 öffentliche Daten nutzen, private Daten schützen. Das ist einer der Grundsätze der Hackerethik. Leider halten sich nicht alle an die Hackerethik beispielsweise Geheimdienste. Die machen das eher andersrum, die machen das mit den privaten Daten nützen und die öffentlichen Daten, also in dem Fall Daten über die Arbeit der Geheimdienste, mit denen man sie vielleicht kontrollieren konnte, die werden sehr gut beschützt. Der nächste Speaker findet das überhaupt nicht richtig. Er hat tatsächlich in den 42 Wochen nach den Snowenenthüllungen jede Woche vor dem Bundeskanzleramt eine Wutrede gehalten. Ein Applaus hierfür schon mal. Ja, und was macht jemand beruflich, der zehn Monate lang jede Woche eine Wutrede über Datenschutz hält? Natürlich ist er betrieblicher Datenschutzbeauftragter, aber er ist auch Datenschutzaktivist und kämpft mit seinem Kanal dem Rumpfung auch gegen die Depublikierungspflicht von öffentlich-rechtlichen Anbietern in den Mediatheken. Auch hierfür einen Applaus. Und eben dieser Lars Hohl oder wie wir im Club ihn besser kennen als der Puppe wird uns jetzt etwas erzählen über die EU-Datenschutz-Grundverordnung. Schreckliches langes deutsches Wort. Ich denke, da gibt es viel Spaß in der englischen Übersetzung. Aber wir freuen uns darauf, endlich zu erfahren, was wir damit eigentlich anfangen können und was das für uns verändert. Ein Applaus. Ja, erst mal einen gesegneten guten Tag. Schön, dass ihr alle hier hingekommen sind. Das Spannende, man sieht, Datenschutz begeistert. Datenschutz füllt ganze Hallen. Datenschutz füllt Saal 1. Als Fetaster des Datenschutzes freue ich mich natürlich auf dieses breite Interesse zu stoßen. Ich habe den Talk über die EU-Datenschutz-Grundverordnung Rechte für Menschen, Pflichte für Firmen, Chancen für uns genannt. Das ist natürlich ein bisschen pathetisch. Man könnte auch Clickbait gesagt werden. Aber da ist sehr viel Musik in diesem Gesetz. Und wo? Das werdet ihr gleich sehen. Ganz zu Anfang ein kleines WhoMI. Und das Wichtige ist im Endeffekt. Man sieht dort zweimal Milche oder dreimal Obennetz. Einmal in der Echtwelt mit Krawatte und Schlips. Das ist halt, wenn ich beruflich unterwegs bin oder eben so, wie ihr mich eher kennt. Warum sage ich das? Weil als erstes natürlich der Disclaimer. Alles, was ich heute hier sage, sage ich in Form als Datenschutzaktivist und ist nicht Aussage meines Arbeitgebers oder irgendwelcher Kunden, die ich habe. Ja, ich bin 43 Jahre und im Endeffekt ist für mich ganz wichtig, dass alle, die ja heute hier hingekommen seid, dass alle die, die hier zum Kongress gekommen sind, auf zwei Ereignisse vielleicht aus meinem Leben oder der Prägung mal kurz hinzuweisen. Das eine war die Hacking at Lodge. Das war das Hackercamp in 2001 in den Niederlanden. Warum ist mir das wichtig? Dort hatte ich das Glück, diese gesamte Hackerethik, diese gesamte Masse an Menschen, die gemeinsam daran arbeiten, die Welt zu verändern und zu verbessern. Habe ich kennenlernen dürfen und ihr habt mich stetig begeistert, weiter in den Tätigkeiten fähig zu sein. Und als dann der 22 C3 in Berlin war, da war wirklich als Wirt die Offenbarung über mich kam. Damals gab es zwei Vorträge und eigentlich, die sind diese ein bisschen auch die Grundlage zu dem, was ich geworden bin und warum ich heute hier an dieser Stelle stehe. Das eine war ein Vortrag über das damals noch neue Informationsfreiheitsgesetz. Und mir wurde einfach klar, es ist toll, es gibt dort draußen Rechte. Und diese Rechte können wir als Bürger, wir als Menschen nutzen, um, wie heißt es, Transparenz einzufordern. Und genau diese