 Ja, vielen Dank, Herr Prof. Penis, für die Einladung und die Gelegenheit, heute hier zu Ihnen sprechen zu dürfen und zu einer kleinen Einführung zur Datenschutzgrundverordnung zu geben. Die Datenschutzgrundverordnung ist nicht nur ein filmreifes Projekt gewesen, sondern insofern muss ich das, was Sie sagen, ein bisschen relativieren, auch ein sehr umfangreiches Projekt. Das bedeutet erstens, dass im BMJV nicht nur ich dafür zuständig bin, sondern auch noch andere Referenten und Referate und dann noch etwas ganz Wichtiges für eine Bundesregierung, diejenigen, die eigentlich vorne sitzen und die dann sagen, so und so geht es nicht. Das sind die Kollegen im BMI, zum Beispiel der Herr dort hinten der Ecke, der aus Wünfried Pfeil ist, aus dem BMI, dort aus dem Team, die dort die Datenschutzgrundverordnung verhandelt haben, der ersten Reihe gesessen haben, Sie müssen sich das so vorstellen. Wir sind dann eher die, die dann ihm sagen, wir möchten aber gerne unbedingt, dass dieser Satz gestrichen wird und du musst doch das und das machen und dann diskutieren wir darüber, ob das in Ordnung ist oder nicht. Schöne, also das ist seine Perspektive gewesen. Wir haben es mir so als Ratsgeber gesehen. Aber da komme ich auch schon zum ersten Punkt. Also die Datenschutzgrundverordnung ist ein wirklich sehr komplexes Gesetzgebungsvorhaben. Manche sprechen von einem neuen Grundgesetz für das Informationszeitalter, weil ja alles, den wir heute zu tun haben, irgendwie mit Daten zu tun hat und viele von diesen Datenpersonen bezogen sind. Ich habe jetzt heute ja 30 Minuten, ich habe das schon mal intern gestreckt, auf 45 Minuten zur Einführung bekommen. Das ist immer noch recht wenig. Darum musste ich jetzt einfach ein paar Punkte rausgreifen. Aber hinterher ist ja Schwerpunkt auch die Diskussion. Da können wir dann gerne über alle Punkte, die ihn auf den Nägeln brennen, diskutieren oder vertiefen. Also auch wenn ich die jetzt hier nicht angesprochen habe, können wir darauf eingehen. Es ist ein Projekt mit ausgedruckt weit mehr als 100 eher 200 Seiten. Das heißt, da gibt es immer auch noch Aspekte, die selbst wir neu entdecken können. Ich habe mich versucht, so ein bisschen mal jetzt so ein paar Gruppen zu bilden von Themen, über die ich jetzt reden möchte. Das eine ist erst mal sozusagen das, womit wir angefangen haben, was eigentlich sozusagen immer noch der Kerngedanke war. Auch wenn wir jetzt eine Datenschutzgrundverordnung haben und die das Datenschutzrecht komplett neu regeln wird, haben wir ja nicht von Null angefangen, sondern wir haben angefangen bei der Richtlinie von 1995. Und der erste Gedanke oder die erste wichtige Entscheidung war, diese Richtlinie fortzuführen. Dazu will ich erst kurz was sagen und auch so wie die Datenschutzgrundverordnung sich mit anderen Rechtsakten verhält. Dann möchte ich auf so ein paar Einzelthemen eingehen, wo ich finde, dass wir Fortschritte gemacht haben, wo wir das Datenschutzrecht aus unserer Sicht modernisiert haben. Und dann auf einen weiteren Punkt, der beim Datenschutzrecht immer ganz besonders wichtig ist, weil wir da vielleicht auch gewisse Defizite haben, wo der Bauch wichtig ist, weil es darum geht, welche Kompetenzen hat, nämlich die Frage, wie setzen wir das eigentlich durch und wie setzen wir es auch, wenn wir ein einheitliches Recht haben in Europa, einheitlich durch. Schließlich dann der Bereich, der wieder sozusagen dann auf Deutschland ein bisschen geschaut. Was bedeutet das eigentlich für das Datenschutzrecht, was wir schon haben? Prinzipiell ist das ja eine Verordnung, das heißt, die Ammonisiert voll. Wo haben wir denn da eigentlich noch Spielräume? Was müssen wir eigentlich tun? Und wie geht es jetzt weiter denn mit der Datenschutzgrundverordnung als Ausblick, als Letztes? Ich hatte eben schon gesagt, wir haben nicht bei Null angefangen, sondern wir hatten ja schon die Datenschutzrichtlinie von 1995, auf der auch weitgehend das Bundesdatenschutzgesetz beruht. Vielleicht sozusagen, damit Sie so ein bisschen mal einen Überblick gewinnen über die datenschutzrechtliche Landschaft, die wir haben. Also, damit Sie auch einordnen können, wo die Datenschutzgrundverordnung steht. Wir haben einmal ganz links die Datenschutzrichtlinie von 1995. Die wird jetzt eben ersetzt durch die Datenschutzgrundverordnung. Wie gilt, sagen wir mal im Runde genommen, für die gesamte private Datenverarbeitung mit einem Ausnahme, auf die ich gleich komme. Und auch in weiten Teilen für die Datenverarbeitung durch Behörden, sofern das nicht damals Polizei und Justiz gewesen sind. Dafür gab es nämlich einen Rahmenbeschluss von 2008, den wir gerade in Deutschland auch umsetzen, der allerdings nicht besonders lange wehren wird, denn dort gibt es sozusagen ein Schwesterprojekt der Datenschutzgrundverordnung. Die Kommission hat immer von einem Paket gesprochen. Sie hat nämlich gleichzeitig eine Richtung neben der Datenschutzgrundverordnung, eine Richtlinie, ich verkürze jetzt mal für die Datenverarbeitung durch Polizei und Justiz vorgestellt. Und die sind auch beide im Trilog am Ende parallel verhandelt und abgeschlossen worden. Und die wird ein Mindeststandard für Strafprozessrecht, Datenverarbeitung durch die Polizei zur Schraftatenverhütung und ähnliches bilden. Daneben haben wir dann noch die E-Privacy-Richtlinie. Das ist sozusagen das Datenschutzrecht vor allen Dingen, was wir im TKG haben. Da geht es um das Datenschutzrecht also bei Telekommunikation, das sehr strikt ist, also wie der Datenschutz unter privaten, insofern eine Ausnahme schon von der 95er Richtlinie. Die gibt es weiterhin. Die E-Privacy-Richtlinie, die ist auch nicht verändert, ist auch weiterhin sozusagen so ein Spezialgesetz. Kann man sich, wenn Sie da forschen wollen, jetzt viel mit auseinandersetzen, wie sich die Daten und wie sich der Wechsel von der Richtlinie, also von 95, zur Datenschutzgrundverordnung auf die E-Privacy-Richtlinie ausrückt, denn die verweisen sehr häufig an vielen Stellen aufeinander. Aber auch da, vielleicht nur als Ausblick, da wird es auch eine Nauvedierung geben. Ist von der Kommission also immer angekündigt worden, genauer, das wissen wir nicht. Uns wurde immer gesagt, wir schließen jetzt mal die Datenschutzgrundverordnung ab und dann machen wir uns auch hier an einen neuen Rechtsrahmen. Also das ist sozusagen wichtig, damit Sie wissen, was jetzt einfach nicht drunter fällt. Und dann haben wir noch was ganz Wichtiges, die Kommission und die anderen und auch das vor allen Dingen die Kommission hat die Datenschutzgrundverordnung vorgestellt, die sollte für alle Mitgliedstaaten voll harmonisieren gelten, also einen einheitlichen Rechtsrahmen mit einer Ausnahme, nicht für die EU-Institution. Da haben wir nämlich seit 2001 eine eigene Verordnung und die wird es auch weiterhin geben. Die sollen auch irgendwann jetzt angepasst werden an die Datenschutzgrundverordnung, aber sozusagen über die Datenverarbeitung durch die EU und die Agenturen zum Beispiel, die teilweise auch nochmal spezial geregelt sind. Über die reden wir jetzt im Moment nicht, sondern wir beschäftigen uns heute mit der Datenschutzgrundverordnung, das heißt also hauptsächlich der Datenverarbeitung durch private und die Datenverarbeitung durch Behörden, sofern es nicht um die Verhütung, Abwehr oder Verhinderung von Straftaten geht. Ich habe gesagt, Fortführung der Richtlinie von 95, ich könnte Ihnen jetzt einen Überblick geben sozusagen über die gesamte Regelungssystematik. Das wollte ich jetzt eigentlich nicht machen. Also ich hoffe, dass ich Sie jetzt alle mitnehmen kann. Ich wollte jetzt keinen Überblick geben sozusagen über die genaue Systematiken. Wir gehen das jetzt artikelweise durch, denn dann würde ich mit der Zeit nicht richtig auskommen und würde im Grunde genommen gar nicht dazu kommen, Ihnen die Neuerungen wirklich