Öffentliche Daten nutzen, private Daten schützen. Das ist einer der Grundsätze der Hacker-Ethik.

Leider halten sich nicht alle an die Hacker-Ethik, beispielsweise Geheimdienste. Die machen das eher andersrum, die machen das mit den privaten Daten nützen. Und die öffentlichen Daten, also in dem Fall Daten über die Arbeit der Geheimdienste, mit denen man sie vielleicht kontrollieren könnte,

die werden sehr gut beschützt. Der nächste Speaker findet das überhaupt nicht richtig. Er hat tatsächlich in den 42 Wochen nach den Snowden-Enthüllungen jede Woche vor dem Bundeskanzleramt eine Wutrede gehalten.

Einen Applaus hierfür schon mal. Ja, und was macht jemand beruflich, der zehn Monate lang jede Woche eine Wutrede über Datenschutz hält? Natürlich ist er betrieblicher Datenschutzbeauftragter, aber er ist auch Datenschutzaktivist

und kämpft mit seinem Kanal, dem Rumpfunk, auch gegen die Depublizierungspflicht von öffentlich-rechtlichen Anbietern in den Mediatheken. Auch hierfür einen Applaus.

Und eben dieser Lars Hohl, oder wie wir ihn im Club besser kennen als der Puppe, wird uns jetzt etwas erzählen über die EU-Datenschutz-Grundverordnung. Schreckliches langes deutsches Wort. Ich denke, da gibt es viel Spaß in der englischen Übersetzung. Aber wir freuen uns darauf, endlich zu erfahren, was wir damit eigentlich anfangen können und was das für uns verändert. Einen Applaus.

Ja, erst mal einen gesegenen guten Tag. Schön, dass Sie alle hier hingekommen sind. Das Spannende, man sieht, Datenschutz begeistert. Datenschutz füllt ganze Hallen, Datenschutz füllt Saal 1. Als fetterstär des Datenschutzes

freue ich mich natürlich, auf dieses breite Interesse zu stoßen. Ich habe den Talk über die EU-Datenschutz-Grundverordnung Rechte für Menschen, Pflichte für Firmen, Chancen für uns genannt. Das ist natürlich ein bisschen pathetisch. Könnte auch Clickbait gesagt werden. Aber da ist sehr viel Musik in diesem Gesetz.

Und wo, das werdet ihr gleich sehen. Ganz zu Anfang ein kleines Who am I? Und das Wichtige ist, im Endeffekt, man sieht dort zweimal mich oder dreimal oben Netz. Einmal in der Echtwelt mit Krawatte und Schlips. Das ist halt, wenn ich beruflich unterwegs bin oder eben so, wie ihr mich eher kennt.

Warum sage ich das? Weil als Erstes natürlich der Disclaimer. Alles, was ich heute hier sage, sage ich in Form als Datenschutzaktivist. Und ich es nicht aussage meines Arbeitgebers oder irgendwelcher Kunden, die ich habe. Ja, ich bin 43 Jahre. Und im Endeffekt ist für mich ganz wichtig,

dass alle, die heute hier hingekommen sind, dass alle die, die hier zum Kongress gekommen sind, auf zwei Ereignisse vielleicht aus meinem Leben oder der Prägung mal kurz hinzuweisen. Das eine war die Hacking at Large. Das war das Hackercamping 2001 in den Niederlanden. Warum ist mir das wichtig? Dort hatte ich das Glück, diese gesamte Hackerethik, diese gesamte Masse an Menschen,

die gemeinsam daran arbeiten, die Welt zu verändern und zu verbessern, habe ich kennenlernen dürfen. Und ihr habt mich stetig begeistert, weiterhin in den Tätigkeiten fähig zu sein. Und als dann der 22C3 in Berlin war, da war wirklich, als wird die Offenbarung über mich kam.

Damals gab es zwei Vorträge. Und eigentlich sind diese ein bisschen auch die Grundlage zu dem, was ich geworden bin und warum ich heute hier stehe. Das eine war ein Vortrag über das damals noch neue Informationsfreiheitsgesetz. Und mir wurde einfach klar, es ist toll,

es gibt dort draußen Rechte. Und diese Rechte können wir als Bürger, wir als Menschen, nutzen, um, wie heißt es, Transparenz einzufordern. Und genau diese Transparenz ist ein wichtiger Baustein im Datenschutz. Und das Zweite war damals die Rede von Thomas Maus über die Gesundheitskarte.

