Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Und wer unbedingt noch mehr zu mir wissen möchte, kann sich mein Profil ansehen.

Vortragsfolien Auftragsdatenverarbeitung in der Praxis von Rechtsanwalt Sascha Kremer

Es gibt viele Rechtsanwälte, die sich mittlerweile mit dem Datenschutzrecht beschäftigen und auch als externe Datenschutzbeauftragte tätig sind. Ein Kollege, den ich sehr schätze, hat im Juni 2014 bei den GDD-Informationstagen einen Vortrag zum Thema „Auftragsdatenverarbeitung in der Praxis“ gehalten.

Herr RA Sascha Kremer widmete sich Praxishinweisen zur Vertragsgestaltung bei der Auftragsdatenverarbeitung nach § 11 BDSG. Dabei wurden insbesondere die Abgrenzung der Auftragsdatenverarbeitung von der Funktionsübertragung, Formanforderungen und das Verhältnis zu weiteren Subunternehmern behandelt. An einem Beispiel wurde die Struktur einer ADV-Vereinbarung erläutert und auf das Problem der zwischenzeitlichen Änderung technisch-organisatorischer Maßnahmen eingegangen. Ausführungen zu Kosten und Haftungsfragen rundeten den Vortrag ab.
Quelle: GDD: Rückblick: GDD-Informationstage 2014

Sascha Kremer war Rechtsanwalt in der Kanzlei Legerlotz Laschet Rechtsanwälte (LLR) und einer der Geschäftsführer der LLR Data Security and Consulting GmbH. 2015 hat er die Kanzlei LOGIN Partners mitgegründet und arbeitet dort als Rechtsanwalt. [Update: AUs LOGIN Partners ist dann im Sommer „Kremer Rechtsanwälte“ geworden, wie man hier nachlesen kann.]

tweet KremerWie Sascha Kremer heute via twitter mitteilte, hat er seine Vortragsfolien zu dem o.g. Vortrag „Auftragsdatenverarbeitung in der Praxis“ veröffentlicht.

Die Folien bieten einen guten Überblick über häufige praktische Probleme bei der Regelung einer Auftragsdatenverarbeitung. Besonders positiv ist, dass Sascha Kremer konkrete Formulierungsvorschläge für bestimmte Detailbereiche eines Auftragsdatenverarbeitungsvertrages macht.

Für Praktiker, die mit Auftragsdatenverarbeitung zu tun haben, auf jeden Fall eine gute Inspiration. Die Vortragsfolien finden Sie direkt bei Slideshare. Eine direkte Einbettung von Slideshare habe ich mir wegen möglicher Bedenken meiner Besucher erspart.

1

Datenschutzrecht Slowakei: Slowakisches Datenschutzgesetz in englischer Übersetzung

EmberIch habe gerade im Zusammenhang mit einer Beratungstätigkeit für einen Konzern mit slowakischem Datenschutzrecht zu tun. Wer – wie ich – vorhin, auf der Suche nach einer englischen Übersetzung des slowakischen Datenschutzgesetzes ist, findet diese auf der Seite der englischen Seite der slowakischen Aufsichtsbehörde für den Datenschutz: The Office for personal data protection

Das Slowakische Datenschutzgesetz finden Sie dort unter diesem Link: Act no. 122/2013 on Personal Data Protection as amended by Act no. 84/2014 (PDF).

Bitte schauen Sie aber bei der slowakischen Aufsichtsbehörde immer noch einmal nach, ob es nicht ggf. eine aktuellere Fassung gibt.

Expertenrunde „Big Data – eine Herausforderung für den Datenschutz“

Am 21.08.2014 fand auf Einladung des Bundesinnenministeriums (BMI) eine Expertenrunde „Big Da­ta – ei­ne Her­aus­for­de­rung für den Datenschutz“ statt.

