Die Sicht eines Datenschutzexperten Dr Die Sicht eines Datenschutzexperten Dr. Thilo Weichert Netzwerk Datenschutzexpertise #DSGVO wirkt – 1 Jahr DSGVO – Praxiserfahrungen und Evaluation Informationsveranstaltung am 28.06.2019 in Stuttgart IHK Region Stuttgart – Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg

Weichert - Stuttgart - 28.6.2018 - DSGVO-Evaluation Inhalt Positive Effekte Ziele, Harmonisierung Automatisierte Entscheidung / Profiling / Algorithmenkontrolle Transparenz, Kontrolle Verantwortlichkeiten Zertifizierung Aufsichtsbehörden Konkretisierungsbedarfe Weichert - Stuttgart - 28.6.2018 - DSGVO-Evaluation

Positive Effekte der DSGVO Teilweise europaweite Harmonisierung des Rechtes Thematisierung des Datenschutzes und Sensibilisierung dafür Umsetzung Datenschutzrecht wegen Abmahn- und Sanktionsfurcht Große Konzerne (u. a. IT-Konzerne mit Sitz in den USA) nehmen Datenschutz ernst Erstes globales Wertekonzept für Digitalisierung (als Gegenkonzept zu Konsum- und Überwachungsorientierung durch China, USA) Vorbild für außereuropäische Gesetzgeber (u. a. Japan, Brasilien, Kalifornien) Weichert - Stuttgart - 28.6.2018 - DSGVO-Evaluation

Weichert - Stuttgart - 28.6.2018 - DSGVO-Evaluation Ziele Ausweitung der Wertekanons vom Recht auf informationelle Selbstbestimmung auf digitalen Grundrechtsschutz generell (einschließlich Freiheits- u. Demokratieschutz und Schutz vor digitaler Diskriminierung) Grundlage für eine Europäische digitale Grundrechte-Charta Ausgangspunkt für Algorithmenkontrollen Ansatzpunkt für Diskussion über „digitale Souveränität“ nicht nur von Betroffenen, sondern auch von Staat und privaten Datenverarbeitern Weichert - Stuttgart - 28.6.2018 - DSGVO-Evaluation

Ungenügende Harmonisierung (zu viele) Öffnungsklauseln für öffentliche Stellen für Ausgleich Meinungs- und Informationsfreiheit mit Datenschutz für Gesundheitsdaten(markt) und Berufsgeheimnisse für Forschungsdatenverarbeitung bei elektronischer Kommunikation (ePrivacy-Verordnung ist überfällig) > Reines Fortschreiben der nationalen Gesetze > Bedarf an Weiterentwicklung in spezifischen Bereichen, teilweise national, aber auch in der Union Weichert - Stuttgart - 28.6.2018 - DSGVO-Evaluation

Automatisierte Entscheidungen/Profiling Regulative Defizite von Art. 22: Beschränkung auf “Entscheidungen“ > gefährlichste Praxis: Werbung und Informationsanzeige > Diskriminierung, Manipulation, Filter- Bubbles, Fake-News Unklare Transparenzpflichten (Gegenargument Betriebs- und Geschäftsgeheimnisse) Beschränkung auf natürliche Personen, Relevanz auch für juristische Personen (digitale Souveränität v. Verarbeitern vor Portalangeboten) > Bedarf an Spezifizierung und Ausweitung (Algorithmenkontrolle) Weichert - Stuttgart - 28.6.2018 - DSGVO-Evaluation

Transparenz- und Kontroll-Defizite Große Öffnungsklausel zur Beschränkung der Betroffenenrechte (Art. 23) §§ 32-36 BDSG, §§ 32a-32f AO Öffnungsklauseln zur Beschränkung der Datenschutzkontrolle (Art. 2 II lit. d, 90) § 29 Abs. 3 BDSG Totalausnahmemöglichkeit bei Berufsgeheimnissen §§ 1 Abs. 2, 57 Abs. 3 NDSG Totalausnahme der staatsanwaltlichen Ermittlungen (wg. „Unabhängigkeit“) sowie der strafrechtlichen Ermittlungen (vor Abschluss) Weichert - Stuttgart - 28.6.2018 - DSGVO-Evaluation

