 So, und jetzt sagen wir Hallo zu unserem nächsten Talk mit dem Titel Datenschutz für Neuländer. Unsere Referentin ist Beata, die seit 2009 Datenschutzbeauftragte ist, sogar selbst auch Datenschützer ausbildet und auch Anwältin in dem Bereich ist. Bitte sagt ihr Hallo. Hallo. Dankeschön. Hallo. Ich freue mich sehr, hier sein zu können und über einer meiner Lieblingsthemen zu sprechen. Das ist der Datenschutz. Ich beschäftige mich schon etwas länger mit diesem Bereich und bin hier, um euch die Basics mitzuteilen. Also, was ist Datenschutz und was ist Datenschutz nicht? Der Datenschutz ist ein sehr junges Rechtsgebiet. Ich würde fast sagen, mir fällt gerade spontan kein jüngeres Rechtsgebiet ein. Da wird natürlich noch sehr viel gebastelt und einer der Ergebnisse hatten wir dieses Jahr. Mai hat dann die Datenschutz-Grundverordnung ihre Wirkung entfalten. Ich bin mir ganz sicher, dass jeder von euch davon erfahren hat. Und Datenschutz ist aber kein leichtes Rechtsgebiet. Deshalb finde ich das so wichtig und bin ich sehr froh, dass ich hier darüber reden kann, was so die Grundlagen sind. Mein Wunsch ist und ich werde mir alle Mühe geben, dass wenn ihr den Vortrag vorbei ist und ihr den Raum verlasst oder ihr den später angesehen habt, dass ihr ein bisschen sicherer seid in diesem Bereich. Datenschutz ist auch deshalb so kompliziert, weil die Anfänger nicht so ganz glatt waren. Also der Gesetzgeber hat sich nicht gleich hingesetzt und gesagt, oh, ich sehe hier Regelungsbedarf und höre die einzelnen Meinungen an. Ich habe Gesetzgeber, die spezialisiert darauf sind, sich den Bereich umfänglich anzusehen und regel dann diesen Bereich. Das hat ja nicht gemacht, sondern auf Landesebene ist es in Deutschland schon passiert in Hessen als erstes, aber das ist mehr im Verwaltungsbereich gewesen. Und 1983 hat das Bundesverfassungsgericht gesagt, es gibt ein Grundrecht auf Datenschutz, also ein Recht auf informationelle Selbstbestimmung. Das bedeutet, ich habe ein Recht darauf, selber darüber zu bestimmen, zu entscheiden, wer meine personenbezogene Daten hat, was er damit macht und mich auch dagegen zu wehren, das zu kontrollieren, das zu verbessern, nicht einfach Objekt zu sein, sondern subjektlich kann damit reingehen in das Verfahren. Daher komme ich noch mal. 25 Jahre später hat das Bundesverfassungsgericht noch einmal gesagt, dass wir ein zweites Grundrecht haben im Datenschutz, und zwar das Recht auf Vertraulichkeit und Integrität von kommunikationstechnischen System. Ich nehme mal an, hier sind über 2.000 kommunikationstechnische Systeme drin, in diesem Raum wahrscheinlich noch viel mehr, und die sind alle geschützt, und zwar grundrechtlich geschützt, also über unsere Verfassung, weil das Bundesverfassungsgericht das gesagt hat, das ist das einzige Gericht, das etwas sagen kann, was dann Gesetzeskraft hat. Datenschutz hat das besetztes Fundament von zwei Grundrechten. Und jetzt gehen wir mal in die Praxis rein. Ich nehme mein Schlüssel, meine Handtasche, meine Jacke und gehe raus und will mich mit Freunden treffen. Heute Abend Party und will vorher noch ein paar Besorgungen machen. Und bin privat, gehe auf die Straße, und das Nachbarhaus hat Videoberwachung. Datenschutzproblem. Das war einfach mal schon deshalb, weil ich muss an diesem Bürgersteig muss ich lang laufen können, ohne überwacht zu werden, weil ich habe ja Grundrecht. Und da hat das Amtsgericht Berlin-Mitte gesagt, ja, das stimmt. Aber der Eigentümer hat auch das Grundrecht, auf Eigentum sein Eigentum zu schützen. Technische Überwachung ist eine Maßnahme, um Eigentum zu schützen. Kompromiss, ein Dritte des Gehwegs darf überwacht werden, zwei Dritte nicht, da müssen die Leute vorbeikommen können, ohne überwacht zu werden. Das heißt, an den Kameras sind die Kameras so eingestellt. Ich bin die Häuserwand. Und dann geht es aber weiter. Dann hole ich mir Geld, wird aufgezeichnet, technisch aufgezeichnet. Dann hole ich mir ein Ticket, dann springe ich in die S-Bahn rein. Dann werde ich da überwacht, gehe raus, werde wieder überwacht. Also wo ich einsteige, wie ich da sitze, was ich lese. Wo ich wieder aussteige. Dann gehe ich in ein Café, treff mich mit jemandem. Leider hat sich das so