Konferenz der Datenschutzbehörden in Tirana

Beitrag verfasst von Dr. Rainer Knyrim am 03.11.2019 – KTR-Newsletter Nov 2019

Jedes Jahr treffen sich die Datenschutzbehörden aus aller Welt zu einer Jahreskonferenz, um aktuelle Themen zu besprechen und Resolutionen zu fassen. Die Konferenz findet jedes Jahr in einem anderen Land auf Einladung dieses Landes statt. Heuer fand die 41. International Conference of Data Protection and Privacy Commissioners Ende Oktober in Tirana, der Hauptstadt Albaniens statt.

Eröffnet wurde die Konferenz – und das zeigt die Bedeutung derselben für das Land – von Edi Rama, dem Premierminister von Albanien. Der sprach in seiner Rede auf witzige und sehr offene Art und Weise gleich an, was viele Konferenzteilnehmer sich vielleicht dachten, als sie zum ersten Mal im Leben in Albanien ankamen: Wird man beim Verlassen des Flughafens gleich überfallen? Oder erst beim Aussteigen aus dem Taxi vor dem Hotel? Ist Albanien vielleicht noch immer das „Nordkorea Europas“? Der Premierminister zerstreute die Ängste und versicherte, dass die Konferenzteilnehmer auch am Abend in Tirana alleine sicher ausgehen können, weil Gastfreundlichkeit bei den Albanern über Allem steht. Und nach und nach mussten ihm die Konferenzteilnehmer beipflichten, denn Tirana verfügt tatsächlich über ein sehr nettes Ausgehviertel, in dem man in stylischen Lokal bei guten Cocktails bis spät in die Nacht über Datenschutzrecht plaudern kann.


Konferenz der Datenschutzbehörden in Tirana

Bild 1: In der Eingangshalle des Kongresspalastes von Tirana



Konferenz der Datenschutzbehörden in Tirana

Bild 2: Der Premierminister von Albanien, Edi Rama eröffnet die Konferenz


Aber zunächst zum Inhalt der Konferenz:

Höhepunkt der Konferenz war der Auftritt von Brad Smith, dem Präsident und Chief Legal Officer von Microsoft. Er zeigte zunächst ein kurzes Video, in dem er mit einem ehemalige DDR-Bürger in einem früheren DDR-Gefängnis spricht, in dem dieser zweieinhalb Jahre eingesperrt war, weil er dabei erwischt wurde, wie er Flugzettel mit verpönten politischen Botschaften heimlich am Abend auf der Straße verteilt hatte. Brad Smith erklärte, dass er dieses Video Micrsosoft-Mitarbeitern auf der ganzen Welt zeige, damit diese verstehen, warum den Europäern Datenschutz so wichtig sei. Er verglich das Verteilen der Flugzettel mit dem Senden von Emails und meinte, dass es deshalb so wichtig sei, Daten zu schützen.

In der Folge verdeutlichte er, dass es „die Cloud“, in der heute immer mehr Korrespondenz und Daten gespeichert würden, nicht gibt, sondern diese einfach nur aus riesigen Rechenzentren bestünde, die es zu sichern gelte. Eine Aufgabe, die Microsoft – natürlich – sehr ernst nehme.


Konferenz der Datenschutzbehörden in Tirana

Bild 3: Brad Smith, Präsident von Microsoft, zeigt wie „die Cloud“ tatsächlich aussieht.



Sehr interessant waren die Zahlen, die Brad Smith dann zur DSGVO zeigte:

Microsoft hat ausgewertet, wie oft ihnen gegenüber Betroffenenrechte nach der DSGVO geltend gemacht wurden und aus welchem Land die Betroffenen kamen, die diese gelten gemacht hatten. Spitzenreiter war wider Erwarten keineswegs ein EU-Land, sondern zunächst die USA mit 6,7 Mio Anfragen, dann Japan mit 1,4 Mio Anfragen und erst an dritter und vierter Stelle England und Frankreich, gefolgt von Kanada, Brasilien, Deutschland und China. Unter den 10 Ländern mit den meisten Anfragenden waren gerade einmal zwei aus der EU, obwohl eigentlich für diese die Betroffenenrechte von der EU geschaffen wurden.