Als Experten waren eingeladen:

  1. Prof. Dr. Björn Bergh (Telematikplattform für Medizinische Forschungsnetze,
    Zentrum für Informations- und Medizintechnik Universität Heidelberg)
  2. Chris Böhme (Pinkmatter Solutions, Maltego)
  3. Prof. Dr. Matthias Cornils (Universität Mainz, Lehrstuhl für Medienrecht, Kulturrecht und öffentliches Recht)
  4. Prof. Dr. Claudia Eckert (Fraunhofer-Institut für Angewandte und Integrierte Sicherheit, TU München)
  5. Jürgen „tante“ Geuter (Blogger, Universität Oldenburg)
  6. Annette Karstedt-Meierrieks (Deutscher Industrie und Handelskammertag)
  7. Prof. Dieter Kempf (BITKOM)
  8. Martina Koederitz (IBM Deutschland)
  9. Marc C. Lange (Gründer, Crowdflow)
  10. Prof. Dr. Volker Markl (Deutsches Forschungszentrum für Künstliche Intelligenz, TU Berlin)
  11. Prof. Dr. Dr. h.c. Ingolf Pernice (Humboldt-Universität zu Berlin)
  12. Lenz Queckenstedt (Verbraucherzentrale Bundesverband)
  13. Frederick Richter (Stiftung Datenschutz)
  14. Dr. Imke Sommer (Die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen)
  15. Dr. Claus-Dieter Ulmer (Deutsche Telekom)
  16. Rigo Wenning (W3C, EDV-Gerichtstag, FITUG e.V.)
  17. Dr. Heiko Willems (Bundesverband der Deutschen Industrie)
  18. Prof. Dr. Stefan Wrobel (Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme, Universität Bonn)
  19. Andrea Voßhoff (Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit)

Die Aufzeichnung der Expertenrunde ist recht umfangreich. Mit 2:49h ist das schon ein recht üppiger Brocken. Große neue Erkenntnisse gibt es – ehrlich gesagt – nicht.

Webinar: Datenschutz – Typische Haftungsrisiken für Unternehmen und Geschäftsführung

In meinem letzten Webinar für Mandanten ging es um das Thema Haftungsrisiken für Unternehmen Geschäftsführung im Zusammenhang mit Datenschutz.

Ich habe versucht, einen Überblick über die Haftungsrisiken im Hinblick auf die Verletzung von datenschutzrechtlichen Vorschriften zu geben.

Das Video der Aufzeichnung können Sie hier abrufen:

Ergänzend zu den Inhalten im Webinar ist zudem noch auf § 130 OWiG in Verbindung mit § 9 OWiG hinzuweisen.

§ 130 OWiG
(1) Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterläßt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen gehören auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.

§ 9 OWiG
(1) Handelt jemand

  1. als vertretungsberechtigtes Organ einer juristischen Person oder als Mitglied eines solchen Organs,
  2. als vertretungsberechtigter Gesellschafter einer rechtsfähigen Personengesellschaft oder
  3. als gesetzlicher Vertreter eines anderen,
  4. so ist ein Gesetz, nach dem besondere persönliche Eigenschaften, Verhältnisse oder Umstände (besondere persönliche Merkmale) die Möglichkeit der Ahndung begründen, auch auf den Vertreter anzuwenden, wenn diese Merkmale zwar nicht bei ihm, aber bei dem Vertretenen vorliegen.

Hieraus resultiert eine unmittelbare Haftung der Personen, die das Unternehmen „leiten“ im Hinblick auf die Verhängung von Strafen und Bußgeldern nach dem OWiG.

Und hier können Sie die Folien einsehen:

Hinweis: Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie hier kostenlos abonnieren können.

Rezension: Taeger, Datenschutzrecht: Einführung

Im Verlag R&W ist das Buch „Datenschutzrecht: Einführung“ von Professor Dr. Jürgen Taeger erschienen. Das Buch verfolgt nach eigenen Angaben das Ziel, den wesentlichen Inhalt des informationellen Selbstbestimmungsrechts und die Grundstrukturen des Bundesdatenschutzgesetzes zu vermitteln.
Taeger_DSR_1

