Kurzmeldungen

Kurz & knackig oder eben mal notiert.

Gutes Erklärvideo zur Funktionsweise von heutigem Online-Advertising

Über ein Retweet des geschätzten Ralf Bendrath auf Twitter bin ich auf dieses Video aufmerksam geworden. Das Video ist von Dr. Johnny Ryan, der Chief Policy & Industry Relations Officer bei der Brave Software, Inc. („Brave“) ist. Und es erklärt, wie heutige Online-Werbung funktioniert.

Dieses Video ist für Procter & Gamble aufgenommen worden und soll dort das heutige, im Online-Advertising verwendete „Real Time Bidding“ (RTB) erklären. RTB ist sicher alles andere als trivial und viele Datenschutzbeauftragte und Juristinnen und Juristen verstehen nicht, wie das Ganze funktioniert. In diesem Video wird ab Minute 4:28 in großartig einfacher Weise erklärt, wie RTB funktioniert und warum es aus Datenschutzsicht besonders relevant ist.

Die rechtlichen Bewertungen, die Dr. Johnny Ryan, dann daraus zieht, teile ich nicht bzw. nicht ganz. Insbesondere die Ausführungen zu Art. 5 Abs. 1 lit. f) DSGVO sind m.E. etwas pauschal. Das ändert aber nichts daran, dass RTB hier einmal einfach und gut erklärt wird.

Neuregelung zur Benennung von Datenschutzbeauftragten in Deutschland passiert den Bundesrat

In seiner heutigen Sitzung hat der Bundesrat unter Tagesordnungspunkt 3 diversen Gesetzgebungsvorhaben des Bundestages zugestimmt.

Dazu gehört auch das zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU). Das Gesetz kann man sich in der Bundesrats-Drucksache 380/19 (PDF) ansehen.

Das 2. DSAnpUG-EU enthält aus meiner Sicht auch eine Verbesserung. Denn in § 26 BDSG ist nunmehr geregelt, dass Einwilligungen von Beschäftigten nicht mehr nur in Schriftform, sondern „schriftlich oder elektronisch“ erfolgen kann. Das ist wichtig und richtig, da in vielen Unternehmen die Kommunikation elektronisch erfolgt und das Erfordernis einer Schriftform dort für unnötige Hemmnisse sorgte.

Das 2. DSAnpUG-EU wird ansonsten wegen einer weiteren Änderung zurecht kritisch kommentiert. Denn § 38 BDSG wird in der künftigen Regelung diesen Wortlaut haben (Hervorhebung der Änderung von mir):
§ 38 BDSG – Datenschutzbeauftragte nichtöffentlicher Stellen
(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.


Die ursprüngliche Formulierung von „10“ Personen ist damit gefallen. Das führt nun bei etlichen kleinen Unternehmen dazu, dass diese wohlmöglich freuen, dass sie nun keinen DSB mehr benennen zu brauchen. Und so vermeintlich Kosten sparen.

Die Freude sollte aber dadurch getrübt sein, dass damit eben nicht einher geht, dass man weniger Pflichten im Bereich Datenschutz hat. Nur fehlt jetzt halt ggf. eine Person, die hier mit Sachverstand zur Seite stand.

Da nun im Hinblick auf Datenschutzrecht nur Rechtsanwältinnen und Rechtsanwälte diese Unternehmen beraten dürfen, die in aller Regel wesentlich mehr kosten dürften, als ein Datenschutzbeauftragter, dürfte der Spareffekt sich allenfalls dann auswirken, wenn Unternehmen sich einfach nicht um die Umsetzung von datenschutzrechtlichen Vorgaben kümmern. Das dürfte doch eine ziemliche Fehlkalkulation sein.

Uns Anwälte dürfte es freuen. Nur haben zumindest die Datenschutzrechtler aktuell immer noch den Tisch so voll, dass hier neue Mandate nicht immer auf Begeisterung stoßen dürften.

WhatsApp in der Unternehmenskommunikation – Gute Webinaraufzeichnung von Rechtsanwalt Dr. Martin Schirmbacher

WhatsApp ist in Deutschland und in vielen anderen Ländern der EU nicht mehr wegzudenken.

Und auch heute steht die Nutzung von WhatsApp unter schwierigen rechtlichen Vorzeichen. Auch wenn (derzeit) die Kommunikationsinhalte als „verschlüsselt“ gelten können, bleiben vor allem die Themen des Adressbuch-Uploads und die Auswertung der Metadaten der Kommunikation (wer hat wann mit wem kommuniziert) durch WhatsApp (und damit ggf. auch Facebook).