vorzustellen. Sondern ich wollte jetzt mal kurz anhand dieser Grundprinzipien sagen, wie die Datenschutzgrundverordnung aufgebaut ist und wie sich das zur Richtlinie verhält. In Grunde genommen hat man sich entschieden, einfach das vorzuführen. Also diese Grundprinzipien, das haben wir im deutschen Datenschutzrecht so nicht, gibt es in der Richtlinie auch schon, die sind quasi dauernd als Qualitätsgrundsätze jeder Datenverarbeitung vorangestellt. In der Verordnung sind das die Grundprinzipien, die jede Datenverarbeitung erfüllen muss. Also ist es so, dass wir weiterhin das haben, was wir aus dem deutschen Datenschutzrecht auch haben. Jede Datenverarbeitung bedarf einer Rechtsgrundlage. Das kann eine Einwilligung sein. Das kann sein, dass es für die Durchführung eines Vertrags notwendig ist. Das kann eine gesetzliche Grundlage sein. Irgendwann will es zum Beispiel vor allem im öffentlichen Bereich haben, aufgrund des Gesetzesvorbehalts. Das kann aber auch zu Aufbewahrungsvorschriften sein, wie wir sie zum Beispiel im HGB haben oder in der Abgabenordnung. Also sprich, wenn sie Daten brauchen, um ihre Bücher für die Steuernbehörden zum Beispiel nachvollziehbar zu halten. Jede Datenverarbeitung muss fair und transparent sein. So transparent werden nachher da ganz Menge sagen. Da geht es dann vor allen Dingen auch in die Frage, worüber müssen sie als Betroffene eigentlich informiert werden. Wir haben weiterhin beibehalten den Grundsatz der Zweckbindung. Also jede Datenverarbeitung muss für einen ganz bestimmten Zweck erfolgen. Und jede Änderung dieses Zwecks ist wiederum eine für sich legitimationsbedürftige neue Datenverarbeitung. Wichtig in dem Zusammenhang ist etwas, was wir aus dem deutschen Datenschutzrecht nicht so eins zu eins kennen. Das war aber auch schon in der Richtlinie so. Diese Zweckbindung hat vor allen Dingen auch noch folgendes Element. Nämlich, wenn ich jetzt einen Daten erhoben habe zu einem bestimmten Zweck. Also zum Beispiel werden erhoben, um eine Überweisung als Bank durchzuführen. Und ich endere diesen Zweck. Dann brauche ich dafür nicht nur eine neue Grundlage, sondern dieser neue Zweck muss auch mit dem ursprünglichen Erhebungszweck. Also da, wo sie die Daten von den Betroffenen erhoben haben, vereinbar sein. Das ist zum Beispiel, wenn sie jetzt seinen Fall haben mit einer Banküberweisung, so dass sie als Bankkunde ziemlich überrascht wären, wenn die Bank jetzt ihre Überweisung mal auf ihre Vorlieben und mögliche Interessen und mögliche Präferenzen, die sie so als Kunde für weitere Produkte haben könnten, auswerten würden. Damit rechnen sie nicht. Aufgrund dessen, was wir so, ich nenne das mal so umgangssprachlich Bankgeheimnis nennen. Das bedeutet dann nämlich zum Beispiel, dass wir zukünftig prüfen müssen, ob das bei meiner Zweckänderung immer eine Rechtsgrundlage brauchen und gleichzeitig gucken müssen, ob die der neue Zweck mit dem Erhebungszweck vereinbar ist. Das haben wir im BDSG nicht so umgesetzt. Da wird das im Rahmen der Interessenabwägung spielt das dann eine Rolle. Weiterhin haben wir den Grundsatz der Datensparsamkeit. Auch wenn man da viel hört, in, sag ich mal, im politischen Raum, ist es keineswegs so gewesen, dass der Grundsatz der Datensparsamkeit sozusagen auf der Umstritten gewesen ist. Wenn man den Vergleich mit der Richtlinie, haben wir ihn sogar noch ein bisschen stärker ausgeprägt. Klar ist, die Daten, die ich verarbeite, müssen richtig sein. Interessant ist, dass auch die Begrenzung der Speicherdauer ist ein Grundsatz dessen. Da muss man zum Beispiel dann überprüfen, indem man regelmäßige Intervallen schaut, braucht man die Daten noch und man muss auch zum frühestmöglichen Zeitpunkt anonymisieren. Integrität und Vertraulichkeit sind sozusagen flankierend, genauso die Verantwortlichkeit, der Accountability, dass ich also das alles als Datenverarbeitende Stelle nachweisen muss. Wie gesagt, wenn Sie das sich das alles angucken, das sind im Grunde genommen die Gedanken, die wir schon in der Richtlinie von 95 haben und die auch unser BDSG tragen. Und die waren, muss man vielleicht auch sagen, in, nach meinem Empfinden, in Brüssel eigentlich zu keinem Zeitpunkt umstritten. Und es ging eigentlich nur zu schauen, wie entwickelt man die weiter und wie ergänzt man die vielleicht um den Herausforderungen, die wir heutzutage durch Internet, durch globale IT-Konzerne, durch allgegenwärtige Datenverarbeitung etc. Rechnung tragen können. Das erkomme ich mal zu dem, was wir modernisieren, was ich jetzt Modernisierung des Datenschutzrechts genannt habe. Also ich habe schon gesagt, eine Grundlage für die Datenverarbeitung, eine richtige Rechtsgrundlage kann die Einwilligung sein. Es steht auch in der Karte drin. Und das ist natürlich das, was wir so kennen. Wenn wir Datenverarbeitung zustimmen im Internet, sei es jetzt, wenn wir zu einem neuen E-Mail-Provider gehen, wenn wir bei Amazon zum Beispiel etwas bestellen oder Kinokarten kaufen. Das muss man meistens eine kleine Box anklicken und muss dann damit die Datenschutzerklärungen des Unternehmens anerkennen. Das ist die Einwilligung. Da haben wir uns sehr stark Gedanken darüber gemacht, weil das heutzutage natürlich extrem wichtig ist. Warum? Erstens, die Einwilligung ist natürlich der primäre Ausdruck der informationellen Selbstbestimmung. Man kann natürlich auch überlegen, dass man Datenschutzrecht primär gesetzlich regelt und vorgibt. Weil man sagt, der Einzelne ist dazu nicht in der Lage. Andererseits heißt es halt nicht ohne Grund zu sagen, informationelle Selbstbestimmung bei derjenige selber entscheiden soll, wer wann was über ihn weiß. Das Entscheidende ist nur, man muss ihn, wie auch sonst, zum Beispiel im Rechtsverkehr, zum Beispiel im Vertragsrecht, in die Lage versetzen, dass er das wirklich entscheiden kann. Dementsprechend ist es wichtig, dass ich eine Einwilligung informiert abgebe, dass ich sie freiwillig abgebe und dass sie auch hinreichend klar ist. Da haben wir uns sehr viel Gedanken drüber gemacht. Wie man das gewährleisten kann, letztlich geht es also ein bisschen daran, darum, dass wir die Einwilligung, die wir aus dem Datenschutzrecht kennen, so ein bisschen anreichern, um Gedanken, die wir aus dem Verbraucherschutzrecht kennen. Denn so ein bisschen ist die Situation ja vergleichbar, ob sie jetzt eine ellenlange komplizierte Datenschutzerklärung bei einem großen IT-Unternehmen bekommen oder ob sie einen komplizierten Vertragswerk und Klauselwerk einer Versicherung überreicht bekommen. Situation ist ähnlich. Sie können das letztlich nicht unbedingt immer alles lesen. Sie müssen darauf vertrauen, dass das fair ist. Und da haben wir uns Gedanken gemacht. Ich fange mal von hinten an, mit dem, dass wir sich darauf verlassen können, was fair ist. Da ist uns jetzt festgehalten, dass sozusagen die Einwilligung, wenn sie vorformuliert ist, in Anlehnung an die AGB-Kontrolle überprüft wird. Das heißt, also die Einwilligung muss erkennbar sein für diejenigen, der muss sehen, dass er in Datenverarbeitung einwillig, sie muss klar sein, sie muss verständlich sein und sie darf keine unangemessenen Klauseln enthalten. Das ist, glaube ich, ganz richtig. Ist es aber auch gleichzeitig so, dass wir einige Situationen haben, wo man sich echt fragen kann, ist das eigentlich freiwillig heutzutage noch? Da können Sie sich viele Situationen vorstellen, beispielsweise, wenn Sie ein Smartphone haben und bei diesem Smartphone gibt es nur, sozusagen von dem Hersteller, nur eine Software für als Betriebssystem. Das wird jetzt abgedatet, dieses Betriebssystem, mit dem, was dazugehört und der möchte jetzt mit Ihnen einen neuen Datenschutz erklären und das Sie dazustimmen. Jetzt können Sie sich überlegen, können Sie wirklich Nein sagen, wenn das die einzige Software zu der Hardware ist, schwierig. Wenn Sie in einem