Start

Projektbeschreibung

Das Projekt “360° Sicht EU Datenschutz-Grundverordnung” wurde von der Ohu (Arbeitsgruppe) “Digitale Privatheit und Öffentlichkeit” des Internet & Gesellschaft Collaboratory konzipiert und durchgeführt um einen möglichst umfassenden Überblick über die unterschiedlichen Positionen zum Entwurf einer Datenschutz-Grundverordnung der Europäischen Kommission zu ermöglichen. Dafür hat die interdiziplinäre Arbeitsgruppe neun Fragen entwickelt und mit neun Experten aus den Bereichen Verwaltung, Wissenenschaft, Wirtschaft und Zivilgesellschaft durchgesprochen. Auf dieser Website finden Sie die Stark gekürzten Antworten der Experten auf die jeweiligen Fragen, Links zu den Ausführlichen Antworten und zu der Podcast-Serie zu diesem Projekt.

Benutzung: Scrollen Sie einfach nach unten um die Antworten zu den jeweiligen Themenbereichen zu lesen oder klicken Sie oben rechts auf "Standpunkte" um einen einzelnen Themenbereich aufzurufen.

Andreas Krisch

Datenverarbeitung auf Basis der Einwilligung durch Betroffene wird zukünftig immer schwieriger werden. So fehlen z. B. Userinterface zum Einholen der Einwilligung beim “Internet der Dinge”. Vor diesem Hintergrund sollen andere Instrumente gestärkt werden. Das sind einerseits eine starke Zweckbindung erhobener Daten, festgehalten in dem Vertrag den Betroffene mit dem Vertragspartner schließen. Andererseits müssen die Möglichkeiten zur Anonymisierung von Daten weiterentwickelt und in der Datenschutz-Grundverordnung geregelt werden. Das Instrument des “berechtigten Interesses” ist in diesem Zusammenhang nicht anwendbar. Die Datenverarbeitung kann ausreichend über vertragliche Vereinbarungen, die Einwilligung der Betroffenen oder gesetzliche Vorgaben geregelt werden.

» Vollständige Interviewzusammenfassung

Florian Glatzner

Die Nutzer sollten auch zukünftig die die Kontrolle über die Daten behalten und frei bestimmen können wer die personenbezogenen Daten wie nutzt. Um diese Kontrolle zu behalten sehen wir die Einwilligung als einen der wichtigen Faktoren. Bei den pseudonymen Daten ist das Risiko geringer und deshalb kann hier auch die Einforderung einer Einwilligung geringer sein. Beispielsweise, dass sie nicht jedes Mal gegeben werden muss sondern pauschaliert über die Browsereinstellungen. Das ist im Prinzip genau der risikobasierte Ansatz. Außerdem glauben wir, dass das ein Kopplungsverbot in die Datenschutz-Grundverordnung Einzug finden sollte.

» Vollständige Interviewzusammenfassung

Gerrit Hornung

Die Einwilligung hat sehr große Bedeutung und ist das wichtigste Instrument zur Umsetzung der informationellen Selbstbestimmung durch Betroffene. In einigen Lebensbereichen wie in der Zusammenarbeit mit Behörden oder in einem Arbeitsverhältnis besteht allerdings das Risiko, dass sie dem Betroffenen abgenötigt wird. In diesen Bereichen sollten die Datenschutzrechte und Pflichten der beteiligten Parteien durch eine Kombination von gesetzlichen, vertraglichen und Einwilligungsregelungen geregelt werden. Der komplette Ausschluss von Einwilligungen ist auch für diese Bereiche nicht anstrebenswert, es können aber typisierte Drucksituationen geregelt werden. Sofern vertragliche Vereinbarungen als Alternative zur Einwilligung zum Tragen kommen, bleiben die Rechte der Betroffenen solange gewahrt, wie Vertragszweck, Leistung und Gegenleistung genau spezifiziert sind und nicht auf eine Generalvollmacht zur Datenverarbeitung hinauslaufen. Das berechtigte Interesse als Grundlage für die Datenverarbeitung ist dagegen sehr kritisch zu sehen. Hier besteht das Risiko, dass die Schutzmechanismen der Datenschutzverordnung dadurch ausgehebelt werden, dass sich für nahezu alle Arten der Datenverarbeitung ein berechtigtes Interesse herleiten lässt.

» Vollständige Interviewzusammenfassung

Hans Peter Bull

Die Einwilligung von Betroffenen als Grundlage für die Datenverarbeitung ist für die Fälle sinnvoll, bei denen es ein ausgewogenes Machtgefüge zwischen den Vertragsparteien gibt und wirkliche Freiwilligkeit besteht. Dies kommt relativ selten vor. Weil das so ist, sollten die wesentlichen Fragen gesetzlich geregelt werden. Nur durch Rechtsnormen können die Interessen der Betroffenen wirksam durchgesetzt werden. Gesetzliche Regelungen wie auch Einwilligungslösungen sollen das konkrete Risiko der Datenverarbeitung für den Betroffenen berücksichtigen und adäquat zum Risiko abgestufte Bestimmungen und Regelungen vorgeben.

» Vollständige Interviewzusammenfassung

Jürgen Geuter

Die Einwilligung in Datenverarbeitung ist aufgrund der Undurchschaubarkeit meiner Meinung nach häufig sehr schwierig. Wie soll ich denn bewusst einwilligen wenn ich nicht weiß was wirklich mit den Daten passiert. Wenn ich auch überhaupt nicht vorhersehen kann was vielleicht aus diesen Daten noch herausgelesen wird. Das bedeutet, dass eine wirklich informierte Einwilligung sehr komplex und dadurch für viele Menschen gar nicht mehr leistbar ist. Das bedeutet aber nicht, dass die Einwilligung ganz abgeschafft werden sollte. Es gibt Bereiche in denen die Daten ganz klar abgegrenzt sind oder wo der Zweck auch ganz klar definiert ist. Die Frage ist allerdings ob die Erzwingung einer expliziten Einwilligung nicht auch zu einer Einschränkung der Anwendungsmöglichkeiten und somit zu einer Einschränkung der Freiheit der Nutzer führt. Insgesamt sollte mehr auf die einzelnen Typen der Daten geachtet werden. Es macht in einigen Fällen Sinn auf Opt-Out und in anderen auf Opt-In zu setzen aber es ist schwierig das in eine Reglung zu gießen und gleichzeitig für die Nutzer verständlich darzustellen.

» Vollständige Interviewzusammenfassung

Peter Schaar

Die Einwilligung ist insbesondere im Bereich der Wirtschaft ein wichtiger Baustein, um die Verarbeitung personenbezogener Daten zu legitimieren. Jeder, der auf der Basis transparenter Informationen aus freiem Willen seine ausdrückliche Zustimmung zur Verarbeitung seiner Daten erteilt, übt damit sein Recht auf informationelle Selbstbestimmung aus. Von Bedeutung ist dabei, dass die Einwilligung aktiv, also explizit erteilt wird, und nicht beiläufig. Für Internetdienste bedeutet dies, dass ein Opt-In erforderlich ist, etwa durch das Anklicken einer entsprechenden Checkbox. Wie in Artikel 5 Absatz 3 der E-Privacy-Richtlinie vorgesehen, ist auch für das Setzen von Tracking-Cookies die Einwilligung des Betroffenen erforderlich. Die Einwilligung hat dann ihre Grenze, wenn – beispielsweise aufgrund einer Monopol- oder Drucksituation – eine freie Willensbekundung nicht möglich ist. In solchen Fällen ist die Datenverarbeitung entweder illegitim oder es muss für notwendige Datenverarbeitung klare gesetzliche Erlaubnisse geben. Das im Telemediengesetz enthaltene Kopplungsverbot sollte auch in Zukunft Bestand haben.

» Vollständige Interviewzusammenfassung

Rainer Stentzel

Die Einwilligung ist das wirksamste Instrument zur Umsetzung der Rechte von Betroffenen und der informationellen Selbstbestimmung und hat eine wichtige Warnfunktion für den Betroffenen. Sie ist eine der Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im privaten Bereich. Andere Rechtsgrundlagen sind die vertragliche Vereinbarung und das berechtigtes Interesse. Die Einwilligung sollte besonders bei Datenvearbeitungen mit hohem Risikopotential zum Einsatz kommen. Dadurch wird sichergestellt, dass sie ihre Warnfunktion für Betroffene nicht verliert. Es muss sichergestellt werden, dass die Einwilligung nicht als Generalvollmacht missbraucht werden kann. Das Instrument sollte so ausgelegt sein, dass angrenzende Rechtsgebiete, wie das Recht auf Informations- und Meinungsfreiheit, nicht unbillig eingeschränkt werden.

» Vollständige Interviewzusammenfassung

Sebastian Schulz

Die Einwilligung ist seit jeher ein zentrales Instrument zur Ausübung der informationellen Selbstbestimmung. Es ist wichtig genau zu prüfen, ob zukünftig Daten tatsächlich nur noch auf Grundlage einer ausdrücklichen Einwilligung verarbeitet werden dürfen oder ob auch weiterhin die Möglichkeit bestehen soll, Daten ohne ausdrücklich betätigte Einwilligung verarbeiten zu können. Im Entwurf ist daneben vorgesehen, dass die Einwilligung in Fällen eines erheblichen Ungleichgewichtes zwischen Betroffenen und Unternehmen nicht mehr möglich sein soll. Unklar ist allerdings, ab wann dieses Ungleichgewicht gegeben ist und wie hier randscharf unterschieden werden soll. Bei strenger Auslegung würde das bedeuten, dass sowohl große Unternehmen als auch Unternehmen mit einem Alleinstellungsmerkmal am Markt nicht mehr personenbezogene Daten auf Grundlage der Einwilligung der Betroffenen verarbeiten dürfen. Die Pflicht zur proaktiven Information über sämtliche Umstände der Datenverwendung jedes einzelnen Datums würde dazu führen, dass die Verbraucher nach der Hälfte der Informationen aussteigen würden. Das Ziel einer informierten Entscheidung wäre damit eben nicht erreicht. Der Umgang mit dieser Menge an detaillierten Informationen ist schlicht nicht praktikabel.