Und im Endeffekt war diese drei Stunden, die er damals referiert hatte, die Initialzündung zu sagen, es geht so nicht weiter. Ich kann jetzt nicht einfach nur Nerd sein und als IT-Arbeiter, sondern ich möchte im Bereich Datenschutz aktiv mitgestalten. Und ihr alle, die hier seid, könnt auch aktiv Datenschutz mitgestalten.

Seid ihr in eurer Firma unterwegs, dort könnt ihr Datenschutz einfordern. Dort könnt ihr auf Datenschutz hinweisen. Das ist mir wichtig. Und so beginne ich am Anfang schon mit dem Call to Action. Datenschutz kommt nicht von alleine zu euch. Ihr müsst es selber durch euer Handel einfordern. In eurem Umfeld oder in den Projekten,

wo jeder von euch irgendwo tätig ist. Jeder muss wissen, wer ist hier für den Datenschutz verantwortlich und ist das, was wir hier tun, mit Gesetz compliant. Punkt. Ja, so bin ich als Datenschutzbeauftragter, ich will nicht sagen geendet. Aber wichtig ist die drei Punkte. Ich mag Politik, ich mag Schach und ich mag meine Mitmenschen.

Warum ist das wichtig? Beim Datenschutz geht es um Menschen. Ihr braucht erst mal dieses Verständnis von Menschen. Datenschutz ist Politik. Und das, was ich hier mache, ist ein wichtiger Schachzug, dass innerhalb von Deutschland, innerhalb von der EU mehr Budgets für Datenschutz freigegeben werden.

Extrem use all your Auskunftsrechte. Fange ich am Anfang mal mit einem kurzen Meinungsbild, mit einer Abfrage. Wer von euch weiß, was eine Datenschutz-Selbstauskunft ist? Für den Stream ungefähr die Hälfte.

Wer von euch hat das Recht auf Selbstauskunft im Datenschutz auch schon genutzt? Für den Stream ungefähr ein Drittel. Ich will meinen, da ist sozusagen noch Potenzial, dass wir die Rechte, die wir haben, auch aktiv nutzen.

Ich möchte im Endeffekt, wenn wir hier rausgehen, dass ihr euch der betroffenen Rechte bewusst seid und diese aktiv nutzt. Und Punkt zwei dieses Talks, Ziel ist es, ich möchte, dass draußen bewusst ist, was die Sanktionsmöglichkeiten, die Bußgelder sind,

welche festgelegt werden können, wenn sich nicht an Datenschutz gehalten wird. Gerade in Bezug auf die neue EU- Datenschutz-Grundverordnung. Gehen wir jetzt in medias res, gehen wir jetzt in die Datenschutz-Grundverordnung. Was bisher geschah.

Hier in Deutschland haben wir den Rechtsrahmen des Bundesdatenschutzgesetzes. Und zusätzlich dazu ist 1995 die Datenschutzrichtlinie der EU erlassen worden. Eine Richtlinie ist nicht unmittelbar sofort wirksam, sondern sie muss erst noch von Staaten in nationales Recht gegossen werden.

Bei diesem in Gesetz gießen gibt es verschiedene Ausprägungen. Die Konsequenz ist, dass wir eigentlich bei den 28 Mitgliedstaaten in der EU einen Flickenteppich an Datenschutzgesetzgebung haben. Und um diesen Flickenteppich zu kitten,

wurde 2012 das Ziel einer Datenschutzreform auf EU-Ebene angestoßen. Und dazu wollte man das Stilmittel einer Grundverordnung nehmen. Grundverordnung ist deshalb ein sehr tolles Instrumentarium, weil eine Grundverordnung sofort für alle Staaten

auf gleicher Weise gilt. Als Frau Reding auf dem Datenschutzkongress 2012 den Plan der Grundverordnung vorstellte, war das Meinungsbild unter den Konzerndatenschützern in Deutschland eher durchwachsen. Weil wir wussten jetzt ja nicht, wir kommen alle hier von diesem hohen deutschen Datenschutzniveau.