sozialen Netzwerk sind, wo alle Ihre Freunde sind, da können Sie vielleicht sagen, wenn die Datenschutzbedingungen geändert werden, Nein, ich möchte das nicht. Aber was nützt Ihnen das? Also selbstbestimmt, aber einsam, verfehlt irgendwie ein bisschen den Zweck. Deshalb haben wir hier uns Gedanken gemacht, wie man das ein bisschen besser auffangen kann. Dass einmal ein Gedankerein gekommen, den wir im Deutschen Recht schon haben, der das nämlich eine Datenverarbeitung nicht, die jetzt nicht für einen bestimmten Vertrag oder eine Dienstleistung notwendig ist, nicht mit einer Einwilligung zwingend gekoppelt werden darf. Also zumindest muss man dann schauen, passt das hier ganz besonders oder ist das dann wirklich noch freiwillig? Dass derjenige jetzt Datenpreis gibt, die im Rundenum gar nicht erforderlich sind. Vielleicht wäre es noch ein bisschen schöner gewesen, wenn man das noch ein bisschen damit gekoppelt hätte, ob derjenige denn vielleicht dann die wenigstens die Chance hat, zu einem anderen Anbieter zu wechseln, sozusagen so ein Gedanke, ist hier jemand marktbeherrschend oder nicht. Weiterhin haben wir uns bis jetzt etwas enthalten, dass man dann auch annimmt, dass eine Erklärung nicht freiwillig ist, wenn man zum Beispiel eine große, eine globale Datenschutz-Einwilligung kann, zu allen möglichen Zwecken, für alle möglichen Arten der Datenverarbeitung. Sie wissen gar nicht, was auf sie eigentlich zutrifft. Da könnte man sich nämlich auch etwas anderes überlegen. Man könnte das auch so aufbereiten, dass sie in die einzelnen Arten der Datenverarbeitung zu den einzelnen Zwecken sozusagen zustimmen müssen, wie man das vielleicht so beim mancher einem Smartphone kennt, wo man dann immer so einen einzelnen Button einklicken muss, wer zum Beispiel auf die Standortdaten zugreifen darf, welche App beispielsweise. Das ist, glaube ich, ein ganz interessanter Gedanke, wo einige sicherlich sich Kautelyar juristisch Gedanken werden machen müssen. Ein Punkt, den wir jetzt schon haben, das ist halt, wenn wir ein klares Ungleichgewicht haben, sodass eine Einwilligung unwahrscheinlich ist, wo zum Beispiel manchmal also der Fall sein im Arbeitsverhältnis unter Umständen, wenn Sie sich da ein bisschen mit Arbeitnehmerdatenschutz auskennen, wissen Sie, dass Einwilligungen da jetzt schon ein schwieriges Feld sind. Interessant ist, das war ein großer Diskussionspunkt, wie muss eigentlich so eine Einwilligung gegeben werden? Da gab es die große Diskussion, muss das explizit, also ausdrücklich geschehen oder, was jetzt drinsteht, an einem Biggis, also unzweifelhaft. Da ging es letztlich so ein bisschen um die Frage, muss ich immer ein, also gibt es mal nur opt-in oder muss ich in einen opt-out machen? Also beispielsweise opt-out, wenn man sich mal anguckt, der BGH hat, dass man entschieden kann zum Beispiel auch so geschehen, dass jemand sagt, wenn Sie keine Werbung von uns bekommen wollen oder wenn Sie nicht wollen, dass wir die Daten zu Werbezwecken verarbeiten, müssen Sie eine Klausel streichen, händisch oder so etwas. Opt-out ging durch. Ich glaube, dass sich das letztlich, dass dieser ganze Streit keine große Rolle mehr spielt, weil jetzt haben wir an einem Biggis, und zwar bei Acquire Affirmative Action. Und ehrlich gesagt Affirmative Action klingt irgendwie zumindest auf den ersten Blick nach was Aktiven. Da kann man sicherlich noch länger drüber überlegen für die einzelnen Fallgestaltung, ist aber glaube ich ein ganz interessantes, jetzt interessant ist hier vielleicht auch noch eine ganz andere interessanter Punkt. Sie können nämlich auch die Einwilligung durch technische Settings geben. Da kann man sich überlegen, wie ist das mit Browser-Einstellungen zum Beispiel. Das ist ganz interessant zum Beispiel bei der Frage, wenn es um Cookies geht, kennt man vielleicht auch. Sie wissen vielleicht, es ist eine große Diskussion. Muss ich in Cookies einwilligen? Also muss ich, sagt die sogenannte Cookierichtlinie, das ist ein Teil der E-Privacy-Richtlinie. Aber die Form, wie eingewilligt werden muss, richtet sich nach dem Datenschutzrecht. Das heißt, da kann man sich jetzt überlegen, wie sich das vielleicht auswirkt, ob das dann ausreicht, wenn ich Cookies mit meinem Browser zu lassen. Und man sich genau anschauen müssen. Ganz wichtiger Punkt, gerade auch für die Kommission, bei ihrem Entwurf war die Stellung der Betroffenen zu regeln. Wir haben ja im Datenschutzrecht dazu gehört auch, dass sie informiert werden, dass also Transparenzgewehr leistet ist. Denn nur dann können sie wissen, was jemand mit ihren Daten tut, zu welchem Zweck, und dann kommen sie auf die Idee, die Löschung zu verlangen, weitere Auskünfte zu verlangen, vielleicht Berichtigung zu verlangen, etc. Da haben wir jetzt ein ganz, viel stärker konkretisierten Katalog von Informationen, die sie offenlegen müssen, als Datenverarbeitungsstelle. Nicht nur der Zweck, welchen Zweck verarbeiten sie das, auch zum Beispiel, dass sicherlich auch unter dem Eindruck von Snowden und Safe Harbor Entscheidungen reingekommen, auch zum Beispiel, in welchem Land verarbeiten sie das, wenn das nicht in der EU ist. Schicken sie die in einen Drittstart. Das ist sehr gestärkt worden, welche Informationen sie immer bekommen müssen. Eine Idee war, kommen wir natürlich wieder zum ähnlichen Problem, wie bei den AGBs vorhin. Die sind ja ganz schwer nur zu erfassen. Da war vom EP die Idee, die ich sehr gut fand. Man könnte so Pictogramme machen. Also ein schönes, das war sogar vom Europäischen Parlament in seinem Standpunkt sogar schon ausgearbeitet mit kleinen Bildern. Das ein Beispiel war, wenn ihre Daten verkauft werden, dann sollte es so ein Warnzeichen geben mit einem kleinen Geldsäckchen drin. Das fand ich sehr schön plakativ, ob das jetzt der Weisheit letzter Schluss ist, sei mal da hingestellt. Aber auf jeden Fall wäre das, glaube ich, eine Möglichkeit, wie man Leuten ganz schnell deutlich machen kann, ob jetzt eine Datenverarbeitung für sie denn das jetzt mal gefährlich ist, oder vielleicht jetzt mehr Aufmerksamkeit darauf gelenkt werden sollte oder ob das vielleicht alltäglich ist. Diese Pictogramme sollten auch Maschinen nächstes Mal sein. Haben wir jetzt nicht drin, sondern da hat jetzt nur die Kommission die Akte bekommen, hier was auszuarbeiten. Vielleicht, wenn Sie sich noch an den Ursprungsentwurf der Kommission erinnern, der Wimmelte von delegierten Rechtsakten. Das ist eine Zeit lang jetzt so die Strategie der Kommission gewesen und vielen Rechtsgebieten, eine große Zahl von delegierten Rechtsakten. Also man könnte sagen, es ist eine Anliegenung primär, sekundär, recht hier von Terzia recht sprechen. Also im Grunde genommen war das immer vorgesehen, wenn es spannend wurde. Davon ist im Grunde genommen nichts mehr übrig geblieben. Hier ist jetzt so eine Stelle, es gibt noch zwei, drei andere und dann eben bei der Drittstaatenübermittlung wenn es dann um so Gleichwertigkeitsentscheidung geht wie zum Beispiel die Selfhaberentscheidung, die jetzt für ungültig erklärt worden ist. Ein neuer Punkt ist, dass sie informiert werden müssen bei Zweckänderungen. Wovon Sie bestimmt alle was gehört haben, ist das sogenannte Recht auf Vergessenwerden. Gab es ja das Urteil vom EUGH? Das nennen wir jetzt auch, dass Recht auf Vergessenwerden ausgedacht, sozusagen in Ihrem Entwurf auch, sag ich mal, als programmatischer Aussage, dass es so etwas geben, also sozusagen so etwas geben sollte wie eine Art Verblassen von Informationen im Grunde genommen. Vielleicht wirklich sozusagen als eine Art Gegenerzählung dazu, dass ja Informationen doch immer leichter auffindbar sind und auch im Grunde genommen auf Dauer auffindbar sind. Der EUGH hat das aufgegriffen in einem Urteil gegen Google Spanien, der ging es darum, dass jemand nicht mehr mit bestimmten Ergebnissen in der Namenssuche