IAPP Datenschutzkonferenz in Washington

Anfan März nahm ich an einem der weltweit größten Datenschutzkongresse teil, dem Kongress der International Association of Privacy Professionals (kurz IAPP, www.iapp.com). Da ich der einzige Österreicher unter den über 1.000 Teilnehmern war, darf ich Ihnen kurz darüber berichten:

- Der Eröffnungsvortrag wurde origineller Weise von einem der größten Betrüger der jüngeren Weltgeschichte gehalten, Frank Abagnale, der im Alter von 16 bis 21 Jahren als Pilot, Anwalt, Collegeprofessor und Arzt auftrat und rund 2,5 Mio Dollar mit gefälschten Schecks ergaunerte bis er ab 21 Jahre in Frankreich, Schweden und Amerika inhaftiert war und nach 5 Jahren unter der Bedingung freigelassen wurde, dass er ab nun die Regierung in Betrugsangelegenheiten berät. Sein Leben war Vorlage für den von Steven Spielberg mit Leonardo diCaprio verfilmten Roman "Catch me if you can" (http://de.wikipedia.org/wiki/Catch_Me_If_You_Can ). In seinem Vortrag zeigte Hr. Abagnale anhand von Fotos, wie leicht man mit einfachen Chemikalien ausgefüllte Schecks in unterschriebene Blankoscheks "rückwaschen" kann und was er dagegen erfunden hat (zB einen Filzstift, der nicht auswaschbar ist). Ein Großteil der heutigen Sicherheitsmerkmale auf Banknoten, Schecks und in Pässen wurden von Abagnale erfunden (siehe www.abagnale.com)

- Thema Nr. 1 in den USA ist derzeit Identitätsdiebstahl (identity theft) in allen Formen bis hin zum Diebstahl von Gesundheitsidentifikationsdaten (medical ID theft) um Gesundheitsleistungen auf Kosten anderer beziehen zu können und alles, was man dagegen tun kann.

- Thema Nr. 2 im Datenschutz sind "Data Breach Notifications", also die Erfüllung der mittlerweile in einem Großteil der US-Bundesstaaten gültigen Vorschriften, wie die Öffentlichkeit bzw. die Betroffenen über Datenschutzverstöße oder Datenverluste zu informieren sind. Die parallel zum Kongress betriebene Datenschutzmesse zeigte auf den verschiedensten Messeständen, wo Hard-, Software und Consultingleistungen zum Bereich Datenverlust, Breach Notification und Credit Monitoring vorgestellt wurden, deutlich, wie weit Europa, wo eine Diskussion über solche Gesetze überhaupt erst anläuft, in diesem Bereich mittlerweile geradezu um Jahre "hinten" ist.

- Thema Nr. 3 ist die Frage, was die Regierung Obama für neue Datenschutzgesetze bringen wird. Die zu einer Podiumsdiskussion geladenen Regierungsbeamten wollten sich hier nicht besonders festlegen lassen, kündigten aber "more mature privacy laws" an, die sich ua mit einem weiteren "Hype-" Thema, dem "behavioral advertising" (auf den User nach seinem "Internetverhalten" persönlich zugeschnittene Werbung) befassen könnte.

- Thema Nr. 4 waren überraschender Weise die Datenschutzgesetzgebungen in der EU und Datentransfers von der EU in die USA. Dazu war als Redner ua der englische Datenschutzkommissar Richard Thomas geladen, der einen flammenden Appel zur Überarbeitung der EU-Datenschutzrichtlinie hielt, die er als völlig veraltetes Konzept aus den 60er und 70er Jahren bezeichnete und eine Studie über die Richtlinie für diesen Mai ankündigte. Thomas berichtete überdies, dass das Thema Datenverlust in England dort mittlerweile in der Öffentlichkeit so breitgetreten sei, dass die Engländer bei Umfragen als zweitgrößte Angst, was ihnen passieren kann, den Verlust ihrer persönlicher Daten durch Dritte angeben. Die in den Medien berichteten Datenverluste (zB 7,5 Mio Kinderbeihilfeakten verloren, 4 mal hintereinander Laptops mit Bewerberdaten bei der Armee verloren, großflächige Datenverluste auch beim Finanz- und Innenministerium und der Führerscheinbehörde sowie bei vielen privaten Firmen) seien aber nur die Spitze des Eisbergs, letztes Jahr wurden ihm über 400 Datenverluste gemeldet. Der spanische Datenschutzkommissar berichtete von der spanischen Initiative zur Schaffung eines globalen Datenschutzstandards, der im Herbst beschlussfähig vorliegen soll. Die französische Datenschutzbehörde "bejammerte" ihr viel zu kleines Budget von bloß EUR 14 Mio und die bloß 150 Mitarbeiter (davon kann die österreichische Datenschutzkommission nur träumen) und berichtete von über 200 Untersuchungen im letzten Jahr und Strafen von bis zu EUR 300.000,-- oder 5% des Umsatzes (auch davon kann die österreichische Datenschutzkommission nur träumen).

- Thema Nr. 5 war die Unternehmenskommunikation über Internet-Communities. Diskussionsteilnehmer berichteten von Vorgesetzten, mit denen nicht mehr über Email, sondern über Facebook (!) die unternehmensinterne Kommunikation geführt wird (da werden wir noch Albträumen haben, wenn dieser Trend nach Europa kommt) und Regierungsbeamte diskutierten offen darüber, ob und wann Nachrichten, die sie auf solche Plattformen posten als dienstlich gelten (und daher zB untersagt werden können) oder rein privat sind.

- Die sonstigen Themen waren breit gestreut vom Austausch von Gesundheitsinformationen über Mitarbeiterdatenschutz (insbes. Mitarbeiter-Gesundheitsprogramme) bis hin zu Cloud Computing oder Gendatenverarbeitung. Kurzum eine unglaublich informative und dichte Veranstaltung (mit bis zu 8 parallelen Vorträgen!).