Dies heißt aber nicht, dass seitens EU-Ländern keine Anfragen kamen, denn  aus EU-Ländern dürften insgesamt rund 4 Mio Anfragen gestellt worden sein, dh fast jeder 50. EU-Bürger hat alleine gegenüber Microsoft hinsichtlich seiner Datenverarbeitungen DSGVO-Rechte geltend gemacht! Die Aufstellung zeigt aber auch, dass der Bedarf an Regelungen und Angeboten zu Betroffenenrechten auch auf allen anderen Kontinenten sehr hoch zu sein scheint und die DSGVO daher kein abstraktes und sinnentleertes Konstrukt ist, sondern tatsächlich den Wünschen der Bevölkerung entspricht, und zwar nicht nur in der EU, sondern weltweit und damit ein sehr einflussreiches „Vorzeigemodell“ ist, dem wohl noch viele Staaten folgen werden. Nicht überraschend rief Brad Smith daher dazu auf, Zusammenzuarbeiten, um in der nahen Zukunft einen globalen „Datenschutzpakt“ zu schaffen.

Weiterer Höhepunkt der Konferenz war eine von der Leiterin der österreichischen Datenschutzbehörde und Vorsitzenden des Europäischen Datenschutzausschusses geleitetet Podiumsdiskussion mit den Leitern der Datenschutzbehörden von Frankreich und Kanada, der globalen Datenschutzbeauftragten von Mastercard sowie Vertretern zweier Datenschutz-NGOs zum Thema Verantwortlichkeit. Diskutiert wurde dabei, wie die Kluft zwischen der Erwartungshaltung der Datenschutzbehörden und den verantwortlichen Unternehmen überbrückt werden kann und ob und wie die Verantwortlichkeit skalierbar und flexibel gestaltet werden kann und dennoch hohe Standards auch bei KMUs und Start-ups gesichert werden können.

Besonders interessant waren dabei die Einblicke, die der Datenschutzkommissar von Kanada, Daniel Therrien in von seiner Behörde geführten Verfahren gab: So habe man nach einem Data Breach bei der Equifax mit 147 Millionen Betroffenen festgestellt, dass dort überhaupt kein Accountability Framework implementiert war. Auch Facebook habe man nach dem Cambridge Analytica – Vorfall untersucht und festgestellt, dass zwar Policies vorhanden waren, diese aber zum Teil widersprüchlich waren und im Detail nicht perfekt, dass aber das eigentliche Problem die fehlende interne Kontrolle gewesen sei.

Eine weitere Podiumsdiskussion wurde von Trevor Hughes, dem Gründer der International Association of Privacy Professionals (IAPP) zu den künftigen Herausforderungen der Datenschutzbehörden und Datenschutzbeauftragten geführt, die hier nachgelesen werden kann: Full Story


Konferenz der Datenschutzbehörden in Tirana

Bild 4: Brad Smith von Microsoft zeigt aus welchen Ländern wie viele Anfragen von Betroffenenrechten nach DSGVO an Microsoft gestellt wurden



Konferenz der Datenschutzbehörden in Tirana

Bild 5: Dr. Andrea Jelinek (ganz rechts) moderiert die Podiumsdiskussion zum Thema Verantwortlichkeit


Der erste Teil der Konferenz ist traditionell nicht der allgemeinen Öffentlichkeit zugänglich, dort werden aber immer Resolutionen von den Datenschutzbehörden verabschiedet, die dann öffentlich abrufbar sind. Die Resolutionen der heurigen Konferenz, die ua grenzüberschreitende Kooperation zwischen den Behörden bei der Exekution des Datenschutzrechts, aber auch die Rolle des menschlichen Fehlers bei Data Breaches und Gegenmaßnahmen gegen dieses Problem betrafen, sind hier abrufbar: https://privacyconference2019.info/closed-session-documents/.

