„Lösungen für kollaborative Datenverarbeitung mit Drittlandsbezügen: Risikobasierte Vertragslösungen“ – zu diesem Thema spricht Dr. Jens Eckhardt am 23. April auf dem 8. Deutschen IT-Rechtstag 2021.

Kerstin Zimmermann, studentische Mitarbeiterin bei HK2 Rechtsanwälte, hat den Volljuristen und das Vorstandsmitglied des BvD vorab interviewt und herausgefunden, was bei der Nutzung von Videokonferenztools zu beachten ist und was Datenschutzbeauftragte und Volljurist*innen unterscheidet. 

Zimmermann: Herr Dr. Eckhardt, am 23. April 2021 referieren Sie auf dem 8. Deutschen IT-Rechtstag zum Thema: „Lösungen für kollaborative Datenverarbeitung mit Drittlandsbezügen: Risikobasierte Vertragslösungen“. 

Mit Blick auf das Schrems II-Urteil des EuGH und den Digitalisierungsschub durch die Covid-19 Pandemie haben Sie ein sehr brisantes Therma. Geben Sie uns bitte einen kleinen Vorgeschmack zu dem einen oder anderen Schwerpunkt Ihres Vortrags.

Dr. Eckhardt: Die Herausforderungen der Drittlandübermittlung ist durch „Schrems II“ nachhaltig in den Fokus gerückt. Aus drei Gründen: 1. Der EuGH hat klargestellt – nicht neu „entwickelt“ -, dass die gesamte Rechtsordnung im Drittland zu berücksichtigen ist. 2. Dass jeder „Datenübermittler“ das konkret zu bewerten hat. 3. Die Zulässigkeitsregelungen in Artt. 44 ff. DS-GVO dem Wortlaut nach nicht explizit – wie bspw. Art. 32 DS-GVO zur Sicherheit der Verarbeitung – auf einen risikobasierten Ansatz abstellen.

Zimmermann: Die rechtskonforme Übermittlung personenbezogener Daten in Drittstaaten gestaltet sich mit dem Schrems II-Urteil und der damit einhergehenden Unwirksamkeit des EU-U.S. Privacy Shields erheblich schwieriger. Wie ist in dieser Übergangsphase zu verfahren?

Dr. Eckhardt: Ist es nur eine Übergangsphase? Der EuGH hat ausgesprochen, dass er aufgrund der Ausgestaltung der Zugriffsbefugnisse der US-Sicherheitsbehörden aus Sicht der EU kein angemessenes Datenschutzniveau erkennen kann. Mit dieser Begründung hat er den EU-U.S. Privacy Shield für unwirksam erklärt. Damit steht im Raum: Ändert sich die Rechtslage nicht in den USA, ändert sich auf der Grundlage der jetzigen DS-GVO auch nichts am Ergebnis zur Bewertung des Datenschutzniveaus.

Zimmermann: Der Deutsche IT-Rechtstag findet in diesem Jahr online statt. Auch als Dozent für Datenschutzrecht bei diversen Institutionen sind Sie sicherlich von der Umstellung zum digitalen Unterricht betroffen. Welche Erfahrungen haben Sie damit bisher gemacht?

Dr. Eckhardt: Ich halte schon seit vielen Jahren Vorträge online. Insofern waren meine Erfahrungen auch nur positiv, aber das direkte fühlbare Feedback vor Ort und die dadurch entstehende Lebhaftigkeit – auch des inhaltlichen Austausches – ist nicht dasselbe.

Zimmermann: Auch die meisten Unternehmen sind mittlerweile viel digitaler geworden. Worauf ist dabei, insbesondere aus datenschutzrechtlicher Perspektive, zu achten? Was empfehlen Sie für die Nutzung von Videokonferenztools?

