Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
Die folgende Seite ist eine persönliche Seite. Sie ist öffentlich im Interesse der Transparenz und zur Ermöglichung konstruktiver Diskussionen. Sie enthält kein gesichertes Wissen.</font>
9. DFN Konferenz Datenschutz
30.11.2022 9. DFN-Konferenz Datenschutz wieder als Präsenzveranstaltung und Hybrid (archive.org)
eigene Anmerkungen in […]
Keynote: Fanpages an Hochschulen - Social Media in öffentlichen Stellen
(Stefan Brink)
Gesamtsituation
- Evaluierung und (dringend notwendige) Weiterentwicklung der DSGVO fehlgeschlagen,
- auch keine pandemiegetriebene Anpassung „im Guten wie im Schlechten“,
Vorbemerkungen
- Kulminationspunkt von Social Media überschritten, evtl. schon Mitte der 2010´er Jahre
- Zentrifugalkräfte der Gesellschaft wurden durch Social Media befördert
- Twitter exemplarisch: Verständnis als Privateigentum, großer Einfluss des Eigentümers steht im Widerspruch zur hohen gesellschaftlichen Relevanz
- „Social Media Plattformen haben ihre Zeit“
- „Facebook schon lange mausetot, sie merken es nur nicht, wenn Sie dabei sind“
- TikTok der neueste Hype
- „Wir[?] sind diejenigen, die die Regeln machen“ - keine Hinnahme technischer Entwicklungen, gilt auch für Microsoft365
- Microsoft365 nicht per se rechtswidrig aber Verpflichtung der Verantwortlichen nachzuweisen(!), dass der Einsatz datenschutzkonform ist - „eine Menge zu tun“, Dokumente von Microsoft reichen nicht aus für den Nachweis, „Microsoft hat sich unbestreitbar auf den Weg gemacht“ aber es reicht noch nicht, kommendes EU-Boundary (Datenverarbeitung in Europa) wichtiger Schritt, Problem der „offensiven“ amerikanischen Gesetzgebung bleibt
Fanpages
- rein private Plattformen mit Gewinnerzielungsabsicht und eigener Agenda
- öffentliche Verwaltung unterliegt Bindungen, denen die Privatwirtschaft nicht unterliegt, insbesondere keine Anwendung des berechtigten Interesses (Art. 6 Abs. 1 UA 1 lit. f) sowohl wegen Art. 6 Abs. 1 UA 2 aber auch aus verfassungsrechtlichen Gründen(Bindung an Recht und Gesetz, gesetzliche Grundlagen für Eingriffe) und auch nur eingeschränkte Anwendung der Einwilligung
- allgemeine Betonung, dass Einwilligung ein Tatbestand unter mehreren ist und anders als in der (deutschen) Debatte auch nicht so gedacht ist
- Werbung außerhalb eines Über-/Unterordnungsverhältnisses [damit doch berechtigtes Interesse?]
- vermisst gesetzliche Regelungen zur Öffentlichkeitsarbeit [aber in Thüringen § 5 ThürHG insb. Abs. 2, 9, 10?]
- Social Media zur Versorgung von Studierenden mit Informationen und als Kommunikationskanal –> Rechtsgrundlage?
- Einsatz von Social Media auch vergaberechtliches/wettbewerbsrechtliches Thema (Ausschreibungen) auch Presserecht und Haushaltsrecht relevant [schlägt das über Art. 5 DSGVO auf Datenschutz durch?]