Transparenz ist ein wichtiger Baustein im Datenschutz. Und das Zweite war damals die Rede von Thomas Maus über die Gesundheitskarte. Und im Endeffekt war diese drei Stunden, die er damals referiert hatte, die Initialzündung zu sagen, es geht so nicht weiter. Ich kann jetzt nicht einfach nur Nerd sein und als IT-Arbeiter, sondern ich möchte im Bereich Datenschutz aktiv mitgestalten. Und ihr, alle, die ihr hier seid, könnt auch aktiv Datenschutz mitgestalten. Seid ihr in eurer Firma unterwegs, dort könnt ihr Datenschutz einfordern. Dort könnt ihr auf Datenschutz hinweisen. Das ist mir wichtig. Und so beginne ich eigentlich am Anfang schon mit dem Call to Action. Datenschutz kommt nicht von alleine zu euch. Ihr müsst es selber durch euer Handel einfordern in eurem Umfeld oder in den Projekten, wo jeder von euch irgendwo tätig ist. Jeder muss wissen, wer ist hier für den Datenschutz verantwortlich und ist das, was wir hier tun, mit Gesetz compliant. Punkt. Ja, so bin ich als Datenschutzbeauftragter. Ich will nicht sagen geendet. Aber wichtig ist die drei Punkte. Ich mag Politik, ich mag Schach und ich mag meine Mitmenschen. Warum ist das wichtig? Beim Datenschutz geht es um Menschen. Also ihr braucht erst mal, wie heißt es, dieses Verständnis von Menschen? Datenschutz ist Politik. Und das, was ich hier mache, ist ein wichtiger Schachzug, dass innerhalb von Deutschland, innerhalb von der EU mehr Budgets für Datenschutz freigegeben werden. Ja. Extrem use all your Auskunftsrechte. Fange ich am Anfang mal mit einem kurzen meine und nicht meinungsbild mit einer Abfrage. Wer von euch weiß, was eine Datenschutz-Selbstauskunft ist? Für den Stream ungefähr die Hälfte. Wer von euch hat das Recht auf Selbstauskunft im Datenschutz auch schon genutzt? Für den Stream ungefähr ein Drittel. Will meinen, da ist sozusagen noch Potenzial, dass wir die Rechte, die wir haben, auch aktiv nutzen. Ich möchte im Endeffekt, wenn wir hier rausgehen, dass ihr euch der betroffenen Rechte bewusst seid und diese aktiv nutzt. Und Punkt zwei dieses Talks, Ziel ist es, ich möchte, dass draußen bewusst ist, was die Sanktionsmöglichkeiten, die Bußgelder sind, welche festgelegt werden können, wenn sich nicht an Datenschutz gehalten wird. Gerade in Bezug auf die neue EU-Datenschutz-Grundverordnung. Gehen wir jetzt in Medias Rees, gehen wir jetzt in die Datenschutz-Grundverordnung. Was bisher geschah. Hier in Deutschland haben wir den Rechtsrahmen des Bundesdatenschutzgesetzes und zusätzlich dazu ist 1995 die Datenschutzrichtlinie der EU erlassen worden. Eine Richtlinie ist nicht unmittelbar sofort wirksam, sondern sie muss erst noch von Staaten in nationales Recht gegossen werden. Bei diesem In-Gesetz-Gießen gibt es verschiedene Ausprägungen. Die Konsequenz ist, dass wir eigentlich bei den 28 Mitgliedstaaten in der EU einen Flickenteppich an Datenschutzgesetzgebung haben. Und um diesen Flickenteppich zu kitten, wurde 2012 das Ziel einer Datenschutzreform auf EU-Ebene angestoßen. Und dazu wollte man das Stilmittel einer Grundverordnung nehmen. Grundverordnung ist deshalb eigentlich ein sehr tolles Instrumentarium, weil eine Grundverordnung sofort für alle Staaten auf gleicher Weise gilt. Als Frau Reding auf dem Datenschutzkongress 2012 den Plan der Grundverordnung vorstellte, war das Meinungsbild unter den Konzerndatenschützern in Deutschland eher durchwachsen. Weil wir wussten jetzt ja nicht, wir kommen alle hier von diesem hohen deutschen Datenschutzniveau, was ist die Konsequenz für das deutsche Datenschutzrecht, wie sehen wir das jetzt aus einem nationalen Interesse heraus? Müssen