9. DFN Konferenz Datenschutz

30.11.2022 9. DFN-Konferenz Datenschutz wieder als Präsenzveranstaltung und Hybrid (archive.org)

eigene Anmerkungen in []

(Stefan Brink)

• Evaluierung und (dringend notwendige) Weiterentwicklung der DSGVO fehlgeschlagen,
• auch keine pandemiegetriebene Anpassung „im Guten wie im Schlechten“,

• Kulminationspunkt von Social Media überschritten, evtl. schon Mitte der 2010´er Jahre
• Zentrifugalkräfte der Gesellschaft wurden durch Social Media befördert
• Twitter exemplarisch: Verständnis als Privateigentum, großer Einfluss des Eigentümers steht im Widerspruch zur hohen gesellschaftlichen Relevanz
• „Social Media Plattformen haben ihre Zeit“
• „Facebook schon lange mausetot, sie merken es nur nicht, wenn Sie dabei sind“
• TikTok der neueste Hype
• „Wir[?] sind diejenigen, die die Regeln machen“ - keine Hinnahme technischer Entwicklungen, gilt auch für Microsoft365
• Microsoft365 nicht per se rechtswidrig aber Verpflichtung der Verantwortlichen nachzuweisen(!), dass der Einsatz datenschutzkonform ist - „eine Menge zu tun“, Dokumente von Microsoft reichen nicht aus für den Nachweis, „Microsoft hat sich unbestreitbar auf den Weg gemacht“ aber es reicht noch nicht, kommendes EU-Boundary (Datenverarbeitung in Europa) wichtiger Schritt, Problem der „offensiven“ amerikanischen Gesetzgebung bleibt

• rein private Plattformen mit Gewinnerzielungsabsicht und eigener Agenda
• öffentliche Verwaltung unterliegt Bindungen, denen die Privatwirtschaft nicht unterliegt, insbesondere keine Anwendung des berechtigten Interesses (Art. 6 Abs. 1 UA 1 lit. f) sowohl wegen Art. 6 Abs. 1 UA 2 aber auch aus verfassungsrechtlichen Gründen(Bindung an Recht und Gesetz, gesetzliche Grundlagen für Eingriffe) und auch nur eingeschränkte Anwendung der Einwilligung
• allgemeine Betonung, dass Einwilligung ein Tatbestand unter mehreren ist und anders als in der (deutschen) Debatte auch nicht so gedacht ist
• Werbung außerhalb eines Über-/Unterordnungsverhältnisses [damit doch berechtigtes Interesse?]
• vermisst gesetzliche Regelungen zur Öffentlichkeitsarbeit [aber in Thüringen § 5 ThürHG insb. Abs. 2, 9, 10?]
• Social Media zur Versorgung von Studierenden mit Informationen und als Kommunikationskanal –> Rechtsgrundlage?
• Einsatz von Social Media auch vergaberechtliches/wettbewerbsrechtliches Thema (Ausschreibungen) auch Presserecht und Haushaltsrecht relevant [schlägt das über Art. 5 DSGVO auf Datenschutz durch?]
• Gemeinsame Verantwortlichkeit
  • Vor 2018: Tools wurden einfach genutzt mit Verweis auf Verantwortlichkeit der Betreiber
  • Seit 2018: Gemeinsame Verantwortlichkeit, Betroffene können „nicht mehr weggeschickt werden“
  • Insights: Facebook lieferte und liefert an Betreiber der Fanpage Informationen über das Nutzungsverhalten der Seite [wohl wichtiges Argument für gemeinsame Verantwortlichkeit]
  • Facebook weigerte[weigert?] sich mit Seitenbetreibern einen Vertrag gem. Art. 26 zu schließen
  • Bundesdatenschutzbeauftragter mit Bundespresseamt in einer Auseinandersetzung, die vermutlich gerichtlich eskalieren wird - eher unglücklich gewähltes Beispiel, da hier Kommunikation Kernaufgabe ist
    • Facebook hat wohl Abschalten der Insights angeboten - „cleverer Schritt“ auch wenn es nicht automatisch zur Rechtmäßigkeit führen wird [Hebel in Richtung C2C?]
• Verantwortlichkeit: Trotz Eigenständigkeit der Lehrstühle und Freiheit der Forschung bleibt Hochschule verantwortlich
• Risiko des Abwartens: Art. 82 DSGVO mit Schadenersatz - „hohe Durchschlagskraft und entlastende Wirkung für die Aufsichtsbehörden“ derzeit schon im Beschäftigtendatenschutz, „es gibt für alles Schadenersatz auch für kleine Verstöße“, Erheblichkeit analog Allgemeines Persönlichkeitsrecht nicht erforderlich, psychische Unsicherheit über unsichere Datenverarbeitung kann reichen
• TTDSG für Insights keine Ausnahme nach § 25 Abs. 2 TTDSG

