übermitteln oder an die
Krankenkasse oder ähnliches.
Die dritte Kategorie von Erlaubnistat-
beständen und als letztes, die
Interessenabwägung. Und das ist schwierig.
Aber fast, fast sämtliche technische
Überwachungsmaßnahmen fallen unter diesen
Erlaubnistatbestand. Man muss abwägen.
Man muss sich angucken, wieso
solche technisch überwacht werden
und was ist der Impact für diejenigen,
die überwacht werden?
Wie viele sind es eigentlich?
In welchen Verhältnissen sind sie?
Sind sie am Arbeitsplatz oder sind
sie auf offener Straße
oder sind sie im Kino, sind sie im Café?
Sind Sie im Krankenhaus?
Und dann hat man diesen beiden Seiten
sich angeguckt und man wägt ab.
Man macht eine Interessenabwägung.
Und selbst Juristen, die das
seit 30 Jahren machen, fällt das immer
wieder schwer, die Interessenabwägung.
Da muss man genau sich
das angucken und man muss begründen
warum ein Interesse dem anderen überwiegt
und am besten nach Kompromissen suchen,
Kompromissen suchen. Das heißt
Überwachungsmaßnahmen, die nicht so tief
in die Grundrechte eingreifen.
Das sind die vier Erlaubnistatbestände
gewesen und
ein prominentes Beispiel will ich hier
auch nochmal ansprechen.
Das ist das Kunsturhebergesetz.
Darüber wird auch viel gesprochen.
Wurde viel gestritten, ob das Kunsturheber-
gesetz überhaupt noch im Datenschutz gilt.
Ist ja auch nur ein Paragraph im Kunst-
urhebergesetz, der datenschutzrechtlich
wichtig ist. Also die Frage: Wann darf ich
überhaupt jemanden fotografieren?
Weil es gibt ja das Recht am eigenen Bild.
Und dann wenn er eingewilligt hat.
Nicht schriftlich, muss nicht. Kann man
natürlich, um sich abzusichern, kann man
natürlich auch schriftlich einwilligen.
Aber jeder Fotograf, der Menschen
fotografiert, sollte darauf geschult sein,
dass es das Recht am eigenen Bild gibt.
Es gibt keine Situation, wo man das Recht
am eigenen Bild verliert. Es gibt nur
Situationen, wo wirklich die Interessen
von demjenigen steigen.
Zum Beispiel, wenn man im geschützten
Raum ist. Zum Beispiel, wenn man Alkohol
trinkt, wenn man mit seinen Freunden
zusammen ist, wenn man spielt, wenn man
ausgelassen ist. Da steigen dann die Inte-
ressen. Und geringer sind die Interessen,
wenn die Leute an öffentlichen Plätzen
sich aufhalten, in öffentlichen
Veranstaltungen sind oder wenn sie Per-
sonen des öffentlichen Zeitgeschehens
sind. Dann können sie im Rahmen ihrer
Berufsausübung natürlich auch fotografiert
werden und veröffentlicht werden. Das
Wichtige ist, dass man die Einwilligung
von dem, den man fotografieren will,
mindestens durch Blickkontakt herstellt.
Man läuft nicht rum und fotografiert Leute
in irgendwelchen Situationen, weil sie
haben ein Recht darüber zu bestimmen.
Selbstbestimmung: Wer Fotos von einem hat
und wo die veröffentlicht werden.
Das heißt man muss immer kommunizieren.
Es ist ganz klar, wenn jemand sich wegdreht
oder wenn man die Hand vor das Gesicht
nimmt, dass derjenige nicht fotografiert
werden will. Und auch im Nachhinein,
wenn er das alles... Jemand... Man muss
nicht in jeder Situation seine Rechte
sofort verstehen und sofort perfekt rea-
gieren. Man kann auch im Nachhinein dann
kommen und sagen: "Nee das fand ich nicht
so gut." "Das habe ich nicht mitbekommen."
Dann werden die Fotos gelöscht.
Und da wird nicht diskutiert.
Es gibt keinen Streit, wenn wir das Recht
am eigenen Bild der anderen Menschen
achten. Und ganz wichtig: Es gibt den
Beruf Modell. Das heißt, wenn ich
jemanden fotografieren möchte, um damit
für meine eigene Sache zu werben, dann
muss ich das anerkennen, dass der andere
eben dafür auch entlohnt wird.
