LfDI/Kooperationen
Hospitationen des LfDI in Europa
1. Eindrücke aus Estland
Im Rahmen des Hospitationsprogramms beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz besuchte der Leiter des Bereichs Gesundheit und Soziales, Herr Michael Heusel-Weiss, im August 2019 die Datenschutz-Kontrollbehörde in Estland. Die Wahl der estnischen Partnerbehörde fiel dabei nicht zufällig aus: Angesichts des hohen Digitalisierungsgrads der estnischen Gesellschaft und der gegenwärtigen entschlossenen Anstrengungen in Deutschland, die digitale Medizin und Gesundheitsversorgung endlich voranzubringen, versprach ein Aufenthalt im europäischen Musterland der Digitalisierung wertvolle Erkenntnisse.
Die Erwartungen wurden nicht enttäuscht. In einem aufwändigen und thematisch abwechslungsreichen Programm wurden Herrn Heusel-Weiss die Organisation und Arbeitsweise der estnischen Partnerbehörde umfassend dargestellt. Einzelne Elemente der Digitalisierung in Estland konnten über Besuche im e-Estonia showroom, bei der Stadtverwaltung Tallinn, bei der e-Health-Behörde und an der Universität Tallinn vor Ort nachvollzogen werden.
Bei der estnischen Datenschutzaufsicht befassen sich gegenwärtig 19 Mitarbeiter sowohl mit datenschutzrechtlichen Fragestellungen als auch Anliegen der Informationsfreiheit. Die zu 100% papierlos arbeitende Behörde ist bereits aufgrund gesetzlicher Vorgaben zwingend an der Gestaltung und Ausführung von Datenverarbeitungsprozessen zu beteiligen, sofern staatliche Stellen involviert sind. Die datenschutzkonforme Ausgestaltung der einzelnen Verfahren ist so sichergestellt. Im privaten Bereich bestehen ebenfalls Aufsichts- und Gestaltungsbefugnisse, allerdings ist das Tätigwerden nicht rechtlich vorgegeben. Im Zuge der Datenschutz-Grundverordnung veröffentlichte die Behörde etliche Orientierungshilfen und Handlungsempfehlungen.
Herzstück der estnischen Digitalisierung ist eine mit der staatlichen Unabhängigkeit 1991 aufgebaute technische Infrastruktur, die sog. X-Road. Über diese laufen sämtliche Datenverarbeitungen mit staatlicher Beteiligung. Es gelten dabei hohe Sicherheits- und Transparenz-Anforderungen. Alle Dienstleistungen der Verwaltung sind elektronisch verfügbar und werden von der Bevölkerung in weitem Maße genutzt. Die Entwicklung digitaler Anwendungen im Gesundheitssektor ist sehr dynamisch, wobei aus der Sicht der Aufsichtsbehörde hier eine engere datenschutzrechtliche Begleitung angestrebt wird.
Mehr Informationen unter:
https://www.aki.ee/en
2. Eindrücke aus Irland
Vom 30. September bis zum 4. Oktober 2019 hospitierte ein Mitarbeiter des LfDI, Dr. Philipp Richter, Referent im Bereich Medien und Europa, bei der irischen Datenschutzaufsichtsbehörde, der "Data Protection Commission" (DPC). Die amtierende Behördenleiterin ist seit 2014 Helen Dixon. Sie befindet sich seit diesem Jahr in ihrer zweiten Amtszeit. Die DPC ist für ganz Irland zuständig. In Irland leben aktuell etwa 4,7 Mio. Menschen, also nicht einmal eine Millon mehr als in Rheinland-Pfalz. Allerdings erstreckt sich die Zuständigkeit der DPC nicht nur auf den gesamten öffentlichen und den gesamten privaten Sektor Irlands. Der private Sektor umfasst zusätzlich einige der wichtigsten und umstrittensten Verantwortlichen in der EU und weltweit. In Irland befinden sich die europäischen Hauptsitze von Google, Facebook (inkl. WhatsApp und Instagram), Apple und vieler anderer Internetgrößen.
Aus diesem Grund sind auch die Augen der EU-Datenschutzlandschaft intensiv auf die DPC gerichtet. Der Erwartungsdruck ist hoch und die DPC ist sich dieser Erwartungen sehr bewusst.