Verantwortlichkeiten Europäischer Gerichtshof 5.6.2018 – C-210/16; 10.7.2018 – C-25/17 > hohe Relevanz der Gemeinsamen Verantwortlichkeit Defizitäre Regelung in Art. 26 DSGVO Präzisierungsbedarf: Transparenzansprüche und des zivilrechtlichen Rechtsverhältnisses der Verantwortlichen untereinander Weichert - Stuttgart - 28.6.2018 - DSGVO-Evaluation

Zertifizierungen (Art. 42, 43) Umsetzung hinkt hinterher: bisher keine Akkreditierungen und keine Zertifizierungen Keine staatliche Förderung (Ausnahme Clouds – AUDITOR – durch Bundeswirtschaftsministerium) Aufsichtsbehörden wollen keine Zertifizierungen durchführen (außer Schleswig-Holstein) Keine Zertifizierung von (IT-)Produkten, sondern nur von Anwendungen Zertifizierung nur freiwillig, Pflichtzertifizierung in sensitiven Bereichen nötig (Gesundheitsanwendung) Bisher keine Zertifizierungs-Bündelung (z. B. bei Medizinprodukten nötig) Weichert - Stuttgart - 28.6.2018 - DSGVO-Evaluation

Weichert - Stuttgart - 28.6.2018 - DSGVO-Evaluation Aufsichtsbehörden Transparenz bei Bestellung der Mitglieder defizitär > teilweise rein politische Besetzung ohne Fachkompetenz (Teilweise) katastrophale, durchgängig ungenügende Ausstattung der Aufsichtsbehörden > Aufsicht findet in vielen Bereichen nicht statt Abstimmungsprozess (national und europäische) funktioniert offenbar noch schleppend Abhilfebefugnisse sind im öffentlichen Bereich immer noch ungenügend Weichert - Stuttgart - 28.6.2018 - DSGVO-Evaluation

Konkretisierungs-/Regelungsbedarfe Meinungsäußerung, Informationsfreiheit (Art. 85) HateSpeach/FakeNews > Forschung u. Diskurs Beschäftigtendatenschutz (Art. 88) nationale Regulierung > EU-Erfahrungsaustausch Forschung (Art. 89) regulativer Flickenteppich > EU-Harmonisierung Elektronische Kommunikationsdienste (Art. 95) > ePrivacy-Verordnung ist überfällig Weichert - Stuttgart - 28.6.2018 - DSGVO-Evaluation

Weichert - Stuttgart - 28.6.2018 - DSGVO-Evaluation Fazit DSGVO ist Erfolgsmodell Datenschutz muss in einen umfassenderen Kontext (Digitalisierung, Grundrecht, Demokratie, Ökonomie) eingeordnet werden Digitalisierungspolitik ist insbesondere immer noch, Datenschutzpolitik ist neuerdings in Deutschland „Neuland“ Datenschutz bedarf weitergehender und konkretisierender Regulierung Weichert - Stuttgart - 28.6.2018 - DSGVO-Evaluation

Weichert - Stuttgart - 28.6.2018 - DSGVO-Evaluation DSGVO – Praxiserfahrungen und Evaluation - die Sicht eines Datenschutzexperten Thilo Weichert Waisenhofstr. 41, 24103 Kiel 0431 9719742 weichert@netzwerk-datenschutzexpertise.de www.netzwerk-datenschutzexpertise.de konkret https://www.netzwerk-datenschutzexpertise.de/sites/default/files/gut_2019_evaluationdsgvo_final.pdf Weichert - Stuttgart - 28.6.2018 - DSGVO-Evaluation