Ein Entgelt dafür bekommt und das muss ich
mit ihm absprechen. Es gibt feststehende
Berufe. Ist klar. Und wenn ich schon in dem
Bereich bin, wo es aktuell ist, möchte ich
auf das Gesetz gegen den unlauteren
Wettbewerb eingehen.
Ich weiß nicht, ob der eine oder andere
schon mitbekommen hat, dass ich mich mit
Abmahnungen beschäftige und nicht der Mei-
nung bin, dass Abmahnungen im B2C-Bereich
was zu suchen haben, sondern nur im B2B-
Bereich, also innerhalb des Wettbewerbs.
Kommt ja auch aus dem Wettbewerbsrecht.
Und das ist.. War ja... Naja im Frühling,
im Frühling... Im Frühling 2018 habe ich
damit verbracht, mir die Ideen anzuhören
und durchzulesen, dass aufgrund der
Datenschutz-Grundverordnung jetzt wieder
neues Rechtsgebiet ist, wo ordentlich
abgemahnt werden kann. ...
Vor allem soll es ja... es sprechen drei
Argumente dagegen. Nummer eins:
Das Schutzziel von der Datenschutzgrund-
verordnung ist nicht Wettbewerbsrecht und
nirgendwo taucht auch eine Marktver-
haltensregel auf, sondern der Gesetzgeber
sagt, die Datenschutz-Grundverordnung
sei ein Schutzgesetz für die Rechte und
Freiheiten von natürlichen Personen... Und
natürlich weil es eine europäische
Verordnung ist, dann noch der freie Daten-
verkehr. ... Aber, Zielrichtung ist ganz klar:
Schutz von Betroffenen, dass ihre personen-
bezogenen Daten nicht missbraucht werden.
Kein anderer... kein anderes
Schutzziel steht da.
Weiter haben wir so einen [Specher macht
eine Geste] Katalog von Rechtsbehelfen,
Haftung und Sanktionen, wenn gegen die
Datenschutzgrundverordnung verstoßen wird,
und dort taucht nirgendwo der Begriff Ab-
mahnung auf - wird auch nicht umschrieben.
Und als allerletztes Argument, wenn sich
irgendjemand nicht an Recht und Ordnung
hält, seit wann kann der dann abgemahnt
werden vom Wettbewerber. Also wenn jemand
seine Steuern nicht zahlt, kann ... gibt
es auch nicht die Möglichkeit dass jemand
abgemahnt wird, oder wenn jemand eine
Straftat begeht, oder etcetera.
Der Gesetzgeber muss das schon ausdrück-
lich regeln, und zwar im Bereich des
Wettbewerbsrechts, dass hier abgemahnt
werden kann.
Also ihr seht ich bin nicht dafür. ...
Und wir haben die Informationspflichten
- war auch großes Thema -
finde ich sehr verkanntes großes
Thema im sozialen Bereich,
Informationspflichten sind ... notwendig,
weil ich sonst nicht erfahre was mit
meinen personenbezogenen Daten wo passiert,
also worüber muss ich informieren?
Konkret: Welche personenbezogenen
Daten oder Kategorien
von personenbezogenen Daten
verarbeite ich?
So... Wenn ich angegriffen werde,
oder wenn mir Eigentum weggenommen wird,
oder der Besitz entzogen, oder mir die
Religionsfreiheit streitig gemacht wird,
wenn die Institution Ehe eingegriffen
wird - das kriege ich alles mit. Aber
Angriffe auf den Datenschutz, also auf
meine Daten, bekomme ich nicht mit.
Das heißt, ich bin darauf angewiesen, dass
jemand anderes mir erzählt:
"Hier, höre zu, das und das mache ich."
"Also die und die personenbezogenen Daten
erhebe ich, verarbeite ich"
und dann zu welchem Zweck. Wir haben ja
die strenge Zweckbindung in der
Datenschutzgrundverordnung jetzt auch,
wir haben ein Verbot der
Vorratsdatenspeicherung, das ist nochmal
strenger geworden als es vorher im
Bundesdatenschutzgesetz drin war. Jedes
Datum ist an einen Zweck gekettet.
