#hiergehtwas: Dr. Stefan Kabelitz über Datenschutzrecht, das Privacy Shield und Tipps für die digitale Szene

Bei uns im digitalen echten Norden geht einiges, DiWiSH macht es sichtbar. Diesmal haben wir uns mit Dr. Stefan Kabelitz im Vorfeld der Highlight-Veranstaltung zum Privacy Shield am 3. Februar 2021 getroffen - dem Leiter der DiWiSH-Fachgruppe Recht und damit ersten Ansprechpartner zu viel diskutierten Themen wie dem Datenschutz, der rechtskonformen Umsetzung von Digitalisierungsprozessen oder eben konkret dem Privacy Shield. Der Fachanwalt für IT-Recht bringt Licht ins Dunkel und empfiehlt den DiWiSH-Unternehmen, die Thematik zielgerichtet anzugehen, die Individualität des Unternehmens zu berücksichtigen und dabei trotz aller Dynamik norddeutsche Ruhe zu bewahren. Mehr Hilfestellung gibt es im exklusiven #hiergehtwas-Interview.

DiWiSH: Moin Herr Dr. Kabelitz, vielen Dank für Ihre Zeit. Unsere Botschaft lautet: Im digitalen Echten Norden geht bereits einiges. Wir müssen es nur sichtbar machen, denn viel zu wenige wissen, was es an konkreten Angeboten und Projekten gibt. Wie sehen Sie die Digitalwirtschaft in Schleswig-Holstein aufgestellt?

Dr. Stefan Kabelitz: Es stimmt, die Digitale Branche hier ist größer und vielfältiger, als viele denken. Ich habe in den letzten Jahren viele spannende Unternehmen aus der Digitalwirtschaft kennengelernt. Dazu gehören Hidden Champions, die der breiten Masse vermutlich gar nicht bekannt sind. Zugegeben, wir haben kein deutsches Facebook oder Google. Aber unser Bundesland wird oft unterschätzt, wenn es um Innovationsfreude und Zukunftsperspektiven geht. Problematisch bleibt aber, dass viele Unternehmen der Digitalwirtschaft Schwierigkeiten haben, qualifizierte Mitarbeiter zu finden. Zum allgemeinen Fachkräftemangel kommt ein vermeintlicher Standortnachteil: Viele zieht es nach ihrem Abschluss in die Boomtowns wie Berlin, Hamburg, Leipzig, München & Co.. Vielleicht bringt hier der Trend zum Arbeiten und Leben auf dem platten Land noch einmal einen Schub. Und weil wir über kurz oder lang kein Berlin-Mitte oder Kreuzberg in Schleswig-Holstein haben werden, könnte in größerer Vernetzung zwischen den Städten wie Kiel, Lübeck und Flensburg noch Potential liegen. Trotz aller Digitalität bestehen hier nach meinem Eindruck noch Parallelwelten. Hier setzt der DiWiSH ja aber an, indem verstärkt sämtliche Regionen des Bundeslandes eingebunden werden.

DiWiSH: Bei der DiWiSH leiten Sie seit 2019 die Fachgruppe Recht. Wie kam es dazu und welche Rolle spielt die Vernetzung durch Fachgruppentreffen o.ä. für Sie?

Dr. Stefan Kabelitz: Mehr oder weniger durch Zufall: Der frühere Fachgruppenleiter Prof. Gabriel schlug mich nach einer gemeinsamen Veranstaltung der DiWiSH als Nachfolger vor. Ich fand das damals spannend und habe es bis heute nicht bereut, auch wenn ich mir manchmal wünschte, etwas mehr Zeit für die Fachgruppe aufbringen zu können. Ein großer Gewinn ist für mich persönlich der Blick hinter die Kulissen bei den anderen Mitgliedern und der direkte Draht untereinander. Gleichzeitig hoffe ich immer, dass die Fachgruppentreffen ein wenig Licht ins rechtliche Dickicht bringen. Gerade der Run auf die datenschutzrechtlichen Veranstaltungen zeigt, dass der Bedarf hierfür in der Branche groß ist. Die gelungensten Treffen sind übrigens die, bei denen die Fachgruppe mit anderen Mitgliedern zusammen agiert. Für das letzte Jahr hatten wir einige spannende Kooperationen geplant. Leider hat uns Corona da teilweise einen Strich durch die Rechnung gemacht. Umso mehr freue ich mich, dass die Fachgruppe einen Beitrag zur Privacy-Shield-Veranstaltung im Februar leisten kann.