Das Buch ist nicht unbedingt preiswert; es hat den für die Anzahl der Seiten doch recht stolzen Preis von 69 €. Professor Dr. Jürgen Taeger ist Inhaber eines Lehrstuhls für Bürgerliches Recht, Handels- und Wirtschaftsrecht sowie Rechtsinformatik an der Universität Oldenburg. Er ist ein ausgewiesener Kenner des Datenschutzrechts und einer der Herausgeber des Kommentars Taeger/Gabel zum Bundesdatenschutzgesetz, eines der Schwergewichte der BDSG-Kommentare. Umso gespannter war ich auf die Ausführungen des Autors zum Datenschutzrecht. Ich schätze Professor Dr. Taeger sehr und halte insbesondere seine Kommentierung des § 28 BDSG im Taeger/Gabel-Kommentar für eine der besten Kommentierungen dieser für die Praxis relevantesten Norm des BDSG.

Klarstellung zu meinem Zitat im Audimax Jura Beitrag zum EU-Recht

audimax_jura_5_2014Ende Februar 2014 hat ein Journalist mir eine Anfrage gesendet, in der es um meine Meinung zur geplanten Europäischen Datenschutz-Grundverordnung (EU-DS-GVO) ging. Anlass war ein Artikel über die Rechtspolitik in Europa, der in einem auf „angehende JuristInnen ausgerichtetes Magazin“ erscheinen sollte.

Der Artikel ist jetzt mit dem Titel „Grenzgänger – Oft wird über Europapolitik geschimpft. Doch welche Themen des EU-Rechts stehen derzeit wirklich auf der Agenda“ in der aud!max JUR.A erschienen (S. 18/19). Auch die EU-DS-GVO ist dort Thema, und es werden Wortmeldungen von den geschätzten Anwaltskollegen Sebastian Kraska, Gregor Scheja und (die mir persönlich nicht bekannte) Johanna Feuerhake zitiert. Insgesamt kommt dabei die neue EU-DS-GVO sehr gut weg. Was mich allerdings etwas verwundert, denn so gut ist der Entwurf nun wirklich nicht. Im Gegenteil – es gibt sehr viele Probleme, da der Entwurf für diese Verordnung offenbar in nicht unwesentlichen Teilen von Datenschutz-Theoretikern gemacht wurde, die zumindest in der anwaltlichen Praxis der Beratung von Unternehmen im Datenschutzrecht und den damit einhergehenden „Herausforderungen“ nicht sehr viel Erfahrung zu haben scheinen. Ich kann mir bei Sebastian Kraska und Gregor Scheja, die ich beide sehr schätze, nicht vorstellen, dass diese nur Gutes zur EU-DS-GVO zu berichten hatten. …

Beitrag „EuroPriSe 2.0: Neues vom europäischen Datenschutzgütesiegel“ online verfügbar

meissner_EuroPrise_2_0Seit Beginn des Jahres ist das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein nicht mehr die offizielle Zertifizierungsstelle für das European Privacy Seal (EuroPriSe). Die neue Zertifizierungsstelle ist die Europrise GmbH mit Sitz in Bonn. Der derzeitige Leiter der Zertifizierungsstelle ist Sebastian Meissner. Dieser hat in der März-Ausgabe der Zeitschrift Datenschutz und Datensicherheit (DuD)  einen Artikel über die Vergangenheit und Zukunft des Datenschutzgütesiegels EuroPriSe veröffentlicht.

Ich selbst bin auch gespannt über die künftige Zusammenarbeit mit der neuen Zertifizierungsstelle, da ich als rechtlicher Sachverständiger (EuroPriSe LEGAL Expert) bei der EuroPrise GmbH akkreditiert bin. Ein erstes Verfahren konnte ich kürzlich zusammen mit dem technischen Sachverständigen Andreas Bethke für Mandanten erfolgreich bei der neuen Zertifizierungsstelle beenden.

Wer sich über das EuroPriSe-Siegel informieren möchte, kann das jetzt umfassend tun, indem sie oder er den Beitrag von Sebastian Meissner in der DuD liest.

Glücklicherweise ist der Beitrag nun auch als PDF über die Internetseite von EuroPriSe verfügbar:

Interview mit LfD Bayern und Rechtsanwalt zur Zukunft der Datenschutz-Grundverordnung der EU

Die Zeitschrift Computerwoche hat heute auf ihrer Internetseite ein interessantes Video mit einem Interview des bayerischen Landesdatenschutzbeauftragten Thomas Petri und Rechtsanwalt Wilfried Reiners veröffentlicht.