wir sehr viel davon abgehen. Und viele hatten erst diese Befürchtung. Für meinen Teil muss ich sagen, ich sehe eher das Glück da drin, weil altruistisch, wenn Gesamteuropa das Niveau nach oben geht, geht vielleicht Deutschland leicht runter, aber das Gesamtniveau vom Brutto-Niveau gesteigt nach oben. Und wichtig ist, dass das Ziel dieser EU-Datenschutzgrundverordnung ein freier Datenverkehr innerhalb der EU ist mit fairem, transparenten Datenverarbeitung. Das war ein langer Kampf. Darüber gibt es auch mehrere Vorträge unter media.cc.de von innerhalb der EU, wie das dazu gekommen ist. Wichtig ist jetzt, im Mai dieses Jahres ist die EU-Datenschutzgrundverordnung jetzt unterschrieben worden. Und mit zwei Jahren Latence wird diese ab dem 25.5.2018 in allen Ländern für alle Firmen-slash-Institutionen bindend sein. Und ein Punkt, der in dem Fall eben auch ein ganz spannender ist, gerade in dieser ganzen Cloud-Diskussion, es gilt dabei das Marktortprinzip. Was ist das Marktortprinzip? Das heißt, Firmen, die in Europa Datendienste anbieten, für die gilt die Datenschutzgrundverordnung, auch wenn sie selber keine Niederlassung in Europa haben. Und das ist eine ganz spannende Sache, wenn wir später zu den Wuskeldern kommen. Ja, ein Talk über Datenschutz. Woran denken denn dann die meisten, wenn wir über Datenschutz reden? Traurig aber wahr. Geht draußen auf die Straße, fragt nach Datenschutz. Zuerst denken die meisten eigentlich eher an Datenschutz-Skandale. Sei es Lidl, die Deutsche Bahn oder eben die lustige Konfetti-Kanone, wo Krankenakten geschreddert im Karneval verteilt werden. So ist eigentlich das Bild in Öffentlichkeit. Das heißt, bewusst wird Menschen eher die Abwesenheit anstatt die Bedeutung von Datenschutz. Also kommen wir jetzt wirklich zu echten Definitionen. Das, was es bedeutet, Datenschutz umsetzen zu wollen. Datenschutz schützt keine Daten. Die wichtigste Datenschutzbeauftragte, Prinzessin Lea, ich verteidige Menschen. Datenschutz schützt Menschen vor dem Umgang mit ihren Daten. Privatsphäre ist ein Menschenrecht. Das Recht auf informationelle Selbstbestimmung sagt, dass jeder Mensch entscheiden kann, wem wann, welche seiner personenbezogenen Daten zugänglich sind. Und ihr seht genau bei dieser Definition, dass die Anforderung aus der Datenschutz-Grundverordnung eines fairen und transparenten Datenverarbeitung essenzielle Grundvoraussetzung ist, um diese informationelle Selbstbestimmung sicherzustellen. Warum machen Firmen das eigentlich? Da kann man sagen, der ersichtlichste Grund ist irgendwie so ein Juristischer, weil es gesetzlich vorgeschrieben ist. Alle wollen Datenschutz-Komplein sein. Aber die zwei anderen Gründe sind eher ökonomischer Natur. Sanktionierte Datenschutzverstöße kosten Geld. Im aktuellen Datenschutzgesetz ist die maximale Penalty für ein Datenschutzverstoß bei 300.000 Euro. Das ist Geld. Und Geld, was man bezahlen muss, ist erst mal aus ökonomischer Sicht nicht gut. Je nach Budget kann das natürlich auch Portokasse sein. Zusätzlich dazu kommen aber meist noch gravierender zweite Aspekt. Und zwar der Imageverlust. Datenschutzskandale beschädigen die Marke bzw. das Image. Und Marken- beziehungsweise Imageaufbau kostet auch richtig Geld. Darum mein Tipp an alle Datenschutzbeauftragten spricht mit eurer Unternehmenskommunikationsabteilung und lasst euch das einfach mal ausrechnen. So eine Relation. Wie viele Millionen geben wir im Jahr aus für Marketingaktivitäten? Und was glaubt ihr, wie teuer es wäre, wenn wir so einen richtig schönen Datenschutzskandal in der Presse hätten, um dann das angekratzte Image