entwickelt, dass sogar Cafés überwacht werden. Vor 50 Jahren war das noch anders, da konnte man da in Ruhe sitzen. Was ich damit sagen will, im öffentlichen Raum, ist die technische Überwachung sehr weitläufig. Und ich muss mich damit auseinandersetzen. Auseinandersetzung ist natürlich, dass ich mir das klarmache, dass es so ist. Und dann gehe ich abends auf eine Party. Ich bin immer noch bei dem Thema, was ist Datenschutz und was ist Datenschutz eben nicht. Und lerne Leute kennen und treff Leute wieder. Datenschutz ist nicht, dass ich ihnen nicht meine E-Mail-Adresse gebe oder meine Telefonnummer. Datenschutz ist, dass ich nicht zur Belustigung von anderen Geschichten von meiner Arbeit erzähle. Da fängt der Datenschutz an. Vor allem, wenn ich im sozialen Bereich tätig bin oder wenn ich in der Personalabteilung arbeite. Wir Menschen lieben, das uns Geschichten zu erzählen und wir sollen auch nicht davon aufhören, uns Geschichten zu erzählen. Das machen wir ständig. Aber wir müssen es anonymisiert machen. Ich darf die verrücktesten Sachen erzählen, die mir in meinem Leben passieren. Ich kann nicht alles machen. Aber ich darf diejenigen nicht nennen, um die es geht. Also ich muss es anonymisieren. Okay. Viele denken sich sicher, dass der Datenschutz älter ist als diese paar Jahrzehnte. Weil es ja schon immer Bereiche gab, wo Vertraulichkeit wichtig war. Also zum Beispiel, wenn ich zum Arzt gehe. Zum Arzt sind die Menschen schon immer gegangen. Und da ist ein Bereich zwischen Arzt und Patient, der geschützt ist. Und zwar über die Berufsregeln. Über das Berufsrecht. Genauso auch zwischen Anwalt und Mandant. Oder auch im Geldlei-System. Das liegt... Das ist notwendig, damit man überhaupt seinen Beruf ausüben kann. Als Arzt muss ich meinen Patienten garantieren, dass ich nicht anderen Leuten weitererzähle, was bei mir in der Praxis passiert. Genauso auch der Anwalt kann nicht arbeiten, wenn sein Mandant nicht vertrauensvoll mit ihm reden kann. Datenschutz ist das, wenn dann eine dritte Person personenbezogene Daten hat, dass sie nicht damit wirtschaften darf oder nach eigenen Interessen diese Daten verarbeiten darf. Da fängt dann der Datenschutz an. Also auch bei Priesta zum Beispiel. Gibt es auch ein Vertrauensverhältnis. Aber dann, wenn er irgendwie technische Geräte benutzt und Daten speichert, zum Beispiel die Mitglieder, wer, wann geboren ist, gestorben ist, ausgetreten ist, heirat etc., das sind geschütze Daten. Gut. Weil es so wichtig ist, dass man sich einigt, worüber man redet, gibt es Begriffe, die erklärt werden, die auch vom Gesetzgeber erklärt werden. Das nennt man legal Definition. Und wir haben... vier wichtige Begriffe rausgesucht, dass, wenn man versteht, was das ist, dann hat man schon die halbe Miete im Datenschutz. Das sind einmal die berühmten personenbezogene Daten, dann der Betroffene, der Verantwortliche und die Verarbeitung. Wir fangen mit den personenbezogene Daten an. Der Datenschutz hat so eine, wie so Beamte, Behörden etc., eine klare Zuständigkeit. Es geht nur um personenbezogene Daten. Es gibt ja viele Daten, die sind nicht personenbezogen. So eine Statik von einem Haus ist nicht personenbezogen. Nur, wenn es darum geht, wer wohnt in dem Haus oder wem gehört das Haus oder wer zahlt das Haus ab oder wer ist der Gläubiger von einem Kredit von dem Haus, das sind personenbezogene Daten. Der Gesetzgeber sagt, dass personenbezogene Daten, welche sind die Auskunft über sachliche oder persönliche Verhältnisse von natürlichen Personen geben, und zwar identifizierte und identifizierbare natürliche Personen. Nicht von juristischen Personen. Nur dann wieder von juristischen Personen, wenn es um die Handel in Organe geht. Wenn ich das mit einem Geschäftsführer zu tun habe, wenn ich es mit einem Leiter von der HR zu tun habe, wenn ich das mit dem Vertriebler zu tun habe etc., dann habe ich, wenn er mit seiner Karte gibt oder wenn er mir auch noch so Sachen von sich erzählt, dann habe ich wieder personenbezogene Daten. Aber dann von den Organen von der juristischen Person, nicht von der juristischen Person als solche. Die ist durch den Datenschutz nicht geschützt. Jetzt komme ich mal zu den Beispielen. Ist ein bisschen nördig, aber ich