Was ist die Konsequenz für das deutsche Datenschutzrecht, wie sehen wir das jetzt aus einem nationalen Interesse heraus? Müssen wir sehr viel davon abgeben? Und viele hatten erst diese Befürchtung. Für meinen Teil muss ich sagen, ich sehe eher das Glück da drin, weil altruistisch, wenn gesamteuropa das Niveau nach oben geht,

geht vielleicht Deutschland leicht runter, aber das Gesamtniveau vom Bruttoniveau steigt nach oben. Und wichtig ist, dass das Ziel dieser EU-Datenschutz-Grundverordnung ein freier Datenverkehr innerhalb der EU ist mit fairem, transparenten Datenverarbeitung.

Das war ein langer Kampf. Darüber gibt es auch mehrere Vorträge unter media.ccc.de innerhalb der EU, wie das dazu gekommen ist. Wichtig ist jetzt, im Mai diesen Jahres ist die EU-Datenschutz-Grundverordnung jetzt unterschrieben worden. Und mit zwei Jahren Latenz wird diese

ab dem 25.05.2018 in allen Ländern für alle Firmen slash Institutionen bindend sein. Und ein Punkt, der in dem Fall eben auch ein ganz spannender ist, gerade in dieser ganzen Cloud-Diskussion,

es gilt dabei das Marktortprinzip. Was ist das Marktortprinzip? Das heißt, Firmen, die in Europa Datendienste anbieten, für die gilt die Datenschutz-Grundverordnung, auch wenn sie selber keine Niederlassung in Europa haben.

Und das ist eine ganz spannende Sache, wenn wir später zu den Bußgeldern kommen. Ja, Talk über Datenschutz. Woran denken denn dann die meisten, wenn wir über Datenschutz reden? Traurig aber war, geh draußen auf die Straße, frag nach Datenschutz.

Zuerst denken die meisten eigentlich eher an Datenschutz-Skandale. Sei es Lidl, die Deutsche Bahn, oder eben die lustige Konfetti-Kanone, wo Krankenakten geschreddert im Karneval verteilt werden. So ist eigentlich das Bild in Öffentlichkeit. Das heißt, bewusst wird Menschen eher die Abwesenheit

anstatt die Bedeutung von Datenschutz. Also kommen wir jetzt wirklich zur echten Definition. Und das, was es bedeutet, Datenschutz umsetzen zu wollen. Datenschutz schützt keine Daten.

Die wichtigste Datenschutzbeauftragte, Prinzessin Lea, ich verteidige Menschen. Datenschutz schützt Menschen vor dem Umgang mit ihren Daten. Privatsphäre ist ein Menschenrecht. Das Recht auf informationelle Selbstbestimmung sagt, dass jeder Mensch entscheiden kann, wem, wann, welche seiner personenbezogenen Daten zugänglich sind.

Und ihr seht genau bei dieser Definition, dass die Anforderung aus der Datenschutz-Grundverordnung eines fairen und transparenten Datenverarbeitung essenzielle Grundvoraussetzungen ist, um diese informationelle Selbstbestimmung sicherzustellen.

Warum machen Firmen das eigentlich? Da kann man sagen, der ersichtlichste Grund ist juristischer, weil es gesetzlich vorgeschrieben ist. Alle wollen datenschutzcompliant sein. Aber die zwei anderen Gründe sind eher ökonomischer Natur.

Sanktionierte Datenschutzverstöße kosten Geld. Im aktuellen Datenschutzgesetz ist die maximale Penalty für einen Datenschutzverstoß bei 300.000 Euro. Das ist Geld. Und Geld, was man bezahlen muss, ist aus ökonomischer Sicht nicht gut. Je nach Budget kann das natürlich auch Portokasse sein.

Zusätzlich dazu kommen aber meist noch gravierender 2. Aspekt. Und zwar der Imageverlust. Datenschutzskandale beschädigen die Marke beziehungsweise das Image. Und Marken- bzw. Imageaufbau kostet auch richtig Geld.

Darum mein Tipp an alle Datenschutzbeauftragten. Sprecht mit eurer Unternehmenskommunikationsabteilung und lasst euch das einfach mal ausrechnen, so eine Relation. Wie viele Millionen geben wir im Jahr aus für Marketingaktivitäten? Und was glaubt ihr, wie teuer es wäre,

wenn wir so einen schönen Datenschutzskandal in der Presse hätten, um dann das angekratzte Image wieder zu fixen? Ich hab dazu einige Thesen. Was Datenschutz anbetrifft, bin ich der festen Überzeugung, dass wir Law and Order nicht primär für Menschen, sondern für Firmen im Bereich Datenschutz benötigen.