DiWiSH: Die schnelllebige IT-Welt bietet natürlich genügend Gesprächsstoff und wird zunehmend komplexer. Welche Bedeutung haben dabei Themen rund ums Recht für die digitale Szene?

Dr. Stefan Kabelitz: Aus Sicht vieler aus der Branche sicherlich eine viel zu große. Zum Beispiel empfinden Softwareentwickler starre Verträge oft als völlig unpassend für kreative Entwicklungsprozesse - sicher nicht ganz zu Unrecht. Auf der anderen Seite: Die Regelungswut der EU gerade im digitalen Bereich ist groß. Dies zusammen mit dem deutschen Abmahnrecht sorgt regelmäßig für fast allergische Abwehrreaktionen bei Unternehmen. Man denke nur an die Umsetzung der DSGVO oder die Fülle an Informationspflichten aus dem E-Commerce-Recht. Die Unternehmen müssen erhebliche Ressourcen aufwenden, um möglichst nah an die gesetzgeberischen Wunschvorstellungen zu kommen – manche haben das bis heute nicht geschafft oder frustriert aufgegeben. Viele begreifen die europäische Fokussierung auf Datenschutz und andere Themen aber gar nicht als Standortnachteil, sondern haben darin einen Markt erkannt. Andere gehen sogar noch über das Soll hinaus und setzen dies gezielt für die Vermarktung ein – sozusagen als neues „made in Germany“. Letztlich hilft es ja auch nichts: Man kommt ums Recht nicht herum, ob in der digitalen Szene oder in anderen Branchen. Das heißt aber noch lange nicht, dass man nicht einen pragmatischen Weg zur Umsetzung suchen darf, der zum eigenen Unternehmen passt. Weil das Recht im digitalen Bereich auch immer noch „neu“ ist, sind die Pfade zum Glück oft noch nicht allzu ausgetreten. Manchmal muss man hier mutig sein und die Spielräume ausloten.

DiWiSH: Im vergangenen Sommer war das Privacy Shield bereits Thema in einer Fachgruppen-Veranstaltung. Holen Sie uns doch bitte noch einmal ab: Um was geht es genau und was hat sich seit dem letzten Sommer getan?

Dr. Stefan Kabelitz: Im Detail ein schwieriges Thema. Kurz gesagt geht es um die Frage: Wie kann man als deutsches Unternehmen Dienstleister aus den USA wie z.B. Google, Amazon oder Facebook datenschutzkonform einsetzen? Hier prallen zwei Welten aufeinander: Einerseits haben EU und USA völlig unterschiedliche Vorstellungen vom Datenschutz. Andererseits sind Unternehmen und Nutzer aus der ganzen EU faktisch auf amerikanische Tech-Riesen angewiesen. Um dies zu ermöglichen, gab es bis 2020 das sog. Privacy-Shield-Abkommen zwischen EU und USA. US-amerikanische Anbieter konnten sich danach zertifizieren lassen. Wer auf der Liste stand, durfte auch aus Sicht der europäischen Datenschutzbehörden eingesetzt werden. Das betrifft ganz praktische Dinge wie z.B. Zoom-Konferenzen, Cloud-Services, Analyse-Tools für Webauftritte, oder Newsletter. Leider hatte das Privacy-Shield-Abkommen einen Geburtsfehler: Bereits vor dem Privacy-Shield gab es das Safe-Harbour-Abkommen zwischen EU und USA. Der Zweck war derselbe. Weil aber nicht sichergestellt war, dass insbesondere amerikanische Geheimdienste auf die Daten aus der EU zugreifen konnten, erteilte der EuGH (europäischer Gerichtshof) dem Abkommen eine Absage. Weil es aber kein europäisches Google, Amazon und Co. gibt, hatten sich viele Unternehmen auf diese Anbieter eingerichtet. Um niemanden im Regen stehen zu lassen, wurde deshalb Safe-Harbour durch das Privacy Shield ersetzt. Von Anfang an gab es aber viele Kritiker, die meinten, es habe sich zwar der Name geändert, nicht aber die Probleme. Die America-First-Politik der letzten Jahre verschärfte diesen Vorwurf noch. Für viele war es deshalb auch keine Überraschung, als der EuGH auch das Privacy-Shield im Jahr 2020 kassierte. Seitdem leben wir in einem luftleeren Raum. Es gibt zwar einige Möglichkeiten, z.B. die Vereinbarung sog. Standardvertragsklauseln oder Corporate Binding Rules. Eine zufriedenstellende Lösung als Ersatz für das Privacy-Shield ist das aber nicht. Sicher werden sich EU und USA aber in Zukunft etwas ausdenken. Dabei mag auch der Bewohnerwechsel im Weißen Haus hilfreich sein.