wieder zu fixen? Ich hab dazu einige Thesen. Was Datenschutz anbetrifft, bin ich der festen Überzeugung, dass wir Law-and-Order nicht primär für Menschen, sondern für Firmen im Bereich Datenschutz benötigen. Warum? Datenschutz ist in der Regel kein Primärziel von Firmen. Diese agieren mit Gewinner-Zielungsabsichten. Datenschutz ist wie alles andere auch nur eine Kostenstelle. Das finanzielle Risiko, nicht datenschutzkonform zu handeln, muss visibel sein, so dass mein Tipp als Datenschutzbeauftragter ist, bringt die finanziellen Risiken ein ins Risikomanagement eurer Firmen. In Geld-quantifizierbare Risiken schaffen Management-Erwärmungen. Und die hilft uns bei der Umsetzung der Anforderungen, welche wir aus dem Gesetz haben. Wie machen wir das? In der Informationssicherheit gibt es folgende Vorbild. Risiko ist Schadenspotenzial mal Eintrittswahrscheinlichkeit. Was bedeutet diese Formel in Bezug auf Datenschutz-Busgelder? Das maximale Datenschutz-Busgeld, mal der Wahrscheinlichkeit, dass von einer Aufwichtsbehörde bei einem Sachverhält ein Bußgeld verhängt wird, ergibt das betriebswirtschaftliche Gesamtrisiko. Ja, und da ist jetzt mal die spannende Frage, was ändert sich jetzt bei der EU-Datenschutz-Grundverordnung? In Bezug auf Bußgeldern, ich hatte vorhin gesagt, diese 300.000 ist zum jetzt der aktuelle Höchstbetrag. Und genau hier ist richtig Musik in der aktuellen EU-Datenschutz-Grundverordnung. Jeder einzelne Verstoß kann ein Bußgeld auslösen. Und die Maximalstrafen sind dabei entweder 20 Millionen Euro oder 4 Prozent des weltweiten Konzernumsatzes. Dabei gilt der jeweils höhere Betrag. Ja, Schluck. Ihr könnt euch vorstellen, da kann Law & Order richtig Spaß machen, da kann Law & Order richtig kosten. Ob jetzt Firmen dafür Rücklagen bilden werden oder ob sie entsprechende Versicherungen abschließen, das ist sozusagen noch offen, das wird die Zukunft zeigen. Aber wichtig ist, ich kann euch sagen, dass wir, heißt es, 4 Prozent merkt man sich. Nehmen wir doch mal einfach die Beispiele, die ihr alle noch von der letzten Folie kennt, welche auch in unserem Bewusstsein so sind. Bei der Bahn waren es im Endeffekt, ich glaube, wir haben 1,1 Millionen damals Strafzahlungen für alle akkumulierten Fälle zusammen bezahlt. Nimmt man einfach mal den aktuellen Umsatz, den Sie haben, Nordwikipedia, 39,2 Milliarden. Nimmt das mal 4 Prozent Sengar, 1,5, 6, 8 Milliarden. Ihr könnt euch vorstellen, das sind Zahlen, die werden verstanden, das sind Zahlen oder Muster, die sozusagen von Entscheidern in Firmen sagt, oops, haben wir hier vielleicht Handlungsbedarf. Ich hab gesehen, auf zehn Minuten auf den zweiten Fall gehe ich dann so direkt nicht ein. Aber hier seht ihr jetzt einfach mal die Liste der 30 DAX-Konzernen dahinter, den Jahresumsatz und daraus berechnet den maximalen Datenschutz-Busgeld, welches zu bezahlen ist. Und man sieht einfach, also die Anzahl der Ziffern ist beachtlich. Ich hab einfach mal so als prominentes Beispiel unseren Klassenprimos, die Deutsche Volkswagen AG. Bezüglich Treue- und Verbraucherschutz- und Verbraucherausagen kann man da ja zurzeit sehen, dass dort noch manchmal ein bisschen Optimierungsbedarf ist. Was würde es für die Volkswagen AG denn bedeuten, wenn sie sich jetzt vielleicht im Bereich selbstfahrenden Autos vorschnell mit irgendwelchen neuen Sachen hinreißen lässt? Bei 213 Milliarden Konzernumsatz könnten dort einfach 3,58 Milliarden Euro Strafzahlung fällig sein. Das ist immer noch weniger als vorwärtsverzeiten in den USA bezahlen muss. Aber ihr seht ja, in Deutschland und in Europa ist der Konsument nicht so