• „Datenschutz IST eine Fortschrittsbremse“ im Sinne von Hinterfragen des rein technisch getriebenen Fortschritts
• Cookiebanner für technisch notwendige Verarbeitungen ist nicht notwendig - „die Cookiebanner stehen da, weil jemand Daten über das technisch notwendige Maß hinaus verarbeiten möchte“ [FAQ mit LFDI BW?]
• Twitter: massiver Auszug zu verzeichnen[Ist das so?], starker Wechsel zu Mastodon, BaWü hat eigene Mastodon-Instanz eingerichtet mit inzwischen über 100 teilnehmenden öffentlichen Stellen (ähnliches auch für Youtube/Peertube)

• Frage: Gründe für schnelles Handeln anstatt auf anstehende Gerichtsentscheidungen zu warten?
  • Schadenersatz: „Die Klagen kommen.“, Verbandsklagerecht/Musterklagerecht soll ausgebaut werden
  • drohende Untersagungen: wohl beim Bundespresseamt,
  • „EuGH gibt Gas“,
  • Änderungen der DSGVO sind nicht zu erwarten;
  • dringende Empfehlung Alternativkanal aufzubauen
• Gegenmeinung Prof Gerling: „Anders als bei Like-Button oder Google-Maps Einbindung ist bei Fanpages jedem klar, worauf er sich einlässt“ daher nur begrenzte Übertragbarkeit, Kritik an Gewinnerzielungsabsicht unverständlich. Konzentration auf intransparente oder verpflichtende Angebote, im Übrigen Eigenverantwortung der Nutzer
  • Stellungnahme: Probleme sind Profilbildung und Manipulation - neue, auch politisch relevante Dimension [Ändert das etwas am möglichen eigenverantwortlichen Handeln?]

(Tabea Steinhauer, Ruhr-Universität Bochum, Vorstandsmitglied Bundesverband Hochschulkommunikation)

• auch wenn namentlich die Rede meist von Fanpages ist, geht es letztlich um alle sozialen Netzwerke
• Beispiele
  • Twitter: scintific communities, Hochschulöffentlichkeit, Politik, Wirtschaft, Medien
  • Instagramm: Studierende, Studieninteressierte
  • LinkedIn: Politik, Wirtschaft, Medien, Alumni, Talente
  • YouTube: Interessierte Öffentlichkeit, Studierende, Studieninteressierende
  • Facebook: interessierte Öffentlichkeit, Studierende (dreistellige Klickzahlen)[Bei der Größe der RUB mE eher ein Zeichen, dass Facebook tot ist.]
• Musteranschreiben mit Mustervertrag (Art. 26 DSGVO) für Anfrage an Meta
  • Beteiligung mindestens 40, eher 60-60 Hochschulen haben sich beteiligt
  • Meta Deutschland fühlt sich nicht zuständig aber offensichtlich Weiterleitung nach Irland
  • Rückantwort:
    • Seitenbetreiber können Insights einsehen, alles was nicht einsehbar ist, ist keine gemeinsame Verantwortlichkeit
    • gemeinsame Verantwortlichkeit wird weiter abgelehnt
    • Schlussfolgerungen aus dem Kurzgutachten vom 18. März 2022 der DSK werden nicht geteilt
  • Argument von Brink, dass Hochschulen Fanpages betreiben, kann nicht nachvollzogen werden, vielmehr sehr vielschichtige Gründe -
    • neben Marketing auch
    • Forschung,
    • Krisenkommunikation zB bei Stromausfall, gemeingefährlichen TikTok-Challenges, Bombenentschärfungen
    • demokratische Aufgabe [?]
    • Bekämpfung FakeNews, Verschwörungstheorien

• Gegenmeinung: Verweis auf andere Stellen zB Ministerien geht fehl [Klar: keine Gleichheit im Unrecht, zumal bei Grundrechtsverpflichteten], generell kein Grund, Social Media noch zu unterstützen
  • Stellungnahme: Webseitennutzung außerhalb Social Media deutlich abhängig von Bewerbung in Social Media, Gefahr der Bildung eines Vakuums, dass durch unerwünschte Stellen genutzt wird
• (Gegen-)Meinung: Wissenschaftskommunikation läuft international über Social Media, durch eigene (deutsche) Lösungen nicht ersetzbar, Verwendung Social Media zT in Förderrichtlinien vorgeschrieben
• Gegenmeinung: Verzicht auf Social Media entzieht Legitimität, „harter Kern“ von zB Verschwörungsideologen ohnehin nicht erreichbar
  • Stellungnahme: öffentliche Stellen werden vermutlich nicht den entscheidenden Einfluss ausüben, dennoch: Alternativen wie Mastodon müssen versucht werden, ggf. auch Klärung wer Instanzen einrichtet (einzelne Hochschule? Landesebene?), Moderation etc. bei Mastodon schwierig-nur im Rahmen der einzelnen Instanz möglich aber (faktische) Deförderierungen wurden bereits umgesetzt, kompletter Ersatz kommerzieller Plattformen ist unrealistisch
• Meinung: Meta ein Fall für besonders große Kooperationsunwilligkeit, bei Google zB trotz gegenteiliger Auffassungen zumindest Kommunikation möglich