DiWiSH: Was bedeutet das genau für die Unternehmen aus der Digitalen Wirtschaft Schleswig-Holstein und was empfehlen Sie?

Dr. Stefan Kabelitz: Ich habe viele Unternehmen kennengelernt, die das Datenschutzrecht für eine Zumutung halten und finden, die vor dem EuGH geführten Diskussionen seien verkopft und nicht lebenspraktisch. Ich kann das verstehen. Natürlich kann man dem Datenschutz eine wichtige Funktion nicht absprechen. Gleichzeitig stimmt es aber, dass es bis heute an konkreten Antworten auf die neue Rechtsunsicherheit fehlt. Dass die Datenschutzbehörden bisher eher behutsam mit diesem Thema umgehen und nicht gleich nach dem Urteil die Daumenschrauben anlegten, ist aus meiner Sicht richtig – und wichtig für die Akzeptanz des Datenschutzes. Die Probleme werden damit aber nicht gelöst. Letztlich wird es an der Politik hängen bleiben, die richtigen Antworten zu geben und Lösungen zu finden. Man könnte zwar fragen, ob man nicht mit der Entscheidung des EuGH hätte rechnen können und deshalb schon viel früher nach einer Alternative für das Privacy-Shield hätte suchen müssen. Das hilft aber nicht: Der Blick muss nach vorn gerichtet sein. Den Unternehmen der Digitalen Wirtschaft kann man nur empfehlen, norddeutsche Ruhe zu bewahren. Eine Abmahnwelle gibt es bisher nicht. Auch Bußgelder tauchen nur vereinzelt in der Presse auf – wenn auch oftmals gleich in schwindelerregender Höhe. Letztlich ist die Situation aber nicht so viel anders, als 2015, als das Safe-Harbour-Abkommen gekippt wurde. Und auch da ist die Welt nicht untergegangen. Nur könnte es diesmal länger dauern, bis ein Ersatz gefunden ist. Bis dahin müssen im Einzelfall Wege gesucht werden. Auch die amerikanischen Anbieter wollen aber den europäischen Markt nicht verlieren und haben bereits reagiert. Einige haben Server innerhalb der EU aufgestellt und so das Problem faktisch umschifft. Andere bieten vertragliche Gestaltungen an, die nach jetzigem Stand wohl ausreichen. Wichtig ist aber, sich mit diesem Thema überhaupt zu beschäftigen. Dies gilt gerade für Unternehmen, die in die Umsetzung der DSGVO viel Geld und Zeit gesteckt haben. Denn wer jetzt nicht auch hier nachsteuert, kann eigentlich auch nicht mehr DSGVO-konform arbeiten.

DiWiSH: Zum Privacy Shield wird es am 3. Februar eine hochkarätig besetzte, virtuelle Konferenz der DiWiSH geben, Sie sind als unser Experte und Fachgruppenleiter Recht natürlich mit dabei. Schauen wir einmal gemeinsam voraus: Was können die Teilnehmenden erwarten?