möchte, dass ihr ein Gefühl dafür habt, was alles personenbezogene Daten sind und warum eigentlich sich so gut wie jeder mit personenbezogene Daten beschäftigen sollte. Wir erinnern uns geschützene persönliche Verhältnisse und sachliche Verhältnisse. Da nenne ich ein paar Beispiele. Ein Bootstattung und Alter und Anschrift. Emailadresse, Telefonnummer, Foto, die Ausbildung, Beruf, Familienstand, Staatsangehörigkeit, religiöse oder politische Überzeugung, Vorlieben, im Flugzeug zum Beispiel oder ein Hotel, da gibt es mal Vorlieben von Leuten, die Sexualität, Gesundheitsdaten, Urlaubspaarung, Vorstrafen. Ein paar Beispiele von personenbezogenen Daten. Sachliche Verhältnisse sind so etwas wie Einkommen, Kapitalvermögen, Schulden, Eigentum, Haus, Wohnungen, Fahrrad, Schmuck etc. Das sind die sachlichen Verhältnisse. Durch die Datenschutzgrundverordnung hat sich das nochmal erweitert. Es gibt unter den Datenschutzfreien auch die ganzen Kennnummern, die wir haben, also Sozialversicherung, Kennnummer, Steueridentifikationsnummer, Krankenversicherungsnummer, Personalausweisnummer, Matrikennummer und die ganzen Datensätze, die sich dahinter verbergen. Dann weiter die Online-Daten, die IP-Adressen, haben wir lange gestritten, ob IP, also ob dynamische IP-Adressen auch tatsächlich personenbezogen sind, hat der Europäische Gerichtshof gesagt, ja, der Streit ist beendet. Dann die Geodaten auch ganz wichtig, die wir natürlich immer wieder, also jeden Tag erzeugen. Dann Besitzmerkmale. Besitz ist die tatsächliche Sachherrschaft. Das heißt, bin ich Mieter, besitze ich halt die Wohnung. Also die Besitzmerkmale sind personenbezogen. Da hat ein Wertotale auch ganz wichtig, das wie auch Bewertungen, Zeugnisse. Profiling fällt auch darunter. Dann Kundendaten, Personaldaten, Gesundheitsdaten. Und am Ende schreibt sogar der europäische Gesetzgeber vor, dass auch physische Merkmale natürlich personenbezogen sind. Er nennt sie nochmal wie Geschlechtstatur, Kleidergröße, Augenfarbe, Haarfarbe, Haarlänge, Hautfarbe. Das sind alles personenbezogenen Datenbeispiele für personenbezogenen Daten. Okay. Dann werden diejenigen, von denen diese personenbezogenen Daten vorgehalten werden, verarbeitet werden, Betroffene genannt. Die betroffene Person. Und als nächstes ist dann die Frage, was fällt alles unter die Datenverarbeitung? Die Datenverarbeitung ist zum Beispiel erheben, erfassten, speichern, anpassen oder verändern, auslesen, abfragen, organisieren und ordnen. Da ist ja dieser Witz von den Anwälten, den Social Media, der da rumgelaufen ist, passt genau dahin. Wir haben gesagt, sie haben lauter Siebenkarten und schmeißen die dann bei sich in die Schublade. Und ordnen ist gar nicht. Es ist keine Verarbeitung und dann fällt es nicht unter die Regelung der Datenschutzrundverordnung. Kann man gerne so machen, dann kann man die aber natürlich auch gleich wegschmeißen. Und kann man nicht mehr gebrauchen. Also wenn ich irgendwas suche, dann nehme ich mir die wieder und ordne die. Also verarbeite ich die halt wieder. Ich habe jetzt den Gesetzestext wiederholt. Das Ergebnis ist, egal was ich mit personenbezogene Daten mache, ich verarbeite sie. Also ich komme dann nicht raus mit. Ich habe ja nur das so ein bisschen gemacht. Selbst wenn ich sie ordne, komme ich in die Verarbeitung. Ich habe die Verarbeitung, dann komme ich in die Regelung rein. Und verantwortlich ist derjenige für die Datenverarbeitung der Überzweck und Mittel der Verarbeitung selber entscheidet. Ein Beispiel dafür, ein Mitarbeiter ist weisungsgebunden, kriegt von seinem Arbeitgeber gesagt, was er mit personenbezogene Daten zu machen hat. Dann ist der Arbeitgeber der Verantwortliche. Wenn er mit einer personenbezogene Daten von den Kunden oder Personaldaten von seinen Mitarbeitern ab und wirtschaftet mit ihm oder belustigt eine Party, dann ist er selber verantwortlicher dafür. In dem Moment wird er verantwortlicher im Sinne der Datenschutzgrundverordnung, weil er außerhalb der Weisung von seinem Arbeitgeber handelt. Und ihn treffen natürlich auch die dazu gehörenden Sanktionen. Jetzt habe ich euch den Sachverhalt dargelegt, also darum geht es, inhaltlich im Datenschutz und der Gesetzgeber hat auf diese Art und