Ich habe keine personenbezogenen Daten
- nach der Datenschutzgrundverordnung
die ich vielleicht irgendwann mal für
wirtschaftliche Zwecke nutzen kann,
oder für private Zwecke. Das verbietet die
Datenschutzgrundverordnung.
Die Datenschutzgrundverordnung ist
großartig dabei Sachen zu verbieten.
Und wenn ich dann weiß, welche Daten von
wem - von wer ist da verantwortlich,
also Name und Adresse und Kontaktdaten -
personenbezogene Daten zu welchem Zweck
von mir verarbeitet, und ich das nicht in
Ordnung finde, dann hab ich Rechte.
Und darüber muss auch informiert werden; also
über den Sachverhalt, was passiert mit
dir - wer du bist, wo du bist, was du
kannst, was du nicht kannst,
wo du Probleme hast. Diese Daten habe ich,
und dann muss ich sagen:
"Hier, das mache ich, und du hast noch
folgende Rechte:"
"Du hast ein Auskunftsrecht, ein
Berichtigungsrecht, ein Löschungsrecht."
"Du kannst dich dagegen wehren, vor allem
hast du das Recht darauf das Ganze
korrigieren zu lassen."
Grundrechte sind in erster Linie Abwehr-
rechte. Es gibt ... also Abwehrrechte, das
ist dieses typische, der Bürger wehrt
sich gegen Angriffe vom Staat,
gegen staatliche Datenverarbeitung, aber
es gibt auch die Drittwirkung.
Natürlich habe ich die Grundrechte auch
gegenüber privaten juristischen Personen.
Und diese Rechte muss ich auch tatsächlich
wahrnehmen, wenn ich sie ... wenn ich sie
nicht nicht wahrnehmen will ... dann
fallen die halt weg.
Es gibt andere die für uns diese
Rechte erkämpft haben.
Vor allem diese Tausenden, die 1983
- oder davor natürlich-,
aber für diese Verfassungsbeschwerde
sich gegen den Zensus gewehrt haben
und Massen an Verfassungsbeschwerden
eingereicht haben
damit staatliche Organe nicht
personenbezogen - also diese ganzen ...
wie man gerade lebt, wo man lebt, in
welchen Situationen man sich befindet -
diese Datensätze nicht anonymisiert
verarbeitet. Das heißt, viele vor uns
haben für uns den Datenschutz erkämpft
und wir müssen in diese - oder ich wünsche
mir zumindest, ich mache es, es wäre
super wenn ihr das auch macht - in diese
Fußstapfen treten und zusammen dafür
sorgen, dass Datenschutz lebt. Natürlich
ist das schwierig. Vor allem ... haben wir
viele Bereiche wo man überhaupt erst mal
rauskriegen muss was tatsächlich da
passiert. Die Sachverhaltssammlung ist im
juristischen Bereich einer der
wichtigsten. ... Ich würde sagen 80%
muss man da investieren - von der
ganzen Zeit, von der ganzen
Bearbeitungszeit - um herauszubekommen was
der Sachverhalt ist, was tatsächlich
wirklich passiert und was halt auch nicht
passiert, was nur erzählt wird. Und dann
muss man sich angucken, was kann man
tatsächlich machen, welche Werkzeuge habe
ich vom Gesetzgeber in die Hand bekommen,
was ist erlaubt, was ist nicht erlaubt,
und wie kann ich da tatsächlich eingreifen
und dafür sorgen dass ich eben in der
Datenverarbeitung Subjekt bleibe ... und
nicht Objekt. Und jetzt bedanke ich mich
und stehe natürlich für Fragen weiter zur
Verfügung.
Applaus
Herald Engel: Vielen Dank! So,
wir haben sieben Minuten
für Fragen. Ihr kennt das Spiel. Wir
haben fünf Mikrofone. Stellt euch einfach
an und wenn ihr im Internet seid, ist das
auch kein Problem, denn wir können das
Internet vorlesen, so wie es sich gehört.
So dann fangen wir doch einmal mit
Mikrofon zwei an bitte.
Frage: Vielen Dank für den Talk. Ich
habe eine Frage, wie kann ich anderen
helfen ihre Informationsrechte
wahrzunehmen, insbesondere gegenüber
Firmen, wo sie vielleicht gar nicht wissen,
dass diese Firmen ihre Daten gespeichert
haben.
Beata: Interessante Frage:
"Wie kann ich helfen?"