Warum? Datenschutz ist in der Regel kein Primärziel von Firmen. Diese agieren mit Gewinnerzielungsabsichten. Datenschutz ist wie alles andere auch nur eine Kostenstelle. Das finanzielle Risiko, nicht datenschutzkonform zu handeln,

muss visibel sein, so dass mein Tipp als Datenschutzbeauftragter ist. Bringt die finanziellen Risiken ein ins Risikomanagement eurer Firmen? In geld quantifizierbare Risiken schaffen Managementerwähren es. Und die hilft uns bei der Umsetzung der Anforderungen,

welche wir aus dem Gesetz haben. Wie machen wir das? In der Informationssicherheit gibt es folgende Vorbild. Risiko ist Schadenspotenzial mal Eintrittswahrscheinlichkeit. Was bedeutet diese Formel in Bezug auf Datenschutzbußgelder?

Das maximale Datenschutzbußgeld mal die Wahrscheinlichkeit, dass von einer Aufsichtsbehörde bei einem Sachverhält ein Bußgeld verhängt wird, ergibt das betriebswirtschaftliche Gesamtrisiko. Da ist jetzt mal die spannende Frage,

was ändert sich jetzt bei der EU-Datenschutz-Grundverordnung in Bezug auf Bußgelder? Ich hatte vorhin gesagt, diese 300.000 ist zum Jetzt der aktuelle Höchstbetrag. Und genau hier ist richtig Musik in der aktuellen EU-Datenschutz-Grundverordnung. Jeder einzelne Verstoß kann ein Bußgeld auslösen.

Und die Maximalstrafen sind dabei entweder 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes. Dabei gilt der jeweils höhere Betrag. Ja, Schluck.

Ihr könnt euch vorstellen, da kann Law and Order richtig Spaß machen. Da kann Law and Order richtig kosten. Ob jetzt Firmen dafür Rücklagen bilden werden oder ob sie entsprechende Versicherungen abschließen,

das ist sozusagen noch offen, das wird die Zukunft zeigen. Aber wichtig ist, ich kann euch sagen, dass, wie heißt es, vier Prozent merkt man sich. Nehmen wir doch mal einfach die Beispiele, die ihr alle noch von der letzten Folie kennt, welche auch in unserem Bewusstsein so sind. Bei der Bahn waren es im Endeffekt, ich glaube, die haben 1,1 Millionen damals Strafzahlungen

für alle akkumulierten Fälle zusammenbezahlt. Nehmt man einfach mal den aktuellen Umsatz, den sie haben laut Wikipedia, 39,2 Milliarden, nehmt das mal vier Prozent, Senga, 1,568 Milliarden. Und ihr könnt euch vorstellen,

das sind Zahlen, die werden verstanden, das sind Zahlen oder Muster, die sozusagen von Entscheidern in Firmen sagen, haben wir hier vielleicht Handlungsbedarf. Ich hab gesehen, auf zehn Minuten, auf den zweiten Fall gehe ich dann so direkt nicht ein. Aber hier seht ihr jetzt einfach mal

die Liste der 30 DAX-Konzernen dahinter, den Jahresumsatz und daraus berechnet den maximalen Datenschutzbußgeld, welches zu bezahlen ist. Und man sieht einfach, also die Anzahl der Ziffern ist beachtlich. Ich hab einfach mal so als prominentes Beispiel

unseren Klassenprimus, die deutsche Volkswagen AG. Bezüglich Treue- und Verbraucherschutz- und Verbraucheraussagen kann man da ja zurzeit sehen, dass dort noch manchmal ein bisschen Optimierungsbedarf ist. Was würde es für die Volkswagen AG denn bedeuten, wenn sie sich jetzt vielleicht im Bereich selbstfahrenden Autos

vorschnell mit irgendwelchen neuen Sachen hinreißen lässt? Bei 213 Milliarden Konzernumsatz könnten dort einfach 3,58 Milliarden Euro Strafzahlung fällig sein. Das ist immer noch weniger als VW zurzeit in den USA bezahlen muss.

