SecureDataService Dipl. Ing. (FH) Nicholas Vollmer
Priorstraße 63
41189 Mönchengladbach
Telefon: 02166/96523-30
www.SecureDataService.de

News

BDSG-Änderungen sind auf dem Weg

von: Nicholas Vollmer, (Kommentare: 0)

Das Bundesdatenschutzgesetz entwickelt sich weiter. In einem zweiten Gesetz zur Anpassung des Datenschutzrechts an die DS-GVO wurden am 26.06.2019 weitergehende Änderungen durch den Bundestag formuliert und am 20.09.2019 durch den Bundesrat genehmigt. (Kurzes Fazit am Ende dieses Textes)

Betroffen ist vor allem der § 26 BDSG, der das Beschäftigungsverhältnis regelt. Hier wurden zwei Änderungen sehr kurzfristig eingefügt und mit den über 150 anderen Gesetzesänderungen in einen Topf geworfen:

  1. Einwilligungen der Beschäftigten bedürfen nicht mehr der Schriftform

    Aus unerfindlichen Gründen hatte der deutsche Gesetzgeber im Beschäftigungsverhältnis bisher eine Einwilligung auf Papier gefordert. Das war natürlich extrem unpraktisch. Jetzt nach zwei Jahren wird dies geändert auf die Formulierung "schriftlich oder elektronisch". Es ist unklar, warum die Formulierung noch immer anders lautet als der korrespondierende Artikel 7 (1) DS-GVO.

    So oder so ist diese Neuerung in der Tat eine "Entlastung" für die Verantwortlichen (vielmehr das Rücknehmen einer zusätzlichen Belastung). Man fragt sich nur, warum dies nicht schon im ersten BDSG-Änderungsgesetz vorgenommen wurde.

  2. Benennungspflicht zum Datenschutzbeauftragten erst ab 20 Beschäftigten

    Diese "Entlastungs-Maßnahme" war im Vorfeld stark umstritten. Nein, korrigiere... vielmehr war sich die Fachwelt (inkl. Aufsichtsbehörden) einig, dass diese Änderung kontraproduktiv ist. 
    Die Bundesregierung möchte die "kleinen" Verantwortlichen von der Pflicht entbinden einen Datenschutzbeauftragten benennen zu müssen. Etwas Vergleichbares gab es schon im Jahr 2006, wo die Bestellgrenze von 5 auf 10 beschäftigte Personen erhöht wurde.

    Übrigens sind ähnliche Anläufe kürzlich vom Bundesrat bisher abgelehnt worden. Diesmal war Berlin aber schlauer, und hat diese Änderung schnell noch an ein riesiges Änderungsgesetz geklinkt, welches der Bundesrat beim besten Willen nicht ablehnen kann. Geschickt gemacht!

    Damals wie heute wird das Gleiche passieren:

    a) Die Fachwelt weist dringend darauf hin, dass auch ohne einen Datenschutzbeauftragten alle Datenschutz-Pflichten eingehalten werden müssen. So gesehen erleichtert sich nichts! Der Verantwortliche fühlt sich zwar zunächst besser, weil es keinen Datenschutzbeauftragten mehr gibt, der ihn auf Verstöße hinweist. Diese neue Gefühlslage ändert sich aber leider schlagartig, wenn Beschwerden, Schadenersatzforderungen und Bußgelder erfolgen.
    Das gesparte Geld und die gesparte Zeit wird jetzt mit Zins und Zinseszins fällig. Und das in Zeiten des Null-Zinses. ;-)

    Um es drastisch auszudrücken: Der Gesetzgeber lässt die kleinen Vereine, Handwerker, Vermieter ins Messer laufen.

    Um es bildlich darzustellen:

      wird zu  

    b) Die Medien werden kurz nach der Bekanntmachung der Gesetzesänderung im Bundesgesetzblatt über diese "Entlastungs"-Maßnahme berichten. Auf Websites und in Zeitschriften wird in einer kurzen Welle lautstark auf die längst überfällige "Entbürokratisierung" hingewiesen. Hurra!
    Vermutlich wird - wie schon im Jahr 2006 - keine einzige Presse-Meldung der Vollständigkeit halber darauf hinweisen, dass die vielen grundlegenden Pflichten natürlich unverändert bestehen bleiben. Man will ja kein Wasser in den Wein schütten.