bei Google auftauchen wollte. Aber letztlich, was geblieben ist, es handelt sich um das normale datenschutzrechtliche Löschungsrecht. Das heißt, der EUGH hat dem letztlich nur eine stärkere zeitliche Komponente hinzugefügt und hat quasi gesagt, dass mit was im Grunde genommen logisch ist, wenn man drüber nachdenkt, dass jede Datenverarbeitung ist meistens eine Abwägung. Und bei der Abwägung ist es natürlich so, dass das Interesse daran, bestimmte Informationen anzuzeigen, mit dem Zeitverlauf und dem zeitlichen Abstand einfach abnimmt. Und da muss man es eben löschen. Und das glaube ich die Kernaussage dessen begießen. Wir haben das, sag ich mal, gar nicht mal weiter deshalb umgesetzt. Wir haben zeitweise mal überlegt, könnte man da Verfahrensregelungen machen, vielleicht zu dem Sinne, wenn so eine Angesprochen wird, links zu löschen, weiß die ja eigentlich gar nicht, was der Link für eine Bedeutung hat. Ist derjenige vielleicht irgendein wichtiger Lokalpolitiker oder so. Und es lohnt sich jetzt über den und seine Verfehlungen, was zu bringen oder nicht. Dass man, hat mir überlegt, ob man so etwas machen kann wie eine Anhörung, dann eines Dritten oder so, ist nicht drinnen. Was es drin ist, ist eine Pflicht, dann aber sozusagen bei Veröffentlichungen, was man schon muss. Auch, dass wir veröffentlicht hatten, Dritte dann diese Information zur Kenntnis genommen haben, angemessene Schritte zu ergreifen, damit dann zum Beispiel auch Links, Kopien etc. bei Dritten gelöscht werden. Das ist allerdings auch für uns nichts Neues im deutschen Recht. Es hat der BGH im Presserechtlichen Entscheidungen auch entwickelt. Hat auch im letzten Sommer mal eine Entscheidung erlassen, wo er auf diese Vorschrift sozusagen im Vorgift auf die Grundverordnung schon Bezug genommen hat. Neu ist auch, ein ganz starkes Widerspruchsrecht. Das kennen wir schon aus dem deutschen Recht. Das hatten wir europäisch aber noch nicht. Vor allen Dingen nämlich bei Werbung. Man kann also heute der Datenverarbeitung zu Werbeszwecken immer widersprechen. Man ist dann auch bei der ersten Ansprache darauf hinzuweisen. Das hatten wir bisher nicht. Und wir haben auch ein Widerspruchsrecht bei Datenverarbeitung für statistische Zwecke, wissenschaftliche Zwecke und historische Forschung. Was wir ein bisschen daher rührt, ist, dass man an anderer Stelle diese Zwecke, die ja auch einen gewissen gesellschaftlichen Zweck haben, privilegiert hat. Und es ist auch, muss man sagen, häufig eigentlich nicht auf den Personenbezug an Konfliktsstatistik. Kennen wir aus Volk's Denumsurteil, braucht man eigentlich die Personenbezogenen Daten irgendwann nicht mehr, weil man ganz genau, also wenn man weiß, dass die Daten stimmen und verifiziert hat. Und wir haben ein neues Recht auf Datenportabilität. Das hat eher, das ist eher netbewerbspolitisch gedacht rechtlich. Da geht es nämlich auch nicht nur um die meine personenbezogenen Daten, sondern die Daten, die ein Betroffener zur Verfügung gestellt hat. Die sollt ihr nämlich von einem Anbieter leichter zu einem anderen übertragen können. Stellen Sie sich vor, Sie wollen ja Ihr E-Mail postfach, dass Sie irgendwo im iMap verfahren, weil ich sage jetzt mal, web.de haben zu du, oh jetzt ist es schwierig, zu Gmail umziehen oder so etwas. Dann ist das relativ schwierig, Ihre 3.500 E-Mails zu übertragen. Da gibt es ja auch Programme für, aber das soll Ihnen hier erleichtert werden. Die sollen Ihnen dann in einem gebräutlichen Format gezeigt werden. So, ganz kurz, weil ich sehe schon Zeitrennt, was wir hier stärker haben, was für viele ganz wichtig ist, ist stärkere Formen, sag ich mal, der Selbstregulierung. Also hier wirkt jetzt Codes of Conduct, zum Beispiel, eine stärkere Rolle eingeräumt, also sozusagen Spezifizierungen der Datenschutzgrundverordnung. Zum Beispiel, also wir haben sowas in Deutschland im Moment ein Versicherungswesen, wo dann eine Branche das in Abstimmung damit den Datenschutz beauftragten niederlegt. Auch haben wir das erste Mal Zertif, das haben wir im Deutschen recht schon auch andersweise, da geht es um das bisher nicht verwirklichte Datenschutz-Audit, Zertifizierung, also dass man deutlich machen kann, also man hat eine unabhängige Stelle und die zertifiziert, dass die Datenverarbeitung, die in einem Unternehmen praktizieren mit den Regeln vereinbar ist. Und dann habe ich, kann ich dieses Siegel verwenden und diese ganzen Selbstregulierungsmaßnahmen haben dann auch weitere Wirkungen, zum Beispiel ermöglichen die mehr unter bestimmten Voraussetzungen. Auch das ich dann als Unternehmen in einem Drittstaat, also der kein gleichwertiges Datenschutzniveau hat, nehmen wir mal jetzt, weil es aktuell ist, die USA, mich vielleicht auf so eine Zertifizierung stützen könnte, sofern weitere Rahmenbedingungen gegeben sind, sag ich mal, im Blick auf die Rechtsprechung des ONGH. Es kann aber auch, und das ist praktisch ganz wichtig und hat dabei diesen Punkt in eine Rolle gespielt, auch so, dass wir zum Beispiel bei Auftragsdatenverarbeitung, also vor allem beim Cloud Computing neben die Situation haben, dass ich ja als Auftragsdaten-Auftraggeber eigentlich sicherstellen muss, dass mein Auftragsdatenverarbeiter angemessen garantieren hat, dass hier die Daten Sicherheit gewährleistet ist, etc. Das Problem ist natürlich nur, wenn ich jetzt mal so eine klassische Cloud-Datenverarbeitung nehme, so was wie office 365 oder so etwas, also ich kann niemals in die Datenschutz, in die Datenverarbeitungszentren von Microsoft. Das darf ich auch gar nicht. Das wollen ja die anderen Kunden auch gar nicht. Das würde ich auch selber nicht wollen, sondern irgendwie muss ich ja nachweisen können, dass das in Ordnung ist, was die machen. Da helfen mir diese Zertifikate oder auch Codes of Conduct. Ein Punkt, den ich mal kurz anspreche, auch nur, sage ich mal, weil im Moment in aller Mund ist, der dritt Starten übermitteln. Wenn man alle mitkriegt, Safe Harbour, neu Privacy Shield, der kommen wird, den ich nichts sagen kann, weil wir ja alle noch nicht wissen, was da letztlich drinstehen wird. Da haben wir uns weitgehend an dem orientiert, was in der Richtlinie gibt, also es gibt ein System von, wo die Kommission die angemessenheitsentscheidungen entscheiden kann, dass manche Staaten gleichwertiges Datenschutzniveau haben. Das haben nicht viele, das Prozess haben ungefähr 12 bis 13 Staaten, glaube ich, hinter sich gebracht, bisher. Die dürfen Sie wie in die EU übermitteln. Für alle anderen brauchen Sie einen neben sozusagen den normalen Voraussetzungen der Datenverarbeitung weitere Garantien oder eben eine Ausnahme Vorschrift. Das können eben Standardvertrags, 1000 sein bei den Corporate Rules und bestimmte Ausnahmen. Da ist es vielleicht nur interessant, dass also die beiden den Corporate Rules sind jetzt sehr viel stärker ausdifferenziert worden. Was müssen die eigentlich alles beinhalten? Das ist zum Beispiel, wenn sich als Konzern, nebenan Exxon oder so etwas, gibt sich dann für die Datenverarbeitung ganzen Unternehmen sozusagen ein eigenes Datenschutzregime. Das wird dann genehmigt von den Datenschutz auf sich zu behören. Das ist, da können Sie sich auch als Betroffener darauf berufen, dass es stärker ausdifferenziert ist. Wir haben eine neue Ausnahme wie erlaubendes erste Mal unter ganz engen Voraussetzungen auch eine Interessenablegung bei der Drittstaatenübermittlung. Politisch relevant ist hier, dass es in Artikel 43a so etwas gibt, was jetzt, sag ich mal, antifa... also Antifaesa-Klausel sagen manche dazu. Ich nenne das jetzt auch mal so, weil es viele darunter kennen und weil es sehr schwierig sonst zum Schreiben ist. Da geht es darum im Grunde genommen nur symbolisch nochmal Folgendes klarzustellen. Das, die das ein ersuchen an mich als europäisches Unternehmen von einem ausländischen Richter, deiner ausländischen