Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Und wer unbedingt noch mehr zu mir wissen möchte, kann sich mein Profil ansehen.

EDPB veröffentlicht „Guidelines on the targeting of social media users“

Das European Data Protection Board (EDPB) hat diese Woche die „Guidelines 8/2020 on the targeting of social media users“ (PDF) in der Version 1.0 veröffentlicht. Es handelt sich noch nicht um die „finale“ Version, sondern eine „Public Consultation“-Version. In dem Dokument geht es um die datenschutzrechtliche Zulässigkeit des „Targetings“ von Social-Media-Nutzern. Bekanntlich wird das Verhalten von Benutzern auf Social-Media-Plattformen gerne dazu genutzt, um interessen- oder verhaltensbasierte Werbung anzuzeigen bzw. die Werbung anzeigen zu lassen. Unter welchen Umständen dies zulässig sein kann und warum nach Ansicht des EDPB eine Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO keine belastbare Rechtsgrundlage …

EDPB veröffentlicht „Guidelines on the targeting of social media users“ Weiter lesen »

EDPB veröffentlicht Entwurf der lang erwarteten „Guidelines“ zum Thema „Verantwortlichkeit, Auftragsverarbeitung und gemeinsame Verantwortlichkeit“

Das European Data Protection Board (EDPB) – in Deutschland eher bekannt als der Europäische Datenschutzausschuss (EDSA) – hat vor einigen Tagen die „Guidelines 07/2020 on the concepts of controller and processor in the GDPR““ (PDF) veröffentlicht. Das Dokument ist noch nicht die finale Version, sondern die „Public Consulation“-Fassung. Stellungnahmen zu dem Dokument sind also erwünscht. Tendenziell werden in die finale Fassung nur wenige Änderungen aufgenommen. Bei diesem wichtigen Dokument kann ich mir aber schon vorstellen, dass es ein paar Änderungen geben wird oder gar muss. Um es vorwegzunehmen: Das Dokument ist m.E. eine Pflichtlektüre für alle Menschen, die sich mit Datenschutzrecht …

EDPB veröffentlicht Entwurf der lang erwarteten „Guidelines“ zum Thema „Verantwortlichkeit, Auftragsverarbeitung und gemeinsame Verantwortlichkeit“ Weiter lesen »

Datenschutz-Update Nr. 2020-01

Gestern war es soweit. Die Datenschutz-Update-Veranstaltung hat erstmalig stattgefunden. Datenschutz-Update ist ein Angebot für Datenschutz-Coaching-Mitglieder, in dem 2x pro Monat über aktuelle Entwicklungen in der Rechtsprechung und Aufsichtsbehördenpraxis berichtet wird. Die Aufzeichnung des ersten Datenschutz-Updates kannst du dir hier ansehen: Wir haben folgende Dokumente besprochen: Aufsichtsbehörden In den vergangenen Tagen hat der Europäische Datenschutzausschuss (EDSA), der international als European Data Protection Board (EDPB) bezeichnet wird, wichtige Guidelines veröffentlicht. Eine davon befindet sich noch in „Public Consultation“ und ist das langersehnte Nachfolgerdokument zum alten Working Paper 169 der Art. 29 Gruppe. Dieses Dokument hat den Schwerpunkt des ersten Datenschutz-Updates gebildet. Wir …

Datenschutz-Update Nr. 2020-01 Weiter lesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital].
Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

LfDI BW: Orientierungshilfe: „Was jetzt in Sachen internationaler Datentransfer?“ überarbeitet (2. Auflage)

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BW) hat seine Orientierungshilfe „Was jetzt in Sachen internationaler Datentransfer?“ diese Woche überarbeitet und in einer 2. Auflage veröffentlicht (zur Erstfassung habe ich hier berichtet): LfDI BW, Orientierungshilfe: „Was jetzt in Sachen internationaler Datentransfer?“ (2. Auflage) (PDF) Offenbar hat die Aufsichtsbehörde insbesondere die berechtigte Kritik (vgl. dazu die Podcast-Folge mit Rechtsanwalt Paul Voigt) in Teilen berücksichtigt und spricht nun nicht mehr von „Änderungen“ der EU-Standardvertragsklauseln, sondern von Ergänzungen. Auch ist die fragwürdige Streichung der Mediationsklausel nicht mehr in dem aktuellen Dokument enthalten. Vorgeschlagen werden bei der Verwendung von EU-Standardvertragsklauseln …