» Vollständige Interviewzusammenfassung

Stephan Noller

Die Datenschutzgrundverordnung ist so konzipiert, dass das Prinzip der Einwilligung als Grundlage zur Datenverarbeitung deutlich ausgedehnt wird. Kritisch ist die Ausweitung auch auf pseudonymisierte Daten zu sehen, die besonders im Werbeumfeld zum Einsatz kommen. Pseudonymisierung funktioniert durch das vollständige Entfernen der Merkmale eines Datensatzes, der eine einzelne Person – per IP-Adresse oder Cookie-Identifier – erkennbar machen würde, und ersetzt diese mit einer Maschinen-generierten Kennung. Die Einwilligung sollte grundsätzlich nur bei der Verarbeitung nicht pseudonymisierter Daten zur Anwendung kommen. Bei der Erfassung und Verarbeitung pseudonymisierter Daten sollte der Nutzer wie bisher das Recht zum Widerspruch haben Sofern pseudonymisierte Daten nachträglich mit nicht pseudonymisierten Daten verarbeitet werden, ist dafür eine Einwilligung der Betroffenen nötig.

» Vollständige Interviewzusammenfassung

Andreas Krisch

Datenschutzbehörden müssen eu-weit und national mit ausreichend Ressourcen ausgestattet sein, um das dann geltende Recht durchsetzen zu können. Aktuell sind die Behörden i.d.R. nicht ausreichend ausgestattet und bereits bestehendes Recht wird nicht durchgesetzt. Die Datenschutzbehörden müssen im öffentlichen UND nicht-öffentlichen Bereich zusätzlich unabhängig arbeiten können. Die Umsetzung der Datenschutzgesetze in den Ländern sollte zukünftig durch nationale Datenschutzbehörden gewährleistet werden. Bei eu-weiten Themen und Dienstleistungsangeboten müssen Mechanismen zur Abstimmung und Verabschiedung gemeinsamer Vorgehensweisen genutzt werden, damit nicht wieder wie derzeit ein Flickenteppich entsteht.

» Vollständige Interviewzusammenfassung

Florian Glatzner

Es ist gut, dass vor allem in internationaler Hinsicht die Aufsichtsbehörden gestärkt werden sollen und es ist wichtig, dass es auch zukünftig möglich ist bzw. sein wird bei den Datenschutzbeauftragten des jeweiligen Landes einen Sachverhalt zu melden. Wünschenswert wäre nicht nur ein One-Stop-Shop für die Unternehmen sondern eben für die Verbraucher. Die Anhebung der Schwelle zur Einsetzung von betrieblichen Datenschutzbeauftragten sehen wir als höchst problematisch an weil dann ca. 97% der Unternehmen keine Datenschutzbeauftragten mehr bräuchten.

» Vollständige Interviewzusammenfassung

Gerrit Hornung

Die Rolle der Aufsichtsbehörden darf in der Datenschutzgrundverordnung nicht hinter die bestehenden Regelungen zurückfallen. Ein größeres Augenmerk sollte auf Funktionserweiterungen hin zur Beratung und proaktiven Tätigkeiten gelegt werden. Es muss sichergestellt sein, dass die Behörden über ausreichende Ressourcen verfügen. Für den Fall, dass große Unternehmen ihren Sitz in kleinen Ländern wählen, müssen dort überproportional viele Ressourcen aufgebaut werden. Nur dann ist das Konzept des One-Stop-Shopping umsetzbar und zu rechtfertigen. Die Zuständigkeiten der Behörden für Unternehmen und Betroffene müssen eindeutig geregelt werden. Der durch die Kommission vorgeschlagene Kohärenzmechanismus ist nicht akzeptabel. Die EU-Kommission als letzte Instanz zum Thema Datenschutz ist einerseits keine unabhängige Behörde und andererseits demokratisch nicht ausreichend legitimiert. Ein unabhängiges europäisches Aufsichtsgremium etwa in Fortentwicklung der Art. 29-Gruppe ist hier denkbar. Beim sogenannten One-Stop-Shop sollte es eine federführende Behörde geben, die andere Behörden im Rahmen von Anhörungen einbezieht, jedoch die alleinige Entscheidungsbefugnis hat. Zukünftig ist ein europäisches Aufsichtsgremium denkbar, welches die Funktion bei europaweit tätigen Unternehmen ausfüllt.

» Vollständige Interviewzusammenfassung

Hans Peter Bull

Der Schwerpunkt der Arbeit sollte auf der Kontrolle und Beratung von Unternehmen und Institutionen sowie der Sanktionierung von Verstößen gegen Datenschutzvorschriften liegen. Die nationalen Aufsichtsbehörden sollen die Umsetzung der Datenschutzvorschriften vorantreiben. Eine zentrale europäische Aufsichtsbehörde wäre problematisch, weil sie vermutlich nicht hinreichend demokratisch legitimiert wäre und weil sie voraussichtlich nicht das deutsche Datenschutzniveau gewährleisten könnte. Es ist wünschenswert, dass die deutschen Regelungen über betriebliche Datenschutzverantwortliche in die europäische Datenschutz-Grundverordnung übernommen werden.

» Vollständige Interviewzusammenfassung

Jürgen Geuter

Die Aufgabe der Aufsichtsbehörden sollte vor allem darin liegen das Machtverhältnis zwischen Nutzern und Anbietern anzugleichen und die Nutzer über die Verwendung ihrer Daten aufzuklären damit diese dann selbst eine informierte Entscheidung treffen können. Es wäre sehr wichtig, dass die einzelnen Landesdatenschutzbehörden sich vernetzen und für ein konsistentes Selbstverständnis zu sorgen um der Aufgabe gerecht werden zu können die Nutzer aufzuklären und etwaige Risiken einzuordnen.

Schon aus Gründen der praktischen Umsetzbarkeit muss es außerdem eine europäische Aufsichtsbehörde geben welche den Bürgern als Anlaufstelle für Informationen dient.

» Vollständige Interviewzusammenfassung

Peter Schaar

Angesichts der weiter zunehmenden technischen und rechtlichen Komplexität bei der Verarbeitung personenbezogener Daten und des häufig bestehenden Ungleichgewichts zwischen Datenverarbeitern und dem Einzelnen bedarf es auch in Zukunft Aufsichtsbehörden, um die Freiheitsrechte des Einzelnen wirksam zu schützen. Die Aufsichtsbehörden müssen unabhängig agieren können und benötigen im Vergleich zur gegenwärtigen deutschen Rechtslage stärkere Durchsetzungs- und Sanktionsbefugnisse. Zudem müssen die Aufsichtsbehörden bei der Wahrnehmung ihrer Aufgaben stärker auf technische Mittel setzen, etwa zur Analyse komplexer WebAngebote oder Applikationen auf Geräten.

» Vollständige Interviewzusammenfassung

Rainer Stentzel

Die Aufsichtsbehörden sind für den Vollzug der Datenschutzgesetze zuständig und nehmen damit eine überaus wichtige Funktion wahr. Die Datenschutzgrundverordnung muss insbesondere ihre Unabhängigkeit sicherstellen. Der Zusammenschluss der nationalen Datenschutzaufsichtsbehörden, der europäische Datenschutzausschuss, sollte für Abstimmung der nationalen Aufsichtsbehörden bei EU-weiten Problemstellungen zuständig sein. Sie stellt jedoch keine den nationalen Behörden übergeordnete Instanz dar. Für Verbraucher, Unternehmen und Institutionen sollten im Sinne des „one stop shopping“ die jeweiligen nationalen Datenschutzbehörden die federführenden Aufsichtsorgane sein.

» Vollständige Interviewzusammenfassung

Sebastian Schulz

Zunächst möchte ich sagen, dass es meiner Meinung nach nicht die Aufgabe der Datenschutzbehörden ist, einzelne Branchen oder gar einzelne Unternehmen an den Pranger zu stellen. Infolge der Komplexität des Datenschutzrechts müssten die Datenschutzbehörden deutlich stärker ihre beratene Funktion wahrnehmen. Es sollte zu einem kooperativen Miteinander mit der Privatwirtschaft kommen. Außerdem ist es wichtig, dass das Letztentscheidungsrecht bei den Datenschutzbehörden bleibt und nicht von der Europäischen Kommission wahrgenommen wird.

» Vollständige Interviewzusammenfassung

Stephan Noller

Auch zukünftig sollten die nationalen Aufsichtsbehörden die Umsetzung der Vorgaben der Datenschutzgrundverordnung kontrollieren und, wenn notwendig, sanktionieren. Kritisch ist die Schwächung der betrieblichen Datenschutzbeauftragten, wie sie aktuell für Deutschland geregelt ist. Zusätzlich ist die demokratische Legitimation und Kontrolle der zu delegierten Rechtsakten ermächtigten EU-Kommission fraglich. Im Zusammenhang mit den Regelungen für die Aufsichtsbehörden sollte ein Situation herbeigeführt werden, bei der europäische Unternehmen gegenüber Unternehmen aus Drittstaaten nicht benachteiligt werden. Dies ist gegenwärtig im Zusammenhang mit dem Safe Harbor Abkommen der Fall. Beim Thema One-Stop-Shopping sollen die Entscheidungsfristen für Unternehmen planbar sein, die nicht an Kompetenzstreitigkeiten der Aufsichtsbehörden scheitern dürfen.

» Vollständige Interviewzusammenfassung

Andreas Krisch

Das Recht auf Vergessenwerden ist bereits heute durch bestehende Vorgaben zur Zweckbindung von Daten und das Recht auf Löschung umgesetzt. Der Focus sollte darauf gelegt werden, diese Rechte für den Betroffenen leicht umsetzbar zu machen und ihm bei Verstößen Sanktionsmöglichkeiten an die Hand zu geben. Das Recht auf Vergessen konkurriert in Teilbereichen mit dem Recht auf Informationsfreiheit. Beispielsweise wird ein Meinungsbildungsprozess über Dialoge nicht mehr transparent und nachvollziehbar, wenn ein Teil de Dialoge gelöscht werden müsste.