Hürde im Datenauszuhändigen zum Beispiel, wenn ein US Strafverfolgungsbehörde gerne Daten von Microsoft Billnant haben möchte dann reicht das nicht aus. Das ist eine... da habe ich hier die beiden hier dargestellt, das ist eine direkte Folge aus den Enthüllungen von Edward Snowden gewesen, von den Tätigkeiten von US Nachrichtenhiensten. War zwar schon vorher im Gespräch, aber das durfte so der politische Hintergrund sein, warum man so eine Klausel aufgenommen hat. Denn wann soll so etwas dann immer zulässig sein? Natürlich geht das alles, wenn Sie eine völkervertragliche Grundlage haben. Rechtshilfeabkommen zum Beispiel kommen mit, dass den Datenaustausch in diesem Staat dann für diese Zwecke also die Übermittlung an dessen Behörden erlaubt. Interessant ist, dass man auch jetzt eine Möglichkeit gibt, dass man die Übermittlung bestimmter Daten im bestimmten unsicheres Ritzstab, also ohne gleichwertiges Datenhutzen, wo auch als Mitgliedstaat untersagen kann. Muss man mal schauen, wie weit das reicht. Manche einer wird sich fragen, im Oktober gab es ja dann noch die Entscheidungen in der Rechtssache Schrems, also die ungültige Erklärung des Hilfhaber Entscheidungen für den transatlantischen Datenverkehr. Da haben wir, wurden noch ein bisschen was geändert im Trilog, aber das Grundsystem ist unangetastet geblieben. Aber man muss diese Entscheidungen mit ihren Wertungen natürlich im Hintergrund beachten. Also sie hatte auch dieses ganze System, was ich oben skizziert habe, mit Adäquanz, Entscheidungen bei einen Corporate Wusens, vorgestellt, aber sie hat natürlich dafür jetzt wichtige Vorgaben gemacht, weil sie eben gesagt hat, wenn Daten ein Drittstaat übermittelt werden, muss eben auch geschaut werden, sozusagen nicht nur wie es das zu sein, privatrechtlich gewährleistet, also im Rahmen von Standard, also vertraglichen Zusagen, zum Beispiel des Empfängers, sondern wie sieht der öffentlich-rechtliche Rahmen aus, dem der im Drittstaat vielleicht ausgesetzt ist. Für uns in Deutschland ist mal ein Punkt ganz wichtig gewesen, wir haben nicht eine Errungenschaft, die uns in Europa schutzbeauftragte. Also das ist der, dass sie jemanden im Betrieb haben, der sich über, der sich, der ihr primärer Ansprechpartner ist, eine gewisse Unabhängigkeit ist, mit dem sie natürlich auch mit ihrem Betrieb auskennt und mit dem sie Datenverarbeitungsvorgänge absprechen können. Andere Staaten haben das anders. Andere Staaten haben sehr viel stärker sozusagen behördlich orientiert das Modell. Da muss man sich alles genehmigen lassen und anzeigen. Es kostet auch ein bisschen Geld immer. Es ist natürlich auch sehr aufwendig, dass man jedes Mal bei den Behörden ihren Geschäftsmodell und ihre Datenströme erklären muss, warum sie etwas tun. Für uns war das deshalb ganz wichtig, dieses Konzept des betrieblichen Datenschutzbeauftragten beizubehalten. Das ist uns gelungen, schon deshalb, weil wir eine Öffnungsklausel bekommen haben, die uns erlaubt, die deutsche Rechtslage beizubehalten. Aber ist es natürlich auch, sag ich mal, gerade auch aus Interessen der deutschen Wirtschaft, die natürlich etwas auch jetzt nicht billig ist, weil man jemanden haben muss dafür. Wichtig ist, dass auch andere Unternehmen das haben. Datenschutzbeauftragte haben und natürlich ist es auch für die Betroffenen gut, weil natürlich nicht nur Unternehmen mit Sitz in Deutschland ihre Daten verarbeiten. Und da ist in harten Verhandlungen dann das Ergebnis rausgekommen, dass sozusagen die Kommission und das Parlament gegen den Rat, muss man sagen, mit Ausnahmen von Deutschland, die Mitgliedstaaten durchgesetzt, dass also zumindest Behörden und bestimmte Unternehmen Datenschutzbeauftragte brauchen und bestellen müssen. Das ist nämlich einmal, denn jetzt habe ich das ja aufgeschrieben. Ja, also wenn Ihre Kernaktivität sozusagen require regular and systematic monitoring of data subject on a large scale. Also den politischen Kompromiss hören Sie aus der Formulierung ziemlich ja schon raus. On a large scale and regular and systematic monitoring. Also was da genau alles drunter fällt, wird man sich sicherlich jetzt genau überlegen müssen. Aber eben dann auch wenn Sie im großen Maßstab sensible Daten verarbeiten sensible Daten, meine ich, das sind also die besonderen Arten der von Daten. Wir haben ja, das hatte ich am Anfang ja nicht erwähnt, das haben wir auch beibehalten. Wir haben ja sozusagen normale personenbezogene Daten und wir haben besondere Arten, besondere Daten, personenbezogene Daten, Orientierung, Geschlecht, Rasse, Gewerkschaftszugehörigkeit, politische Orientierung wie Parteizugehörigkeiten, ähnlichen wie besondere also besonders engen Verarbeitungs Voraussetzungen genügen. Das haben wir auch beibehalten. Übrigens ergänzt auch noch um genetische Daten und ergänzt auch um biometrische Daten unter bestimmten Voraussetzungen. Neues auch, es gibt jetzt etwas, was dann darauf aufsetzt dann noch, das zu zeigen eher das behördliche System, das sich da ein bisschen auch widerspiegelt. Wir haben durch eine Datenschutzfolgeabschätzung. Das heißt, zunächst muss wenn ein Unternehmen Daten verarbeitet und diese Daten verarbeitet, beinhaltet ja ein hohes Risiko oder ein wahrscheinlich hohes Risiko für die Betroffenen, also das ist dann genauer definiert also weil das besondere Auswirkung auf sie hat, weil da ihnen besonders Risiko eine Daten besonders sensibel sind, weil sie Finanz-Dinge betreffen beispielsweise. Dann muss man eine umfassende Datenschutzfolgeabschätzung machen, muss also genau schauen, wie ist das hier gesichert, auf welchen Grundlagen beruht das Ganze, wie kann ich, muss ich vielleicht noch zusätzliche Safegards einbauen und ähnliches. Und wenn ich dann am Ende dann zum Ergebnis komme, wir haben eine ganz risikoreiche, oder Datenverarbeitung mit hohem Risiko, dann muss ich auch noch die Datenschutz aufsichtsbühren, die habe ich jetzt hier im Folgenden mein DPA, Data Protection Authorities abgekürzt, muss ich auch noch die vorher konsultieren, bevor ich das Ganze machen kann. Was wir das erste Mal regeln, was wir bisher im Datenschutzrecht, wie ich immer finde, überhaupt nicht regeln, sind Kinder. Also sie kennen das ja vielleicht den Datenschutzrecht zu den Diskussionen, wann ist eigentlich jemand einwilligungsfähig im deutschen Recht. Schwierige Frage. Ist das eher grundrechtlich zu beurteilen sowie die Religionszugehörigkeit, sprich Einsichtsfähigkeit, ist das eher so zu beurteilen wie im BGB vielleicht, wie die Geschäftsfähigkeit. Ganz schwierige Frage. Also BGH hat das mal letztens entschieden, der Gingsumwerbung für eine Krankenversicherung, für Auszubildende kam dann da zu 16 Jahren. Ganz schwierige Frage. Aber generell sagen bisher haben wir gar nichts, haben wir eigentlich gar nichts geregelt. Und ich finde es deshalb gut, dass in der Situation vorhin das Problem schon mal angesprochen ist, weil bisher war das wirklich so eine Sache. Jeder weiß, dass es da ein Problem ist. Wir wissen auch alle, es gibt eigentlich keine wirklich gute Lösung. Denn das Problem ist natürlich immer, wenn sie da, wenn sie herausfinden wollen, ob jemand ein Kind ist, brauchen sie mehr Intimation. Wenn sie jetzt einwilligungen seine Eltern wollen, müssen sie erstmal wissen, wer sind die Eltern? Sind das auch die Eltern dieses Kindes? Und dann müssen die das irgendwie nachweisen? Wie machen die das eigentlich? Geht meistens nur mit einem Internet ist. Zumindest hat man jetzt das Problem, ist man das Problem mal angegangen. Und man hat deshalb spezielle Regelungen geschaffen zur Einwilligung. Nämlich bei Diensten der Informationsgesellschaft heißt das immer, da können sie sich dann denken, wenn sie das lesen, also groß und ganzen Internet, ist bei, ist wenn der unter 16 Jahren die Zustimmung der Eltern erforderlich. Also das heißt, Facebook unter 16 müssen