Aber ihr seht ja, in Deutschland und in Europa ist der Konsument nicht so gut geschützt. Im Bereich Datenschutz wird sich das ändern. D.h., dort werden Bußgelder sein und die werden auch entsprechend benutzt werden. Aber jetzt noch mal, Law and Order, Bußgeld, Puppe,

was willst du hier von uns, ist die Frage. Und wo kommen jetzt hier die Haxoren oder eben die Datenschutzaktivisten oder die Betroffenen ins Spiel? Kommen wir noch mal zurück zur Risikoformel. Was ich euch gezeigt habe, ist, dass durch die EU-Datenschutz-Grundverordnung das Schadenspotenzial sich signifikant erhöht hat.

Parameter 1 ist somit gestiegen. Jetzt ist ja die Frage, wird Parameter 2 die Eintrittswahrscheinlichkeit zurückgehen? Und das Schöne ist, da kann ich vorab schon mal sagen, nein. Wir können an der Stelle nämlich tollerweise aktiv mitgestalten.

Jeder. Und das Wichtige an der Stelle oder das Schwert, was wir da haben, sind Betroffenenrechte. Die können wir nutzen. Denn das Tolle ist, Rechte, die wir als Betroffene haben,

daraus ergeben sich immer Pflichten für verantwortliche Stellen oder eben für Firmen. Für Leute, die mit euren Daten umgehen. Und diese Pflichten, die die haben, können wir einfordern. Und die Auskunftsrechte und Informationsrechte in der EU-Datenschutz-Grundverordnung haben sich wirklich verbessert.

Dort sind Anforderungen gestellt worden, welche ich als Nerd sagen muss, super, klare Vorgaben, viele Auskunftsrechte. Bei der diesjährigen Datenschutzkonferenz war es so, dass das sogar ein Thema war. Dass dort Konzerndatenschützer sagten, was machen wir denn, wenn jetzt alle Betroffenen,

wenn alle Datensubjekte jetzt ihre Auskunftsrechte auch nutzen? Und gerade diese Fragestellung hat mich damals bewogen zu sagen, ist ja ein spannendes Thema, lass mal einen Vortrag drüber machen. Vielleicht gibt es ja so was wie frag den Staat mit Auskunftsersuchen bei Firmen.

Was gibt es denn für Betroffenenrechte? Im Endeffekt kann man Betroffenenrechte in fünf Kategorien unterteilen. Und außen. Man kann an der Stelle sagen, es gibt Permissionsrechte. Permissionsrechte sind Rechte, wo wir einwilligen,

dass Datenverarbeitung mit unseren Informationen geschieht. Zum Beispiel die Einwilligungserklärung, welche freiwillig ist. Spannend in der EU-Datenschutz-Grundverordnung ist, dass diese Vorgaben im Bereich der Transparenz noch mal erhöht wurden.

Und dass wir an der Stelle noch mehr Informationen von den Firmen bekommen können. Ich sehe gerade, die Zeit läuft ein bisschen ab. Wichtig ist, wir haben Interventionsrechte. Jeder, der schon mal irgendwo eingewilligt hat, wo das Daten genutzt werden können, kann eine Einwilligungserklärung auch widerrufen.

Wir hatten vorhin hier den Talk über diese Genbude, wo ihr einwilligt, dass ihr eure Genehmenssachen benutzt oder gegebenenfalls weiterverarbeitet. Solche Einwilligungen können auch entzogen werden. Und es gibt eben Petitionsrechte. Das ist da, wo jetzt Beschwerderechte sind. Das heißt, ihr könnt euch bei Datenschutzbeauftragten

direkt beschweren. Und das Tolle an der EU-Datenschutz-Grundverordnung ist, es ist verpflichtend, dass zukünftig bei jeder Datenverarbeitung mit angegeben ist, wer ist der Datenverarbeiter? Welche Firmen nutzen diese Daten auch noch alle? An welche Daten werden diese weitergegeben?

Wer sind die Datenschutzbeauftragte in den Firmen? Und an der Stelle ist es so, dass auch die Kontaktinformationen von den Datenschutzbeauftragten euch zur Verfügung gestellt werden müssen. Das heißt, es wird sehr einfach möglich sein, elektronische Anfragen an Firmen zu stellen.

