Empfohlen

Beiträge, die ich besonders empfehle.

Darf ich noch US-Dienstleister nutzen oder nicht? Wenn ja, wie?

Seit dem „Schrems II“-Urteil des EuGH vom Sommer 2020 steht die „Datenschutz-Welt“ ein wenig Kopf. Kann ich jetzt noch US-Dienstleister einsetzen und wenn ja…was muss ich tun? Diese Fragen sind selbst für uns Datenschutz-Anwälte ausgesprochen schwierig zu beantworten. Das hat auch damit zu tun, dass das Urteil des EuGH zwar im Hinblick darauf, dass das bisherige „Privacy Shield“ unwirksam ist, erfreulich klar ist; es ist aber im Hinblick auf die einschlägige Alternative der EU-Standardvertragsklauseln leider sehr vage. Gesprochen wird hier von erforderlichen Zusatzmaßnahmen, die Unternehmen oder öffentliche Stellen zu treffen haben, wenn US-Dienstleister zum Einsatz kommen. Leider waren auch die …

Darf ich noch US-Dienstleister nutzen oder nicht? Wenn ja, wie? Weiter lesen »

Das einzig wahre Sales-Video zur „Datenschutzkonferenz 2020“

Am 25.11.2020 und 26.11.2020 findet die „Datenschutzkonferenz 2020“ statt. Pandemiebedingt als virtuelle Live-Veranstaltung. Nachdem ich letztes Jahr das erste Mal auf der Datenschutzkonferenz in Düsseldorf war und begeistert war, kann ich sagen, dass es meine absolute Lieblings-Datenschutzkonferenz ist.Hinzu kommt, dass diese zudem von dem Verlag veranstaltet wird, der sich getraut hat, mein Buch zu veröffentlichen. Es ist ein kleiner Verlag, der es verdient hat, ein wenig mit kostenloser Werbung gefördert zu werden. Und daher habe ich meinen neuen Büronachbarn „Horster DSB“ gebeten, mal ein wahres Verkaufs-Video für die Veranstaltung aufzunehmen. In der Hoffnung, dass sich noch weitere Leute anmelden, um …

Das einzig wahre Sales-Video zur „Datenschutzkonferenz 2020“ Weiter lesen »

Fallen Daten von Beschäftigten von Kunden in den Anwendungsbereich der DSGVO?

Über das Fragenformular kam mal wieder eine schöne Frage hier auf den Schreibtisch „geflogen“. Die lautete wie folgt: Die Frage Eine Aufsichtsbehörde hat mir gegenüber geäußert, dass Mitarbeiterdaten von Kunden (juristische Personen) nicht unter die DSGVO fallen, da diese nur für natürliche Personen gilt. Bisher war ich der Meinung, dass die Daten von Mitarbeiterinnen und Mitarbeitern (Name, „persönliche“ Mailadresse; private Handynummer usw.) von Kunden oder Lieferanten sehr wohl DSGVO-relevant sind. Wie siehst du das? Meine Antwort Ich bin Fragen dieser Art immer ein wenig besorgt. Und frage mich zugleich, ob es da zwischen den Beteiligten ggf. ein Missverständnis oder Kommunikationsproblem …

Fallen Daten von Beschäftigten von Kunden in den Anwendungsbereich der DSGVO? Weiter lesen »

Schriftformerfordernis beim Auftragsverarbeitungsvertrag?

Häufiger kommen Fragen von Datenschutz-Coaching-Mitgliedern, die sich auf die erforderliche „Form“ des Abschlusses von Auftragsverarbeitungsverträgen beziehen. Dazu gehört auch diese Frage: Unternehmen mit einer Vielzahl von Kunden, stellen einen Auftragsverarbeitungsvertrag als Download bereit, der zum Teil bereits unterschrieben ist oder überhaupt keine Unterschrift enthält. Im eigenen Account steht dann nur, dass der Vertrag (mit Datum) abgeschlossen wurde. Benötigt ein Auftragsverarbeitungsvertrag keine Unterschrift der Vertragspartner, wenn ein Nachweis vorhanden ist, dass der Auftragnehmer nachweisen kann, dass der Auftraggeber diesen erhalten hat (z.B. durch einen Download)? Wie verhält es sich, wenn die Unterschrift digital in den Vertrag eingesetzt wird (eingescannte Unterschrift des …