gut geschützt. Im Bereich Datenschutz wird sich das ändern. D.h. dort werden Bußgelder sein und die werden auch entsprechend benutzt werden. Aber jetzt noch mal Law and Order, Bußgeld, Puppe, was willst du hier von uns, ist die Frage. Und wo kommen jetzt hier die Haxoren oder eben die Datenschutzaktivisten oder die Betroffenen ins Spiel? Kommen wir noch mal zurück zur Risikoforme. Was ich euch gezeigt habe, ist, dass durch die EU-Datenschutz-Grundverordnung das Schadenspotenzial sich signifikant erhöht hat. Parameter 1 ist somit gestiegen. Jetzt ist ja die Frage, wird Parameter 2 die Eingriffswahrscheinlichkeit zurückgehen? Und das Schöne ist, da kann ich vorab schon mal sagen, nein. Wir können an der Stelle nämlich tollerweise aktiv mitgestalten, jeder. Und das Wichtige an der Stelle oder um das Schwert, was wir da haben, sind Betroffenenrechte. Die können wir nutzen. Denn das Tolle ist, Rechte, die wir als Betroffene haben, daraus ergeben sich immer Pflichten für verantwortliche Stellen oder eben für Firmen, für Leute, die mit euren Daten umgehen. Und diese Pflichten, die die haben, können wir einfordern. Und die Auskunfts- und Informationsrechte in der EU-Datenschutz-Grundverordnung haben sich wirklich verbessert. Dort sind Anforderungen gestellt worden, welche ich als Nerd sagen muss, super klare Vorgaben, viele Auskunftsrechte. Bei der diesjährigen Datenschutzkonferenz war es so, dass das sogar ein Thema war, dass dort, wie heißt es, Konzerndatenschützer sagten, was machen wir denn, wenn jetzt alle Betroffenen, wenn alle Datensubjekte jetzt ihre Auskunftsrechte auch nutzen? Und gerade diese Fragestellung hat mich damals bewogen, zu sagen, das ist ein spannendes Thema. Lass mal einen Vortrag drüber machen. Vielleicht gibt es sowas, wie fragt den Staat irgendwie mit Auskunftsersuchen bei Firmen. Was gibt es denn für Betroffenenrechte? Im Endeffekt kann man Betroffenenrechte in fünf Kategorien unterteilen. Und außen. Man kann an der Stelle sagen, es gibt Permissionsrechte. Permissionsrechte sind Rechte, wo wir einwilligen, dass Datenverarbeitung mit unseren Informationen geschieht. Zum Beispiel die Einwilligungserklärung, welche freiwillig ist, spannend in der EU-Datenschutzgrundverordnung ist, dass diese Vorgaben im Bereich der Transparenz noch einmal erhöht wurden. Und dass wir an der Stelle noch mehr Informationen von den Firmen bekommen können. Ich sehe gerade, die Zeit läuft ein bisschen ab. Wichtig ist dann, wir haben Interventionsrechte. Das heißt, jeder, der schon mal irgendwo eingewilligt hat, irgendwo das Daten genutzt werden können, kann eine Einwilligungserklärung auch wiederrufen. Wir hatten vorhin hier den Talk über diese Genbude. Welche, wo ihr einwilligt, hat sie eure genemen Sachen benutzt oder gegebenenfalls weiterverarbeitet. Und solche Einwilligungen können auch entzogen werden. Und es gibt eben Petitionsrechte, das ist da, wo jetzt Beschwerde rechnen. Das heißt, ihr könnt euch bei Datenschutzbeauftragten direkt beschweren. Und das Tolle an der EU-Datenschutzgrundverordnung ist, es ist verpflichtend, dass zukünftig bei jeder Datenverarbeitung mit angegeben ist, wer ist der Datenverarbeiter, welche Firmen nutzen diese Daten auch noch alle? An welche Daten werden diese weitergegeben? Wer sind die Datenschutzbeauftragte in den Firmen? Und an der Stelle ist es so, dass auch die Kontaktinformationen von den Datenschutzbeauftragten euch zur Verfügung gestellt werden muss. Das heißt, es wird sehr einfach möglich sein, elektronische Anfragen an Firmen zu stellen. Und Firmen sind verpflichtet, diese euch dann auch angemessen