Die erste Hilfe ist ja immer
Informationen zur Verfügung zu
stellen. Leute die du kennst oder die du
nicht kennst?
Mikrofon 1: Meiner Oma.
Beata: Deiner Oma ... ja sehr gut.
Man kann sich, in dem du ... du musst
natürlich mit ihr reden. Du musst ja
rausbekommen, mit welchen Firmen sie
Kontakt hat. Das ist tatsächlich ein
großes Thema. Da gibt es ja ziemlich viele
Betrugsversuche. Ich würde damit Nummer 1
anfangen, sie aufzuklären, wo es Gefahren
gibt. Nummer 2: mit ihr auch die
Unterlagen durchgehen, mit welchen
Unternehmen sie tatsächlich zu tun hat und
dann zusammen anschreiben. Immer auf das
Recht auf Auskunft pochen, also das halt
durchsetzen, die drei Sachen. Also
sensibilisieren, weil sie kennt das
Rechtsgebiet bestimmt nicht und sie wird
von sich aus wahrscheinlich sehr sehr
schwer, dass sie Berührungspunkte hat, die
damit auf jeden Fall nicht aufgewachsen
und mit ihrer Hilfe herausbekommen, womit
habe ich es denn zu tun, mit welchen
Firmen, mit welchen Bereichen. Habe ich das
wahrscheinlich sowieso auch mit
Krankenkassen und so werde ich es
wahrscheinlich auch zu tun haben und dann
die Daten sammeln und dann natürlich
kontrollieren, ob das alles in Ordnung
ist, was da passiert und sich melden.
Korrektur verlangen, Berichtigung
verlangen oder Löschung eben verlangen.
Mikrofon 1: Vielen Dank, vielen Dank!
Herald Engel: Einmal der junge
Mann an der 1 bitte!
Mikrofon 1: Sie hatten vorhin das Cafe um
die Ecke angesprochen, in..
Engel: Näher an's Mikro bitte!
Mikrofon 1: Sie hatten vorhin das Cafe um
die Ecke angesprochen, in meiner
Heimatstadt ist es so,
dass viele Restaurants und auch
kleinere Einzelhändler ihre Räumlichkeiten
überwachen: Nicht nur mit einer, sondern
mit mehreren Kameras. Und ich denke es
müsste im Eingangsbereich deutlich
darauf hingewiesen werden.
Beata: Ja
Mikro 1: Spreche ich die Inhaber darauf an,
wird häufig damit argumentiert, sie wüssten
nicht, dass sie das tun müssten oder
die Kamera würde ja gar nicht aufzeichnen.
Ich könnte mich auch gerne selbst davon
überzeugen. So oder so bin ich nicht
glücklich mit der Situation. Was kann ich
denn konkret tun, dass sich
etwas in meiner Stadt ändert?
Beata: Also, beide Argumente sind
falsch. Dass man sagt man "kennt die
Gesetzesregeln nicht" helfen niemals. Der
Spruch gilt unverändert: "Dummheit schützt
vor Strafe nicht". Hat man keine Chance -
man muss sich in die Lage versetzen, die
Information zu bekommen, was darf ich und
was darf ich nicht oder was muss ich, was
muss ich nicht. Wenn ich Videoüberwachung
überhaupt technisch.. Ich glaube,
Videoüberwachung ist sowieso ein alter Hut
immer mehr und es geht wirklich in
technische Bereiche rein. Wenn ich
die Überwachung mache muss ich
darüber informieren. Also da muss ein
Aushang hin und zweitens selbst wenn es
Monitoring ist, ist es genau der gleiche
Impact, wahrscheinlich sogar noch mehr,
weil da kann ich hundertprozentig davon
ausgehen, dass sich das überhaupt
irgendjemand anguckt. Helfen tun die
Aufsichtsbehörden: Es ist deren Job.
Deshalb gibt es sie. Sie sollen unabhängig
sein - sind sie jetzt auch mittlerweile - gab
es auch lange Jahre Probleme, dass die
Aufsichtsbehörden eingegliedert waren
in die Regierung. Macht keinen Sinn,
muss raus, sind auch.