LfDI BW: Orientierungshilfe: „Was jetzt in Sachen internationaler Datentransfer?“ überarbeitet (2. Auflage) Weiter lesen »

Office Hours für Beginner vom 07.09.2020

Heute fanden die Office Hours für Beginner statt. Und aus den geplanten 30 Minuten wurden dann doch 54 Minuten. Datenschutz-Coaching-Mitglieder können sich die Aufzeichnung hier anhören bzw. herunterladen: Download der Datei: (MP3) In den Office Hours ging es unter anderem um diese Fragen: Kann man aus deiner Sicht bei Active Campaign unter Abschluss der standardvertragsklauseln die CRM Funktionalität nutzen? Welche Risiken drohen? Was mache ich in meinem Shop in Zukunft mit Paypal? Amerikanisches Unternehmen, als Bank in Luxemburg in der EU gemeldet und hat genehmigte BCRs. Paypal als Bank ist eigenständig verantwortlich. Ich gebe aber die Email-Adresse des Kunden (erleichtert …

Office Hours für Beginner vom 07.09.2020 Weiter lesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital].
Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Risikobewertung bei der Nutzung von US-Dienstleistern – Im Gespräch mit Rechtsanwalt Thomas Schwenke

Rechtsanwalt Dr. Thomas Schwenke ist im IT- und Datenschutzrecht eine „Instanz“. Du kommst also selten an ihm vorbei. Wer sich z.B. mit Datenschutz bei Social Media Networks beschäftigt oder auf der Suche nach einem „Generator“ für Datenschutzhinweise ist, der wird früher oder später auf einer Internetseite von Dr. Thomas Schwenke landen. Thomas hat einen empfehlenswerten Beitrag auf seiner Website veröffentlicht: Keine Angst vor US-Datentransfers ohne Privacy Shield – Muster, Ratschläge und Checkliste für Standardvertragsklauseln Gerade die praktische Darstellung der Abläufe anhand von Beispielen hat mich „gepackt“. Ich habe daher Thomas kurzerhand „angemorst“ und gefragt, ob er für ein kurzes Interview …

Risikobewertung bei der Nutzung von US-Dienstleistern – Im Gespräch mit Rechtsanwalt Thomas Schwenke Weiter lesen »

LfD Niedersachen: Tätigkeitsbericht 2019

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Nds) hat heute ihren Tätigkeitsbericht für 2019 vorgestellt. Der Tätigkeitsbericht kann hier heruntergeladen werden: LfD Nds, Tätigkeitsbericht 2019 (PDF) Der Bericht stellt solide die Tätigkeit der Aufsichtsbehörde im Jahr 2019 dar. Große Überraschungen konnte ich nicht finden.

„Ein“ Internetauftritt von mehreren Verantwortlichen

Es wird häufiger gefragt, wie es eigentlich damit aussieht, wenn mehrere Unternehmen gemeinsam eine Internetseite betreiben wollen. Das kommt häufig z.B. in Unternehmensgruppen vor, in denen z.B. rechtlich selbstständige Tochterunternehmen die Internetseiten des Mutterunternehmens nutzen, um sich zu präsentieren. Wenn es dann über reine Informationen hinausgeht, sondern sich die Inhalte so darstellen, dass sie wie eine jeweils eigene Internetseite des Tochterunternehmens wird, stellen sich die ersten kniffligeren Fragen danach, wer hier datenschutzrechtlich „Verantwortlicher“ i.S.d. Art. 4 Nr. 7 DSGVO ist. Es kommt aber auch in anderen Konstellationen mal vor. Wenn z.B. mehrere Unternehmen ein gemeinsames Projekt im Internet präsentieren wollen. …

„Ein“ Internetauftritt von mehreren Verantwortlichen Weiter lesen »

Schriftformerfordernis beim Auftragsverarbeitungsvertrag?