» Vollständige Interviewzusammenfassung

Florian Glatzner

Meines Erachtens geht es nicht ums Vergessenwerden. Teile dieses Recht begrüßen wir und andere Teile halten wir für unpraktikabel. In jedem Fall sollte es ein Recht auf Löschung geben. Und wenn ein Unternehmen meine Daten weitergegeben hat muss der Löschanspruch auch entsprechend weitergegeben werden wenn ich die Löschung fordere. Das Sperren von Daten ist in dem jetzigen Entwurf der Grundverordnung noch nicht vorgesehen aber wir hätten das gerne drin weil es in manchen Fällen auch für die Verbraucher sinnvoller ist ihre Daten sperren zu lassen anstatt sie löschen zu lassen.

» Vollständige Interviewzusammenfassung

Gerrit Hornung

Der Verordnungsentwurf wird aus normativer Sicht dem Begriff „Recht auf Vergessen“ nicht gerecht und birgt deshalb die Gefahr von Missverständnissen. Die Praxistauglichkeit wird zusätzlich noch durch die „Zumutbarkeitsregel“ eingeschränkt. Darüber hinaus regeln die bereits vorhandenen Rechte auf Löschung und die Pflicht zur Weiterleitung des Löschbegehrens an die Stellen, an die Daten übermittelt worden sind, diesen Themenbereich ausreichend.

» Vollständige Interviewzusammenfassung

Hans Peter Bull

Das Recht auf Vergessen ist grundsätzlich zu begrüßen. Es ist im Kern bereits durch die bestehenden Löschungspflichten garantiert. Ob die in der Datenschutz-Grundverordnung geforderte Rückabwicklung früherer Informationsvorgänge durchführbar ist, bezweifle ich. Die geplanten Vorschriften sind auch wegen der vielen Ausnahmen, Abwägungen und Alternativen unpraktikabel.

» Vollständige Interviewzusammenfassung

Jürgen Geuter

Ein Recht auf Vergessen ist meiner Meinung nach Unfug weil es schlicht technisch nicht umsetzbar ist und nur zu Absurditäten führen kann. Zu versuchen einmal im Netz veröffentlichte Inhalte wieder zu löschen funktioniert nicht weil ich ja nicht wissen kann wer in der Zwischenzeit alles Kopien davon angefertigt hat. Im realen Leben habe ich auch kein derartiges Recht und es ergibt kein Sinn zu versuchen das nun irgendwie in der digitalen Welt einzurichten. Viel wichtiger ist es, dass sich hier soziale Normen etablieren und verantwortungsvoll mit den neuen Möglichkeiten umgegangen wird. Ich kann beispielsweise von meinen Freunden verlangen, dass sie nicht über mein Verhalten auf einer Feier tratschen. Die Leute die das trotzdem machen werden dann halt zukünftig nicht mehr eingeladen. Wir brauchen also in diesem Kontext kein Recht auf vergessen sondern sollten hier weiterhin auf soziale Mechanismen setzen.

» Vollständige Interviewzusammenfassung

Peter Schaar

Der Begriff „Recht auf Vergessenwerden“ wird in der derzeitigen Debatte teilweise überinterpretiert. Zunächst ist festzuhalten, dass es bereits heute einen Anspruch auf Löschung personenbezogener Daten gibt, etwa wenn die Daten nicht gespeichert werden dürfen oder der Verarbeitungszweck erledigt ist. Dieser Anspruch sollte erhalten und gestärkt werden. Vor allem im Zusammenhang mit Internetveröffentlichungen sollte eine maßvolle Erweiterung dieser Löschungsansprüche erfolgen. Berechtigte Löschungsansprüche sollten auf solche Stellen erweitert werden, die personenbezogene Daten von einer ursprünglich verantwortlichen Stelle bekommen haben. Dabei geht es nicht um einen radikalen „digitalen Radiergummi“, sondern um die Verpflichtung, Löschungsansprüche so weit wie möglich bei allen Datenempfängern umzusetzen. Dies sollte jedenfalls für die Veröffentlichung personenbezogener Daten im Internet gelten. Zudem sollte Betroffenen, die Informationen im Internet veröffentlichen, die Möglichkeit gegeben werden, den Daten ein „Verfallsdatum“ beizufügen. Dieses Verfallsdatum sollte bei entsprechenden Diensten die Löschung der Daten bewirken und von Dritten als Aufforderung verstanden werden, die Daten nach der Ablauffrist ebenfalls zu löschen, sie mindestens aber nicht mehr zu verwenden.

» Vollständige Interviewzusammenfassung

Rainer Stentzel

Dieses Recht teilt sich derzeit in das bereits vorhandene Recht auf Löschung der Daten bei der verantwortlichen Stelle sowie die Informationspflicht zwecks Löschung bzgl. der Stellen, an die Daten weitergegeben worden sind. In diesem Sinne soll es nach den Vorstellungen der Kommission auf europäischer Ebene geregelt werden. Sofern es mit dem Recht auf Informations- und Meinungsfreiheit konkurriert, sollten beide Rechte in einem ausgeglichen Verhältnis zur Anwendung kommen. Die Entwicklung wirksamer technischer Werkzeuge zur Umsetzungen dieser Rechte ist eine Herausforderung für die es bisher noch keine zufriedenstellenden Lösungen gibt.

» Vollständige Interviewzusammenfassung

Sebastian Schulz

Mit diesem Konzept gibt es zwei Hauptprobleme. Zum einen suggeriert der Begriff, dass man zukünftig ein Entscheidungsrecht darauf haben sollte, was andere über einen denken und wissen. Das Recht jene Informationen zu entfernen zu lassen, die gegen den Willen der betroffenen Person veröffentlicht wurden, existiert schon heute. Ich halte es für kritisch, wenn man zukünftig das Recht bekommt, das eigene “mediale Vermächtnis” rückwirkend so zu gestalten, wie man es möchte. Außerdem frage ich mich, wie ein Recht auf Vergessenwerden in nicht-kooperativen Szenarien ausgestaltet sein soll. Ich nehme an, dass ein solches Recht in diesen Fällen schlicht nicht umsetzbar ist.

» Vollständige Interviewzusammenfassung

Stephan Noller

Das Recht auch Vergessenwerden hat meiner Meinung nach zu unrecht sehr viel Spott erfahren. Auf jeden Fall gibt es eine gewisse Berechtigung darüber zumindest einmal nachzudenken. Allerdings ist mir auch klar, dass es an vielen Stellen nicht möglich ist das technisch umzusetzen. In einigen Fällen wären die technischen Voraussetzungen für die Gewährleistung eines Rechts auf Vergessen so hoch, dass sie zu hohen Barrieren für kleine Unternehmer werden. Eine Lösung wäre hier das Pseudonymisieren der Daten - idealerweise direkt bei der Datenerhebung.

Je persönlicher die Daten sind, die ich irgendwo hinterlasse, desto sinnvoller ist es, wenn solche Tools vorhanden sind. Was wohl niemand will ist beispielsweise ein Recht auf Vergessen für jede Ad Impression einer Werbe Kampagne von vor zwei Jahren.

» Vollständige Interviewzusammenfassung

Andreas Krisch

Datenübermittlung in Drittländer sollte dann möglich sein, wenn dort ein umfassendes ausreichendes Schutzniveau vorhanden ist. Dazu gehören wirksame Kontroll- und Sanktionsmechanismen, zu denen auch Vertreter der Länder, aus denen die Daten stammen, Zugang haben. Der Einsatz von in der Datenschutz-Grundverordnung vorgeschlagenen Binding Corporate Rules ist in diesem Zusammenhang nicht geeignet. Dort fehlen die Kontroll- und Sanktionsmöglichkeiten durch die Datenschutzbehören und sie sind so nur begrenzt verbindlich. Sofern Anbieter aus Drittländern in der EU tätig werden wollen, müssen Sie sich entsprechend der Datenschutz-Grundverordnung auf die Einhaltung der hiesigen Datenschutzvorgaben verpflichten. Andernfalls gibt es keinen Marktzugang.

» Vollständige Interviewzusammenfassung

Florian Glatzner

Bei der Übermittlung von Daten in Drittländer muss natürlich der Schutz und die Sicherheit der Daten weiterhin gewährleistet sein. Denkbar ist beispielsweise ein anerkanntes Datenschutzniveau in dem entsprechenden Land, es ist aber wichtig, dass die Möglichkeit besteht diese Maßnahmen zu kontrollieren. Wenn ein Unternehmen hier auf den Markt möchte muss es sich an diese Reglungen halten. Die Unternehmen können sich dann natürlich entscheiden ob sie weltweit das europäische Datenschutzrecht als Grundlage für die Verarbeitung nehmen möchten oder ob sie das nur für den europäischen Markt tun.

» Vollständige Interviewzusammenfassung

Gerrit Hornung

Bei der Klärung der Bedingungen für die Datenübermittlung in Drittstaaten ist es besonders wichtig, dass Europa mit einer Stimme spricht und so seine Verhandlungsposition stärkt. Neben der unstrittigen Pflicht zur Einhaltung von Mindeststandards bei der Datenübermittlung in ein Drittland ist auch darauf zu achten, dass die EU mit der Datenschutzgrundverordnung keinen „Rechtsimperialismus“ betreibt. Bei der Feststellung und Einforderung von Mindeststandards, wie Transparenzregeln und technisch-organisatorische Maßnahmen ist die Durchsetzung der Betroffenenrechte für die Personen aus dem Herkunftsland der Daten im Drittland sehr schwierig. Auch die Verpflichtung und Kontrolle der gerichtlichen Durchsetzung von Datenschutzbestimmungen ist problematisch und lässt sich nicht allein über die Datenschutzgrundverordnung regeln. Ein Notnagel für die Anerkennung des Datenschutzniveaus in Drittländern kann die Selbstverpflichtung von Unternehmen sein. Das Safe Harbor Abkommen zeigt die dabei entstehenden Probleme auf. Corporate Binding Rules sind nur dann wirksam durchsetzbar, wenn der Konzern einen Sitz in der EU hat hat.