Wir Datenschutzbeauftragte haben jetzt natürlich ein Problem, denn die Verantwortlichen werden sagen:

"Endlich kümmert sich die Politik auch mal um uns Kleinunternehmer. Berlin hat eingesehen, dass der Datenschutz ja eigentlich was für die 'Großen' ist. Facebook, google und so. Wenn's in der Zeitung steht und überall im Internet darüber berichtet wird, dann wird das so stimmen. Endlich können wir den Datenschutz beiseitelegen und uns auf unser Kerngeschäft konzentrieren."

Und damit wird unsere Arbeit um Jahre zurückgeworfen. Dem internen Datenschutzbeauftragten wird die Benennung vermutlich sofort entzogen. Externe Datenschutzbeauftragte werden vermutlich gekündigt werden und noch bis zum Ende ihres Dienstleistungsvertrags (möglicherweise zum 25.05.2020) ihre Arbeit leisten.

All dies entbindet den Verantwortlichen jedoch nicht von den 40 anderen (bußgeldbewehrten) Pflichten:

  • Auskunft geben (gemäß Artikel 13),
  • Datenkopie zur Verfügung stellen (gemäß Artikel 15),
  • Verträge zur Auftragsverarbeitung gestalten (gemäß Artikel 28),
  • Verarbeitungsverzeichnis erstellen (gemäß Artikel 30),
  • Datenschutzverletzungen melden (gemäß Artikel 33),
  • ... 

Oder um es anders auszudrücken: Auch Kunden von kleinen Händlern, Handwerkern und Dienstleistern haben ALLE Persönlichkeits- und Interventionsrechte. Sie sind keine Kunden zweiter Klasse! Sie fallen in keinster Weise unter den Radar der DS-GVO und des BDSG. Der einzige Unterschied ist: Kleine Unternehmen haben keinen Radar mehr; ob das wohl die Luftsicherheit erhöht?

Der Datenschutzbeauftragte ist Ihr "Lotse" im Datenschutzrecht. Er unterstützt Sie bei Beschwerden durch die Betroffenen und bei Untersuchungen der Aufsichtsbehörde.

TLDR; (... too long, didn't read)

Was ist das Fazit dieses Artikels?

In Deutschland muss ein Datenschutzbeauftragter bald erst ab 20 Beschäftigten benannt werden (statt bisher 10).

Das ändert aber NICHTS an den EIGENTLICHEN 40 bußgeldbewehrten Datenschutz-Pflichten.

Es steigt die Gefahr von Beschwerden, Lösch-Verlangen, Abmahnungen, Bußgeldern und sogar Haftstrafen.

Für jedes Unternehmen ist der Datenschutzbeauftragte als "Lotse" im Datenschutz-Dschungel eine wertvolle Hilfe.

Bitte bedenken Sie dies bei Ihrer Entscheidungsfindung. Gerne stehen wir Ihnen beratend zur Verfügung.

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

PrivazyPlan® im September

von: Nicholas Vollmer, (Kommentare: 0)

Unser Praxisleitfaden PrivazyPlan® wurde im September 2019 an 21 Stellen aktualisiert und erweitert. Der Umfang beträgt nun 501 Seiten. Die wichtigsten neuen Themen finden Sie hier:

http://www.privacy-regulation.eu/privazyplan/2019_september.htm

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

PrivazyPlan® im August

von: Nicholas Vollmer, (Kommentare: 0)

Unser Praxisleitfaden PrivazyPlan® wurde im August 2019 an 40 Stellen aktualisiert und erweitert. Der Umfang beträgt nun 490 Seiten. Die wichtigsten neuen Themen finden Sie hier:

http://www.privacy-regulation.eu/privazyplan/2019_august.htm

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

EuGH-Urteil zum facebook-LikeButton

von: Nicholas Vollmer, (Kommentare: 0)

Der EuGH hat am 29.07.2019 entschieden: Website-Betreiber sind mit facebook "gemeinsam Verantwortlich", wenn sie den LikeButton auf der eigenen Website einbinden. Wie ist das zu verstehen? Welche Auswirkungen hat das?