Jeder Bürger kann sich an die
Aufsichtsbehörden wenden und sagen, dass
das nicht in Ordnung ist. Sie haben ein Recht
darauf, dass die Aufsichtsbehörden
darauf reagieren, Termine setzen, wann
hier die Fragen beantwortet werden und
dann geht auch jemand von der
Aufsichtsbehörde auf den Verantwortlichen
zu, der diese Überwachung macht, und setzt
das durch. Es gibt ja einen
Sanktionskatalog, und wir wissen ja alle,
dass die Bußgelder wirklich empfindlich
mittlerweile sein können.
Herald: Ein mal noch ganz schnell die 1,
bitte.
Mikrofon 1: Danke. Das gilt also auch,
wenn gar nicht überwacht wird und die
Kameras nur Attrappen sind?
Beata: Aufzeichnen... Also, ich...
Entweder... Wenn ich eine funktionierende
Kamera habe, dann habe ich einmal das
Aufzeichnen, oder ich habe das Monitoring,
also, da sitzt dann jemand, oder mehrere,
an den Bildschirmen und überwachen das,
oder Attrappen. Attrappen ist so ein
bisschen... Im öffentlichen Raum sind
Attrappen nicht so wild, da ist der Impact
nicht groß. Was wichtig ist, ist in
geschlossenen Räumen, weil diejenigen, die
unter diesen Attrappen sind, erkennen
nicht, dass es Attrappen sind. Es geht
aber um ihre Rechte. Das bedeutet, die
Regeln sind dieselben. Bitte.
Herald: Einmal die 2 bitte.
Mikrofon 2: Hi, ich arbeite im Bereich
Informationssicherheit und gerade da gibt
es in verschiedenen Unternehmen schon
relativ starke Regeln, Vorgaben, Tools,
alles Mögliche. Inwieweit gibts denn jetzt
auch schon im Bereich Datenschutz, ja, ich
sage auch so ein bisschen Awareness, weil
wir ja auch da in der DSGVO die Regelungen
haben, man muss angemessene technische
Maßnahmen treffen, um Daten zu schützen.
Gibt es so was schon, wissen die
Unternehmen das? Weil im Moment sehe ich
gerade im Finanzbereich das noch nicht so
wirklich abgebildet.
Beata: Ja, gibt es, gibt es. Meiner
Erfahrung... Und ich glaubem auch ganz
viele Besucher hier setzen sich mit
Informationssicherheit auseinander. Ich
habe noch kein Unternehmen gehabt, wo
nicht mindestens Sicherheitsvorkehrungen
sind. Also, dass nicht jeder an einen
Server herankommt, und dass z.B.
Personaldaten nicht auf dem Webserver
gelagert werden. Es gibt ja ganz viele,
wir haben ja diesen Katalog der
organisatorischen und technischen
Maßnahmen, um personenbezogene Daten
zu schützen. Dass es bekannt ist in
Unternehmen, würde ich... jeder, der
Infrastruktur macht im Unternehmen, jeder,
der Admin ist, hat davon, von dieser
Materie, schon gehört. Dass es perfekt
ist, natürlich nicht. Datenschutz ist
sowieso etwas, was sich immer bewegt und
entwickelt. Wir müssen da noch viel
machen. Ich habe es noch nicht erlebt,
dass die Grundlagen komplett fehlen, ich
habe es nur erlebt, dass Sachen außer Acht
gelassen werden oder dass unter dem Radar
läuft, dass wir Schnittstellen-Probleme
haben, dass Daten nicht richtig vernichtet
werden oder gelöscht werden, oder dass
überhaupt nicht Daten gelöscht werden, und
so. Also, das gibt es, ja, da muss, so,
wie die Technik sich entwickelt, muss auch
der Schutz sich entwickeln, der dann auch
natürlich nicht nur technisch ist, sondern
auch organisatorisch. Der größte Impact
ist immer noch der Mitarbeiter, der kein
Bock hat oder der es nicht versteht, der
keine Lust hat oder der tatsächlich in
irgendeiner Weise negativ eingestellt ist.
Also, auch viel arbeite ich mit
Mitarbeitern, mache regelmäßig Schulungen,
bin immer Ansprechpartner und das ist so
eine Entwicklung. Und ja, gibt es.
Herald: So, wir haben... Unser Slot ist
zwar eigentlicht vorbei, aber da danach
kein Talk ist, würde ich sagen machen wir
noch die 3 und die 4 und dann hören wir
auf. Einmal noch die 3, bitte.