Weise reagiert, er hat eine sehr strenge Struktur geschaffen. Die nennt sich präventives Verbot mit Erlaubnisvorbehalt. Das bedeutet, es ist präventiv im Vorfeld nicht repressiv, nicht wenn irgendein Schaden entstanden ist, wird der Gesetzgeber tätig, sondern vorher ist doch gar nichts passiert. Präventiv sagt er, ich verbiete es, personenbezogene Daten zu verarbeiten. Es sei denn, es gibt eine Erlaubnis, eine codifizierte Erlaubnis, auf die sich jemand berufen kann. Wir haben etwas aus der Reihe schert. Normalerweise haben wir Blacklist. Das heißt, wir haben ganz klare Verbote. Und wenn die Verbote, wenn das, was ich machen will, nicht festgeschrieben ist, dass ich das nicht darf, dann darf ich es jetzt machen. Im Datenschutz ist es anders, wie übrigens genauso im Baurecht. Es liegt daran, dass die Gefahren, die mit dem Datenschutz verbunden sind, so groß sind. Und der Gesetzgeber, das einen der möchte, der europäische Gesetzgeber, genauso wie der Bundesgesetzgeber davor. Das hat sich nicht, für uns in Deutschland hat sich das nicht geändert. Also brauche ich, wenn ich einen dieser ganzen personenbezogene Daten, die ich vorgelesen habe, es erzählt habe, verarbeiten möchte, dann brauche ich eine Erlaubnis. Das gibt immer Ausnahmen. Jura ist kompliziert, aber von der Basis gibt es vier Erlaubnestatbestände. Größter Erlaubnestatbestand ist der Vertrag. Innerhalb von einem Vertragsverhältnis kann ich genau die Daten erheben, also die Daten verarbeiten, die ich tatsächlich benötige, die erforderlich sind für das Vertragsverhältnis. Dazu gehört die Anbahnung des Vertragsverhältnisses, die Abwicklung und natürlich auch die Archivierung zu brulterischen Zwecken. Das ist der allergrößte Erlaubnestatbestand, den wir haben. Man sollte immer, wenn man personenbezogene Daten verarbeiten möchte, gucken, ob wir das über die Vertrags- also Vertragsbeziehung schaffen. Danach kommt die Einwilligung. Und zwar entweder oder. Die beiden Erlaubnestatbestände gehören nicht zusammen, sondern sind voneinander getrennt. Wenn ich einen Vertrag habe und ich will Daten erheben, die für das Vertragsverhältnis nicht erforderlich sind, dann darf ich nicht. Da ist wieder das Verbot. Und nur außerhalb von Vertragsverhältnissen kann ich mit der Einwilligung arbeiten. Die Einwilligungsstrengung ist eine informierte Einwilligung, der Gesetzgeber sagt, Betroffene, du musst wissen, was da passiert. Wer verantwortlich ist, was er damit macht, welche Daten. Und dann musst du einwilligen. Dann gibt es noch als dritter Erlaubnestatbestand die gesetzlichen Verpflichtungen. Es gibt viele gesetzliche Verpflichtungen. Die Personalabteilungen wissen das. Zum Beispiel, dass man verpflichtetes personenbezogene Daten zum Beispiel ins Finanzamt zu übermitteln oder an die Krankenkasse oder ähnliches. Das ist die dritte Kategorie von Erlaubnestatbestand. Und als letztes die Interessenabwägung. Und das ist schwierig. Aber fast sämtliche technische Überwachungsmaßnahmen fallen unter diesen Erlaubnestatbestand. Man muss abwägen, man muss sich angucken, wieso soll hier technisch überwacht werden? Und was ist der Impact für diejenigen, die überwacht werden? Wie viele sind es eigentlich in welchen Verhältnissen? Wie viele sind sie am Arbeitsplatz oder auf offener Straße? Oder sind sie im Kino? Sind sie im Kaffee? Sind sie im Krankenhaus? Und dann hat man diesen beiden Seiten sich anguckt. Und man wickt ab. Man macht eine Interessenabwägung. Selbst Juristen, die das seit 30 Jahren machen, fällt es immer wieder schwer, die Interessenabwägung. Da muss man genau sich das angucken. Man muss begründen, warum ein Interesse dem anderen überwiegt. Und am besten nach Kompromissensuchen. Das heißt Überwachungsmaßnahmen, die nicht so tief in die Grundrechte eingreifen. Das sind die vier Erlaubnestatbestände gewesen. Und ein prominentes Beispiel, will ich hier auch noch mal ansprechen. Das ist das Kunst-Uheber-Gesetz. Darüber wird auch viel gesprochen. Wurde viel gesprochen. Ob das Kunst-Uheber-Gesetz überhaupt noch im Datenschutz gilt, ist ja auch nur ein Paragraf im Kunst-Uheber-Gesetz, der datenschutzrechtlich wichtig ist. Die Frage, wann darf ich überhaupt jemanden fotografieren? Weil es gibt ja das Recht