Die Fakten

Den genauen Hergang des juristischen Verfahrens findet sich wie immer sehr übersichtlich auf dejure.org:

https://dejure.org/dienste/vernetzung/rechtsprechung?Text=C-40/17

Das EuGH-Urteil hat Herr Nicholas Vollmer hier kritisch kommentiert.

Den Schlussantrag des EU-Generalanwalts hat Herr Nicholas Vollmer hier kritisch kommentiert.

Wie ist das EuGH-Urteil zu verstehen?

Dem EuGH-Urteil liegt der Schlussantrag des EU-Generalanwalts zugrunde (siehe obigen Hyperlink). Er sieht sich offensichtlich verpflichtet die bisherige EuGH-Rechtsprechung fortzuführen (facebook-fanpage und Zeugen-Jehovas). Andererseits will er aber vermeiden, dass die "gemeinsame Verantwortlichkeit" ausufert und somit schlägt er vor, die Verantwortlichkeit einer Verarbeitungs-Kette aufzuteilen. Das Problem aus heutiger Sicht: Eine "gemeinsame Verantwortung" gemäß Artikel 26 DS-GVO lässt sich nicht auftrennen, denn sie ist per Definition "gemeinsam". Wie sagt ein altes Sprichwort "mitgefangen, mitgehangen".

Eine Verarbeitungskette ist gemäß dem EU-Workingpaper 169 aber eben KEINE gemeinsame Verantwortlichkeit, sondern einfach nur die Hintereinanderschaltung verschiedener Verantwortlicher (siehe dort in den Beispielen 7 und 9). Diese Einschätzung hätte der EU-Generalanwalt vielleicht besser berücksichtigt.

Der entscheidende Hinweis zum Verständnis einer "gemeinsamen Verantwortlichkeit" lässt sich dem DS-GVO-Erwägungsgrund 92 entnehmen (der aber keine Rolle spielen darf, weil der deutsche Gerichtsprozess aus Zeiten vor der DS-GVO stammt): Entscheidend ist die "gemeinsame Anwendung oder Verarbeitungsumgebung"... und genau diese liegt beim facebook-LikeButton eigentlich nicht vor.

Das eigentliche EuGH-Urteil besagt basierend auf diesen EU-Generalanwalts-Einschätzungen: Weil sowohl der Website-Betreiber als auch facebook gewisse wirtschaftliche Interessen haben, liegt ein gemeinsamer Zweck vor. Dünner lässt sich eine "gemeinsame Verantwortlichkeit" wohl kaum begründen. Der EuGH kommt in RdNr. 80 seiner Entscheidung völlig überraschend (und ohne erkennbare Begründung) zu besagtem Ergebnis. Außerdem sei jeder Verantwortlicher für seinen Teil zuständig.

Aus unserer Sicht ist eine "gemeinsame Verantwortlichkeit" mit einer Ehe zu vergleichen. Man ist auf Gedeih und Verderb miteinander verbunden. Schulden macht man gemeinsam. Zugewinn macht man gemeinsam. Das Erziehungsrecht teilt man sich. In einem Ehe-Vertrag kann (und sollte) man grundlegende Fragen klären. Und hier sagt der EU-Generalanwalt: Lasst uns die Ehe auftrennen in Gewinn/Schulden, Altersversorgung, Erziehungsrecht und so weiter. Das widerspricht dem Kern der Sache.

Nun liegt es wieder beim OLG Düsseldorf über die Sachfrage zu entscheiden. Das wird spannend.

Welche Auswirkungen hat das EuGH-Urteil?

Aus unserer Sicht wurde das EuGH-Urteil im Juli 2019 von niemandem kritisch gelesen, sondern nur wohlwollend zur Kenntnis genommen. Insofern wird sich die "gemeinsame Verantwortlichkeit" epidemisch ausbreiten.