Mikrofon 3: Hallo, ich habe eine Frage,
inwieweit der Datenschutz auch auf die
Nachrichtendienste zugreift, zum Beispiel
Bilder auf WhatsApp, und ob man das durch
andere Dienste, wie zum Beispiel Signal
oder so etwas, umgehen kann.
Beata: Auf was zugreift?
Herald: Nochmal, bitte.
Mikrofon 3: Bei WhatsApp zum Beispiel,
wenn man da Bilder schickt, von einer
Betriebsfeier, oder personenbezogene
Daten, wie Dienstanfang oder
Diensttermine.
Beata: Ja, da gelten natürlich genauso die
Regeln der Datenschutzgrundverordnung.
Dein Argument ist wahrscheinlich: "Aber
warum benutzen denn dann so viele
Whatsapp?!". Man hat ja auch keine
verschlüsselte Kommunikation so richtig,
und vor allem auch diejenigen, die das
nutzen, leaken viele Sachen. Also ich bin
kein Freund von WhatsApp. Wie soll ich das
erklären? Also, wenn man zum Beispiel,
werdet ihr ja auch beide (?) das Problem
haben, wenn man in Schulen WhatsApp
benutzt, sind zwei Sachen erforderlich.
Nummer eins: Man muss sich angucken, wie
sicher tatsächlich diese Technik, diese
Software ist, die einem da zur Verfügung
gestellt wird, die man nutzt und was noch
viel viel wichtiger ist: Diejenigen, die
WhatsApp, oder andere Messenger,
benutzen, sollen darüber aufgeklärt werden,
was das eigentlich bedeutet. Es gibt Sachen,
die darf man auf keinen Fall machen. Es gibt
Sachen, die sind halt gefährlich, dadurch
können Schäden entstehen und dann gibt's
natürlich ein Level, auf dem man das
benutzen kann. Aber problematisch ist,
wenn man das in der Schule, oder auch auf
Arbeit, oder wo auch immer, nicht zum
Thema macht, mit welchem Medium man
arbeitet, und was man tatsächlich da
versendet und was nicht. Also
Weihnachtsfeiern sind halt deshalb
kritisch, weil es nicht nur um die
Weihnachtsfeier, den Beginn der
Weihnachtsfeier geht, sondern auch am
Ende, wenn man viel getrunken hat, und
wenn man sich, was weiß ich, amüsiert.
Dann haben wir ja nicht nur ein Problem
mit diesem Messenger, sondern haben wir
überhaupt ein Problem, dass solche Daten
erhoben werden und weiter übermittelt
werden, also, offen gelegt werden.
Ergebnis: Ich muss mir die Software
angucken, womit ich arbeite. Und ich muss
darüber reden, was ich damit machen darf,
und was ich nicht damit machen darf. Das
ist ganz wichtig, wir müssen uns
austauschen, was geht und was geht nicht.
Zuschauer*in: Danke.
Herald: So, zum Abschluss die 4, bitte.
Mikrofon 4: Gibt es eine legale
Möglichkeit für Neonazi-Outings?
Beata: Ich habe das letzte Wort nicht gut
verstanden.
Mikrofon 4: Für Neonazi-Outings, gibt es
da eine legale Möglichkeit?
Beata: Aus...?
Mikrofon 4: Outing.
Beata: Outing!
Mikrofon 4: Ja. Also, es gibt ja
Journalisten...
Beata: Dann, wenn wir... Wenn derjenige,
der eine Person des öffentlichen
Zeitgeschehens ist. Dann ja. Das heißt,
wenn derjenige so in das Zeitgeschehen und
unser jetziges "Was wir machen, womit wir
auseinandersetzen", so eine starke Person
ist, so einen Einfluss hat, dann ja. Dann
kann über ihn berichtet werden. Das heißt
noch lange nicht alle, sondern nur
diejenigen, die sich öffentlich
beteiligen an dem "Wie wir in einer
Gesellschaft zusammenleben wollen... oder
auch nicht".
Mikrofon 4: Ab wann ist die bitte... Oh.
Beata: Ok
Herald: So, dann vielen Dank an Bea.
Beata: Dankeschön!
Applaus
Abspannmusik
Untertitel erstellt von c3subtitles.de
im Jahr 2018. Mach mit und hilf uns!