am eigenen Bild. Und dann, wenn er eingewilligt hat. Nicht schriftlich, kann man natürlich immer um sich abzusichern. Kann man natürlich auch schriftlich einwilligen. Aber jeder Fotograf, der Menschen fotografiert, sollte darauf geschult sein, dass es das Recht am eigenen Bild gibt. Es gibt keine Situation, wo man das Recht am eigenen Bild verliert. Es gibt nur Situationen, wo wirklich die Interessen von demjenigen steigen. Zum Beispiel, wenn man im geschützten Raum ist. Zum Beispiel, wenn man Alkohol trinkt. Wenn man mit seinen Freunden zusammen ist. Da steigen dann die Interessen. Und geringer sind die Interessen, wenn sich die Leute an öffentlichen Plätzen aufhalten. In öffentlichen Veranstaltungen. Oder wenn sie Personen des öffentlichen Zeitgeschehens sind. Dann können sie im Rahmen ihrer Berufsausübung natürlich auch fotografiert werden und veröffentlicht werden. Das Wichtige ist, dass man die Einwilligung von dem, dem man fotografieren will, mindestens durch Blickkontakt herstellt. Man läuft nicht rum und fotografiert Leute in irgendwelchen Situationen, weil sie haben ein Recht darüber zu bestimmen. Selbstbestimmung, wer Fotos von einem hat und wo die veröffentlicht werden. Das heißt, man muss immer kommunizieren. Es ist ganz klar, wenn jemand sich weggedreht oder wenn man die Hand vor das Gesicht nimmt, dann kann man auch im Nachhinein veröffentlicht werden. Man muss nicht in jeder Situation seine Rechte sofort verstehen und sofort perfekt reagieren. Man kann auch im Nachhinein dann kommen und sagen, nee, das fand ich nicht so gut. Dann werden die Fotos gelöscht und da wird nicht diskutiert. Es gibt keinen Streit, wenn wir das Recht am eigenen Bild der anderen Menschen achten. Es gibt den Beruf Modell. Wenn ich jemand fotografieren möchte, um damit für meine eigene Sache zu werben, dann muss ich das anerkennen, dass der andere dafür auch entlohnt wird. Ein Endgeld dafür bekommt. Das muss ich mit ihm absprechen. Es gibt feststehende Berufe. Wenn ich schon in dem Bereich bin, wo es aktuell ist, möchte ich auf das Gesetz gegen den unlauteren Wettbewerb eingehen. Ich weiß nicht, ob der ein oder andere schon mitbekommen hat, dass ich mich ja mit Abmahnungen beschäftige und nicht der Meinung bin, dass Abmahnungen im B2C-Bereich was zu suchen haben, sondern nur im B2B-Bereich, also innerhalb des Wettbewerbs. Und das ist im Frühling. Im Frühling 2018 habe ich damit verbracht, mir die Ideen anzuhören und durchzulesen, dass aufgrund der Datenschutzgrundverordnung ein neues Rechtsgebiet ist, wo ordentlich abgemahnt werden kann. Es sprechen drei Argumente dagegen. Nummer eins, das Schutzziel von der Datenschutzgrundverordnung ist nicht Wettbewerbsrecht und nirgends wird haucht auch ein Marktverhaltensregel auf, sondern der Gesetzgeber sagt, die Datenschutzgrundverordnung ist ein Schutzgesetz für die Rechte und Freiheiten von natürlichen Personen. Und natürlich, weil es eine europäische Verordnung ist, dann noch der freie Datenverkehr. Aber Zielrichtung ist, ganz klar Schutz von Betroffenen, dass ihre personenbezogene Daten nicht missbraucht werden. Kein anderes Schutzziel steht da. Weiter haben wir so ein Katalog von Rechtsbehelfen, Haftung und Sanktionen, wenn gegen die Datenschutzgrundverordnung verstoßen wird irgendwo der Begriff Abmahnung auf, wird auch nicht umschrieben. Und als allerletztes Argument, wenn sich irgendjemand nicht an Recht und Ordnung hält, seit wann kann der dann abgemahnt werden von Wettbewerber? Also wenn jemand seine Steuer nicht zahlt, gibt es auch nicht die Möglichkeit, dass jemand abgemahnt wird. Oder wenn jemand eine Straftat begeht, etc. Also der Gesetzgeber muss es schon ausdrücklich regeln, und zwar im Bereich des Wettbewerbsrechts, dass hier abgemahnt werden kann. Also ihr seht, ich bin nicht dafür. So, und wir haben die Informationspflichten, war auch ein großes Thema. Ich finde ich ein sehr verkanntes großes Thema im sozialen Bereich. Informationspflichten sind notwendig, weil ich sonst nicht erfahre, was mit meinen personenbezogenen Daten wo passiert. Also worüber muss ich informieren. Konkret, welche personenbezogenen Daten oder Kategorien von personenbezogenen Daten verarbeitet. Also wenn ich angegriffen