» Vollständige Interviewzusammenfassung

Hans Peter Bull

Die Datenschutz-Grundverordnung sieht hier mit der allgemeinen Zuverlässigkeitsprüfung eine angemessene Regelung vor. Bei Datenverarbeitungen, die mit einem hohen Risiko für Betroffene verbunden sind, sind jedoch entsprechend strengere Zuverlässigkeitsprüfungen durchzuführen. Die technische Globalisierung zwingt dazu, den Austausch von Daten auch mit Drittländern in Kauf zu nehmen, aber die vorgesehenen Regelungen werden zu vielfachem Streit über die richtige Auslegung und Anwendung führen.

» Vollständige Interviewzusammenfassung

Jürgen Geuter

Zunächst ist es wichtig zu sagen, dass die Verordnung auch dazu dienen soll die legale Übermittlung erstmals überhaupt möglich zu machen. Allerdings ist es in einem globalen System wie dem Internet sehr schwierig den Datenfluss zu regulieren. Wir sehen ja schon heute, dass die Nutzer keine Akzeptanz dafür haben, dass beispielsweise ein Video in ihrem Land nicht verfügbar ist und sie suchen dann Wege diese Videos doch ansehen zu können. Das würde wohl auch gesehen wenn ein guter Dienst ausgeschlossen wird weil der Betreiber in einem Land mit zu niedrigem Datenschutzniveau sitzt. Die Nutzer würden auch hier Wege finden diesen zu benutzen und es wäre nichts gewonnen.

» Vollständige Interviewzusammenfassung

Peter Schaar

Das europäische Datenschutzniveau muss auch dann gewährleistet werden, wenn personenbezogene Daten die Europäische Union verlassen, weil sie etwa auf Servern in einer außereuropäischen Cloud gespeichert werden. Um dies zu erreichen, sind verschiedene Instrumente denkbar, die auch in der DatenschutzGrundverordnung angelegt sind. Diese sollten durch technologische Instrumente ergänzt werden, die – etwa beim Cloud Computing – schon auf technischer Ebene eine Kenntnisnahme der Daten in Staaten ohne angemessenes Datenschutzniveau weitgehend verhindern.

» Vollständige Interviewzusammenfassung

Rainer Stentzel

Vor der Übermittlung von Daten in Drittländer, muss festgestellt werden, ob auch dort ein dem EU-Recht entsprechendes angemessenes Datenschutzniveau sichergestellt ist. Dies entspricht dem geltenden Recht, d.h. die bestehenden sogenannten Angemessenheitsbeschlüsse basieren auf einem Vergleich des Datenschutzniveaus der Drittstaaten mit dem der EU-Datenschutzrichtlinie 95/46. Zu prüfen ist, ob nach Verabschiedung der Datenschutzgrundverordnung schon bestehende Angemessenheitsbeschlüsse übernommen werden können oder erneuert werden müssen. Dabei ist zu bedenken, dass mit der Datenschutz-Grundverordnung ein höheres Datenschutzniveau im Vergleich zur geltenden Richtlinie 95/46 geschaffen werden soll, was durch das Kohärenzverfahren der Aufsichtsbehörden einheitlich umgesetzt werden soll. Vor diesem Hintergrund sollte sichergestellt sein, dass die Datenschutzbehörden im Drittland in die Verfahren zur einheitlichen Auslegung der Datenschutzgesetze einbezogen werden. Andernfalls besteht das Risiko, des Forum-Shopping in Drittstaaten mit Angemessenheitsbeschlüssen. Auf diese Weise könnten Kontrollmechanismen umgangen werden. Dies wollen wir verhindern. Wichtig ist zudem das Instrument der „Binding Corporate Rules“. Sie helfen dabei, die Datenschutzvorgaben bei Transferns in Drittländern durchzusetzen. In der Zusammenarbeit mit Drittländern sollten durch die EU auch deren nationale Entwicklungsimpulse aufgegriffen und vorangetrieben werden. So wird der europäische Datenschutz schneller mit dem in Drittländern kompatibel.

» Vollständige Interviewzusammenfassung

Sebastian Schulz

Zunächst sollte der Bundesgesetzgeber die seit 1995 bestehenden europäischen Vorgaben umsetzen. Aufgrund des derzeitig sehr bürokratischen Verfahrens ist die Liste der sicheren Drittstaaten zudem sehr übersichtlich. Es ist wichtig sicherzustellen, dass das Verfahren, über das Staaten zu sicheren Drittstaaten erklärt werden, deutlich entbürokratisiert wird.

» Vollständige Interviewzusammenfassung

Stephan Noller

Mich interessiert hier insbesondere die Diskussion um Save Habour vs. EU Grundverordnung. Grundsätzlich würde der derzeitige Entwurf der Verordnung vorsehen, dass sich alle in der EU anbietenden Unternehmen diesen Regeln unterwerfen. Das wäre eine gute Entwicklung für die europäische Industrie, weil es momentan durch das Safe Habour-Abkommen einen riesigen Ausnahmenraum für Unternehmen aus den USA gibt, die auch zu den größten Wettbewerbern europäischer Unternehmen zählen. Etwas besorgt wäre ich, wenn die europäischen Unternehmen durch die Grundverordnung stärkere Auflagen bekommen, aber diese Ausnahmen nicht gleichzeitig abgeschafft werden.

» Vollständige Interviewzusammenfassung

Andreas Krisch

Grundrecht auf Schutz persönlicher Daten gilt für beide Sektoren gleichermaßen. Eine getrennte Regelung ist deshalb nicht sinnvoll. Besonderheiten im öffentlichen Sektor können über Ausnahmeregelungen berücksichtigt werden. Im Speziellen müssen die Befugnisse und Sanktionsmöglichkeiten der Datenschutzbehörden im nicht öffentlichen Sektor genauso umfangreich sein, wie im öffentlichen Bereich. Die aktuellen Vorschläge schränken die Befugnisse der Datenschutzbehörden im öffentlichen Bereich zu weit ein.

» Vollständige Interviewzusammenfassung

Florian Glatzner

Dazu möchte ich mich nicht sonderlich tief äußern weil der öffentliche Bereich ein Bereich ist mit dem wir uns als Verbraucherzentrale Bundesverband kaum beschäftigen. Meines Erachtens nach liegt der Unterschied hauptsächlich darin, dass die Datenverarbeitung im öffentlichen Bereich vor allen Dingen durch Gesetze geregelt ist und im privaten Bereich meistens über Einwilligungen oder Vertragsgestaltungen.

» Vollständige Interviewzusammenfassung

Gerrit Hornung

Die Bereiche unterscheiden sich darin, dass nicht öffentliche Stellen Träger von Grundrechten sind, öffentliche Einrichtungen hingegen nicht. Dies führt aber nicht dazu, dass nicht-öffentliche Stellen gegenüber heute erweiterte Verarbeitungsbefugnisse erhalten müssen. Beide Bereiche sollten in einer gemeinsamen Datenschutzgrundverordnung geregelt werden. Dadurch wird verhindert, dass unterschiedliche datenschutzrechtliche Schutzniveaus entstehen. Zusätzlich zeichnet sich ab, dass die Datenverarbeitung beider Bereiche wie bei der Vorratsdatenspeicherung immer mehr verschmilzt. Staatliche und unternehmerische Datenverarbeitung haben inzwischen ein ähnliches Risikoniveau. Die Privilegierung einer der beiden Seiten ist nicht erstrebenswert. Auch aus der Sicht der Betroffenen ist nicht ersichtlich, warum es unterschiedliche Regelungen geben soll. Für den nicht-öffentlichen Bereich sollte es jedoch Raum für nationale Spezialregeln, wie den Sozialdatenschutz geben. Richtig ist, dass die rein private und familiäre „Datenverarbeitung“ weiterhin komplett ausgenommen werden soll; die Problematik besteht allerdings in der Frage, wann dieser Bereich überschritten wird.

» Vollständige Interviewzusammenfassung

Hans Peter Bull

Unterschiedliche Datenschutzregelungen für den öffentlichen und den nicht-öffentlichen Bereich sind notwendig. Öffentliche Stellen haben die Macht, unmittelbar in die Persönlichkeitsrechte oder andere Rechte des Einzelnen einzugreifen, ohne dass er sich entziehen kann. Diese Befugnisse und die Rechte und Einspruchsmöglichkeiten der Betroffenen müssen möglichst „normenklar“ gesetzlich geregelt sein. Der nicht-öffentliche Bereich hat solche Befugnisse nicht. Die Beteiligten sind im Allgemeinen auf vertragliche Regelungen angewiesen. Sofern ein Machtgefälle zwischen den Beteiligten besteht, sind aber auch gesetzliche Regelungen erforderlich, um den Ausgleich der Interessen herbeizuführen (Beispiel: verbraucherschützende Normen bei Kreditgeschäften).

» Vollständige Interviewzusammenfassung

Jürgen Geuter

Ursprünglich ist der Datenschutz in der Bundesrepublik ja als ein Abwehrrecht gegen den Staat konstituiert. Die Datenschutzbehörde könnte hier sehr gut eingreifen weil sie vor Ort sitzt und beispielsweise kontrollieren kann ob Behörden Daten erheben und austauschen ohne dazu berechtigt zu sein. Das ist eine sehr sinnvolle und durchsetzbare Möglichkeit um Übergriffe des Staates zu vermeiden. Um zu verstehen wie die Gesellschaft funktioniert und wo Probleme bestehen, muss der Staat selbstverständlich Daten erheben können. Es ist aber wichtig, dass diese Datenerhebung entsprechend reguliert wird. Ein Staat kann einfach anders übergriffig werden als ein Unternehmen. Hier ist der Entwurf der Datenschutz-Grundverordnung leider wirklich schwach.