Mama oder Papa zustimmen. Ja. Also es ist aber glaube ich ein gutes, ist aber glaube ich ein gutes, trotzdem ein wichtiger Punkt, weil wir den bisher noch überhaupt nicht angefasst haben. Und weil der natürlich sozusagen Anreize beinhaltet oder nicht nur Anreize, sondern eben auch ein Anlass beinhaltet, dass die, dass die Anbieter eben dann wirklich zumutbare Anstrengung zur Altersverifikation unternehmen. Also keine Ahnung, ich habe das zum Beispiel früher nicht verstanden. Da gibt es ein Portal, das nennt sich Schüler VZ und Leute melden sich an als Kinder einer bestimmten Grundschule. Da muss man doch eigentlich ins Nachdenken kommen. Auch vielleicht als Datenschutzaufsichtsbehörde. Die Mitgliedsstaaten können aber die Altersgrenze auf 13 Haar absenden. Muss man schauen wie davon Gebrauch gemacht wird, das soll auch, das soll auch sich keine Auswirkungen auf das Vertragsrichts haben. Und auch an anderen Stellen sozusagen diese besondere Gefährdungslage in der Kinder sind versucht an Rechnung zu tragen. Zum Beispiel bei der normalen Interessenabwägung. Es ist Grundlage einer Datenverarbeitung. Soll das besonders berücksichtig werden ob derjenige ein Kind ist, was natürlich ganz klar ist. Ein Kind kann genauso gut wie ein Erwachsener übersehen, was mit seinen Daten mal passiert in welchen Kontexten kommt. Durchläuft auch stärkere Entwicklungen und wird vielleicht auch deshalb stärker auch noch gehemmt dabei und kann auch stärkere Nachteile darüber dann erfahren. Und dann gibt es eben auch sozusagen korrespondierend mit der Einwilligung bei den Diensten der Informationsgesellschaft gegenüber diesen Diensten ein spezielles Löschungsrecht. Wenn ich Daten als Kind dort veröffentlicht habe, glaube ich auch ein ganz guter Punkt. So, alles gut so weit. Ich sage mal, wir haben hier Fortschritte erzielt und ich glaube die sind auch sehr wichtig. Trotz allem natürlich Ketzpunkte gegeben, wo man sich vielleicht auch noch mehr gewünscht hat. Wo man vielleicht sagen müsste, naja gut, da sind wir jetzt sozusagen doch noch sehr herkömmlich, da hätten wir innovativere Ansätze mal weiter verfolgen können. Es ist natürlich so, es sind 29 Mitgliedsstaaten. Es sind noch Kommission, EP, mitmitteilig als Akteure. Es ist ein sehr komplizierter Rechtsakt. Insofern ist es schon eine große Leistung, dass wir da zu einem, wie ich finde, so guten Ergebnis gekommen sind. Aber natürlich gab es Punkte, wo wir uns ein bisschen mehr überlegt hatten. Das ist zum Beispiel der Punkt Profile, also Profilbildung. Wobei man jetzt schon anfangen muss, sich zu überlegen, was eigentlich Profilbildung ist. Ich bin für den Fall lächelt zurecht, aber kann man nämlich lange diskutieren. Profilbildung, so, dass man, wie das das Bundesverfassungsrecht tut, viele Informationen zusammenträgt und am Ende letztlich, dass ich schafft, zumindest Teilabbild einer Persönlichkeit zu erschellen. Also was besonders aussagekräftig ist. Wir hatten uns eigentlich vorgenommen, dafür spezielle Regelungen zur Profilbildung reinzubringen. Das ist uns leider nicht gelungen. Die Kommission hatte Profiling erwähnt im Gesetzgebungsentwurf. Und es ist auch jetzt noch drin. Aber letztlich merken Sie, vom Regelungseffekt her können Sie das rausstreichen. Das ist reine Symbolik. Wir haben auch keine Definition mehr, sondern das Einzige, was wir haben das genauso gemacht, letztlich wie in der Richtlinie, das Einzige, was wir haben, und da hatten wir halt überlegt, anzusetzen, ist, wir haben so eine Regelung, die etwas merkwürdig ist, Datenschutzrichtig zu automatisierten Einzelfallentscheidungen. Der Gedanke ist weniger Datenschutzrichtig, sondern mehr so ein bisschen wichtige Entscheidungen. Man kann nicht alleine eine Maschine oder auf Basis eines Maschinenurteils gefasst werden. Das haben wir letztlich beibehalten und das nicht auf Profilbildung ausgeweitet. Und es ist nur gelungen, da jetzt solche Arten von Entscheidungen, die im Hinblick auf Big Data beispielsweise, besonders wichtig werden, gewisse Qualitätsmerkmale aufzunehmen, die wir auch schon so ein BDSG zum Scoring haben. Wir hätten uns ein bisschen mehr gewünscht, auch noch bei Privacy, bei Design and Default, die Datenschutz durch Technik oder technikfreundliche Vorangstellung. Toll ist, dass wir das jetzt das erste Mal drin haben. Letztlich ist das aber so, dass da im Grunde genommen drin steht, die Technik muss so gebaut sein, dass sie dem, der sie verwendet, es erlaubt, die datenschutzrechtlichen Anforderungen zu erfüllen. Aber ehrlich gesagt, dass ich die Technik nach dem Recht und nicht umgekehrt richten muss, das wussten wir auch schon vorher. Schön wäre es natürlich gewesen, wenn man jetzt überlegt hätte, dass die Selbstbestimmung stärken würde. Beispielsweise, dass man immer die Datenschutz-Freundlichsten-Voreinstellung hat. Sprich sozusagen, alle Datenvermittlungen sind, wenn man jetzt ein Handy bekommt oder einen Fernseher kauft und Smart TV erst mal ausgestellt. Das hätte stärker ausgeprägt sein können. Aber wie gesagt, gute Ansätze. Und wir hätten uns halt auch eine Sache gewünscht, dass man das auch an die Hersteller wendet. Denken Sie mal heute daran, Internet der Dinge. Wir haben ganz viele Geräte, da können wir auch wenig dran ändern. Und da findet Datverarbeitung statt. Also beispielsweise, wenn Sie an Nest, also diese Tarmostate, da können Sie nicht besonders viel machen als Nutzer. Und das ist umso wichtiger wird es natürlich, dass Datenschutz quasi in die Konstruktion schon mit einfließt oder sozusagen beim Connected Car. Ein Punkt auch, den wir uns gewünscht hätten, wir haben in Deutschland Pseudonymisierung und Anonymisierung als Schutzmechanismen. Pseudonymisierung wissen Sie nicht. Wir haben sozusagen eine Liste. Da werden dann von Leuten, also beispielsweise Patienten und da werden die Namen durch Buchstabenkombinationen oder Codes ersetzt und irgendjemand hat dann die Liste und kann dann diese Codes mit den echten Namen zusammenführen. Das ist natürlich eine wunderbare Sache, weil Sie die Gefahr, dass dafür eine einzelne irgendwelche Information verarbeitet werden, ganz stark beschränken, weil nur eben diese eine Person, die die Zuordnungsliste hat, anfangen kann. Genauso, wenn man Sachen an den Daten anonymisiert, hätten wir gerne mehr reingebracht. Kommen wir leider nicht so weit, wie wir wollten. Ich drücke jetzt ein bisschen auf die Tube, da wir für bis sieben Durchsinnstunde zum Diskutieren haben. Wichtig ist natürlich Datenschutzrecht ist nur so gut wie seine Durchsetzung, wie jedes Recht. Zunächst mal kurz zum Marktortprinzip und sagen, so, Marktortprinzip hat man wahrscheinlich alle gehört. Die politische kleinste gemeinsame Nenner von einem war immer das Marktortprinzip. Da geht es darum, im Grunde genommen, wer Waren oder Dienstleistungen in der EU an Personen anbietet, auf diesem Markt. Und er liegt dem europäischen Datenschutzrecht. Alleine schon, das ist notwendig, um ein Level of Playing viel mit unserer, sag ich mal, heimischen Industrie und Unternehmen zu gewährleisten. Das Ganze hat jetzt ein bisschen ganz verloren, da gibt es der OGH in Google Spanien, das ein bisschen vorweggenommen hat. Man braucht nur irgendeine Niederlassung in der EU und auch in einem Drittstaat Kinder an Daten verarbeitet werden. Sofern das für diese Niederlassung ist oder ein enger Zusammenhang besteht, ich finde das Datenschutzrecht dann auch schon Anwendung, das europäische. Und dann hat er noch in einem kürzlichen Urteil Weltemo ganz geringe Anforderungen gestellt, was eine Niederlassung ist. Das Projekt des Marktortprinzips ist, wenn wir überhaupt keine Niederlassung haben, sind ein Versandthändler mit Sitz in New York. Sie versenden Leuten an der EU irgendwelche Waren und wollen Daten verarbeiten. Sie unterliegen dem europäischen Datenschutzrecht. Ein Punkt, der bisher noch