werde, oder wenn mir Eigentum weggenommen wird, oder der Besitz entzogen, oder mir die Religionsfreiheit streitig gemacht wird, jetzt wenn die Institution eher eingegriffen wird, das kriege ich alles mit. Aber Angriffe auf Datenschutz, also auf meine Daten, bekomme ich nicht mit. Das heißt, ich bin darauf angewiesen, erhebe ich, verarbeitet und dann zu welchem Zweck. Wir haben ja die strengere Zweckbindung in der Datenschutzgrundverordnung jetzt auch. Wir haben dann ein Verbot der Vorratsdatenspeicherung. Das ist noch mal strenger geworden, als es vorher im Bundesdatenschutzgesetz drin war. Jedes Datum ist an ein Zweck gekettet. Ich habe keine personenbezogenen Daten nach der Datenschutzgrundverordnung, die ich vielleicht irgendwann mal für wirtschaftliche Zwecke nutzen kann, oder für private Zwecke. Das verbietet die Datenschutzgrundverordnung. Die Datenschutzgrundverordnung ist großartig dabei, Sachen zu verbieten. Und wenn ich dann weiß, welche Daten von wem, von wer ist der verantwortlich, also Name und Adresse und Kontaktdaten, personenbezogenen Daten zu welchem Zweck von mir verarbeitet und ich das nicht in Ordnung finde, dann habe ich Rechte. Und darüber muss auch informiert werden. Also über den Sachverhalt, was passiert, mit dir, wer du bist, wo du bist, was du kannst, was du nicht kannst, wo du Probleme hast, so diese Daten habe ich. Und dann muss ich sagen, hier, das mache ich und du hast noch folgende Rechte. Du hast ein Auskunftsrecht, du hast ein Berichtigungsrecht, du hast ein Löschungsrecht, du kannst dich dagegen wehren. Vor allem hast du das Recht, das Ganze zu korrigieren, zu lassen. Grundrechte sind in erster Linie Abwehrrechte. Es gibt also Abwehrrechte, die das Typische der Bürger währt sich gegen Angriffe vom Staat, gegen staatliche Datenverarbeitung. Aber es gibt auch die Drittwirkung, natürlich habe ich diese Grundrechte auch gegenüber privaten juristischen Personen. Und diese Rechte, die muss ich auch tatsächlich wahrnehmen. Wenn ich sie nicht wahrnehme, dann fallen die Halte weg. Es gibt andere, die für uns diese Rechte erkämpft haben. Vor allem diese Tausenden, die 1983 oder davor, aber für diese Verfassungsbeschwerde sich gegen den Zensus gewährt haben. Und Massen an Verfassungsbeschwerden eingereicht haben, damit staatliche Organe nicht, wie man gerade lebt, wo man lebt, in welchen Situationen man sich befindet, diese Satzensätze nicht anonymisiert verarbeitet. Das heißt, viele vor uns haben für uns den Datenschutz erkämpft. Und ich wünsche mir, zumindest ich mache es, in diese Fußstapfen treten und dafür sorgen, dass Datenschutz lebt. Das ist für uns schwierig. Vor allem haben wir viele Bereiche, wo man überhaupt erst mal rauskriegen muss, was tatsächlich da passiert. Die Sachverhaltsammlung ist im juristischen Bereich einer der wichtigsten. Ich würde sagen, 80 Prozent muss man da investieren von der ganzen Zeit, von der ganzen Bearbeitungszeit und von dem, was sich wirklich passiert und was halt auch nicht passiert, was nur erzählt wird. Und dann muss man sich angucken, was kann man tatsächlich machen, welchen Werkzeuge habe ich vom Gesetzgeber in die Hand bekommen, was es erlaubt, was es nicht erlaubt und wie kann ich da tatsächlich eingreifen und dafür sorgen, dass ich eben in der Datenverarbeitung subjekt bleibe und jetzt bedanke ich mich und stehe natürlich für Fragen, weiter zur Verfügung. Vielen Dank. Wir haben sieben Minuten für Fragen. Ihr kennt das Spiel, wir haben fünf Mikrofone, stellt euch einfach an und wenn ihr im Internet seid, ist das auch kein Problem, denn wir können das Internet vorlesen, so wie es sich gehört. Dann fangen wir doch einmal mit Mikrofon 2 an, bitte. Vielen Dank für den Talk. Ich mache eine Frage, wie kann ich anderen helfen, ihre Informationsrechte wahrzunehmen, insbesondere gegenüber Firmen, wo sie vielleicht gar nicht wissen, dass diese Firmen ihre Daten gespeichert haben? Interessante Frage, wie kann ich helfen? Die erste Hilfe ist ja immer Informationen zur Verfügung zu stellen und Leute, die du kennst oder die du nicht kennst. Meiner Oma. Ja, sehr gut. Man kann sich, indem du, also du musst natürlich mit dir reden, also du musst herausbekommen, mit welchen Firmen sie