Häufiger kommen Fragen von Datenschutz-Coaching-Mitgliedern, die sich auf die erforderliche „Form“ des Abschlusses von Auftragsverarbeitungsverträgen beziehen. Dazu gehört auch diese Frage: Unternehmen mit einer Vielzahl von Kunden, stellen einen Auftragsverarbeitungsvertrag als Download bereit, der zum Teil bereits unterschrieben ist oder überhaupt keine Unterschrift enthält. Im eigenen Account steht dann nur, dass der Vertrag (mit Datum) abgeschlossen wurde. Benötigt ein Auftragsverarbeitungsvertrag keine Unterschrift der Vertragspartner, wenn ein Nachweis vorhanden ist, dass der Auftragnehmer nachweisen kann, dass der Auftraggeber diesen erhalten hat (z.B. durch einen Download)? Wie verhält es sich, wenn die Unterschrift digital in den Vertrag eingesetzt wird (eingescannte Unterschrift des …

Schriftformerfordernis beim Auftragsverarbeitungsvertrag? Weiter lesen »

Datenschutz 2020 – Liste der Dinge, um die Unternehmen sich (noch) kümmern sollten

Anfang des Jahres habe ich eine Schulung angeboten. Das Thema lautete: Datenschutz 2020 – Effektive Strategien zur Umsetzung von Datenschutz in Unternehmen und öffentlichen Stellen In dieser Schulung habe ich die Liste der Themen vorgestellt, um die sich Unternehmen und öffentliche Stellen dieses Jahr kümmern sollten. Und zwar am besten Monat für Monat. Nicht alles gleichzeitig, denn das funktioniert sicher nicht. Die Idee war vielmehr, sich für jedes Thema 4 – 6 Wochen Zeit zu nehmen, Fragen zu stellen, Antworten einzuholen und Ergebnisse darauf zu verarbeiten. Und dann kam „Corona“. Das hat diese Planung für dieses Jahr bei den meisten …

Datenschutz 2020 – Liste der Dinge, um die Unternehmen sich (noch) kümmern sollten Weiter lesen »

Schadensersatzansprüche wegen DSGVO-Verstößen – Im Gespräch mit Rechtsanwalt Tim Wybitul

Jede Anwältin und jeder Anwalt, der einen Schwerpunkt im Datenschutzrecht hat, wird schon einmal ein Schreiben einer Mandantin vorgelegt bekommen haben, in dem Betroffene Schadensersatzansprüche – konkret: Schmerzensgeldansprüche – wegen vermeintlicher Datenschutzverstöße geltend machen. Gerne werden Schmerzensgeldansprüche wegen angeblich rechtswidrig gesetzter Cookies behauptet. Oder das jeweils eingesetzte Webanalyse-Tool sei rechtswidrig. Apropos Schmerzensgeld bzgl. des Setzens von Cookies ohne Einwilligung. Häufig werden die Ansprüche auch von im Datenschutzrecht nicht gerade sonderlich bewanderten Anwaltskanzleien geltend gemacht. Die verstehen dann z.B. auch manchmal nicht, dass das Setzen von Cookies allein ein Regelungsgegenstand der ePrivacy-Richtlinie und damit auch § 15 TMG ist. Damit ist der …

Schadensersatzansprüche wegen DSGVO-Verstößen – Im Gespräch mit Rechtsanwalt Tim Wybitul Weiter lesen »

Rezension: Härting/Konrad – DSGVO im Praxistest: Ermittlungen Bußgelder Verfahren

Nach längerer Zeit nun endlich mal wieder eine Rezension. Dieses Mal get es um dieses Buch: Härting/Konrad, DSGVO im Praxistest: Ermittlungen Bußgelder Verfahren Die Autoren Niko Härting und Lasse Konrad sind sicher keine „Unbekannten“ im Datenschutzrecht. Beide sind als Rechtsanwälte in der Kanzlei Härting in Berlin tätig. Das Buch kostet 39,80 €. Und Käufer des Buches werden bei dem Preis bei dem relativ schlanken Umfang des Buches vielleicht skeptisch schauen, ob das Buch „das“ wert sei. Nun…ist es den Preis wert? Ich „spoiler“ das jetzt mal: Ja, ist es. Aber warum ist es nun für Datenschutzbeauftragte, Anwältinnen und Anwälte und …

Rezension: Härting/Konrad – DSGVO im Praxistest: Ermittlungen Bußgelder Verfahren Weiter lesen »