- Gemeinsame Verantwortlichkeit
- Vor 2018: Tools wurden einfach genutzt mit Verweis auf Verantwortlichkeit der Betreiber
- Seit 2018: Gemeinsame Verantwortlichkeit, Betroffene können „nicht mehr weggeschickt werden“
- Insights: Facebook lieferte und liefert an Betreiber der Fanpage Informationen über das Nutzungsverhalten der Seite [wohl wichtiges Argument für gemeinsame Verantwortlichkeit]
- Facebook weigerte[weigert?] sich mit Seitenbetreibern einen Vertrag gem. Art. 26 zu schließen
- Bundesdatenschutzbeauftragter mit Bundespresseamt in einer Auseinandersetzung, die vermutlich gerichtlich eskalieren wird - eher unglücklich gewähltes Beispiel, da hier Kommunikation Kernaufgabe ist
- Facebook hat wohl Abschalten der Insights angeboten - „cleverer Schritt“ auch wenn es nicht automatisch zur Rechtmäßigkeit führen wird [Hebel in Richtung C2C?]
- Verantwortlichkeit: Trotz Eigenständigkeit der Lehrstühle und Freiheit der Forschung bleibt Hochschule verantwortlich
- Risiko des Abwartens: Art. 82 DSGVO mit Schadenersatz - „hohe Durchschlagskraft und entlastende Wirkung für die Aufsichtsbehörden“ derzeit schon im Beschäftigtendatenschutz, „es gibt für alles Schadenersatz auch für kleine Verstöße“, Erheblichkeit analog Allgemeines Persönlichkeitsrecht nicht erforderlich, psychische Unsicherheit über unsichere Datenverarbeitung kann reichen
- TTDSG für Insights keine Ausnahme nach § 25 Abs. 2 TTDSG
Schluss
- „Datenschutz IST eine Fortschrittsbremse“ im Sinne von Hinterfragen des rein technisch getriebenen Fortschritts
- Cookiebanner für technisch notwendige Verarbeitungen ist nicht notwendig - „die Cookiebanner stehen da, weil jemand Daten über das technisch notwendige Maß hinaus verarbeiten möchte“ [FAQ mit LFDI BW?]
- Twitter: massiver Auszug zu verzeichnen[Ist das so?], starker Wechsel zu Mastodon, BaWü hat eigene Mastodon-Instanz eingerichtet mit inzwischen über 100 teilnehmenden öffentlichen Stellen (ähnliches auch für Youtube/Peertube)
Diskussion
- Frage: Gründe für schnelles Handeln anstatt auf anstehende Gerichtsentscheidungen zu warten?
- Schadenersatz: „Die Klagen kommen.“, Verbandsklagerecht/Musterklagerecht soll ausgebaut werden
- drohende Untersagungen: wohl beim Bundespresseamt,
- „EuGH gibt Gas“,
- Änderungen der DSGVO sind nicht zu erwarten;
- dringende Empfehlung Alternativkanal aufzubauen
- Gegenmeinung Prof Gerling: „Anders als bei Like-Button oder Google-Maps Einbindung ist bei Fanpages jedem klar, worauf er sich einlässt“ daher nur begrenzte Übertragbarkeit, Kritik an Gewinnerzielungsabsicht unverständlich. Konzentration auf intransparente oder verpflichtende Angebote, im Übrigen Eigenverantwortung der Nutzer
- Stellungnahme: Probleme sind Profilbildung und Manipulation - neue, auch politisch relevante Dimension [Ändert das etwas am möglichen eigenverantwortlichen Handeln?]
Meta und die deutsche Hochschulkommunikation am Verhandlungstisch
(Tabea Steinhauer, Ruhr-Universität Bochum, Vorstandsmitglied Bundesverband Hochschulkommunikation)
- auch wenn namentlich die Rede meist von Fanpages ist, geht es letztlich um alle sozialen Netzwerke
- Beispiele
- Twitter: scintific communities, Hochschulöffentlichkeit, Politik, Wirtschaft, Medien
- Instagramm: Studierende, Studieninteressierte
- LinkedIn: Politik, Wirtschaft, Medien, Alumni, Talente
- YouTube: Interessierte Öffentlichkeit, Studierende, Studieninteressierende
- Facebook: interessierte Öffentlichkeit, Studierende (dreistellige Klickzahlen)[Bei der Größe der RUB mE eher ein Zeichen, dass Facebook tot ist.]