kontakt hat. Vor allem Oma, das ist tatsächlich auch ein großes Thema. Da gibt es ja ziemlich viele Betrugsversuche, ich würde damit Nummer eins anfangen, sie aufzuklären, wo es Gefahren gibt. Nummer zwei, mit ihr mal auch die Unterlagen durchgehen, mit welchen Unternehmen sie tatsächlich zu tun hat und dann zusammen anschreiben. Immer auf das Recht aus Aufkunft pochen, also das halt durchsetzen, die drei Sachen. Also Sensibilisierung, weil sie kennt das Rechtsgebiet bestimmt nicht. Wird sie von sich aus, es ist wahrscheinlich sehr, sehr schwer, dass sie da Beruhungspunkte hat. Sie ist damit auf jeden Fall nicht aufgewachsen und mit ihrer Hilfe herausbekommen, womit habe ich es dann zu tun, mit welchen Firmen, mit welchen Bereichen, habe ich das wahrscheinlich so wie sie auch mit kranken Kassen, weil sie es wahrscheinlich dann auch zu tun haben und dann die Daten sammeln und dann natürlich kontrollieren, ob das alles in Ordnung ist, was da passiert und sich melden, Korrektur verlangen, Berichtigung verlangen oder Löschung geben verlangen. Vielen Dank. Einmal der junge Mann an der Eins, bitte. Einmal der Eins, bitte. Sie werden lassen gehen, Sie werden lassen gehen. Es ist so, dass viele Restaurants und auch kleinere Einzeländer ihre Räumlichkeiten machen mit einer so mehreren Kameras und ich denke, es müsste im Eingangsbereich deutlich darauf hingewiesen werden. Die Inhaber wird häufig damit argumentiert, sie wüssten nicht, dass sie das tun müssten oder die Kamera würde ja gar nicht aufzeichnen. Die beiden Elemente sind falsch. Dass man sagt, man kennt, die Gesetzesregeln nicht helfen nicht niemals. Der Spruch, der gilt unverändert, einem Dummheitsschutz verstrafen nicht, hat man keine Chance. Man muss sich in die Lage versetzen, die Informationen zu bekommen, was darf ich und was darf ich nicht und was muss ich, was muss ich nicht. Ich glaube, Videoüberwachung ist wie ein alter Hut. Es geht in technische Bereiche rein. Wenn ich die Überwachung mache, muss ich darüber informieren. Da muss ein Aushang hin und selbst, wenn es Monitoring ist, ist der gleiche Impact wahrscheinlich noch mehr. Da kann ich 100 % davon ausgehen, dass es überhaupt jemand anguckt. Helfen tun die Aufsichtsbehörden, es ist deren Job. Deshalb gibt es sie, sie sollen unabhängig sein. Sind sie jetzt auch mittlerweile, gab es auch lange Jahre Probleme, dass die Aufsichtsbehörden eingegliedert waren in die Regierung. Macht keinen Sinn, muss raus, sind auch. Jeder Bürger kann sich an die Aufsichtsbehörden wenden und das sagen, dass es nicht in Ordnung ist. Sie haben den Recht darauf, dass die Aufsichtsbehörden darauf reagieren, Termine setzen, wann hier die Fragen beantwortet werden und dann geht auch jemand von der Aufsichtsbehörde auf den Verantwortlichen zu, der diese Überwachung macht. Und setzt es halt durch. Es gibt ja einen Sanktionskatalog und wir wissen ja alle, dass die Bußgelder wirklich empfindlich mittlerweile sein können. Einmal noch ganz schnell die Eins, bitte. Das gilt also auch, wenn gar nicht überwacht wird und die Kameras nur ertrappen sind? Ach so, also aufzeichnen, aufzeichnen. Also ich, entweder, wenn ich eine funktionierende Kamera habe, dann habe ich einmal das aufzeichnen oder ich habe das Monitoring. Also da sitzt dann niemand oder mehrere oder ertrappen. Im öffentlichen Raum sind ertrappen nicht so wild, da ist der Impact nicht groß. Was wichtig ist, ist in geschlossenen Räumen, weil diejenigen, die unter diesen ertrappen sind, erkennen nicht, dass es ertrappen sind. Und es geht aber um ihre Rechte. Das bedeutet, die Regeln sind dieselben. Bitte. Einmal die zwei, bitte. Hi, ich arbeite im Bereich Informationssicherheit und gerade da gibt es in verschiedenen Unternehmen schon relativ starke Regeln, Vorgaben, Tools, alles Mögliche. Inwieweit gibt es denn jetzt auch schon im Bereich Datenschutz ja ich sage auch so ein bisschen Awareness, weil wir ja auch da in der DSGVO die Regelung haben, man muss angemessene technische Maßnahmen treffen, um Daten zu schützen. Gibt es sowas schon? Wissen die Unternehmen das? Weil im Moment sehe ich gerade im Finanzbereich das noch nicht so wirklich abgebildet. Ja, ich gebe meine Erfahrung und ich glaube auch ganz viele