Auf Einladung der Kompetenzgruppe Recht und Regulierung trafen sich am 15. März 2012 im DE-CIX Meeting Center in Frankfurt a.M. 25 Experten auf dem Gebiet des Datenschutzes und der Datensicherheit, Mitglieder sowie Nicht-Mitglieder des eco, zur Veranstaltung „Datenschutz in der Praxis – Teil 1: Die Auftragsverarbeitung“.  

Moderiert von RA Dr. Jens Eckhardt, JUCONOMY Rechtsanwälte und Mitglied des Vorstandes EuroCloud Deutschland_eco e.V., informierten RA Nikolaus Bertermann, SKW Schwarz Rechtsanwälte, über rechtliche Gestaltungsmöglichkeiten für Vereinbarungen zur Auftragsdatenverarbeitung, Stefan Staub, Leiter Datenschutz Verimax GmbH, über technische Vorgaben zur Informationssicherheit beim Outsourcing und Sven Hermerschmidt, Referent beim Bundesbeauftragter für Datenschutz und Informationsfreiheit, über die aufsichtsbehördliche Praxis bei Outsourcing und Auftragsdatenverarbeitung.

In seinem Vortag erläuterte RA Nikolaus Bertermann zunächst den Begriff der Auftragsdatenverarbeitung, stellte deren rechtlichen Voraussetzungen nach § 11 BDSG dar und erörterte diese in der Diskussion mit den Teilnehmern. Dabei wurden insbesondere auch praxistaugliche Umsetzungen der Vorgaben herausgearbeitet. In Bezug auf die Umsetzung der rechtlichen Vorgaben wurde deutlich, dass nicht „one fits all“ gilt, sondern die Gestaltung an die konkrete Situation angepasst werden muss.

Stefan Staub führte in die technische Ausgestaltung einer Auftragsdatenverarbeitung ein, die nach §§ 11, 9 BDSG ebenfalls Voraussetzung einer Auftragsdatenverarbeitung ist. Es wurde zunächst deutlich, dass auch die technischen Möglichkeiten zur Kontrolle des Auftragsdatenverarbeiters an ihre Grenzen stoßen. Zur Festlegung der datenschutzrechtlich angemessenen Anforderungen müssen durch den Auftraggeber zunächst grundlegende Vorüberlegungen erfolgen, um zu klären, welche technischen Maßnahmen der Datensicherheit ergriffen werden müssen. Zur Überprüfung, ob solche Maßnahme beim Auftragsdatenverarbeiter umgesetzt worden sind, kommen neben eigenen Prüfungen des Auftraggebers auch der Nachweis von Zertifizierungen und Auditierungen durch Auftragnehmer in Betracht. Es wurde deutlich, dass (auch) im Bereich der technischen Absicherung der Auftragsdatenverarbeitung der alte Spruch „trau, schau, wem“ in der digitalen Welt aktuell ist.

Den Bogen über beide Themen spannte Sven Hermerschmidt, Referent beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Der Vortrag machte erfreulicherweise deutlich, dass das Thema Auftragsdatenverarbeitung mit Augenmaß und den Problemlagen der Umsetzung der – nicht immer eindeutigen – gesetzlichen Vorgaben in der Aufsichtspraxis gesehen wird. Neben den Anforderungen an die Auftragsdatenverarbeitung zeigte der Vortrag eingangs deutlich die Vor- und Nachteile der Auftragsdatenverarbeitung auf, aber auch dass eine Auftragsdatenverarbeitung derzeit im Anwendungsbereich der Berufsgeheimnisträger nach § 203 StGB keine tragfähige Lösung ist. In der Diskussion wurden insbesondere auch Fragen der Auskunft, der Ausübung des Kontrollrechts und der Problematik des Zugriffs ausländischer Sicherheitsbehörden praxisnah behandelt. Der Vortrag schloss mit einem kurzen Ausblick auf die Auftragsdatenverarbeitung im aktuellen Vorschlag einer EU-Datenschutz-Grundverordnung. Insgesamt stärkte der Vortrag das Vertrauen, dass die Datenschutzaufsicht auch ein „Partner“ der Unternehmen bei der Findung von Lösungen zur datenschutzrechtlichen Ausgestaltung einer Auftragsdatenverarbeitung sein kann.

Die Abschlussdiskussion unter der Moderation von Dr. Jens Eckhardt JUCONOMY Rechtsanwälte und Mitglied des Vorstandes EuroCloud Deutschland_eco e.V, bestätigte, dass gerade die Umsetzung der Vorgaben des § 11 BDSG zur Auswahl und Kontrolle des Auftragsdatenverarbeiters eine Fragestellung ist, die auch zukünftig noch vertieft zu diskutieren ist, aber bereits Lösungsmöglichkeiten gegeben sind.