Dr. Stefan Kabelitz: Auf diese Veranstaltung freue ich mich sehr. Die DiWiSH (Anm.d.Red.: und die Mitveranstalter WTSH und Wirtschaftsförderung Lübeck) hat (haben) es geschafft, wichtige Akteure der Digitalen Wirtschaft an einen virtuellen Tisch zu bringen. Gerade die Teilnahme von Marit Hansen, der obersten Datenschützerin des Landes, ist aus meiner Sicht ganz wichtig – und zugleich sicher nicht ganz einfach. Denn dass der Datenschutz auf einer Veranstaltung eines Wirtschaftsnetzwerks ordentlich Gegenwind abbekommen wird, ist wohl zu erwarten. Für die Unternehmer wird es interessant sein zu erfahren, wie das ULD praktisch mit der aktuellen Situation umgeht und was Unternehmen zu befürchten haben. Mit Tobias Goldschmidt (Staatssekretär im Digitalisierungsministerium), nimmt ein Vertreter der Politik teil, der uns vielleicht schon einmal ein Licht am Ende des Tunnels aufzeigen kann und verrät, wie die Lücke des Privacy-Shield gefüllt werden könnte. Ich freue ich mich auch auf den wichtigen rechtlichen Input des geschätzten Kollegen Christian Schmidt aus Lübeck, der sicher ebenso wie ich täglich die Sorgen und Nöte der leidgeprüften digitalen Branche erlebt und bemüht ist, kreative und pragmatische Lösungen für schwierige rechtliche Fragen zu finden. Last but not least: Die digitale Wirtschaft ist vertreten durch Rolf Sahre (MACH AG, Lübeck), Markus Roppiler (MediaClick, Lübeck) und Fabian Schmidt (Melting Mind, Lübeck). Ich bin gespannt, welche Erfahrungen sie mit diesem Thema im unternehmerischen Alltag gemacht haben und welche Impulse sie für die anderen Mitglieder geben können.

DiWiSH: Nun liegen hinter uns allen intensive Monate der Pandemie, die den Arbeitsalltag maßgeblich beeinflusst haben und noch ein Stück weiter beeinflussen werden. Welche Auswirkungen der Pandemie haben Sie aus persönlicher und juristischer Perspektive wahrgenommen und welche Rückschlüsse sollten wir zukünftig in der Digitalwirtschaft Schleswig-Holsteins daraus ziehen?

Dr. Stefan Kabelitz: Persönlich: Trotz allen Jonglierens mit Terminen, Home-Office und Freizeit gab es auch positive Effekte, z.B. die viel intensivere Zeit mit der Familie. Zugleich führt einem die Pandemie aber auch vor Augen, dass der persönliche Kontakt nur in Grenzen durch digitale Lösungen ersetzt werden kann. Juristisch: 2020 war aus rechtlicher Sicht eine Operation am offenen Herzen. Es ging an die Grundfreiheiten jedes Einzelnen. Wann musste man sich schon einmal so intensiv mit der Frage beschäftigen, welche Rechte jeder hat und wie stark der Staat sie beschränken kann oder sogar muss. Hochspannende Themen (zugegebenermaßen nicht für jeden :). Praktischer ging es aber bei der täglichen Beratung zu. Ständig waren und sind ganz dringende Fragen zu beantworten. Plötzlich mussten kleine Buchhändler auf Online-Verkauf umstellen. Unternehmen mit der Wendigkeit eines Öltankers mussten von heute auf morgen Home-Office-Konzepte erfinden und dabei auch noch halbwegs datenschutzkonform arbeiten. Plattformen zum Austausch oder zum Anbieten von verschiedensten Dingen wurden konzipiert und wieder über den Haufen geworfen. Die Digitale Wirtschaft war und ist in vielen Bereichen gefragt wie nie und musste schnelle Antworten liefern. Zugleich ging es hier auch vielen an die eigene Existenz, z.B. weil Werbeetats zusammengestrichen oder IT-Projekte nach hinten verschoben wurden. Feststellen konnte man dabei aber eines: Die Branche ist kreativ und konnte nach meinem Eindruck mit Fokus auf Digitales einigermaßen krisenfest durch die Pandemie kommen. Zugleich hat die Pandemie aber auch schmerzlich vor Augen geführt, wo noch Nachholbedarf besteht und zwar gerade im Bereich der digitalen Infrastrukturen. Hoffen wir, dass die Pandemie hier für Rückenwind sorgt.

DiWiSH: Vielen Dank für das Interview!

Kontakt

DiWiSH Clustermanagement