Besucher hier setzen sich mit Informationssicherheit auseinander. Ich habe noch keinen Unternehmen gehabt, dass es mindestens Sicherheitsverkehrungen sind. Dass z.B. nicht jeder an den Server rankommt und dass z.B. Personaldaten nicht auf dem Web-Server gelagert werden. Es gibt ja ganz viele. Wir haben ja diesen Katalog der organisatorischen und technischen Maßnahmen, um personenbezogene Daten zu schützen. Dass es bekannt ist in Unternehmen, wo jeder der Infrastruktur macht im Unternehmen, jeder der admin ist, hat davon von dieser Materie schon gehört. Dass es perfekt ist, natürlich nicht. Datenschutz ist sowieso was, was sich halt immer bewegt und entwickelt. Wir müssen da noch viel machen. Ich habe es noch nicht erlebt, dass die Grundlagen komplett fehlen. Ich habe es nur erlebt, dass Sachen außer Acht gelassen werden oder dass die Daten gar nicht gelöscht werden. Es gibt es ja. Da muss, so wie die Technik entwickelt, der Schutz sich entwickeln. Der ist nicht nur technisch, sondern organisatorisch. Der größte Impact ist immer noch der Mitarbeiter, der kein Bock hat oder das nicht versteht. Der keine Lust hat. Oder der in einer Weise negativ eingestellt ist. Auch viel arbeite ich mit Mitarbeitern. Ich mache regelmäßig Schulungen. Ich bin immer Ansprechpartner. Das ist so eine Entwicklung. Und ja, gibt es. Unser Slot ist vorbei, aber da danach kein Talk ist, machen wir noch die 3 und die 4. Einmal noch die 3, bitte. Ich habe eine Frage in weiter Datenschutz auf die Nachrichtendienst zugreifen. Bilder auf WhatsApp. Oder Signals. Auf was zugreifen? Bei WhatsApp, wenn man Bilder schickt, von einer Betriebsfeier oder personenbezogene Daten, Ja, da gelten natürlich genauso die Regeln der Datenschutzrundverordnung. Dein Argument ist jetzt wahrscheinlich, aber warum benutzen dann so viele WhatsApp, man hat ja auch keine verschlüsselte Kommunikation so richtig und vor allem auch diejenigen, die das nutzen, viele Sachen. Also ich bin kein Freund von WhatsApp, wie soll ich das erklären? Also wenn man zum Beispiel, wer ja auch bei das Problem haben, wenn man in Schulen WhatsApp benutzt, sind zwei Sachen erforderlich. Nummer eins, man muss sich angucken, wie sicher tatsächlich diese Technik, also diese Software ist, die einem dazu verfügen gestellt wird, die man nutzt und was noch viel viel wichtiger ist, diejenigen, die WhatsApp oder andere Messenger benutzen, sollen darüber aufgeklärt werden, was das eigentlich bedeutet. Also es gibt Sachen, die darf man auf keinen Fall machen. Es gibt Sachen, die sind, sind halt gefährlich, dadurch können halt Schäden entstehen und dann gibt es natürlich ein Level, auf dem man das benutzen kann, aber problematisch ist, wenn man das in der Schule oder auch auf Arbeit oder wo auch immer nicht zum Thema macht, mit welchem Medium man arbeitet und was man tatsächlich versendet und was nicht. Also Weihnachtsfeiern sind halt deshalb kritisch, weil es nicht nur um den Beginn der Weihnachtsfeier geht, sondern dann auch am Ende, wenn man viel getrunken hat und wenn man sich, was weiß ich, amüsiert, dann haben wir nicht nur ein Problem mit diesem Messenger, sondern haben wir überhaupt Probleme, dass solche Daten erhoben werden und weiter übermittelt werden, also offen gelegt werden. Ergebnis, ich muss mir die Software angucken, womit ich arbeite und ich muss darüber reden, was ich damit machen darf und was ich nicht damit machen darf. Das ist ganz wichtig, wir müssen uns austauschen. Was geht und was geht nicht. So, zum Abschluss, die Vier, bitte. Gibt es eine legale Möglichkeit für Neonazi Outings? Ich habe das letzte Wort nicht verstanden. Für Neonazi Outings. Gibt es dann eine legale Möglichkeit? Outing. Ja. Also dann, wenn derjenige eine Person des öffentlichen Zeitgeschehens ist, dann ja. Das heißt, wenn derjenige so in das Zeitgeschehen und unser jetziges, was wir machen, womit wir auseinandersetzen, so eine starke Person, so einen Einfluss hat, dann ja. Dann kann über ihn berichtet werden. Das heißt, noch lange nicht alle, sondern nur diejenigen, die sich öffentlich auch beteiligen, an dem, wie wir in der Gesellschaft zusammenleben wollen oder auch nicht. Ab wann ist die Bitte? So, dann vielen Dank an Bär. Dankeschön.