Und Firmen sind verpflichtet, diese euch dann auch angemessen elektronisch wieder bereitzustellen. Das heißt, eine sehr schöne Spielwiese, viele Informationen abzugreifen. Ich komme gleich dazu, wo wir dann dort ein bisschen Interdependenz-Checks machen können. Es gibt noch Kompensationsrechte für Schadensersatz und Entschädigung.

Und Informationsrechte bin ich schon drauf eingegangen. Überblick zum Nachgucken habe ich gleich noch eine Folie. Ich springe mal kurz, weil die Zeit schon wenig wird. An welchen Stellen können wir jetzt richtig pieksen? Weil ich frage mich ja immer, jetzt haben wir hier so ein tolles Gesetz,

wo viele Rechte drin sind, Sachen, die wir erfragen können. Und im Endeffekt ist es so, erst mal Datenschutzbeauftragte sind in der Regel eure Freunde, genauso wie die Aufsichtsbehörden. Und spannend an der EU-Datenschutz-Grundverordnung ist, ihr müsst euch nicht mehr bei der Aufsichtsbehörde in einer Firma, wo die ihren Sitz hat, beschweren.

Ihr könnt zu eurer Datenschutzbehörde vor Ort gehen oder aber auch zu jeder anderen. Und die Datenschutzbehörden von euch und die Datenschutzbehörden der Firmen müssen sich dann abstimmen, wie sie mit dem Fall, mit der Anfrage, mit der Beschwerde umgehen. Das ist deshalb ganz spannend,

weil natürlich dann auch dort, wo vielleicht Firmen schon ein ganz gutes Verhältnis zu ihrer Aufsichtsbehörde haben, da noch mal ein Kostcheck mit reinkommt, ob das gleichzeitig auch die Sichtweise der anderen Aufsichtsbehörde ist. Gerade an dem Punkt sehe ich noch spannende Diskussionen, weil ja die Frage immer sein wird,

an wen gehen die Bußgelder? Zum Beispiel ist es so, dass in Spanien eine sehr mächtige Datenschutzaufsichtsbehörde ist, weil diese aktiv alle Einnahmen aus Bußgeldern selber in ihre Taschen bekommt. Und das ist ganz spannend,

wenn der Europäische Datenschutzkongress jedes Jahr hier stattfindet, und dann kommen die auch von den Aufsichtsbehörden. Und dann sagt sozusagen der Spanische, das habe ich dieses Jahr unternommen, das habe ich eingenommen. Ich sehe da vielleicht sogar ein Geschäftsmodell für Staaten, aber das ist ein anderes Thema. Darum aber prinzipiell, nutzt eure Aufsichtsbehörden.

Ich hoffe, dass mit der zunehmenden Aufsicht die Aufgaben, die diese jetzt durch die EU-Datenschutz-Grundverordnung bekommen, sie auch die dafür benötigten Mittel zugesetzt bekommen. Weil traurig aber war, meine Wahrnehmung ist,

dass in allen, sowohl in der Bundesdatenschutzbehörde als auch in den einzelnen Ländern noch wirklich Potenzial nach oben ist. Und das meinte ich vorhin mit Law and Order. Wenn wir, heißt es, wir wollen, dass wir Rechte haben, dann sollten auch die Behörden, welche für die Durchsetzung dieser Gesetze zuständig sind, über die entsprechenden Mittel verfügen.

Damit, wie heißt es auch, dieses Schadens-Eintritts-Wahrscheinlichkeit auch entsprechend hoch ist. Spendend ist im Endeffekt noch, wir haben jetzt Rechte, die es jetzt auch gibt, über was ist der Verwendungszweck von Datenverarbeitung.

Aus dem Verwendungszweck ergibt sich ja häufig auch der Erlaubnistatbestand. Warum dürfen Firmen etwas verarbeiten? Und daraus ergeben sich häufig dann auch Löschfristen beziehungsweise Speicherdauern. Und wenn wir solche Sachen bei Firmen abfragen können, können wir an der Stelle auch noch gucken, was ist sozusagen an der Stelle,

ich war gerade von der Null irritiert, lasst ihr euch davon nicht irritieren, wie können wir das jetzt nutzen, um, wie heißt es, dort abzufragen und auf vielleicht Missstände hinzuweisen. Weil, wenn es transparent ist,

können wir bei Datenschutzbehörden nachfragen, ist denn das, was Firma XY hier sagt, mit dem Datenschutzrecht konfirm? Auf die anderen Sachen gehe ich jetzt nicht ein Weil. Ich muss schnell zum Ende kommen. Wichtig, am Ende noch mal. Auskommen zu den Slides. Motivation.