Schriftformerfordernis beim Auftragsverarbeitungsvertrag? Weiter lesen »

Fragebogen der Aufsichtsbehörden „Prüfung des Einsatzes von Tracking-Diensten auf Webseiten“ bei Medienunternehmen

Wie auf den Internetseiten der baden-württembergischen Aufsichtsbehörde zum Datenschutz hier zu lesen ist, befragen die Aufsichtsbehörden einiger Bundesländer derzeit Medienunternehmen in ihren jeweiligen Zuständigkeitsbereichen bezgüglich des Einsatzes von Tracking-Diensten auf deren Internetseiten.

Mir liegt ein Fragebogen einer Aufsichtsbehörde eines anderen Bundeslandes vor, der u.a. diese Fragen enthält:

Boom! Das „Privacy Shield“ ist tot & wenig Alternativen für Drittlandsverarbeitungen

Erwartungsgemäß bzw. wie befürchtet hat der EuGH gestern in seinem „Schrems II“-Urteil (EuGH, Urteil vom 16.07.2020, Az.: C-311/18) den Beschluss der EU-Kommission zum „Privacy Shield“ als Grundlage für eine Datenverarbeitung in den USA für unwirksam erklärt. In diesem Beitrag soll es weniger um das Urteil an sich, sondern um die praktischen Folgen und vorläufige Alternativen gehen. Das Urteil Das Urteil selbst ist mit seinen 48 Seiten keine leichte Lektüre. Vielen wird daher die Pressemitteilung des EuGH als erster Einblick etwas angenehmer sein. Wer eine erste datenschutzrechtliche Einschätzung haben möchte, kann hier, hier oder natürlich bei einer der Stellungnahmen der Aufsichtsbehörden …

Boom! Das „Privacy Shield“ ist tot & wenig Alternativen für Drittlandsverarbeitungen Weiter lesen »

DSK mit missglückter Pressemitteilung zum „Missbrauch“ der Corona-Warn-App durch zweckwidrige Nutzung

Wie viele andere auch gehöre ich zu den Menschen, die es für eine sehr gute Idee gehalten haben (und halten), dass der Einsatz und die Verwendung der Corona-Warn-App des Robert-Koch-Instituts gesetzlich geregelt worden wäre. Einen entsprechenden Entwurf hat der geschätzte Datenschutzrechtler und Richter Dr. Malte Engeler zusammen mit Ninja Marnau, Ralf Bendrath und Jürgen Geuter im Mai 2020 veröffentlicht (abrufbar hier (PDF)). Auch die Bundestagsfraktionen von „Bündnis 90 / Die Grünen“ sowie „Die Linke“ fordern ein Gesetz zur Nutzung der Corona-Warn-App. Warum das wirklich wichtig ist, zeigen die zahlreichen Anfragen und Diskussionen der letzten noch nicht einmal 40 Stunden seit …

DSK mit missglückter Pressemitteilung zum „Missbrauch“ der Corona-Warn-App durch zweckwidrige Nutzung Weiter lesen »

BGH zu Cookies und dem Erfordernis von Einwilligungen – („Planet 49“)

Heute hat der BGH sein Urteil im sog. „Planet 49“-Verfahren gesprochen. Zuvor hatte der BGH bzgl. einiger Fragen zu Cookies dem EuGH Fragen vorgelegt. Hieraus resultierte das sog. „Planet 49“-Urteil des EuGH (Urteil vom 01.10.2019, Az.: C-673/17). Durch dieses Urteil des EuGH war – in Verbindung mit den Vorlagefragen des BGH – die heutige Entscheidung schon ein wenig im Voraus zu erahnen. Bislang gibt es nur die Pressemitteilung des BGH zu dem Urteil. Die lässt noch einiges an Interpretationsspielraum im Detail offen. Das Urteil mit Entscheidungsgründen wird dann später hier abrufbar sein. Aus der Pressemitteilung lässt sich im Hinblick auf …

BGH zu Cookies und dem Erfordernis von Einwilligungen – („Planet 49“) Weiter lesen »

Hilfe…ist „Zoom“ etwa eine Datenschleuder?

