Der inhaltliche Schwerpunkt der Veranstaltung lag überwiegend in der praktischen Umsetzung der Datenschutzgrundverordnung im Unternehmen sowie aus alltäglicher Praxis gewonnener Erkenntnisse und Erfahrungen sowie dem direkten Austausch zwischen Datenschutz-Aufsichtsbehörden, Juristen sowie internen/externen Datenschutzbeauftragten.
Umsetzung der DS-GVO aus der Sicht der deutschen Aufsichtsbehörden
Eröffnet wurde die DSK von dem Landesbeauftragten für Datenschutz und Informationssicherheit des Landes Baden-Württemberg, Herrn Dr. Stefan Brink. Dieser hat einen kurzen Überblick verschafft über die derzeitige Situation in Bezug auf die Umsetzung der DS-GVO sowohl auf nationaler, als auch auf europäischer Ebene.
Herr Dr. Brink betonte in diesem Zusammenhang unter anderem die Doppelfunktion der deutschen Aufsichtsbehörden, welche einerseits mit der Beratung diverser Unternehmen sowie betroffener Personen betraut sind, gleichzeitig jedoch mit der Kompetenz ausgestattet seien, Bußgelder aufgrund von Datenschutzverstößen zu erteilen. Darüber hinaus wurde auch noch einmal die hohe Relevanz der in der DS-GVO normierten Rechenschaftspflicht nach Art. 5 Abs. 2 hervorgehoben, wonach eine Verpflichtung zur Datenschutzkonformität jederzeit und unabhängig von Überprüfungen durch Datenschutzaufsichtsbehörden besteht.
Gemeinsame Verantwortlichkeit gemäß Art. 26 DS-GVO
Lennart Schüßler von der Kanzlei Bird und Bird thematisierte in seinem Vortrag das im Juni 2018 ergangene Urteil des Europäischen Gerichtshofes zum Thema „Gemeinsame Verantwortlichkeit“ nach Art. 26 DS-GVO in Bezug auf Facebook Fanpages. Demnach sind sowohl der Fanpage-Betreiber als auch Facebook aus datenschutzrechtlicher Sicht gemeinsam für Datenverarbeitungen von Besucherdaten der jeweiligen Fanpages verantwortlich. Praktisch relevant wird diese Problematik vor allem für die Frage, inwiefern die inhaltliche Abgrenzung zu der klassischen Auftragsverarbeitung nach Art. 28 DS-GVO erfolgt. Diese zeichnet sich u. a. dadurch aus, dass der Auftragsverarbeiter die Datenverarbeitung ausschließlich auf Weisung des Verantwortlichen ausführen darf und ein eigenverantwortliches Handeln vollkommen ausscheidet. Herr Schüßler betonte in diesem Zusammenhang vor allem die Notwendigkeit, dass sich die gemeinsame Verantwortlichkeit sowohl auf die Zwecke, daneben aber gleichzeitig auch auf die jeweiligen Mittel der entsprechenden Datenverarbeitung beziehen müsse. Faktisch sollen folglich primär die tatsächlichen Einflussmöglichkeiten der betroffenen Unternehmen untereinander maßgeblich sein, nicht hingegen die formale/vertragliche Ausgestaltung zwischen den jeweiligen Vertragsparteien. Für die Beurteilung einer gemeinsamen Verantwortlichkeit sei ein gleichermaßen verteiltes Maß an Beteiligung bezüglich der Datenverarbeitung jedoch nicht ausschlaggebend, sondern es sei vielmehr entscheidend, dass Zwecke und Mittel durch die Verantwortlichen gemeinsam festgelegt seien. Als Fazit lässt sich festhalten, dass eine sog. gemeinsame Verantwortlichkeit nicht zwingend ein gleichwertiges Maß an der Beteiligung der Datenverarbeitung voraussetzt.
DS-GVO in Werbung, CRM und Online-Tracking
Herr Dr. Johannes Baumann von der Kanzlei Beiten Burkhardt offenbarte einen kurzen Überblick im Hinblick auf die derzeitigen, datenschutzrechtlichen Anforderungen bezüglich Online Tracking, Werbung und CRM. Hierbei ging es insbesondere um die Frage, auf welche Rechtsgrundlage sich einzelne Datenverarbeitungsprozesse stützen lassen. Herr Dr. Baumann thematisierte in diesem Zusammenhang die Relevanz der Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DS-GVO sowie die Tatsache, dass im speziellen Fall eines Einsatzes automatisierter Selektionsverfahren zur Erstellung detaillierter Verhaltensprognosen/Profilen die rechtliche Zulässigkeit auf Grundlage einer Interessenabwägung gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO nicht erfolgen könne. Nicht zu verkennen ist in diesem Zusammenhang das in Art. 7 Abs. 4 DS-GVO normierte „Kopplungsverbot“, wonach es bei der Abgabe einer Einwilligung primär auf die Frage ankommt, ob diese auf freiwilliger Basis des jeweiligen Nutzers erfolgt sei. Dies beurteilt sich u.a. danach, ob die Erfüllung des jeweiligen Vertrages von der Einwilligung des Nutzers in eine solche Datenverarbeitung abhängig gemacht wird, die für die Erfüllung des primären Vertragszweckes jedoch gar nicht erforderlich sei.
Im Zusammenhang mit dem Zusenden von Werbe-Newsletter steht die Frage im Raum, inwiefern sich dies als notwendige Finanzierung der vertraglich geschuldeten Leistung des Verantwortlichen qualifizieren lässt und inwieweit die Anforderungen an eine rechtswirksame Einwilligung umgangen würden, soweit man sich bezüglich dieser Datenverarbeitung auf die Rechtsgrundlage des Art. 6 Abs. 1 S. 1 lit. b DS-GVO beruft. Herr Dr. Baumann hat in diesem Zusammenhang Bezug genommen auf den 8. Tätigkeitsbericht 2017/2018 des LDA Bayern sowie auf ein Kurzpapier der DSK, wonach es maßgeblich darauf ankommen soll, dass die vertraglich ausbedungene Gegenleistung (z.B. kostenloser E-Mail-Account gegen Zustimmung für Newsletter-Zusendung als „Gegenfinanzierung“) in eindeutiger und verständlicher Form vermittelt werde, so dass die Entscheidung des Nutzers auf einer sachgerechten Grundlage erfolgen könne.