- Musteranschreiben mit Mustervertrag (Art. 26 DSGVO) für Anfrage an Meta
- Beteiligung mindestens 40, eher 60-60 Hochschulen haben sich beteiligt
- Meta Deutschland fühlt sich nicht zuständig aber offensichtlich Weiterleitung nach Irland
- Rückantwort:
- Seitenbetreiber können Insights einsehen, alles was nicht einsehbar ist, ist keine gemeinsame Verantwortlichkeit
- gemeinsame Verantwortlichkeit wird weiter abgelehnt
- Schlussfolgerungen aus dem Kurzgutachten vom 18. März 2022 der DSK werden nicht geteilt
- Argument von Brink, dass Hochschulen Fanpages betreiben, kann nicht nachvollzogen werden, vielmehr sehr vielschichtige Gründe -
- neben Marketing auch
- Forschung,
- Krisenkommunikation zB bei Stromausfall, gemeingefährlichen TikTok-Challenges, Bombenentschärfungen
- demokratische Aufgabe [?]
- Bekämpfung FakeNews, Verschwörungstheorien
Diskussion
- Gegenmeinung: Verweis auf andere Stellen zB Ministerien geht fehl [Klar: keine Gleichheit im Unrecht, zumal bei Grundrechtsverpflichteten], generell kein Grund, Social Media noch zu unterstützen
- Stellungnahme: Webseitennutzung außerhalb Social Media deutlich abhängig von Bewerbung in Social Media, Gefahr der Bildung eines Vakuums, dass durch unerwünschte Stellen genutzt wird
- (Gegen-)Meinung: Wissenschaftskommunikation läuft international über Social Media, durch eigene (deutsche) Lösungen nicht ersetzbar, Verwendung Social Media zT in Förderrichtlinien vorgeschrieben
- Gegenmeinung: Verzicht auf Social Media entzieht Legitimität, „harter Kern“ von zB Verschwörungsideologen ohnehin nicht erreichbar
- Stellungnahme: öffentliche Stellen werden vermutlich nicht den entscheidenden Einfluss ausüben, dennoch: Alternativen wie Mastodon müssen versucht werden, ggf. auch Klärung wer Instanzen einrichtet (einzelne Hochschule? Landesebene?), Moderation etc. bei Mastodon schwierig-nur im Rahmen der einzelnen Instanz möglich aber (faktische) Deförderierungen wurden bereits umgesetzt, kompletter Ersatz kommerzieller Plattformen ist unrealistisch
- Meinung: Meta ein Fall für besonders große Kooperationsunwilligkeit, bei Google zB trotz gegenteiliger Auffassungen zumindest Kommunikation möglich
Standardvertragsklauseln zur Auftragsverarbeitung an Hochschulen
(Ursula Hilgers, Datenschutzbeauftragte der Heinrich Heine Universität Düsseldorf)
Verarbeitung im Auftrag
(Siehe Auftragsverarbeitung)
- Begriffsbestimmung, Art. 4 Nr. 8 DSGVO
- inhaltliche Anforderungen, Art. 28 DSGVO
Ausgangssituation
- Prüfung der Verträge sehr zeitaufwendig
- Bisher Mustervertrag der NRW-Hochschulen
- Akzeptanzprobleme, langwierige Verhandlungen
- hochschulinterne Vorbehalte gegen Muster
- Nutzung in Verbundprojekten mehrerer Hochschulen
- Alternative: Prüfung der Verträge der Dienstleister
- sehr zeitaufwendig
- häufig unzureichende Qualität
Standardvertragsklauseln
- NICHT: Standardvertragsklauseln über Drittlandstransfer
- Durchführungsbeschluss EU 2021/915 über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Art. 28 Abs. 7 DSGVO, Anhang Standardvertragsklauseln mit Verweisen auf die Folgeanhängen I-IV
- Nach Klausel 2 Abs. a sind Ergänzungen und Konkretisierungen unter bestimmten Voraussetzungen (Abs. b) zulässig