» Vollständige Interviewzusammenfassung

Peter Schaar

Der bedeutsamste verfassungsrechtliche Unterschied zwischen beiden Bereichen, besteht darin, dass das Recht auf informationelle Selbstbestimmung im öffentlichen Bereich den Charakter eines Grundrechts, das als Abwehrrecht gegen staatliche Datenverarbeitung ausgestaltet ist. Der Staat darf nur in gesetzlich festgelegten Grenzen in das Grundrecht eingreifen. Im nicht-öffentlichen Bereich stehen sich Datenverarbeiter und Betroffene – jedenfalls rechtstheoretisch – auf gleicher Ebene gegenüber. Im ersten Falle dienen die Gesetze daher als notwendige Eingriffsvoraussetzung (eine Einwilligung des Betroffenen als alleinige Legitimation staatlicher Verarbeitung personenbezogener Daten scheidet hier grundsätzlich aus); im zweiten Falle als gesetzlich normierter Ausgleich verschiedener einander gegenüber stehender Grundrechtsträger. Aus Sicht des Betroffenen sind die Risiken für ihre Datenschutzrechte für beide Bereiche aber durchaus ähnlich. Vor allem gegenüber großen Unternehmen kann von tatsächlich gleicher Augenhöhe der Nutzer keine Rede sein. Bei Unternehmen, die auf Grund ihrer Marktstellung und/oder der Art ihrer Dienstleistung den Betroffenen keine gleichwertigen Alternativen zur Verfügung stehen, ist das Machtgefälle zwischen Unternehmen und Nutzern vergleichbar mit dem Ungleichgewicht zwischen dem Staat und den Bürgerinnen und Bürgern. Auch hinsichtlich der technologischen Risiken ähneln sich der öffentliche und der nicht- öffentliche Bereich. Beide Bereiche können daher grundsätzlich auch mit vergleichbaren Regelungen und Instrumenten geschützt werden.

» Vollständige Interviewzusammenfassung

Rainer Stentzel

Der Datenschutzbestimmungen unterscheiden sich für öffentliche und nicht-öffentliche Stellen, weil bei den Beziehung zwischen Staat und Bürger einerseits und zwischen Unternehmen und Bürgern andererseits eine unterschiedliche grundrechtliche Ausgangslage besteht. Zudem ist der Harmonisierungsbedarf im Bereich des Binnenmarktes, also der Wirtschaft, höher. Die Unterscheidung in Datenschutzvorgaben für den öffentlichen und nicht-öffentlichen Bereich ist dager sinnvoll. Es wird nahezu unmöglich sein, die hohe Regelungsdichte zum Thema Datenschutz aus dem öffentlichen Bereich auf die EU-Ebene zu übertragen. Deshalb soll die Datenschutzgrundverordnung vorwiegend einen einheitlichen Rahmen für den nicht-öffentlichen Bereich vorgeben, der dann in den jeweiligen Ländern durch die nationalen Unternehmen und Behörden umgesetzt und konkretisiert werden sollte.

» Vollständige Interviewzusammenfassung

Sebastian Schulz

Meiner Meinung nach gibt es gewichtige Unterschiede zwischen diesen beiden Bereichen. Entsprechend halte ich eine Trennung für ausgesprochen wichtig. Im öffentlichen Bereich gibt es immer ein Über-/ Unterverhältnis in dem der Staat, unter Einhaltung grundrechtlicher Vorgaben, bestimmte Datenverarbeitungen einseitig für zulässig erklären kann.

Bei der privaten Datenverarbeitung stehen sich hingegen zwei Grundrechtsträger gegenüber. Gegebenenfalls widerstreitende Interessen müssen angemessen ausgeglichen werden. Der risikobasierte Ansatz bietet sich an, um unterschiedlichen Schutzbedürfnissen auch unterschiedlich gerecht zu werden, beispielsweise dann, wenn ein starkes Ungleichgewicht zwischen einem marktbeherrschenden Unternehmen und einem einzelnen Verbraucher besteht.

» Vollständige Interviewzusammenfassung

Stephan Noller

Aus Sicht der Zivilgesellschaft ist eine gemeinsame Regelung des Datenschutzes für die beiden Bereiche in der Datenschutzgrundverordnung sinnvoll. Datenverarbeitung durch die Wirtschaft und den Staat sind immer mehr miteinander verbunden und sollen deshalb auch den gleichen Regelungen unterliegen. Bedenklich ist die sich abzeichnende Entwicklung, dass öffentliche Stellen mit dem Argument der Terrorabwehr umfangreiche Daten über die Bevölkerung sammeln. Auch deshalb ist eine starke gesetzliche Regulierung nötig.

» Vollständige Interviewzusammenfassung

Andreas Krisch

Das Thema ist wichtig und stärkt den Konsumenten, der Wettbewerb von Anbietern wird gefördert. Es ist jedoch kein Thema, welches im der Datenschutz Grundverordnung gesondert geregelt werden sollte. Die Regelungen sind eher im Wettbewerbsrecht oder anderen Rechtsgebieten anzusiedeln.

» Vollständige Interviewzusammenfassung

Florian Glatzner

Viele große Unternehmen arbeiten heutzutage mit Netzwerkeffekten und mit geschlossenen Systemen. Das bedeutet, dass wenn ich mich einmal für ein System entschlossen habe fällt der Wechsel sehr schwer. Es ist das sehr misslich wenn die Verbraucher Stunden oder Tage damit verbringen müssen ihre Daten wieder aus einem System heraus zu holen. Was natürlich nicht passieren darf ist, dass mein Wechsel von einem System in ein anderes davon abhängig gemacht wird ob ich die Daten aus dem bisherigen System übernehme und in des neue überführe.

» Vollständige Interviewzusammenfassung

Gerrit Hornung

Hier formuliert die Datenschutzgrundverordnung ein neues Recht, das besonders auf soziale Netzwerke bezogen scheint. Es steht im Zusammenhang mit dem Recht auf Vergessen und sein Vorläufer ist im Auskunftsrecht zu sehen. Ob es damit gelingt, den aus den Kontaktnetzwerken resultierenden Lock In-Effekt in sozialen Netzwerken zu überwinden ist fraglich. Es bestehen starke Wechselbeziehungen zum Wettbewerbsrecht und deshalb ist die Frage nur bedingt aus der Sicht des Datenschutzrechtes zu lösen. Verpflichtungen zur Schaffung der Möglichkeit von z.B. anbieterübergreifender Kontaktnetzwerke sind hier als Zusatzverpflichtung denkbar.

» Vollständige Interviewzusammenfassung

Hans Peter Bull

Portabilität ist ein relativ neues Bedürfnis. Der Anspruch ist berechtigt, die praktische Relevanz jedoch eher fraglich. Es sollte geregelt werden, dass die personenbezogenen Daten bei Vertragsende in einem verarbeitbaren Standardformat an Betroffene herausgegeben werden. Das gilt nicht nur für die selbst eingegebenen, sondern auch für die daraus abgeleiteten Daten.

» Vollständige Interviewzusammenfassung

Jürgen Geuter

Das ist einer der Artikel des Entwurfs den ich wirklich gut und spannend finde. Leider geht er aber nicht weit genug. Das liegt hauptsächlich daran, dass keine Rede von standardisierten Formaten ist in denen die Daten abgerufen werden können. Wenn ich beispielsweise alle Daten meines Facebook-Profils als Pdf ausgehändigt bekomme und nicht mehr rekonstuieren kann wer meiner Kontakte sich hinter den IDs in diesen Dateien verbirgt dann sind diese Daten wertlos für mich. Solch ein Standard sollte in der Grundverordnung stehen.

» Vollständige Interviewzusammenfassung

Peter Schaar

Das Recht auf Datenportabilität ist eine sinnvolle und notwendige Erweiterung des Selbstbestimmungsrechts des Betroffenen. Es kann auch zur Förderung des Wettbewerbs beitragen, da ein Wechsel zwischen verschiedenen Anbietern einer Dienstleistung vereinfacht wird und damit monopolartigen Strukturen – wie es sie etwa bei den sozialen Netzwerken bestehen – entgegenwirken kann. Bedeutsam ist die Datenportabilität auch im Hinblick darauf, dass die Betroffenen auf diese Weise mehr über sich selbst erfahren können und besser einschätzen lernen, was Dritte über sie in Erfahrung bringen könnten.

» Vollständige Interviewzusammenfassung

Rainer Stentzel

Dieses Recht ist in bestimmten Konstellationen, wie z.B. bei der Nutzung sozialer Netzwerke, in die man viele Daten selbst eingibt, sinnvoll und sollte für diese Fälle geschaffen werden. In diesen Bereichen fördert es den Wettbewerb der Anbieter. Wenn es darüber hinaus geht kann es zu Problemen führen. Hierzu gehört auch die Konkurrenz mit dem Recht auf Schutz des geistigen Eigentums. Wenn ein Pharmahersteller Daten für eine Studie erhebt, kann der Betroffene nicht die Ergebnisse der Studie als „seine Daten“ herausverlangen und diese an die Konkurrenz veräußern. Die Gesetzgebung muss eine Lösung finden, die alle konkurrierenden Rechte angemessen berücksichtigt und die Anwendungsbereiche gegeneinander abgrenzt.

» Vollständige Interviewzusammenfassung

Sebastian Schulz

Auch hier ist es schwierig zu erkennen, was genau mit diesem Recht gemeint sein soll. Auch die datenschutzrechtliche Relevanz ist mir nicht klar. Wenn damit ein Recht auf Auskunft gemeint ist, dann ist das bereits geregelt und somit überflüssig. Wenn damit allerdings ein Mitnahmerecht auch von internen Daten der Unternehmen gemeint sein soll, würde darüber der Schutz von Betriebs- und Geschäftsgeheimnisse unverhältnismäßig verletzt.

» Vollständige Interviewzusammenfassung

Stephan Noller

Ich finde, dass der Begriff auf einen bestimmten Anwendungsfall abzielt. Beispielsweise wenn ich als User persönliche Daten speichere und zu einem anderen Dienst wechsel. Das kann Effekte haben, die beispielsweise im Sinne von Wettbewerbserleichterung zu begrüßen wären. Auch hier stellt sich wieder das Problem mit dem umfassenden Wirkungsbereich der Grundverordnung. Daraus könnte dann folgen, dass Sie bei jedem Direkt Marketing und jedem Werbeunternehmen Datenportabilität sicherstellen müssten, die dann wiederum zu erheblichen technischen Herausforderungen führen würden. Meines Erachtens nach leidet das Recht auf Datenportabilität daran, dass es nicht eingeschränkt ist auf eine Datenart bei der es nachvollziehbarer Weise Sinn macht.