(Ursula Hilgers, Datenschutzbeauftragte der Heinrich Heine Universität Düsseldorf)

(Siehe Auftragsverarbeitung)

• Begriffsbestimmung, Art. 4 Nr. 8 DSGVO
• inhaltliche Anforderungen, Art. 28 DSGVO

• Prüfung der Verträge sehr zeitaufwendig
• Bisher Mustervertrag der NRW-Hochschulen
  • Akzeptanzprobleme, langwierige Verhandlungen
  • hochschulinterne Vorbehalte gegen Muster
  • Nutzung in Verbundprojekten mehrerer Hochschulen
• Alternative: Prüfung der Verträge der Dienstleister
  • sehr zeitaufwendig
  • häufig unzureichende Qualität

• NICHT: Standardvertragsklauseln über Drittlandstransfer
• Durchführungsbeschluss EU 2021/915 über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Art. 28 Abs. 7 DSGVO, Anhang Standardvertragsklauseln mit Verweisen auf die Folgeanhängen I-IV
• Nach Klausel 2 Abs. a sind Ergänzungen und Konkretisierungen unter bestimmten Voraussetzungen (Abs. b) zulässig
• Zielsetzung
  • Nutzung für einen Vertrag für die Verarbeitung im Auftrag
• Redaktionelle Änderungen
  • Umwandlung in Text-Dokument
  • Ausfüllhinweise/Erläuterungen
  • Ergänzungen am Ende des Vertragstextes (Neuer Abschnitt IV, Klausel 11), somit Beibehaltung des EU-Vertragstextes als Ganzes aber Grundverständnis dieses Vertrages damit notwendig, weil jeweils in den feststehenden Vertragstext verwiesen wird
• Inhaltliche Anpassungen (ua)
  • Aufbewahrungsfrist für erteilte Weisungen
  • Dokumentation - VVT
    • Unterstützung bei Erstellung und Prüfung
    • Mitteilung der erforderlichen Angaben
  • Vorgaben zur Kommunikation mit Dritten
  • Vorgaben zur Fernwartung (falls relevant)
  • Sicherheit der Verarbeitung
    • Anpassung der TOM´s während der Vertragslaufzeit - bei Gewährleistung des Sicherheitsniveaus
    • Mobile Arbeit - Ergänzung optionaler Regelungen (Ausschluss bestimmter Tätigkeiten durch den Auftragsverarbeiter im HomeOffice)
    • Pflicht zur Vertraulichkeit der Beschäftigten des Auftragsverarbeiters - auch nach Beendigung des Vertrages und/oder Beschäftigungsverhältnisses
  • Kategorien betroffener Personen: Standardisierung/Checkboxen [!]
  • Ergänzung Angabe zur Nutzung Fernwartung
• in Anhang III Technisch-Organisatorische Maßnahmen
  • müssen konkret beschrieben werden - Checkboxen unerwünscht [?]
  • Änderungen
    • konkrete Bennenung der Maßnahmen
    • Maßnahmen zur Sicherstellung der Betroffenenrechte
• Fazit
  • Neues Vertragsmuster zur stärkeren Vereinheitlichung
  • Erarbeitung eines Vorschlages von einer kleinen Gruppe DSB dann Ausrollen in NRW wohl recht erfolgreich

• Frage: Akzeptanz durch Auftragsverarbeiter?
  • Antwort: „Verhaltene“ Reaktion, je größer desto schwieriger, Bekanntheit der EU-Vorlage ist eher gering
• Anmerkung: Zwei Anbieter nehmen Beschluss in Bezug und drucken den Text nicht im Vertrag ab
  • Problem: Was ist bei einer Änderung der Beschlusslage? [statische Verweisung und ggf. Anpassungsklausel?]
• Anmerkung: Praktische Umsetzung schwierig, vor allem bei Bezugnahmen
• Anmerkung: Standardvertragsklauseln gem. Beschluss EU 2021/915 wurde von Microsoft abgelehnt, dennoch sollte es weiter versucht werden

(Fruzsina Molnár-Gábor, Heidelberg University/Faculty of Law, BioQuant Centre)

• Einleitung: Weiterverarbeitung von Daten
  • Erwägungsgrund 171 Satz 3 DSGVO: Einwilligungen gemäß der Richtlinie 95/46/EG weiter verwendbar, wenn die Art der Einwilligung den Bedingungen der DSGVO entspricht
  • 1. Schritt: Entspricht die Alteinwilligung der DSGVO (Vereinbarkeit)?
  • 2. Schritt: Vereinbarkeit der Verarbeitungskontexte?