- Zielsetzung
- Nutzung für einen Vertrag für die Verarbeitung im Auftrag
- Redaktionelle Änderungen
- Umwandlung in Text-Dokument
- Ausfüllhinweise/Erläuterungen
- Ergänzungen am Ende des Vertragstextes (Neuer Abschnitt IV, Klausel 11), somit Beibehaltung des EU-Vertragstextes als Ganzes aber Grundverständnis dieses Vertrages damit notwendig, weil jeweils in den feststehenden Vertragstext verwiesen wird
- Inhaltliche Anpassungen (ua)
- Aufbewahrungsfrist für erteilte Weisungen
- Dokumentation - VVT
- Unterstützung bei Erstellung und Prüfung
- Mitteilung der erforderlichen Angaben
- Vorgaben zur Kommunikation mit Dritten
- Vorgaben zur Fernwartung (falls relevant)
- Sicherheit der Verarbeitung
- Anpassung der TOM´s während der Vertragslaufzeit - bei Gewährleistung des Sicherheitsniveaus
- Mobile Arbeit - Ergänzung optionaler Regelungen (Ausschluss bestimmter Tätigkeiten durch den Auftragsverarbeiter im HomeOffice)
- Pflicht zur Vertraulichkeit der Beschäftigten des Auftragsverarbeiters - auch nach Beendigung des Vertrages und/oder Beschäftigungsverhältnisses
- Kategorien betroffener Personen: Standardisierung/Checkboxen [!]
- Ergänzung Angabe zur Nutzung Fernwartung
- in Anhang III Technisch-Organisatorische Maßnahmen
- müssen konkret beschrieben werden - Checkboxen unerwünscht [?]
- Änderungen
- konkrete Bennenung der Maßnahmen
- Maßnahmen zur Sicherstellung der Betroffenenrechte
- Fazit
- Neues Vertragsmuster zur stärkeren Vereinheitlichung
- Erarbeitung eines Vorschlages von einer kleinen Gruppe DSB dann Ausrollen in NRW wohl recht erfolgreich
Diskussion
- Frage: Akzeptanz durch Auftragsverarbeiter?
- Antwort: „Verhaltene“ Reaktion, je größer desto schwieriger, Bekanntheit der EU-Vorlage ist eher gering
- Anmerkung: Zwei Anbieter nehmen Beschluss in Bezug und drucken den Text nicht im Vertrag ab
- Problem: Was ist bei einer Änderung der Beschlusslage? [statische Verweisung und ggf. Anpassungsklausel?]
- Anmerkung: Praktische Umsetzung schwierig, vor allem bei Bezugnahmen
- Anmerkung: Standardvertragsklauseln gem. Beschluss EU 2021/915 wurde von Microsoft abgelehnt, dennoch sollte es weiter versucht werden
Alteinwilligungen für wissenschaftliche Forschungszwecke aus der datenschutzrechtlichen Perspektive
(Fruzsina Molnár-Gábor, Heidelberg University/Faculty of Law, BioQuant Centre)
[Alteinwilligungen im Sinne von Einwilligungen, die vor Wirksamwerden der DSGVO erteilt wurden.]
- Einleitung: Weiterverarbeitung von Daten
- Erwägungsgrund 171 Satz 3 DSGVO: Einwilligungen gemäß der Richtlinie 95/46/EG weiter verwendbar, wenn die Art der Einwilligung den Bedingungen der DSGVO entspricht
- 1. Schritt: Entspricht die Alteinwilligung der DSGVO (Vereinbarkeit)?
- 2. Schritt: Vereinbarkeit der Verarbeitungskontexte?
- Anforderungen an Einwilligung
- freiwillig
- informiert
- „Sachverhalt und Risiken –> Anforderungen an die Informationspflichten“ [?]
- Widerruf
- Vereinbarkeit der Alteinwilligung mit den Vorgaben der DSGVO
- Erwägungsgrund 171 S. 3 DSGVO
- vergleichbares Schutzniveau –> Überschaubarkeit der Tragweite der Datenverarbeitung; Art. 13,14,7,5 [mE auch Transparenz, Art. 12] DSGVO
- Prüfung: Ist der Informationsgehalt der Daten vergleichbar?