» Vollständige Interviewzusammenfassung

Andreas Krisch

Im Bereich Profiling ist eine starke Regulierung nötig. Die Aussagekraft der Daten wird immer größer, besonders die Kombination mehrerer Datenbestände erzeugt immer mehr Wissen über den Einzelnen. Bei der Zusammenführung von Daten über den eigentlichen Zweck der Datenerfassung hinaus muß es eine informierte Einwilligung des Betroffenen geben. Wichtig in diesem Themenbereich ist die Verpflichtung zur Offenlegung der zum Einsatz kommenden Algorithmen. Besonders im Bereich der Strafverfolgung und Vorratsdatenspeicherung muß das Profiling und die Arbeit mit Wahrscheinlichkeiten genau geregelt sein. Unschuldige dürfen deshalb nicht als Verdächtige gelten. Profiling birgt besonders im nicht öffentlichen Bereich, wie Versicherungen, die Gefahr, das damit das dem gesellschaftlichen Zusammenleben zurgrundeliegende Solidarprinzip abgeschafft wird.

» Vollständige Interviewzusammenfassung

Florian Glatzner

In unseren Augen sollte Profiling reguliert werden aber wir sind mit dem bisherigen Entwurf der Kommission nicht ganz zufrieden. Beispielsweise sind Online-Profiling durch Werbeunternehmen und Kredit-Scoring durch Auskunfteien ziemlich unterschiedliche Sachverhalte und ich glaube, dass es schwierig ist beide in einem Artikel regulieren zu wollen. Wir fordern beispielsweise, dass das Scoring ähnlichablaufen sollte wie eine Sicherheitskontrolle am Flughafen. Dort werde ich nicht abgelehnt und muss nach Hause gehen wenn es piepst sondern dann werde ich von einem Menschen vor Ort etwas genauer kontrolliert und dann wird entschieden. Auch für den Bereich Werbung kann es teilweise um persönlichste Daten, wie beispielsweise Gesundheitsdaten, gehen und darüber sollten die Verbraucher selbst entscheiden dürfen.

» Vollständige Interviewzusammenfassung

Gerrit Hornung

Verhaltens- und Persönlichkeitsprofile werden zukünftig eine der größten Baustellen des Datenschutzrechtes sein. Profilbildung kann zugunsten der Betroffenen stattfinden oder diskriminierende Auswirkungen haben. Profilbildung zugunsten der Betroffenen sollte an die Einwilligung gekoppelt sein, wobei auf Freiwilligkeit und Informiertheit besonders zu achten ist. Profilbildung mit dem Risiko der Diskriminierung muss gesetzlich reguliert sein. Hinter die Regelungen zu automatisierten Einzelentscheidungen darf die Datenschutzgrundverordnung nicht zurückfallen. Zusätzlich sind Regelungen zur Transparenzpflicht über die verwendeten Algorithmen notwendig. Diese Pflicht muss gegen das Interessen der Unternehmen zur Wahrung von Geschäftsgeheimnissen abgewogen werden.

» Vollständige Interviewzusammenfassung

Hans Peter Bull

Das grundsätzliche Verbot der rein automatisierten Persönlichkeitsbeurteilung ist bereits seit langem geltendes Recht und sollte mehr beachtet werden, d.h. es muss stets eine Beurteilung durch eine natürliche Person hinzukommen. Profilbildung als solche kann nicht generell verboten werden, und ihre Einschränkung durch Rechtsnormen gelingt – wenn man den Entwurf der EU-Datenschutz-Grundverordnung betrachtet – nicht in überzeugender Weise. Grund ist auch hier – wie in vielen Teilen des Entwurfs – die allzu große Abstraktheit der Normen, die Vermeidung klarer Entscheidungen für konkrete Sachprobleme. Erforderlich wären bereichsspezifische Regelungen. So muss z.B. im Bereich der Versicherungen das Solidarprinzip beachtet werden, wie es im geltenden Versicherungsrecht ausgeformt ist.

» Vollständige Interviewzusammenfassung

Jürgen Geuter

Auch Profiling ist sehr schwierig zu regulieren. Bei Big Data ist es aufgrund der Unmenge an Daten sehr schwierig vorab von einer Kausalität auszugehen die dann reguliert werden könnte. Bei den in diesem Zusammenhang häufig genannten Beispielen wie Krankenversicherungen etc. muss also eher über ein Verbot von Diskriminierung reguliert werden als über das Profiling. Das ist ja auch genau so bei der Einführung der Unisex-Tarife für gemacht worden.

» Vollständige Interviewzusammenfassung

Peter Schaar

Die Zusammenführung und Verwendung personenbezogener Daten, die in verschiedenen Kontexten für unterschiedliche Zwecke erhoben wurden, birgt besondere Risiken für das Recht auf informationelle Selbstbestimmung. Profile können für vielfältige Zwecke (Marketing, Scoring oder etwa zur Planung von Einbrüchen anhand bekannter Verhaltenmuster) verwendet werden. Zudem ist solchen ProfilingSystemen das Risiko der Diskriminierung bestimmter Personenkreise immanent. Die Entstehung und Nutzung von Profilen sollte deshalb im Datenschutzrecht reguliert werden. Schon die Verknüpfung personenbezogener Daten zu Persönlichkeitsprofilen bedarf klarer rechtlicher Grenzen. Dies muss durch technologische Ansätze (Anonymisierung, Verschlüsselung) unterstützt werden.

» Vollständige Interviewzusammenfassung

Rainer Stentzel

Die Datenschutzgrundverordnung muss dem Betroffenen auch Schutz gegenüber Profilbildungen gewährleisten. Besonders wenn auf der Basis von Profilen Entscheidungen getroffen werden, die für Betroffene diskriminierende Wirkung haben, werden wirksame Schutzmechanismen benötigt. Erschwerend wirkt sich aus, dass der Begriff des Profiling bisher nur unscharf definiert ist. Die Datenschutzgrundverordnung darf nicht hinter die bestehende Praxis und Rechtslage zurückfallen, Betroffene vor den Folgen automatisierter Einzelentscheidungen zu schützen. Das Profiling sollte zudem um Regelungen erweitert werden, die schon im Vorfeld der Profilbildung ansetzen. Die Vorgaben aus dem Telemediengesetz hinsichtlich Datensparsamkeit, Nutzung für Werbezwecke, Anonymisierung und Pseudonymisierung könnten dazu in die Datenschutzgrundverordnung übernommen werden. Das Profiling sollte für möglichst viele Anwendungsgebiete geregelt werden und sich nicht nur auf das Kreditscoring beziehen. Das Rechtsgebiet wird zukünftig noch weiter entwickelt werden müssen.

» Vollständige Interviewzusammenfassung

Sebastian Schulz

Der Begriff der Profilbildung ist regelmäßig negativ konnotiert, obwohl Profilbildung dem Verbraucher in den meisten Fällen dienlich ist. Ein Beispiel hierfür ist der in Deutschland häufig genutzte Kauf auf Rechnung. Diese Bezahlmethode stellt einen Vertrauensvorschuss des Verkäufers gegenüber dem Käufer dar. Man kann es hier dem Unternehmen sicher nicht verübeln, wenn es sich weigert diese Bezahlmethode weiterhin anzubieten, nachdem ein Kunde wiederholt die Rechnungen nicht bezahlt hat. Außerdem besteht im Entwurf der Datenschutz-Grundverordnung Nachbesserungsbedarf für den Bereich der Profilbildung zur zielgerichteten werblichen Ansprache. Wenn hier nicht nachgebessert wird, fallen wir zurück in eine Zeit in der Werbung nach dem Gießkannen-Prinzip verteilt wurde.

» Vollständige Interviewzusammenfassung

Stephan Noller

Ich bin ein Vertreter der sog. Algorithmen-Ethik. Das bedeutet, dass wenn wir zunehmend Algorithmen nutzen können, um Informationsprozesse zu beeinflussen, dann sollten wir als Zivilgesellschaft sehr genau hinschauen was genau passiert und welche Kontroll- und Informationsmöglichkeiten es gibt. Hier stellt der sehr breite definitorische Ansatz der Verordnung wieder ein Problem dar. Den derzeitigen Entwurf könnte man beispielsweise so auslegen, dass Werbung generell als Profiling verstanden wird. Auch hier sollte mit Augenmaß bestimmt werden welche Art von Daten unter einen Profiling Paragraphen fallen müssen. Bei Werbung mit pseudonymen Daten ist das Beeinflussungsvorhaben beispielsweise nicht besonders signifikant und die Auswirkungen der Beeinflussung auf die einzelnen Personen ist vergleichsweise überschaubar. In diesem Fall würde ich argumentieren, dass der Profiling Paragraph nicht angewendet werden müsste. Davon abgesehen würde ich es für sinnvoll halten eine generelle Kennzeichnungspflicht für Profiling-Verfahren einzuführen die im aktuellen Entwurf so nicht vorgesehen ist.

» Vollständige Interviewzusammenfassung

Andreas Krisch

Wichtig ist hier, dass Betroffene selbst entscheiden, wann sie die Grenze zwischen privater Kommunikation und Veröffentlichung überschreiten. Diese Grenze müssen Betroffene mit vertretbaren Aufwand erkenne können und Werkzeuge zur Steuerung der Kommunikation angeboten bekommen. Facebook ist hier Negativbeispiel, da die Grenze nicht eindeutig ist und immer wieder durch Änderungen in den Datenschutzeinstellungen willkürlich verschoben wird.

» Vollständige Interviewzusammenfassung

Florian Glatzner

Das ist natürlich eine Abwägungsfrage und da ist noch vieles im Fluss. Natürlich ist es wichtig schon jetzt bei der Entwicklung der Verordnung zu schauen, dass die Probleme mit anderen Grundrechten möglichst gering sind. Beispielsweise sind ja auch schon Ausnahmen für journalistische Tätigkeiten vorgesehen und das ist auch durchaus sinnvoll. In Bezug auf die persönliche Meinungsfreiheit wäre es beispielsweise möglich zu überdenken ob die Verordnung anwendbar sein sollte auf Menschen die privat personenbezogene Daten veröffentlichen. Wenn es nicht unter die Verordnung fallen würde wären ganz viele Fragen in Bezug auf die Meinungsfreiheit gelöst.