Die Tagung bildete den Auftakt für eine Veranstaltungsreihe zum Datenschutz in der Praxis. Die nächste Veranstaltung ist für den 03. Mai 2012 in den Räumen des Berliner Verbindungsbüros des eco zum Entwurf der EU-Datenschutz-Grundverordnung geplant.

Besonders gespannt erwarteten die Teilnehmer den hoch aktuellen Vortrag von Winfried Ulmen, Leiter des Referats Telekommunikations- und Postrecht beim Bundesministerium für Wirtschaft und Technologie. Er stellte die inhaltlichen Schwerpunkte des TKG-Änderungsgesetzes dar, das gerade erst in der vorangegangenen Woche nach Abschluss des Vermittlungsverfahrens verabschiedet worden war. Dabei ging er auf Themen wie die Regulierung und Investition in neue Netze, Verbraucherschutzregelungen und Vorschriften zur Netzneutralität näher ein.

Lars Dietze, Referent für Telekommunikationsrecht beim eco Verband, erläuterte in seinem Vortrag die wesentlichen Änderungen des Vorschlags der EU-Kommission für eine „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung). Der Vorschlag sieht derzeit den Erlass einer Verordnung zur Durchsetzung eines einheitlichen Schutzniveaus in den Mitgliedstaaten der EU vor. Somit würde die Datenschutznovelle direkt in Deutschland wirken und müsste nicht erst in nationales Recht umgesetzt werden. eco begleitet die Datenschutznovelle auf EU und nationaler Ebene

RAin Nadine Schüttel, Referentin für Internet- und Medienrecht beim eco Verband, stellte in ihrem Vortrag zur Providerhaftung zunächst die Vorhaben auf europäischer Ebene vor und ging hierbei insbesondere auf die „Mitteilung über den elektronischen Geschäftsverkehr und andere Online-Dienste“ ein. Im Hinblick auf die Providerhaftung gemäß Art. 12-15 E-Commerce-RL (RL 2000/31/EG) hat die EU-Kommission angekündigt, noch im 3. Quartal 2012 eine „EU Initiative on procedures for notifying and acting on illegal online content“ zu beschließen. Hierzu hat die Kommission Fragebögen (Request for facts and figures on N&A from stakeholders) jeweils an Online Intermediary Service Providers und an so genannte Notice Providers (insbesondere Rechteinhaber), verschickt, die bis zum 29.02.2012 beantwortet werden können. Hauptaugenmerk liegt hierbei auf der Inkenntnissetzung der Provider sowie der Ausgestaltung der „notice-and-action-Verfahren“. eco wird hierzu ebenfalls Stellung nehmen. Interessierte Unternehmen können sich direkt an Nadine Schüttel wenden. Außerdem informierte sie auf der Veranstaltung über den Stand des vom Bundesministerium für Justiz angekündigten „Verbraucherschutzpakets“.   

RA Henning Lesch, Leiter Recht und Regulierung bei eco, gab abschließend noch einen Aus- und Überblick über verschiedene Gesetzesinitiativen, die das Urheberrecht beziehungsweise die Durchsetzung von Urheberrechten gerade auch im digitalen Umfeld betreffen. Nach einem kurzen Überblick zu den amerikanischen Gesetzesinitiativen SOPA und PIPA ging er auf das derzeit kontrovers diskutierte internationale Abkommen ACTA ein. Auf europäischer Ebene thematisierte er die sich derzeit in Überarbeitung befindende IPR Enforcement Richtlinie (IPRED2) und wies auf deren mögliche Änderungen sowie deren Auswirkungen hin. Abschließend wurde auf die kürzlich im Auftrag des BMWi erstellte und veröffentliche Studie zu Warnhinweisen durch Zugangsanbieter bei Urheberrechtsverletzungen im Internet von Prof. Dr. Schwartmann eingegangen und das darin vorgeschlagene „vorgerichtliche Mitwirkungsmodell“ und dessen gravierende Auswirkungen problematisiert.

RAin Hannah Seiffert, Leiterin der eco Kompetenzgruppe Recht & Regulierung, informierte kurz über den Sachstand weiterer EU-Verfahren, wie die Vorratsdatenspeicherung und die Richtlinie über Angriffe auf Informationssysteme sowie über die nächsten Veranstaltungen, wie den polITalk am 29.02.2012, den Workshop Datenschutz in der Praxis zur Auftragsdatenverarbeitung am 15.03.2012, und den eco MMR Kongress am 20.03.2012.