In dem Video sprechen Thomas Petri und Wilfried Reiners über das Thema Datenschutzsouveränität und die Zukunft der europäischen Datenschutz-Grundverordnung. Ein kurzweiliges Video, das einen guten und aktuellen Überblick über den Verhandlungsstand der EU-DS-GVO gibt. Allzuviel Tiefgang darf man allerdings nicht erwarten. Dennoch zeigt sich auch in diesem Video, dass das aktuelle Datenschutzrecht reformbedürftig ist und hier viele verschiedene Meinungen über den richtigen Weg bestehen.

Leider lässt sich das Video nicht direkt hier auf der Seite einbinden. Ein Klick auf das Foto führt Sie aber zu der Internetseite, auf der Sie das Video und einige weitere Ausführungen zum Thema finden.

cw_interview_petri_reiners

 

 

Europäischer Datenschutzbeauftragter veröffentlicht Jahresbericht 2013

Der europäische Datenschutzbeauftragte hat seinen Jahresbericht 2013 veröffentlicht. Der gesamte Jahresbericht liegt in englischer Sprache vor (PDF). Auf deutsch ist eine Zusammenfassung der wesentlichen Ergebnisse erhältlich: EDPS, Jahresbericht 2013 – Zusammenfassung (PDF)

Ob sich der Blick in den Jahresbericht lohnt, hängt von Ihren Interessen ab. Zur Orientierung finden Sie hier die Überschriften aus dem Inhaltsverzeichnis: …

Warum Datenschutz auch „Chefsache“ ist

Mit einem Urteil des LG München I (Urteil v. 10.12.2013, Az.: 5 HKO 1387/10) ist ein ehemaliges Vorstandsmitglied der Siemens AG zur Zahlung von 15 Mio. Euro verurteilt worden (das Urteil ist nicht rechtskräftig). Grund für die Verurteilung war, dass das Vorstandsmitglied entgegen seinen gesetzlichen Pflichten zur Einrichtung eines „funktionierenden Compliance-Systems“ nicht nachgekommen sei.

Nach der Gerichtsentscheidung hat ein Vorstandsmitglied dafür Sorge zu tragen, dass das Unternehmen so organisiert ist, dass keine Gesetztesverstöße (wie z.B. Schmiergeldzahlungen) erfolgen. Dazu gehöre eine auf Schadprävention und Risikokontrolle angelegte Compliance-Organisation.

Die Details der Pflichtverletzung sind zwischen den Parteien vor Gericht umstritten. Und hier werden wir sehen müssen, wie die Sache letztlich rechtskräftig entschieden wird.

Warum ich das Urteil auch für den Datenschutz in Unternehmen wichtig finde, ist vielmehr die Begründung des Gerichts. Im Ergebnis lässt sich die Entscheidung dazu anführen, dass eben auch Datenschutz im Unternehmen „Chefsache“ sein muss und nicht nur so nebenbei gemacht oder delegiert werden sollte. …

Neues Muster für Auftragsdatenverarbeitungsvertrag von BITKOM

Der Branchenverband BITKOM hat heute sein Vertragsmuster für einen Auftragsdatenverarbeitungsvertrag in der Version 4.0 vorgestellt.

Nach eigenen Angaben wurde der Text gestrafft und verdeutlicht. Dabei wären die Erfahrungen der letzten Jahre mit den vorherigen Muster eingeflossen.

Was ich besonders positiv an dem Muster finde, ist, dass auch eine englische Fassung angeboten wird. Das erleichtert vielen international agierenden Unternehmen den Umgang mit dem Muster und die Anpassung.

Informationen zum Muster und die Möglichkeit des Downloads finden Sie hier:
BITKOM: Aktualisierte Mustervertragsanlage zur Auftragsdatenverarbeitung mit englischer Übersetzungshilfe.

Natürlich können Sie auch weiterhin mein Muster für einen Auftragsdatenverarbeitungsvertrag verwenden 🙂