Auskunftsbegehren und gemeinsame Verantwortlichkeit
Über ein möglicherweise, neues Akteneinsichtsrecht durch das Betroffenenrecht auf eine Kopie der verarbeiteten Daten reflektierte Prof. Niko Härting in seinem Vortrag zum Thema Compliance. Festzustellen sei, dass Umfang und Anzahl von Auskunftsbegehren mit der DSGVO deutlich zugenommen hätten. Das Auskunftsrecht umfasse den Anspruch der betroffenen Person auf eine Kopie der personenbezogenen Verarbeitungsdaten. Unklar sei vorerst, was die Kopie der Daten alles beinhalten müsse.
Letztendlich sei aber wohl Dokument für Dokument auf den Personenbezug und die Verhältnismäßigkeit des, zur Erfüllung des Auskunftanspruchs, erforderlichen Aufwands zu prüfen.
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Rechtsanwalt Lasse Konrad skizzierte wesentliche Facetten bei der Gestaltung von Verarbeitungsverträgen bei gemeinsamer Verantwortlichkeit. Er betonte, dass arbeitsteilige Datenverarbeitung nicht bedeuten müsse, dass alle Verantwortlichen bei der Verarbeitung gleichberechtigt wären. Als Beispiel für gemeinsame Verantwortlichkeit benannte er
den Betrieb einer gemeinsamen Kundendatenbank,
Dienstleistungen eines einzelnen Auftragsverarbeiters für mehrere Auftraggeber,
den Betrieb von Facebook Fanpages und
die Verarbeitung von personenbezogenen Daten durch Unternehmen im Konzernverbund.
Alle an der Verarbeitung beteiligten Verantwortlichen würden dabei gleichrangig für einen etwaigen Schaden haften und müssten ihre jeweiligen Verantworlichkeiten über eine Vereinbarung nach Art 26 DSGVO regeln.
Sonstige datenschutzrechtliche Feinheiten
Dr. Andreas Sattler, Akademischer Rat an der Ludwig-Maximillians-Universtät München, widmete sich der Frage nach den Chancen oder Risiken für ein neues Datenschutzschuldrecht aus den Anforderungen zur Rechtmäßigkeit der Verarbeitung. Im Kern geht es dabei um Verträge, auf deren Grundlage ein Anbieter einem Verbraucher digitale Inhalten gegen Entgelt oder (personenbezogene) Daten bereitstellt.
Dr. Moritz Hennemann, Akademischer Rat an der Universität Freiburg, analysierte die kürzlich von der französischen Aufsichtsbehörde CNIL gegen Google verhängte Millionen-Strafe. Hervorzuheben sei, dass im konkreten Fall mangelnde Transparenz und ungültige Zustimmung wegen nicht hinreichender Information der Verarbeitung als Begründung für den Bußgeldbescheid herangezogen worden wären.
Dr. Laura Schulte, wissenschaftliche Mitarbeiterin an der Universität Bielefeld, verwies auf die enorme praktische Relevanz internationaler Datentransfers - insbesondere bei Cloud-Anwendungen und der Auftragsverarbeitung. Die gesetzgeberische Vermutung eines schwächeren Datenschutzniveaus außerhalb der EU verlange ausgleichende Regelungen zum gleichwertigen Schutz der Daten.
Als Kompensationsmittel stünden unter anderem ein Angemessenheitsbeschluß der Kommission oder Binding Corporate Rules zur Verfügung. Der Angemessenheitsbeschluß insbesondere Privacy Shield habe unter anderem wegen dem vom österreichischen Datenschutz-Juristen Max Schrems erreichten Urteil gegen das Safe Harbour-Abkommen als Legitimationsgrundlage an Attraktivität eingebüßt. Aus praktischer Sicht gewännen Binding Corporate Rules als flexibles Instrument zur Regulierung von Datenflüssen und der Einhaltung von Datenschutzvorschriften an Bedeutung.