Mir ist wichtig, dass wir hier alle rausgehen, und motiviert sind, unsere Rechte aktiv zu nutzen. Ich möchte, dass Datenschutzbeauftragte motiviert sind, in ihren Firmen die Awareness für das Thema entsprechend zu platzieren, um mit entsprechenden Budgetmitteln versorgt zu werden,

um Datenschutzniveau in den Firmen bis zum Beginn 05.2018 auch entsprechend der Richtlinie umzusetzen. Ich möchte, dass ihr alle jetzt schon Parara 34 Auskunftsersuchen bei Firmen stellt, damit ihr mal ein Bauchgefühl bekommt,

wie spannend es ist, was ihr an Informationen bei anderen Firmen habt, dass ihr eine Information bekommt, wohin die Reise dort geht. Aber ich muss leider am Ende noch einen kurzen Wort sagen, zohnsam Innenminister, beziehungsweise, nein, ich würde niemals was über den Innenminister sagen, sondern über das Innenministerium.

Weil das, was ich gerade dargestellt habe, dass die Datenschutz-Grundverordnung jetzt unterzeichnet ist und damit wäre alles klar und tut die, stimmt nicht ganz. In der Datenschutz-Grundverordnung sind sogenannte Öffnungsklauseln enthalten. Öffnungsklauseln sind Passagen,

wo man sich auf europäischer Ebene nicht einigen konnte, wie man sie jetzt genau verbindlich für alle machen sollte. Und man erkennt daran, dass jetzt an Öffnungsklauseln auf nationaler Ebene wieder Ausgestaltung möglich ist. Das heißt, im Endeffekt wird die Datenschutz-Grundverordnung

eigentlich so ein Hybrid aus einer Verordnung und einer Richtlinie. Weil jetzt auf nationaler Ebene wieder das Falschen anfängt, wo wir Datenschutzgesetze noch mal ein bisschen nach links schieben, noch mal ein bisschen nach rechts biegen, überall dort, wo Öffnungsklauseln und Handlungsspielraum geben.

Im Endeffekt ist es so, dass wir einen Entwurf gerade geleakt haben über netzpolitik.org, wo man schon mal reingucken kann. Und ich muss an der Stelle einfach mit der Schrecken feststellen, dass das, was dort geht, weit über die für die Öffnungsklauseln Zulässiges hinausgeht.

Und ich habe die Befürchtung, dass, wenn Deutschland mit schlechtem Beispiel vorangeht und wir jetzt anfangen, nachträglich aus vermeintlichen Wettbewerbsvorteilen Datenschutzniveau abzusenken, dass das leider ein Vorbild sein wird für andere Länder in der EU,

die dem nicht hinterherstehen wollen. Was die Konsequenz hat, dass plötzlich alle Länder diese Öffnungsklauseln maximal ausdehnen werden. Und das eigentliche Ziel der Grundverordnung, dass sich das Datenschutzniveau

gesamteuropäisch nach oben versetzt, ad absurdum geführt wird. Mein Fazit ist oder meine Befürchtung, der Klassenprimus im Bereich Datenschutz, Deutschland, läuft geflach, zum Klassenclown zu werden. Ich möchte nicht, dass an der Stelle wir mehr Eingeständnisse machen, als es notwendig ist.

An der Stelle ist jetzt der letzte Appell. Wichtig ist, dass wir die Zeit ... Im ersten Quartal soll dieses Datenschutz-

Anpassungsumsetzungsgesetz verabschiedet werden. Dass wir diese Zeit noch nutzen, in der Öffentlichkeit ein Bewusstsein dafür zu schaffen, dass es nicht okay ist, dass Deutschland durch die Hintertür Datenschutz wieder absenkt. Vielen Dank.

Vielen Dank auch von unserer Seite für diesen sehr erfrischenden Talk. Leider können wir aus Zeitgründen diesmal keine Fragen zulassen,

weder aus dem Internet noch offline, weil wir sonst Gefahr laufen, den nächsten Talk später anfangen zu lassen. Von daher noch mal einen sehr, sehr herzlichen Applaus. Copyright WDR 2021