Neuestes Update: 09.08.2020 Vorwort: „Zoom“ steht aktuell erheblich im Hinblick auf „Datenschutz“ unter Kritik. Ich persönlich finde die Kritik zu großen Teilen unberechtigt. Aber: Es ist nicht zu bestreiten, dass „Zoom“ einen Teil der Kritik zum Anlass genommen hat, besser zu werden. In diesem Beitrag geht es allein um rechtliche Erwägungen. Also um die Frage, ob „Zoom“ in datenschutzrechtlich zulässiger Weise eingesetzt werden kann. Viele rufen diesen Beitrag auf, um zu erfahren, ob „Zoom“ nun aktuell noch in datenschutzrechtlich zulässiger Weise genutzt werden kann. Daher gibt es meine aktuelle Meinung sowie das Datum dieser Aussage jeweils hier zu Beginn des …

Hilfe…ist „Zoom“ etwa eine Datenschleuder? Weiter lesen »

Deutscher Gesetzgeber stellt klar: Steuerberater sind keine Auftragsverarbeiter

In meinem Beitrag „Warum ist denn nun die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung?“ hatte ich schon dargestellt, dass nach dem Steuerberatungsgesetz ausgeschlossen ist, dass Steuerberater als Auftragsverarbeiter eingestuft werden. Und zwar auch dann, wenn diese nur die Lohnbuchhaltung übernehmen. Einige Aufsichtsbehörden haben das allerdings (auch dazu mehr im Beitrag) fälschlicherweise anders gesehen. Dies hat in der Praxis zu nicht unerheblichen Problemen geführt. Das ging sogar so weit, dass – wie mir berichtet wurde – eine Aufsichtsbehörde in Süddeutschland einem anfragenden Unternehmen geraten hatte, den Steuerberater zu wechseln, weil dieser sich (zurecht) weigerte, einen Auftragsverarbeitungsvertrag mit dem Mandanten abzuschließen. Ein Unding übrigens. Wenn …

Deutscher Gesetzgeber stellt klar: Steuerberater sind keine Auftragsverarbeiter Weiter lesen »

Datenschutz 2020 – Fahrplan zur Datenschutzumsetzung

Für das Jahr 2020 habe ich für meine Mandanten eine Art Datenschutz-Fahrplan entwickelt. Die Idee dahinter ist, „Datenschutz“ einfach besser zu machen. Mit einfachen Methoden, kleinen Schritten und guten Ergebnissen. Ohne den Anspruch, perfekt zu sein. Wir Menschen überschätzen gerne, was wir in einem Monat schaffen können (Beispiel: hoch motiviert 10kg abnehmen) und wir unterschätzen aber auch, was wir in einem Jahr schaffen können (Beispiel: 10kg in einem Jahr abzunehmen, ist für viele Menschen gut schaffbar). Und so ist es auch mit der Umsetzung von Datenschutz. Es bringt nämlich nichts, vollkommen übermotiviert schon in ersten Monat „alles an Datenschutz“ umzusetzen. …

Datenschutz 2020 – Fahrplan zur Datenschutzumsetzung Weiter lesen »

Darf das Finanzamt bei einer Betriebsprüfung die Patientendaten einsehen?

Hier kommt wieder eine schöne Frage, die bei einem Datenschutz-Coaching-Mitglied entstanden ist: Die Frage Meine Frage zu Prüfungen durch das Finanzamt in einer Praxis für Krankengymnastik: Dürfen Prüfer die Patientenkartei und/oder die dort befindlichen Rezepte einsehen, um z. B. Termine und Abrechnungen zu vergleichen? Auf den Karteien befinden sich neben den Patientendaten auch Diagnoseschlüssel und in den Karteien werden Rezepte, Diagnoseunterlagen, Atteste etc. aufbewahrt. Reicht es, wenn alle Dokumente aus der Kartei vor der Einsichtnahme entfernt werden oder ist der Zugriff, ohne die Einwilligung des Patienten zu verweigern? Als Physiotherapeut unterliegt er der Schweigepflicht § 203 Abs. 1 Nr. 1 …

Darf das Finanzamt bei einer Betriebsprüfung die Patientendaten einsehen? Weiter lesen »