elektronisch wieder bereitzustellen. Das heißt, eine sehr schöne Spielwiese, viele Informationen abzugreifen. Ich komme gleich dazu, wo wir dann dort ein bisschen Interdependenzchecks machen können. Es gibt noch Kompensationsrechte für Schadensersatz und Entschädigung. Und Informationsrechte bin ich schon drauf eingegangen. Überblick zum Nachgucken habe ich gleich noch eine Folie. Ich spring mal kurz, weil die Zeit schon wenig wird. An welchen Stellen können wir jetzt richtig pieksen? Weil ich frage mich ja immer, jetzt haben wir hier so ein tolles Gesetz, wo viele Rechte drin sind, Sachen, die wir erfragen können. Und im Endeffekt ist es so, erstmal Datenschutzbeauftragte sind in der Regel eure Freunde, genauso wie die Aufsichtsbehörden. Und spannend an der EU-Datenschutz-Grundverordnung ist, ihr müsst euch nicht mehr bei der Aufsichtsbehörde einer Firma, wo die dann Sitzzeit beschweren, ihr könnt zu eurer Datenschutzbehörde vor Ort gehen oder aber auch zu jeder anderen. Und die Datenschutzbehörden von euch und die Datenschutzbehörden der Firmen müssen sich dann abstimmen, wie sie mit dem Fall, mit der Anfrage, mit der Beschwerde umgehen. Das ist deshalb ganz spannend, weil natürlich dann auch dort, wo Firmen schon ein ganz gutes Verhältnis zu ihrer Aufsichtsbehörde haben, da nochmal ein Kostcheck mit reinkommt, ob das gleichzeitig auch die Sichtweise der anderen Aufsichtsbehörde ist. Gerade an dem Punkt sehe ich noch spannende Diskussionen, weil ja die Frage immer sein wird, an wen gehen die Bußgelder? Zum Beispiel ist es so, dass in Spanien eine sehr mächtige Datenschutzaufsichtsbehörde ist, weil diese aktiv alle Einnahmen aus Bußgeldern selber in ihre Taschen bekommt. Und das ist ganz spannend, wenn der Europäische Datenschutzkongress jedes Jahr hier stattfindet und dann kommen die von den Aufsichtsbehörden und dann sagt sozusagen da der Spanische, das habe ich dieses Jahr unternommen, das habe ich eingenommen. Und ich sehe da vielleicht sogar ein Geschäftsmodell für Staaten, bei denen so, aber das ist ein anderes Thema. Darum aber prinzipiell nutzt eure Aufsichtsbehörden. Ich hoffe, dass mit der zunehmenden Aufgabe die diese jetzt durch die EU-Datenschutz-Grundverordnung bekommen, sie auch die dafür benötigten Mittel zugesetzt bekommen. Weil traurig aber war, meine Wahrnehmung ist, dass in allen, sowohl in der Bundesdatenschutzbehörde als auch in den einzelnen Ländern, noch wirklich Potenzial nach oben ist. Und das meinte ich vorhin mit Law and Order. Wenn wir heißt es, wir wollen, dass wir Rechte haben, dann sollten auch die Behörden, welche für die Durchsetzung dieser Gesetze zuständig sind, über die entsprechenden Mittel verfügen. Damit, wie heißt es auch, dieses Schadens-Eintrittswahrscheinlichkeit auch entsprechend hoch ist. Spennend ist im Endeffekt noch, wir haben jetzt Rechte über, die dies jetzt auch gibt, über was ist der Verwendungszweck von Datenverarbeitung. Aus dem Verwendungszweck ergibt sich ja häufig auch der Erlaubnestatbestand. Warum dürfen Firmen etwas verarbeiten? Und daraus ergeben sich häufig dann auch Löschfristen beziehungsweise Speicherdauern. Und wenn wir solche Sachen bei Firmen abfragen können, können wir an der Stelle auch noch gucken, was ist sozusagen an der Stelle ... Ich war gerade von der Null irritiert, lasst ihr euch davon nicht irritieren. Wie können wir das jetzt nutzen, um, wie heißt es, dort abzufragen und auf vielleicht Missstände hinzuweisen? Weil wenn es transparent ist, können wir bei Datenschutzbehauffahrten nachfragen, ist denn das, was Firma XY hier sagt, mit dem Datenschutzrecht