» Vollständige Interviewzusammenfassung

Gerrit Hornung

Datenschutz und Informations- und Meinungsbildungsprozesse stehen in einem permanenten Grundkonflikt zueinander. Dieser kann auch durch die Datenschutzgrundverordnung nicht aufgelöst werden. Die Gesellschaft ist einerseits darauf angewiesen, dass sich Personen unbeobachtet bewegen und entfalten können und anderseits funktionierende und transparente Informations- und Meinungsbildungsprozesse stattfinden. Am Fall „Spickmich“ ist deutlich geworden, dass beide Rechtsbereiche noch nicht ausreichend aufeinander abgestimmt sind. Erschwerend kommt aus europäischer Sicht dazu, dass die Datenschutzgrundverordnung eine europäisch einheitliche Regelung zum Datenschutz ist, das Thema Informations- und Meinungsbildungsprozesse jedoch vorwiegend über Öffnungsklauseln den Mitgliedstaaten überantwortet wird. Die Datenschutzgrundverordnung muss beide Interessen möglichst ausgeglichen berücksichtigen.

» Vollständige Interviewzusammenfassung

Hans Peter Bull

Das Datenschutzrecht muss selbstverständlich so ausgestaltet werden, dass transparente Meinungsbildungsprozesse und umfassender Informationsaustausch gewährleistet sind. Informationspflichten, Einwilligungslösungen und Verzeichnispflichten können bei sehr restriktiver Anwendung wie eine Zensur wirken. Der Kommissionsentwurf bietet keine Lösung für diesen Interessenkonflikt, sondern verlangt in einer Generalklausel (Art. 80) entsprechende Regelungen von den Mitgliedstaaten. Damit verfehlt der europäische Gesetzgeber seine Aufgabe.

» Vollständige Interviewzusammenfassung

Jürgen Geuter

Durch Ideen wie das Recht auf Vergessenwerden werden Diskurse zerrissen weil Beiträge eben zum Diskurs nachträglich wieder entfernt werden können. Heute kann ich mich beispielsweise im Nachhinein von einem Buch distanzieren das ich geschrieben habe. Ich habe jedoch kein Recht zu verlangen, dass alle die dieses Buch im Regal stehen haben dieses nun entsorgen müssen. Wir versuchen immer eine Art “Perfekt-Version” von uns nach außen darzustellen. Das ist die Person die wir in unseren Bewerbungen beschreiben. Aber wir sind nicht perfekt und wir müssen endlich lernen damit umzugehen. Datenschutzrecht hält häufig dieses Bild von Menschen aufrecht die immer perfekt sein müssen und immer alles perfekt leisten, es baut so Druck auf Menschen auf, diesem Anspruch zu entsprechen.

» Vollständige Interviewzusammenfassung

Peter Schaar

Meinungsfreiheit und die Freiheit, sich jederzeit aus allgemein zugänglichen Quellen informieren zu dürfen, sind hohe Rechtsgüter, die von der Verfassung besonders geschützt sind. Datenschutz dient nicht bloß dem Schutz der Privatsphäre im engeren Sinne, sondern schützt auch die individuelle Informations- und Meinungsfreiheit. Wer befürchten muss, dass seine Informations- und Kommunikationsfreiheit über die Registrierung des eigenen Surfverhaltens beeinträchtigt wird, kann in der Wahrnehmung dieser Grundrechtsausübung gehemmt sein. Der Datenschutz schützt auch unbeobachtete Diskussions- und Meinungsbildungsprozesse. Das in bestimmten Bereichen nicht zu leugnende Spannungsverhältnis zwischen Informations- und Meinungsfreiheit muss in einem modernen Datenschutzrecht zu einem angemessenen Ausgleich gebracht werden, etwa durch die Verankerung bestimmter Ausnahmeregelungen für konventionelle und neue Medien. Ich hoffe, dass der Ausgleich in der Datenschutz-Grundverordnung verankert wird und der Stellenwert von Meinungs- und Informationsfreiheit gestärkt und nicht geschwächt wird. Auch im Hinblick auf die Richtlinie für Polizei und Justiz müssen gesonderte Vorgaben zum Schutz der Medien vorgesehen werden, insbesondere zum Zeugnisverweigerungsrecht und zum Quellenschutz.

» Vollständige Interviewzusammenfassung

Rainer Stentzel

Die Regelungen in der Datenschutz-Grundverordnung und die Rechte auf Informations- und Meinungsfreiheit sind besonders dann konkurrierende Rechte, wenn es um Daten aus öffentlichen Medien geht. Es sollten Fallgruppen definiert werden, für die es besonders wichtig ist, beide Rechte zum Ausgleich zu bringen. Die Risiken bestehen darin, dass entweder der Schutz von Betroffenen nicht ausreichend ist oder Privatpersonen sich aus Angst vor Datenschutzverstößen ihre Meinung nicht mehr äußern. Die Datenschutzgrundverordnung sollte Regelungen zum Schutz der Informations- und Meinungsfreiheit enthalten. Keinesfalls darf der grundgesetzliche Schutz der Meinungs- und Pressefreiheit einseitig zugunsten eines europäischen Datenschutzrechts verengt werden.

» Vollständige Interviewzusammenfassung

Sebastian Schulz

Ich habe das Gefühl, dass das Privileg für das Informations- und Meinungsbildungsrecht im Entwurf zu eng definiert ist. Bei restriktiver Auslegung der Verordnung würde jede Meinungsäußerung im Internet unter das Datenschutzrecht fallen. Ich habe erhebliche Probleme mir vorzustellen, wie dieses höchste grundrechtliche Gut durch die einfachen Reglungen des Datenschutzrechts vollumfänglich reguliert werden soll. Natürlich bedeutet das nicht, dass es keine Schnittstelle zwischen diesen Rechten geben soll. Auch hier gilt es, kollidierende Rechte angemessen auszugleichen.

» Vollständige Interviewzusammenfassung

Stephan Noller

Hier gibt es zwei besonders wichtige Phänomene. Zum einen hat sich die Informationsbeschaffung rasant ins Internet verlagert und zum anderen werden die Internetangebote zunehmend algorithmisch ausgesteuert ausgeliefert. Das führt dazu, dass niemand die gleiche Webseite sieht wie sein Nachbar. Das wirft Problemfelder auf, die einen erheblichen Einfluss auf die Informations- und Meinungsbildungsprozesse haben können. In den nächsten zehn Jahren wird die Digitalisierung aller Lebensbereiche nochmals verstärkt zunehmen und wir müssen schon jetzt Maßnahmen ergreifen, um als Nutzer die Kontrolle zu behalten und nicht die Informationsbeschaffung vollkommen durch Algorithmen zu gestalten. Um diese Probleme zu vermeiden, ohne auf die offensichtlichen Vorteile dieser Algorithmen zu verzichten, müssten die Nutzer im Einzelfall die automatische Vorauswahl, beispielsweis von Suchergebnissen, ausschalten können und die Funktionsweise der Algorithmen sollte offengelegt werden. In der Datenschutz-Grundverordnung könnte diesbezüglich eine interessante Weichenstellung vorgenommen werden und deshalb halte ich es für durchaus wichtig, dass dieser Entwurf nicht versandet.

» Vollständige Interviewzusammenfassung

Andreas Krisch

Der Fokus im Thema Umsetzung von Datenschutzvorgaben sollte im “Privacy by desgin” bzw. “Privacy by Default” liegen. Ausgestaltung technischer Lösungen in Verbindung mit wirksamen Sanktionen gegen Verstöße sind die Erfolgsfaktoren. Ergänzt werden sie durch standardisierte Datenschutz Impact Assesment Center, die risikoreiche von risikoarmen Datenverarbeitungen unterscheiden helfen. Organisatorische Maßnahmen zum Datenschutz wie z.B. die Einwilligung verlieren aufgrund des technischen Fortschritts an Bedeutung.

Das deutsche System der Datenschutzbeauftragten sollte europaweit umgesetzt werden. Das Vorhandensein eines Datenschutzbeauftragten sollte zusätzlich oder alternativ an der Kundenzahl des Unternehmens festgemacht werden.

» Vollständige Interviewzusammenfassung

Florian Glatzner

Mir wären hier drei Punkte aus der aktuellen Diskussion wichtig. Das berechtigte Interesse darf nicht herangezogen werden dürfen für jede Datenverarbeitung die man nicht anders legaliesieren möchte, personenbeziehbare Daten sollten ganz klar unter die Verordnung fallen sollten und es sollte in der Grundverordnung ein Verbandsklagerecht für Verbände und Organisationen geben.

» Vollständige Interviewzusammenfassung

Gerrit Hornung

Die Datenschutzgrundverordnung enttäuscht bei den Regelungen zum Thema „Datenschutz durch Technik“. Etablierte Grundbegriffe wie Anonymisierung und Pseudonymisierung werden nicht erwähnt. Im Bereich Dataprotection by Design fehlen verbindliche Aussagen; dieser bleibt hinter dem Stand der Technik zurück. Die Festlegungen zum Thema Zertifizierung und Gütesiegel sind nur schwammig und unzureichend. Die „Meldungen von Schutzverletzungen“ sind genauso wie die Datenschutzfolgeabschätzungen und das Verbandsklagerecht in der Datenschutzgrundverordnung gut geregelt. Das Verhältnis von Wettbewerbs- und Datenschutzrecht sollte klarer dahingehend geregelt werden, dass Datenschutz ein wettbewerbsrelevanter Themenbereich wird. Die Rolle, die sich die EU-Kommission in Sachen Datenschutz zuschreibt, ist nicht akzeptabel. Sie widerspricht dem im Entwurf festgelegten Leitbild einer unabhängigen Datenschutzbehörde und provoziert Konflikte mit den nationalen Einrichtungen.