noch nicht so stark im Fokus steht, der aber ganz, ganz wichtig ist in der Praxis, das ist jetzt wie eigentlich Marktortprinzip, sondern eher so ein Auswirkungsprinzip, wenn sie Verhalten von EU-Bürgern oder Personen in der EU besser gesagt monitoren, also überwaffen. Und da liegen sie auch dem europäischen Datenschutzrecht. Wann ist das besonders wichtig? Beim Webtracking. Also wenn sie das Surfer halten von Leuten, Middles Cookies beispielsweise, die in der EU sind und sitzen, während sie das machen, überwachen, unterliegen sie europäischen Datenschutzrecht. Das ist ein ziemlich weitgehender Währgegen über den eigentlichen Marktortprinzip, so ein bisschen eher im Schattenstein. Wichtig ist, haben sie bestimmt auch schon gehört, Datenschutzrecht bekommt abstreckende Sanktionen. Manche, ein Anwalt spricht schon vom Datenschutzrecht als neuem Kartellrecht. Bestimmt doch zurecht, denn die Sanktionen können bis zu 4% des weltweiten Jahresumsatzes sein. Also es lohnt sich nicht mehr, soll sich nicht mehr lohnen, dass man quasi bewusst Datenschutzrechts Brüche oder Verstöße in Kauf nimmt, um erstmal Marktanteile zu gewinnen. Das ist natürlich auch so, dass der Unternehmen, die sich recht neu verhalten, eine ganz wichtige Sache. Es wird aber natürlich auch dazu, dass Datenschutzrecht in allen Unternehmen noch wichtiger werden wird und ist also eine ganz erhebliche Steigerung. Also beispielsweise, wenn sie das mit Deutschland vergleichen, die Sanktionen in Deutschland sind jetzt schon nicht so gering, da sind sie maximal bei 300.000 Euro. Wenn sie von 4% weltweiten Jahresumsatzes sprechen, sind sie in einer ganz anderen Dimension. So, aber das Wichtigste ist natürlich, wer setzt das Datenschutzrecht eigentlich durch? Wir haben ja das System, dass sie das nicht nur selber machen können, sondern die haben sozusagen auch Datenschutzaufsichtsbehörden, die, so habe ich das immer verstanden, im Grunde genommen, ihnen zur Seite stehen sollen, weil sie das nicht alles selber machen können und dadurch der Durchsetzung auch ihrer Rechte dienen sollen. Und das ist natürlich schwierig. Sie haben jetzt in der EU das Problem, dass man einerseits sagt, wir haben einheitliches Recht, wir wollen es auch einheitlich durchsetzen. Das heißt, es muss einheitlich ausgelebt werden. Wie kriegen wir das hin? Andererseits, wie soll es natürlich so sein, wir haben einheitliches Recht, das ist natürlich für die, gedacht auch, dass es für die Wirtschaft eine Erleichterung ist. Dass man europaweit einheitlich seine Datenverarbeitung regelt, sich wirklich mit allen Datenschutzaufsichtsbehörden abstimmen, ja, nein. Das war also auch ein Grundbaustein des Vorschlags der Kommission. Das Unternehmen soll eine einheitlichen Ansprechpartner, eine einheitliche Anlaufschule, so wie wenn wir ein One-Stop-Shop haben. So, Problem ist natürlich nur, die sitzen jetzt, ich gehe nochmal hier zurück, da hätte ich dieses Bild. Das ist das, was die Datenschutzaufsichtsbehörde ist. Also, ich meine, nicht in Supermarkt unten, sondern im ersten Stock werden, die irische Datenschutzaufsichtsbehörde ist das. Nichts gegen Irren, aber es ist so wunderbar plakativ, weil es, das ist in einem Vorort von Dublin und ich sage mal so, man würde Ihnen ein schöneres Gebäude wünschen. Und wäre wohl auch angemessen. Ja, Sie stellen sich vor, wie gesagt, Sie sind ein Unternehmen, Sie haben Ihr Sitz, Ihr Sitz ist in Irland. Sie sind aber ein Betroffener. Nehmen wir mal an, um zu dem Herrn zurückzugehen, der vorhin auch ein Foto war. Sie sitzen aber im Österreich. Wenn Sie jetzt extra nach Irland gehen müssen, ist das natürlich schwierig für Sie, dann ist das ein Problem der Bürgernähe. Für Sie wäre es viel besser, wenn Sie sich an Ihre österreichische Datenschutzaufsichtsbehörde wenden können. Also, wir haben jetzt im Grunde genommen, das Problem hier verschiedenste Interessen, die irgendwie gegenläufig sind. Und so ein bisschen brauchen wir in der Quadratur des Kreises beziehungsweise eine gute Ausfüllung dieses Dreiecks. Also, das haben wir versucht, die Folge zu lösen. Wir haben erst mal gesagt, okay, einheitliche Anlaufstelle gibt es. Es gibt eine sogenannte Lead Supervisorio Authority, die ist am der Hauptniederlassung oder auch bei Sitz der Konzern Mutters geht, auch für verbundene Unternehmen. Dann haben wir weiterhin so, dass die Anlaufstelle für Sie, bleibt seine lokale Datenschutzaufsichtsbehörde. Die bleibt auch zuständig, wenn wir eine rein lokale Datenverarbeitung haben. Ich sage mal, als Beispiel nehmen wir so ein Unternehmen wie Benetin oder sowas. Die haben vielleicht einen Kundendatei. Die wird europaweit einheitlich, dann ist der Lead Supervisorio Authority abgestimmt. Aber die haben vielleicht auch in jedem einzelnen Shop eine Videokamera. Das ist dann eher eine Frage und dann haben wir jetzt eben nicht nur einen Player, sondern auch dann ganz leicht mehrere und die müssen dann miteinander kooperieren können. Da gibt es also ein sehr komplexes Kooperationsverfahren, wie die sich abstimmen und was ist passiert und jetzt vereinfacht gesagt, was passiert, wenn die sich nicht einigen können. Dann gibt es eine verbindliche Entscheidung durch den European Data Protection Board. Das ist der Nachfolger der jetzigen Artikel 29 Gruppe. Da sitzen die Datenschutzaufsichtsbehörden in den Mitgliedstaaten darin. Z.B. wenn man mehrere hat, muss man einen vertreten. Die stimmen dann am Ende ab und treffen eine einheitliche Entscheidung für ganz Europa. Die sind auch wichtig deshalb, weil sie auch Empfehlungen geben und Datenschutzrecht kennen wir. Viele Sachen sind Generalklauseln, Abwägungsklauseln. Das ist natürlich ganz wichtig, welche Guidelines es gibt. Ich möchte das mal kurz ein bisschen darlegen und dann werde ich mich auch sputen hier. Also wenn wir uns überlegen, Sie sind jetzt ein österreichischer Staatsangehöriger, der sich gerne gegen sein soziales Netzwerk wehren möchte, dann gehen Sie zu Ihrer österreichischen Datenschutzaufsichtsbehörde. Die prüft jetzt erstmal Ihre Beschwerden. Und vielleicht nimmt die sich der Sache sogar so stark an und macht einen eigenen Entwurf für eine Entscheidung und sagt, also unserem Bürgermeister muss abgeholfen werden. Dann muss er aber nicht selbst entscheiden, weil das Unternehmen und sozusagen die einheitlichen Entscheidung trifft eigentlich unsere Lead Supervisor, Lead DPA, habe ich das genannt. Die bekommt dann den Entwurf und die fertigt einen eigenen Entwurf an. Dabei muss sie Taking Atmos Accounts zu dem Draft, also der Heimat DPA des einzelnen Bürgers fragen. Dann beginnt eben das Kooperationsverfahren, die übermittelt diesen Draft an alle betroffenen Datenschutzaufsichtsbehörden, also beim Unternehmen, was europaweit tätig ist, an alle. Und die können dann innerhalb von vier Wochen begründete und erhebliche ja also Widersprüche gelten machen. Wenn das geschieht, oder sagen wir mal so, wenn das nicht geschieht und es geht durch, dann erlässt die Lead DPA einfach eine Entscheidung an das Unternehmen mit europaweit eine persönliche Entscheidung. Der Beschwerdeführer wird von seiner lokalen Behörde informiert und und das Verfahren ist beendet. Wenn es aber ein Widerspruch gibt, wie wird dieser Widerspruch aufgelöst, dann geht das Ganze eben in den European Data Protection Board und der kann dann erstmal ein Zweidrittel Mehrheit, wenn er keine Entscheidung zu keiner Entscheidung kommt, mit einer einfachen Mehrheit, dann eben entscheiden. Und sozusagen die Entscheidung wird dann aber umgesetzt, mit einer normalen Aufsichtsbehörden. Das sind jetzt aber Feinheiten, wir können auch europarechtliche Feinheiten gleich reden. Ich wollte Ihnen nur mal das Grundmodell darlegen. Das werde ich auch hier etwas schneller. Vielleicht eine Sache ist nur wichtig, diese Entscheidung für den European Data Protection Board der