konfernt? Auf die anderen Sachen gehe ich jetzt nicht ein, weil ich muss schnell zum Ende kommen. Wichtig, am Ende noch mal ... Auskommen zu den Slides Motivationen. Mir ist wichtig, dass wir hier alle rausgehen, dass ... und motiviert sind, unsere Rechte aktiv zu nutzen. Ich möchte, dass Datenschutzbeauftragte motiviert sind in ihren Firmen, die Awareness für das Thema entsprechend zu platzieren, um mit entsprechenden Budgetmittel versorgt zu werden, um Datenschutzniveau in den Firmen bis zum Beginn 05.2018 auch entsprechend der Richtlinie umzusetzen. Ich möchte, dass ihr alle jetzt schon Paragra 34 Auskunftsersuchen bei Firmen stellt, damit ihr mal ein Bauchgefühl bekommt, wie spannend es ist, was ihr an Informationen bei anderen Firmen habt, dass ihr eine Information bekommt, wohin die Reise dort geht. Aber ich muss leider am Ende noch einen kurzen Wort sagen zu unserem Innenminister, beziehungsweise ... Nein, ich würde nie was über uns Innenminister sagen, sondern über das Innenministerium. Weil das, was ich gerade dargestellt habe, dass die Datenschutz-Grundverordnung unterzeichnet ist und damit, wer alles klar und tut die, stimmt nicht ganz. In der Datenschutz-Grundverordnung sind sogenannte Öffnungsklauseln enthalten. Öffnungsklauseln sind Passagen, wo man sich auf europäischer Ebene nicht einigen konnte, wie man sie jetzt genau verbindlich für alle machen soll. Und man erkennt daran, dass jetzt an Öffnungsklauseln auf nationaler Ebene wieder Ausgestaltung möglich ist. Das heißt, im Endeffekt wird die Datenschutz-Grundverordnung eigentlich so ein Hybrid aus einer Verordnung und einer Richtlinie. Weil jetzt auf nationaler Ebene wieder das Falschen anfängt, wo wir Datenschutz-Gesetze noch mal ein bisschen nach links schieben, noch mal ein bisschen nach rechts biegen, überall dort, wo Öffnungsklauseln und Handlungsspielraum geben. Im Endeffekt ist es so, dass wir einen Entwurf gerade geliegt haben über netzpolitik.org, wo man schon mal reingucken kann. Und ich muss an der Stelle einfach mit der Schrecken feststellen, dass das, was dort geht, weit über die für die Öffnungsklauseln zulässiges hinausgeht. Und ich habe die Befürchtung, dass, wenn Deutschland mit schlechtem Beispiel vorangeht und wir jetzt anfangen, nachträglich aus vermeintlichen Wettbewerbsvorteilen, Datenschutzniveau abzusenken, dass das leider ein Vorbild sein wird für andere Länder in der EU, die dem nicht hinterherstehen wollen. Was die Konsequenz hat, dass plötzlich alle Länder diese Öffnungsklauseln maximal ausdehnen werden und das eigentliche Ziel der Grundverordnung, dass sich das Datenschutzniveau gesamteuropäisch nach oben versetzt, ad absurdum geführt wird. Mein Fazit ist oder meine Befürchtung, der Klassenprimus im Bereich Datenschutz Deutschland läuft geflach, zum Klassenklauen zu werden. Ich möchte nicht, dass an der Stelle wir mehr Einbeständnisse machen, als es notwendig sind. An der Stelle ist jetzt der letzte Appell wichtig ist, dass wir die Zeit im ersten Quartal soll dieses Datenschutz-Anpassungsumsetzungsgesetz verabschiedet werden, dass wir diese Zeit noch nutzen, in der Öffentlichkeit ein Bewusstsein dafür zu schaffen, dass es nicht okay ist, dass Deutschland durch die Hintertür Datenschutz wieder absenkt. Vielen Dank. Ja, vielen Dank auch von unserer Seite für diesen sehr erfrischenden Talk. Leider können wir aus Zeitgründen diesmal keine Fragen zulassen, weder aus dem Internet noch offline, weil wir sonst Gefahr laufen, den nächsten Talk später anfangen zu lassen. Okay. Von daher noch mal einen sehr, sehr herzlichen Applaus. Copyright WDR 2020