- Prüfung: Ist der Verarbeitungszweck vergleichbar?
- Prüfung: Vergleichbarkeit der verantwortlichen Verarbeiter?
- Anforderungen an die Weiterverarbeitung
- Vergleichbarkeit der Risikobewertung
- Vergleich der Risikobeurteilung und Anpassungsmaßnahmen
- Problem bspw. Deanonymisierung der betroffenen Person [Was natürlich auf erhebliche Probleme bei der ursprünglichen Anonymisierung hinweist]
Diskussion
- Frage: Praxisrelevanz? Wie oft können ältere Einwilligungen tatsächlich weiterverwendet werden?
- Antwort: Relevanz eher bei jüngeren Einwilligungen aus der Übergangszeit
[Bei öffentlichen Hochschulen in anderen Bundesländern als Baden-Württemberg sollte geprüft werden, ob das das Landesrecht spezifische Regelungen zur Zweckbindung vorsieht. Siehe § 28 Thüringer Datenschutzgesetz.]
Recht auf Auskunft und Kopie - Überblick zu ausgewählten Urteilen und Vorschlägen für die Umsetzung in der Praxis
(Philipp Quiel, Piltz Rechtsanwälte PartGmbB, Berlin)
- Auskunftsrecht das praxisrelevanteste aber auch umstrittenste Betroffenenrecht
- Daueraufgabe für Verantwortliche, die Ressourcen bindet
- Erwägungsgrund 63 Satz 1: „um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können“ - Rechtsprechung sieht weitere Zwecke, zB Nowak-Entscheidung
- Fragen
- Auskunftsansprüche für datenschutzfremde Zwecke?
- Was ist eine Kopie und was muss kopiert werden?
- Müssen alle Empfänger namentlich genannt werden?
- Wann greifen die Ausnahmen?
- Wann liegt ein Missbrauch vor?
- Fallbeispiel: Student geht nicht zur Einsichtnahme sondern stellt Antrag nach Art. 15 und will auch die Prüferanmerkungen sehen. Rechtsmissbrauch? [unendliche Geschichte, siehe Recht auf Kopie bei Prüfungsleistungen.]
- BGH [in Vorlagebeschluss?] „nur wenn von der Rechtsordnung missbilligte Ziele verfolgt, arglistig oder schikanös“, aktuelle Rechtsprechung sehr uneinheitlich, Verweis auf § 242 BGB sehr fragwürdig
- Art. 12 Abs. 5 DSGVO „offenkundig unbegründete oder exzessive Anträge“ - grundsätzlich keine Begründung erforderlich, historische Analyse weder eindeutig für noch gegen Missbrauch als Form von offenkundig unbegründeten Anträgen
- ABER: Missbrauchsverbot allgemeiner Rechtsgrundsatz gilt damit für jede unionsrechtliche Vorschrift auf Ebene des Primärrechts
- Wann liegt ein Missbrauch vor?
- Subjektives Element? Ziel des Betroffenen ABER AUCH Erlangung eines ungerechtfertigten Vorteils - letzteres nicht, wenn andere Erklärung möglich ist (so GÄ im Fall Nowak)
- Objektives Element? Verfehlt die Regelung ihr Ziel? –> Wann kann eine Auskunft NICHT dazu führen, dass sich Betroffener der Verarbeitung bewusst ist [wird?], Rechtmäßigkeit prüfen und Betroffenenrecht ausüben kann?
- EuGH könnte Vorlage des BGH folgen
- Praxis: Zurückhaltend mit Annahme Missbrauch umgehen, in der Praxis Standard-Antworten so optimieren, dass die Mehrzahl der Anfragenden zufriedengestellt sind und ggf. in den übrigen Fällen vorläufig[im Wissen um die Brisanz] auch Missbrauch einwenden