Die "gemeinsame Verantwortlichkeit" wird dann fein säuberlich in die die Anteile eines jeden Verantwortlichen zerlegt. Irgendwann (in fünf bis 10 Jahren) wird dann mal jemand sagen: "Hey, aber das widerspricht doch der DS-GVO! Der EuGH muss neu entscheiden!". Und so wird es dann auch kommen.

Bis dahin gilt:

  1. Die "gemeinsame Verantwortlichkeit" wird in Zukunft bei vielen Daten-Transfers wohl (leider) als das geeignete Mittel angesehen werden. Die Grundlage ist immer das wirtschaftliche Interessen, was per Definition alle Unternehmen haben (müssen).

  2. Es besteht eine Vertragspflicht gemäß Artikel 26 DS-GVO zwischen den beteiligten Verantwortlichen. Dies ist keine triviale Aufgabe, wenn man das hin-und-her hinsichtlich der facebook-fanpage-insights betrachtet. Da es hier um beträchtliche gemeinsame Haftungsrisiken gibt, werden sich die Anwälte freuen, die diese Verträge formulieren müssen. (Der normale Datenschutzbeauftragte ist dazu nicht befugt.)

  3. Angesichts der gemeinsamen Haftung wird es interessant, was die die Wirtschaftsprüfer sagen, wenn sich herausstellt, dass der kleine Mittelständler gemäß Artikel 26 (3) DS-GVO theoretisch mit Schadenersatzforderungen rechnen muss, die wegen Fehlverhalten von z.B. google oder facebook geltend gemacht werden könnten.

  4. In den Transparenztexten wird man den betroffenen Personen eine "gemeinsame Verantwortlichkeit" mitteilen müssen und gemäß Artikel 26 (2) DS-GVO die wesentlichen Vertragsbestandteile öffentlich machen müssen. Viel Spaß dabei!

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar! Der TOM-Guide® ist dazu die perfekte Ergänzung, denn er beschreibt auf über 600 Seiten viele technisch-organisatorische Maßnahmen.

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

15-jähriger Datenschutz-Geburtstag

von: Nicholas Vollmer, (Kommentare: 0)

Heute feiern wir den eigenen Geburtstag. Herr Vollmer ist seit 15 Jahren externer Datenschutzbeauftragter.

Wie die Zeit vergeht... im Jahr 2004 hat Herr Vollmer mit seiner ersten Datenschutz-Ausbildung begonnen. Aus heutiger Sicht war das noch das "dunkle Zeitalter", wo der Datenschutz noch kaum bekannt war. Es gab vielleicht gerade mal drei Kommentare zu lesen. Im Fernsehen und der Presse und dem Internet spielte der Datenschutz keine Rolle. Es war ein absolutes Insider-Thema.

Das hat sich ja nun ganz grundsätzlich geändert.

Die EU Datenschutz-Grundverordnung (DS-GVO) bringt den Datenschutz endgültig auf das internationale Parkett. Es war ein grenzwertiger Arbeitsaufwand, um das Lizenzsystem DSB-MIT-SYSTEM® komplett auf diese neue Rechtsgrundlage umzustellen. Immerhin musste auch die Software DSB-Reporter® umprogrammiert werden. Und vor allem musste der 600-seitige TOM-Guide® durch den seinerzeit 400-seitigen PrivazyPlan® ergänzt werden.

Aber auch das haben wir geschafft.

Wir freuen uns auf diese 15 Jahre zurückblicken zu dürfen. Es war interessant, aufregend und erfüllend.

Ganz ausdrücklich wollen wir unseren Kunden danken, die uns ihr Vertrauen geschenkt haben. Und natürlich auch den Lizenznehmern, die ihre berufliche Existenz in unsere Hände gelegt haben. Danke, danke, danke!

... auf die nächsten 15 Jahre...!

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar! Der TOM-Guide® ist dazu die perfekte Ergänzung, denn er beschreibt auf über 600 Seiten viele technisch-organisatorische Maßnahmen.

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.