Dr. Eckhardt: Die zwei Zulässigkeitsfragen – Einbindung eines Dritten (Artt. 6 ff., 28 DS-GVO) und grenzüberschreitender Datenverkehr (Artt. 44 ff. DS-GVO) – liegen auf der Hand. Faktisch kommt als dritte Zulässigkeitsfrage die Sicherheit der Verarbeitung (Art. 32 DS-GVO) hinzu – denn: kann eine Verarbeitung rechtmäßig erfolgen, deren Sicherheit nicht nach Maßgabe des Art. 32 DS-GVO gegeben ist? In der Praxis werden häufig auch die proaktiven Informationspflichten der betroffenen Personen nach Artt. 13, 14 DS-GVO und die Dokumentationspflichten nach insbesondere Artt. 5, 30, 35 DS-GVO unterschätzt.

Zimmermann: Als Mitglied des Vorstands des Berufsverbands der Datenschutzbeauftragten Deutschlands e.V. (BvD) sind Sie umgeben von Mitgliedern mit verschiedenen Berufsqualifikationen. Nicht alle Datenschutzbeauftragte sind Volljurist*innen, dabei wird das Datenschutzrecht immer komplexer. Inwiefern haben Volljurist*innen im Rahmen einer Tätigkeit als Datenschutzbeauftragte möglicherweise einen Vorteil? 

Sie vereinen die beiden Qualifikationen in sich. Welche Unterschiede sehen Sie im Rollenverständnis von Datenschutzbeauftragten und Rechtsanwält*innen?

Dr. Eckhardt: Der BFH hat klargestellt, dass die Tätigkeit Datenschutzbeauftragte*r und der Rechtsanwält*in nicht von dem einen oder anderen umfasst sind. Beides sind getrennte Rollen und die Trennung muss auch beachtet sein. Mit Blick darauf, dass die Tätigkeit Datenschutzbeauftragte*r technische, rechtliche und organisatorische Aufgabenstellungen umfasst, habe ich Zweifel, dass Volljurist*innen per se die besseren Datenschutzbeauftragten sind. Das wird sich mehr und mehr herauskristallisieren, wenn – wie sich schon abzeichnet – nicht jede Regelung „Neuland“ ist und es für die übliche praktische Anwendung nicht (mehr) der grundlegenden analytischen Rechtsauslegung bedarf. Ebenso habe ich aber Bedenken, wenn Datenschutzbeauftragte*r per se davon ausgehen, dass allein das Lesen der Regelung mit ihrem eigenen Verständnis zur richtigen Rechtsanwendung führt oder nur weil Art. 39 DS-GVO es zulässt, auch per se die persönliche Befähigung zur Rechtsberatung vorhandenen ist. Am Ende ist es so, dass die Zulassung zur Rechtsanwaltschaft die zwei Staatsexamen und die damit abgeprüfte Befähigung voraussetzt und die Tätigkeit als Datenschutzbeauftragte*r die über die bloße Rechtsberatung hinausgehenden Qualifikation nach Artt. 37 ff. DS-GVO. Der Respekt vor dem jeweils anderen Berufsbild sollte zum Hinterfragen der eigenen Grenzen führen.

Zimmermann: Wie schätzen Sie die Aussichten und Chancen von Berufseinsteigern im Datenschutzbereich ein? Welche Tipps würden Sie mitgeben? 

Welche Rolle wird Legal Tech künftig im Datenschutzrecht einnehmen?

Dr. Eckhardt: Die Besonderheit der DS-GVO besteht darin, dass das Zusammenspiel der Regelungen erkannt und verstanden werden muss. Mit anderen Worten: Datenschutzrechtliche Beratung funktioniert nicht mit dem Prinzip: Da ist eine Frage, dazu schlage ich die einzelne Regelung nach und dann ist die Frage beantwortet. 

Legal Tech wird zukünftig eine zunehmend größere Rolle bei standardisierten Abläufen spielen, aber eine bspw. individuelle Gestaltung von Verträgen oder die taktische Beratung bei Auseinandersetzungen sehe ich in absehbarer Zeit nicht ersetzt.

Zimmermann: Vielen Dank für das Interview und Ihre Zeit.

Dr. Jens Eckhardt

spricht am 23. April auf dem 8. Deutschen IT-Rechtstag 2021 zum Them „Lösungen für kollaborative Datenverarbeitung mit Drittlandsbezügen: Risikobasierte Vertragslösungen“

Das Interview führte

Kerstin Zimmermann, studentische Mitarbeiterin

______________________

HK2 Rechtsanwälte