» Vollständige Interviewzusammenfassung

Hans Peter Bull

Der Entwurf für die Datenschutz-Grundverordnung verfolgt – fast wie ein Lehrbuch des Datenschutzrechts – die richtigen Ziele und bekräftigt einige der in Deutschland seit langem geltenden Regeln, ist jedoch beim genaueren Hinschauen praktisch kaum brauchbar. Die Generalklauseln sind schwammig und lassen trotz entgegengesetzter Absicht fast jede Form von Informationsverarbeitung zu. Wichtige Themen wie Adresshandel, Scoring und die Arbeit von Auskunfteien sind gar nicht oder nur abstrakt und praxisfremd geregelt. Der Gesetzgeber hat sich vorgenommen, so gut wie alle Lebensbereiche unter dem Aspekt der Informationsverarbeitung zu regeln. Er kann die Verschiedenheit der Lebensbereiche aber nicht ausreichend berücksichtigen. Die absehbare Folge: eine erhebliche Bürokratisierung und zahllose Gerichtsprozesse. Fazit: Guter Wille macht noch kein gutes Gesetz, und im Verhältnis zum deutschen Datenschutzrecht ist die EU-Verordnung kein Fortschritt. Allerdings bedarf auch das deutsche Recht einer gründlichen Überarbeitung.

» Vollständige Interviewzusammenfassung

Jürgen Geuter

Es ist sehr empfehlenswert sich den Entwurf mal anzusehen und sich nicht nur mit den Überschriften zu befassen. Da lassen sich viele irritierende Punkte finden. Beispielsweise hat fast jeder Artikel eine Art Blanco-Vollmacht für die Kommission die einfach erweiternde Rechtsakte auf vieles anwenden darf und dadurch diese Grundverordnung ohne weitere Legitimation weitgehend wegwischen kann. Sowas als Basis für unser digitales Zusammensein zu benutzen halte ich für sehr schwierig.

» Vollständige Interviewzusammenfassung

Peter Schaar

Es gibt noch eine Reihe weiterer wichtiger Aspekte etwa:

  • Stärkere Verankerung des technologischen Datenschutzes (Privacy by Design, Privacy by Default, Datenschutz-Folgenabschätzung u.a.)
  • Möglichst breite europaweite Einführung betrieblicher und behördlicher Datenschutzbeauftragter
  • Verankerung des Marktortprinzips für nicht-europäische Unternehmen

» Vollständige Interviewzusammenfassung

Rainer Stentzel

Die Rechte und Pflichten aus der zukünftigen Datenschutzgrundverordnung müssen europaweit nach dem Kohärenzprinzip umgesetzt und aktuell bestehende Vollzugsdefizite dadurch abgebaut werden. Die Datenschutzbehörden können dies jedoch nicht allein leisten. Sie sind auf Unterstützung durch die Unternehmen und Institutionen angewiesen. Das Instrument der betrieblichen Datenschutzbeauftragten, das wir in Deutschland seit langem kennen, sollte deshalb auf jeden Fall erhalten bleiben. Sie haben sich als wirksamer Mittler im Interessenausgleich zwischen Unternehmerinteressen und den Betroffenen erwiesen.

Selbstregulierung von Unternehmen und Institutionen ist ein weiterer wichtiger Pfeiler bei der Umsetzung von Datenschutzvorgaben. Sie ist jedoch kein Instrument welches gesetzliche Regelungen ersetzt. Im Rahmen der Selbstregulierung verpflichten sich Unternehmen und Institutionen in Zusammenarbeit mit den Aufsichtsbehörden und Verbrauchervertretern auf Prozeduren, mit denen Datenschutzvorgaben in den Branchen umgesetzt werden. Diese bereichsspezifischen Regelungen können schneller an sich ändernde Gegebenheiten angepasst werden, als gesetzliche Regelungen. Sie wirken positiv auf die Rechtssicherheit der Unternehmen bei der Umsetzung von Datenschutzvorgaben. Es bietet sich hier an, auf die bewährten Mechanismen, wie z.B. der DIN Normierung zurückzugreifen.

» Vollständige Interviewzusammenfassung

Sebastian Schulz

Ich finde, dass der risikobasierte Ansatz auch außerhalb der Einwilligung durchaus brauchbare Lösungen bietet. Etwas irritiert bin ich von dem weiten Anwendungsbereich der Verordnung und ich sehe die Gefahr, dass es zu einer Überwölbung sämtlicher Lebenssachverhalte durch das Datenschutzrecht kommt. Das könnte sich innovationshemmend auswirken oder zu einem Abwandern von Innovatoren führen. Nichtsdestotrotz ist es zu begrüßen, dass mit diesem Entwurf versucht wird, innerhalb der europäischen Union für gleiche Spielregeln zu sorgen. Die Debatte hierüber sollte sachlich und frei von Emotionen geführt werden.

» Vollständige Interviewzusammenfassung

Stephan Noller

Hier fällt mir eher eine Frage als ein weiterer Standpunkt ein. Nämlich die Frage, ob der europäische Rechtsraum reif ist für so ein harsches Instrument. Es geht hier um eine Verordnung in einem Rechtsraum, in dem bisher nicht mal die Grundrechte synchronisiert sind. Ob jetzt also der richtige Zeitpunkt ist, eine solche Verordnung einzusetzen, halte ich für eine ausgesprochen spannende Frage, auch wenn ich selbst das schlecht beurteilen kann. Hier muss man Beachten wie schon auf nationaler Ebene um jede kleine Formulierung bei der Erneuerung des Bundesdatenschutzgesetzes gerungen wurde. In diesem Kontext ist eine europäische Datenschutz-Grundverordnung schon ein unglaublicher Akt.

» Vollständige Interviewzusammenfassung

Andreas Krisch

Mag. Andreas Krisch ist Wirtschaftsinformatiker und ausgebildeter Datenschutzbeauftragter. Er berät u.a. den Europarat, die OECD und die Europäische Kommission in Datenschutzfragen als Experte zu RFID, Smart Grids und dem Internet der Dinge. Er ist Präsident von European Digital Rights und Obmann des VIBE!AT. Krisch ist Geschäftsführer der mksult GmbH, die das Datenschutzportal unwatched.org betreibt.

» Podcast

Florian Glatzner

Florian Glatzner, Jahrgang 1980, studierte Politikwissenschaft in Münster. Beruflich war er ab 2007 beim FoeBuD e.V. (seit 2012 digitalcourage e.V.) tätig, einem gemeinnützigen Verein mit den Schwerpunkten Bürgerrechte und Datenschutz. Zwischen 2008 und 2010 arbeitete er zudem als Datenschutzberater und externer Datenschutzbeauftragter. Seit Anfang 2011 ist er Referent des Verbraucherzentrale Bundesverbands im Projekt "Verbraucherrechte in der digitalen Welt". Florian Glatzner veröffentlichte ein Buch zur Videoüberwachung des öffentlichen Raumes und ist in mehreren Vereinen ehrenamtlich zu Datenschutzthemen aktiv.

» Podcast

Gerrit Hornung

Prof. Dr. Gerrit Hornung, LL.M., ist Professor für Öffentliches Recht, IT-Recht und Rechtsinformatik an der Universität Passau. Er studierte Rechtswissenschaften und Philosophie an den Universitäten Freiburg und Edinburgh und promovierte über Rechtsprobleme von Chipkartenausweisen. Dafür erhielt er den Wissenschaftspreis 2006 der Deutschen Stiftung für Recht und Informatik. Zwischen 2006 bis 2011 war er Geschäftsführer der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) und Habilitand an der Universität Kassel.

» Podcast

Hans Peter Bull

Hans Peter Bull ist ein deutscher Staats- und Verwaltungsrechtler. Er war der erste Bundesbeauftragte für den Datenschutz, sieben Jahre lang Innenminister in Schleswig-Holstein und bis 2002 Professor an der Universität Hamburg. Hans Peter Bull nimmt heute im Vergleich zu amtierenden Datenschützern eine eher moderate Haltung zum Thema Datenschutz ein. (Quelle:Wikipedia)

Jürgen Geuter

Jürgen Geuter lebt unter dem Namen tante im Internet und ist als Wissenschaftler an einer Universität tätig. Er entwickelt innerhalb der datenschutzkritischen Spackeria Konzepte für zukünftiges Zusammenleben und beschäftigt sich in diesem Rahmen insbesondere mit den Auswirkungen der Verdatung der Welt auf die Gesellschaft und ihre Individuen. Außerdem mag er Affen.

» Podcast

Peter Schaar

Peter Schaar ist Bundesbauftragter für den Datenschutz und die Informationsfreiheit. Zuvor arbeitete er unter anderem als als Mitglied der Begleitkommission zur Modernisierung des Datenschutzrechts für den Hamburgischen Beauftragten für Datenschutz. Außerdem leitete Peter Schaar bis 2003 ein von ihm gegründetes Datenschutzberatungsunternehmen.

Rainer Stentzel

Dr. Rainer Stentzel ist Regierungsdirektor im Bundesministerium des Innern (BMI). Er leitet seit März 2012 die Projektgruppe Datenschutz, die innerhalb der Bundesregierung federführend für die Reform des Datenschutzes in der EU zuständig ist. Zuvor war er im BMI mit netzpolitischen Themen befasst, u.a. mit dem Ideenwettbewerb www.vergessen-im-internet.de. Vor seiner Tätigkeit im Ministerium war er als Verwaltungsrichter tätig.

» Podcast

Sebastian Schulz

Sebastian Schulz ist Rechtsanwalt und geprüfter Datenschutzbeauftragter und -auditor und verantwortet für den Bundesverband des Deutschen Versandhandels e.V. (bvh) die Bereiche Public Affairs, Datenschutz und Rechtspolitik. Er ist u.a. der Geschäftsführer des bvh-Arbeitskreises Datenschutz.

» Podcast

Stephan Noller

Stephan Noller ist Geschäftsführer bei der Targeting-Plattform für Onlinewerbung nugg.ad. In zweiter Funktion vertritt er als Chairman des Policy Committee beim IAB Europe die Interessen der europäischen Werbewirtschaft in Brüssel. Zuvor arbeitete er für TNS Infratest und TNS Emnid. Das Studium der Psychologie an der Universität zu Köln schloss er mit einer Arbeit zum Thema "Mentale Modelle und Webnavigation“ ab.