RA Oliver J. Süme, Vorstand Recht und Regulierung, eco e.V.
RAin Hannah Seiffert, Leiterin Politik Berlin, eco e.V. 11:15 Status quo Cloud Computing: Fallstricke – Recht, Datenschutz und Compliance
Andreas Weiss, Direktor EuroCloud Deutschland_eco e.V. 12:15 Pause
13:00 Ausblick: Anforderungen an einen zukünftigen Rechtsrahmen
Rechtsanwalt Dr. Fabian Niemann, Bird & Bird, Frankfurt 14:00 Diverses
15:00 Ende der Veranstaltung

Die Teilnahme ist für eco bzw. EuroCloud Mitglieder kostenlos. Einen VIP-Code können Sie unter events@eco.de anfordern.

Unter dem Titel ‘Neue Technologien = neues Recht?’ fand am 22. März 2011 der fünfte gemeinsame Kongress des Verbandes der deutschen Internetwirtschaft und der Zeitschrift MultiMedia und Recht (MMR) aus dem Beck-Verlag unter der Schirmherrschaft der Bundesjustizministerin Sabine Leutheusser-Schnarrenberger in der Niedersächsischen Landesvertretung in Berlin statt. Die Veranstaltung war mit über 100 Teilnehmern sehr gut besucht.

Nachfolgend finden Sie einen Kongressbericht, die gezeigten Vortragsfolien und Links zu einigen Videoaufzeichnungen vom Kongress.

Und so war es vor Ort: http://www.flickr.com/photos/ecoev/sets/72157626207253035/

Begrüßung

Prof. Michael Rotert, Vorstandsvorsitzender, eco e.V.

Begrüßung

Anke Zimmer-Helfrich, Chefredakteurin MMR

Neue Technologien – neue Anforderungen an das Recht?

(Vortrag mit Schwerpunkt auf den zukünftigen technischen Entwicklungen)
Peter Schaar, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

EU-Rechtsrahmen für den Datenschutz

(Darstellung der Entwicklungen, Ausblick etc.)
Prof. Dr. Martin Selmayr, Kabinettchef von Viviane Reding, Vizepräsidentin der Kommission und EU-Kommissarin für Justiz, Grundrechte und Bürgerschaft

Neue Technologien – neue Anforderungen an das Recht?

(Vortrag mit Schwerpunkt auf dem Datenschutzrecht)
Prof. Dr. Jürgen Taeger, Universität Oldenburg

Datenschutzrecht aus Sicht der Praxis

(Übersicht über die datenschutzrechtlichen Probleme in Unternehmen)
Stephan Wrona, Director Legal & Regulatory, Data Protection Officer, Unitymedia Group

Gemäß § 4f Abs. 1 Satz 1 des Bundesdatenschutzgesetzes (BDSG) haben alle öffentlichen und nicht-öffentlichen Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, einen Beauftragten für den Datenschutz schriftlich zu bestellen.

Die Tätigkeit des betrieblichen Datenschutzbeauftragten ist anspruchsvoll und verlangt ein hohes persönliches und fachliches Engagement. Unabdingbare Voraussetzungen sind dafür fundierte organisatorische, DV-technische und rechtliche Kenntnisse. So muss der Datenschutzbeauftragte sowohl über ausreichende Rechtskenntnisse bezüglich der einschlägigen datenschutzrechtlichen Regelungen (einschließlich ihrer Auslegung und Anwendung) als auch das notwendige technische Verständnis zur Umsetzung der erforderlichen Datensicherheitsmaßnahmen verfügen.

Diese hohen Anforderungen führen in der Praxis oft dazu, dass kleine und mittelständische Unternehmen nicht ohne weiteres eigene Mitarbeiter mit den Aufgaben des betrieblichen Datenschutzbeauftragten betrauen können und auf externe Unterstützung angewiesen sind. Die Ernennung eines Externen zum Datenschutzbeauftragten ist gesetzlich ausdrücklich vorgesehen (§ 4f Abs. 2 Satz 3 BDSG) und kann in vielen Fällen eine sinnvolle Alternative aus organisatorischer und wirtschaftlicher Sicht darstellen.

Der eco-Verband ist bereit, interessierte Mitgliedsunternehmen mit dem Dienst eines externen Datenschutzbeauftragten zu unterstützen. Wir möchten Ihnen unsere Pläne für die Gestaltung des Dienstes vorstellen und mit Ihnen über Ihre Bedürfnisse und Wünsche im Rahmen dieser Infoveranstaltung diskutieren.