Die DPC wurde, um ihrer Aufgabe gerecht zu werden, seit dem Geltungsbeginn der Datenschutz-Grundverordnung sowohl personell als auch finanziell deutlich gestärkt und beschäftigt an drei Standorten in und um Dublin etwa 150 Mitarbeiter und hat ihr Personal damit im Vergleich zu "Vor-DS-GVO-Zeiten" etwa verdreifacht. Die anderen europäischen Aufsichtsbehörden verbinden damit die Erwartung, dass die laufenden Verfahren gegen mit ihrem europäischen Hauptsitz in Irland ansässigen, großen Internet-Unternehmen durch die hierbei federführende irische Aufsichtsbehörde zeitnah angegangen werden. Trotz allen Verständnisses für die Komplexität und den Umfang dieser Verfahren sind doch baldige konkrete Ergebnisse wünschenswert. Im Rahmen der Hospitation wurde Herr Dr. Richter herzlich empfangen und erhielt im Laufe der Woche spannende Einblicke in die wesentlichen Abteilungen der DPC und deren Arbeitsabläufe. Das Vorgehen gegen die Internetgroßkonzerne wie Google, Facebook und Apple wird nach Darstellung von Mitarbeitern der DPC äußerst sorgfältig vorbereitet und betrieben. Als Gründe hierfür wurden ein kompliziertes irisches Verfahrensrecht sowie das hohe Prozessrisiko genannt. Bereits durchgeführte Bußgeldverfahren, wie z.B. das Bußgeld der CNIL gegen Google, werden im Hinblick auf eigene Verfahren äußerst aufmerksam beobachtet.
Die wichtigste Erkenntnis aus der Hospitation war, dass die irische Datenschutzaufsicht abseits der "Tech-Giants" strukturell vor vergleichbaren Herausforderungen steht wie die deutschen Aufsichtsbehörden auch. Viele betroffene Personen wenden sich mit Beschwerden an die DPC und viele Verantwortliche aus allen Sektoren wünschen sich Leitlinien und Hinweise für größere Rechtssicherheit. Auskunftsbegehren der betroffenen Personen und Fragen zur Veröffentlichung von Fotos im Internet spielen eine ebenso zentrale Rolle wie in Deutschland. Die DPC versucht, diesen Herausforderungen durch eine Verbindung effizienter Beschwerdebearbeitung und strategischer Öffentlichkeitsarbeit zu begegnen. Gleichzeitig wirkt die DPC äußerst aktiv in den EU-Gremien mit, um die einheitliche Auslegung und Anwendung der Verordnung voranzubringen.
Insgesamt gewann Herr Dr. Richter den Eindruck einer modernen und aktiven Aufsichtsbehörde, die sich ihrer zentralen Rolle für den EU-Datenschutz durchaus bewusst und auch bereit ist, diese Rolle anzunehmen. Ob und in welcher konkreten Form dies geschieht, werden die folgenden Jahre zeigen.
Mehr Informationen unter:
https://www.dataprotection.ie/
3. Eindrücke aus Österreich
Ein weiterer Mitarbeiter des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI), Uli Mack, Referent im Bereich der Informationsfreiheit und Rechtsdurchsetzung, hospitierte im Zeitraum vom 21. bis 25. Oktober 2019 bei der Datenschutzbehörde der Republik Österreich. Das Ziel der Hospitation war der fachliche Austausch über die Struktur, Organisation sowie die Arbeitsabläufe in der jeweils anderen Behörde.
Der Austausch ermöglichte beiden Seiten einen interessanten Einblick. Es zeigten sich hierdurch viele Gemeinsamkeiten zwischen den Aufsichtsbehörden: So bestehen beispielsweise ähnliche Arbeitsabläufe hinsichtlich der Zusammenarbeit bei grenzüberschreitenden Sachverhalten, deren Ursache auf den einheitlichen Rechtsrahmen durch die unionsweite Geltung der Datenschutz-Grundverordnung zurückzuführen ist. Die Beteiligten stellten jedoch auch größere Unterschiede zwischen den Tätigkeitsbereichen der Behörden fest: So ist der Landesbeauftragte für den Datenschutz Rheinland-Pfalz zugleich Informationsfreiheitsbeauftragter. Da in Österreich kein Informationsfreiheitsgesetz in Kraft ist, besitzt die Österreichische Datenschutzbehörde keine vergleichbare Zuständigkeit.
Die Hospitation ermöglichte sowohl dem Hospitanten als auch der österreichischen Datenschutzbehörde einen erkenntnisreichen "Blick über den Tellerrand" und förderte die grenzüberschreitende Zusammenarbeit zwischen den Behörden.
Mehr Informationen unter:
https://www.dsb.gv.at/