Nach Abschluss der Konferenz bot sich noch die Gelegenheit, für ein paar Stunden Tirana zu erkunden. Abgesehen vom eingangs erwähnten Ausgehviertel bietet die Stadt eine geradezu einzigartige Mischung einerseits aus immer noch aktiv genutzten Gebäuden aus der Isolationszeit unter Diktator Enver Hoxha, die aus den achtziger Jahren stammen, aber eher an die 50er bis 70er-Jahre erinnern, wie etwas der Kongresspalast selbst, in dem die Konferenz stattfand, oder dem Nationalmuseum mit seinem heute bizarr anmutenden Mosaik über dem Eingang, oder dem Kulturpalast, der heute die Oper beherbergt. Anderseits gibt es (wenige) übrig gebliebenen Gebäuden aus dem 19. Jahrhundert im Stadtzentrum und einige ganz neue Bürohäuser und Hotels. Attraktion sind auch die Bunker, von denen der Diktator fast 200.000 im ganze Land aus Angst vor ausländischen Angriffen bauen ließ, zum Teil direkt im Stadtzentrum. Auch der ehemalige Regierungsbunker mit 180 Räumen auf mehreren Etagen in einem Berg am Stadtrand ist zugänglich und enthält nicht nur das originale Bunker-Arbeits- und Schlafzimmer von Enver Hoxha, sondern auch ein unterirdisches Parlament, das auch als Theater- oder Kinosaal benutzt werden kann, zu dem sich der Diktator bei einem Besuch in Nordkorea inspirieren ließ.

Die Konferenzteilnehmer waren jedenfalls von der Stadt Tirana sehr positiv überrascht und freuten sich über die Gastfreundlichkeit insbes. der Behördenmitarbeiter, die die beschränkten finanziellen Mittel durch ihren monatelangen persönlichen Einsatz für die Planung und Durchführung der Konferenz bestmöglich kompensierten. Ich persönlich kann nur empfehlen, sich diese Stadt und dieses Land anzusehen, denn es erscheint einem zwar mental sehr fern, ist aber in weniger als 90 Flugminuten zu erreichen.

Hier noch ein paar Eindrücke aus der Stadt:

Artikel drucken

Beiträge

Newsletter Nov 2019

EUR 30.000 Strafe wegen nicht richtiger Cookie-Implementierung

Bereits im letzten Newsletter haben wir über die Gefahren nicht richtiger Cookie-Implementierung berichtet. Dass das diesbezügliche Risiko immer größer wird, zeigt nun die erste große Geldstrafe einer Aufsichtsbehörde gegen ein Unternehmen im Zusammenhang mit der Informationsverpflichtung beim Einsatz von Cookies auf der eigenen Webseite.

Österreichische Datenschutzbehörde verhängt EUR 18 Millionen Strafe gegen Österreichische Post AG

Die Datenschutzbehörde hat in einer Presseaussendung am 29.10.2019 bekannt gegeben, dass sie gegen die Österreichische Post AG eine Verwaltungsstrafe von EUR 18 Mio verhängt hat.

PriSec 2019

Das Privacy & Security Jahresforum von BusinessCircle findet heuer wieder in Rust am Neusiedlersee statt.
Highlights heuer sind u.a. zur Eröffnung ein Gespräch zwischen mir und dem Roboter „Pepper“ zum Thema Datenschutz.

Konferenz der Datenschutzbehörden in Tirana

Jedes Jahr treffen sich die Datenschutzbehörden aus aller Welt zu einer Jahreskonferenz, um aktuelle Themen zu besprechen und Resolutionen zu fassen.