Europarecht, da lenken mich gleich, oh, das ist ja eine europäische Entscheidung. Was ist denn, wenn das jemand angreifen will? Da muss ich nämlich in der Tat zum EURG gehen und dann sage ich mal belassen, also Inzidenz prüfen, Stichwort Fotofrost geht nicht. Dabei überlasse ich es hier mal, damit wir weiterkommen. So, für uns ganz wichtig Vollharmonisierung und Öffnungsklauseln. Entschuldigung, jetzt hakt es hier gerade. Ich hatte Ihnen schon gesagt, die Kommission hat sozusagen den großen Sprung gewagt, in der Richtlinie zur Verordnung gesprungen. Es ist schon, muss man sagen, war die Richtlinie vollharmonisierend. Das heißt, sie konnten konkretisieren in bestimmten Richtlinien, aber sie durften, um also beispielsweise besonderen Betroffenheiten und in konkreten Situationen Rechnungen zu tragen, sie durften aber nie die Tragweite der politischen Entscheidung der Richtlinie in irgendeiner Form abändern oder infrage stellen. Bei der Vollharmonisierung ist es natürlich anders. Da haben Sie nicht mehr diese nationalen Vorschriften, die das umsetzen, sondern die werden im großen Teil wegfallen. Es ist kein Datenschutzrecht, nationales Datenschutzrecht mehr, sofern wir nicht eine Öffnungsklausel haben. Aber, das muss man auch sagen, wir haben doch relativ viele Öffnungsklauseln. Also fangen wir erstmal an, was passiert eigentlich mit unserem nationalen Datenschutzrecht. Also die Vollharmonisierung führt dazu, dass vor allen Dingen im privaten Bereich alle Datenschutzregeln, die wir haben, wegfallen. Also es betrifft vor allen Dingen die 28 fortfolgenden BDSG. Das betrifft teilweise dann auch die Videoüberwachung durch Private. Das betrifft aber auch andere Vorschriften zum Beispiel im Telemediengesetz, sofern die nicht auf der E-Privacy-Richtlinie beruhen. Wir haben dann aber verschiedene Arten von Möglichkeiten der Öffnung und der Konkretisierung durch den Gesetz, durch den nationalen Gesetzgeber. Also beispielsweise ganz stark, da komme ich zu einem öffentlichen Bereich. Wir haben für öffentliche Aufgaben oder eine Ausübung von Hoheitsgewalt geschieht. Was ja auch logisch ist, da brauche ich ja auch jetzt schon eine gesetzliche Grundlage und die darf ich eben sehr weit ausgestalten, komme ich gleich zu. Wir haben weiterhin auch die Möglichkeit der Konkretisierung im Arbeitsrecht zu erlassen. Das ist für uns hier ganz wichtig gewesen und Deutschland war ja immer wieder auch in der Diskussion, es auch die Koalition hat sich das vorgenommen, einem beschäftigten Datenschutzgesetz und wir haben natürlich weiterhin Ausnahmen, die wir auch schon kennen, natürlich für öffentliche Sicherheit beispielsweise und dann aber auch im Bereich Forschung, Statistik, hat ich vorhin schon angesprochen, dass es da gewisse Privilegien gibt, da kann ich dann zum Beispiel Ausnahmen von betroffenen Rechten vorsehen und wir haben noch am Ende tatsächlich auch noch gewisse, sag ich mal, Entscheidungsspielräume. Also zum Beispiel können wir, können die Mitgliedsstaaten, das war wirklich eher punktuell, entscheiden, ob diese sensiblen Daten, beispielsweise Daten, wie habe ich da in deren Verarbeitung überhaupt einwilligen darf oder ob ich die Einwilligung dementsprechend vielleicht sogar hier gar nicht erlaube und man darf spezifizieren und auch zusätzliche Voraussetzungen an die Datenverarbeitung von Gesundheitsdaten, genetischen Daten und biometrischen Daten. Genetische Daten sind ganz wichtig. Kennst du zum Beispiel das Gen-Diagnostik-Gesetz, das sind sehr strikte Voraussetzungen. Wichtig ist das vor allen Dingen, was also sehr wichtig ist mit des öffentlichen Rechts im öffentlichen Bereich. Da gilt halt die DSGVU auch, sofern nicht die Richtlinie für Justiz und Polizeieinschläge ist. Da haben wir nämlich ein sehr aus- differenziertes Bereich spezifisches Datenschutzrecht und diese Ausdifferenzierung und die genauen Regeln sind auch sehr, sag ich mal, für das deutsche hohe Datenschutzniveau wichtig gewesen und das werden wir alles weitgehend beibehalten können, weil uns eben die Verordnung, die Möglichkeit gibt, konkretisierend tätig zu werden. Also beispielsweise, wann ist die Datenverarbeitung zulässig? Ich meine, das ergibt sich schon ganz klar. Wenn ich eine gesetzliche Grundlage habe, muss die klar und eindeutig festlegen, unter welchen Voraussetzungen Daten verarbeitet werden dürfen. Man kann die Zwecke festlegen, aber auch zum Beispiel die Empfängerbegrenzen. Da wird man auch sagen, wenn man mit bestimmte Voraussetzungen da anzustellen kann, wann Auftragsdatenverarbeitung zulässig ist oder auch an die Datensicherheit keine bestimmte Voraussetzungen zusätzlich wie im SGB, weil wie ob Sie das wissen, da haben wir ein ganz ausgefeiertes Datenschutzrecht. Mit ganz vielen zusätzlichen Gewährleistungen weiß natürlich, jetzt wenn Sie denken Sie an einen Antrag auf Hartz IV, um ganz sensible Daten geht, da muss derjenige sicher bildlich gesprochen finanziell wirklich ausziehen. Das ist ja natürlich besonderen Regularien unterworfen, auch weil derjenige natürlich in einer Wahnsinnstrucksituation ist. So, ich komme jetzt mal zum Schluss. Ich glaube, dann müssen wir jetzt auch mal zur Diskussion kommen. Wie geht es denn jetzt eigentlich weiter? Ich habe Ihnen eine Menge vorgestellt. Ist das Ganze schon durch? Politisch ja, wie Prof. Penis gesagt hat, wir haben uns im Eingangs, wir haben uns im Trilog zwischen EP Kommission und Rats ist abgeschlossen worden im Dezember. Aber es dauert jetzt noch ein Moment, es wird jetzt politisch angenommen, es wird jetzt sozusagen der Trilog etwas informelles, es wird jetzt erst mal das Gesetzgebungsverfahren zu Ende geführt. Wir nehmen an, dass das Ganze so im Mai geschehen wird, im Juni wird es dann wahrscheinlich im Anplatz sein und wenn es im Amtsblatt war. Dann haben wir zwei Jahre, also in Kraft tritt, dann haben wir zwei Jahre lang Zeit, um das deutsche Datenschutzrecht anzupassen und fit zu machen. Das, was ich eben gesagt habe, einiges fällt, wird wegfallen, das müssen wir aufheben. Das wird auch für Dinge und ein bisschen Maße gelten, dass vielleicht einfach nur das wiederholt, was da drin steht. Die Systematik ist ja ganz ähnlich. Denn entgegenstehendes Recht und unter gewissen Vorhörungen, im Regelfall auch gleichlautendes Recht ist aufzunehmen, auch wenn das natürlich eigentlich nicht schlimm ist, aber das hat gewisse Europa primärrechtlich gekommen. Und wir müssen uns natürlich auch Gedanken machen, beispielsweise wie regeln wir oder wie treffen wir bestimmte Entscheidungen. Beispielsweise habe ich vorhin den europäischen Datenschutz- Ausschuss, also European Data Protection Wort genannt. Wer sitzt da eigentlich? Die Datenschutzbeauftragte? Irgendein Ländervertreter, also in Deutschland ist es ja so, dass gerade im privaten Bereich für den das Relevant ist, weil, sage ich mal, dort vor allen Dingen Entscheidungen transnationaler Art bei getroffen werden, mit Unternehmen betreffen. Da betrifft, da ist aber liegt, ob liegt aber die Durchsetzung des Datenschutzrechts den Landesdatenschutz-Aussichtsbild. Da muss man also jetzt auch ein Mechanismus finden. Wer vertritt dort eigentlich Deutschland? Wie wird das abgestimmt, was derjenige sagt? Oder auch, erinnern Sie sich hier an die Frage, na, zum Beispiel relevant and reasoned objections. Wie wird dann dort die Meinungsbildung in Deutschland finden? Kann jede Datenschutzaufsichtsbehörde so ein Widerspruch vorbringen? Oder müssen wir das mit mehr machen? Muss man sich jetzt alles überlegen. Dafür haben wir zwei Jahre lang Zeit, ist eine Menge Arbeit. Wir haben auch noch weniger als zwei Jahre Zeit, weil zwischendrin wird auch noch gewählt. Und deshalb machen wir uns da auch schon vor allem die Kollegen im Bundesinnenministerium, die dafür sind, ganz fleißig an die Arbeit. Ich danke Ihnen erstmal für Ihre Aufmerksamkeit. Vielen Dank.