Welche rechtlichen Probleme bei WhatsApp in der „Service-Kommunikation“ auftreten und welche Lösungen hierfür bestehen, kann man sich in einer ca. 60-minütigen Aufzeichnung der Kanzlei Härting Rechtsanwälte mit dem sehr geschätzten Kollegen – Rechtsanwalt Dr. Martin Schirmbacher als „Dozenten“ – sowie einem „Gast“ (Gerrit Rode, 360Dialog GmbH) anschauen:

Datenschutzkonferenz: Sachliche Zuständigkeit für E-Mail und OTT-Dienste

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) hat am 12.09.2019 einen Beschluss zur „Sachlichen Zuständigkeit für E-Mail und andere Over-the-top (OTT)-Dienste“ (PDF) gefasst.

Die DSK hielt das insoweit für erforderlich, weil der EuGH in einem Urteil festgestellt hat, dass der Webmail-Dienst „Gmail“ von Google kein TK-Dienst ist (EuGH, Urteil v. 13.06.2019 – Az.: C‑193/18). Da der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für den Bereich Telekommunikation die zuständige Aufsichtsbehörde ist, war insoweit Klarheit zu schaffen.

Die DSK hat nun Folgendes beschlossen:

1. Webmaildienste sind keine Telekommunikationsdienste i.S.d. Telekommunikationsgesetzes (TKG) in der derzeit geltenden Fassung. Dies gilt für reine Webmaildienste und für E-Maildienste, die zusammen mit einem Internetzugang angeboten werden, wenn die E-Mails (zumindest auch) über einen Webmailer abgerufen werden können. Daraus folgt, dass für die Datenschutzaufsicht mangels anderer besonderer Zuständigkeitsvorschriften allein die jeweiligen Landesdatenschutzaufsichtsbehörden zuständig sind. Die bisher beim Bundesbeauftragten für den Datenschutz (BfDI) geführten Verfahren werden an die jeweils zuständigen Landesaufsichtsbehörden zur Bearbeitung zuständigkeitshalber abgegeben.

2. Messenger-Dienste, die in einem geschlossenen System operieren, d.h. bei denen die Nutzer/innen nur unter sich und nicht mit Nutzer/innen anderer Dienste kommunizieren können, können auch nach der genannten Entscheidung des EuGH als Telekommunikationsdienste i.S.d. TKG angesehen werden mit der Folge, dass für diese Dienste weiterhin der BfDI aufsichtsrechtlich zuständig ist (§ 115 Abs. 4 TKG).

Für einige Mandanten der Kanzlei wird dies bedeuten, dass künftig Kontakt mit der jeweiligen Aufsichtsbehörde des Bundeslandes aufzunehmen ist.

Webinaraufzeichnungen zu DSGVO & Datensicherheit in Office 365

Die geschätzten Datenschutzkollegen Andreas Bethke und Stefan Köster führen gerade eine Webinarreihe zum Thema DSGVO und Datensicherheit in Office 365 durch.

Infos zu den kostenlosen Webinaren findest du hier.

Die Aufzeichnungen der bereits durchgeführten Webinare sind bereits online. Und zwei von diesen möchte ich euch nicht vorenthalten:

Webinar-DSGVO und Datensicherheit in Office 365 – Teil 1
Themen u.a.
  • Microsoft als Auftragsverarbeiter – Wo finden Kunden die relevanten Dokumente und Informationen
  • Compliance-Manager – als Fahrplan zur Umsetzung von DSGVO und ISO 27001
Webinar-DSGVO und Datensicherheit in Office 365 – Teil 2
Themen u.a.
  • Löschkonzept – Umsetzung von Löschfristen in Office 365
  • Betroffenenrechte – Umsetzung von Betroffenenauskunft, -kopie und Datenexport in Microsoft Office 365

Niedersächsische Aufsichtsbehörde sendet Fragebögen zum Datenschutz an 150 Kommunen

Wie die die Landesbeauftragte für den Datenschutz Niedersachsen heute in einer Pressemitteilung verkündet, hat ihre Aufsichtsbehörden nun einen Fragenkatalog mit dem Titel „Abfrage zum Stand der Umsetzung der Datenschutz-Grundverordnung EU 2016/679 (DS-GVO) bei niedersächsischen Kommunen“ an 150 Landkreise, Städte und Gemeinden versendet.

Den Fragebogen kann man hier herunterladen:

Der Fragenkatalog ist in Fragen zu vier Bereichen strukturiert:

  1. Organisation,
  2. datenschutzkonforme Verarbeitung,
  3. Umgang mit Betroffenenrechten und
  4. Umgang mit Datenschutzverletzungen

Ein Großteil der Fragen ist durch Ankreuzen (z.B. Ja/Nein) zu beantworten. Gleichwohl werden die sechs Seiten des Fragenkataloges sicher die eine oder andere Kommune ins Schwitzen bringen.