Podcast

Die ersten DSGVO-Abmahnungen sind da

Heute berichtet die Presse über erste Abmahnungen wegen fehlerhafter bzw. nicht vorhandener Datenschutzhinweise auf Internetseiten. Die Abmahnungen werden auf Verstöße gegen die DSGVO gestützt.

Ob nun Abmahnungen als Verstoß gegen das UWG durch Mitbewerber überhaupt abmahnbar sind oder nicht, ist stark umstritten. Einen guten Überblick zur Meinungslage gibt es bei hier.

Mir selbst wurden heute auch direkt Informationen zu Abmahnungen zugespielt, die bei Unternehmen eingegangen sind. Grundsätzlich geht es bei den mir aktuell vorliegenden Informationen um folgende Konstellationen:

  • Keine Datenschutzhinweise auf der Internetseite vorhanden
  • Verwendung von persistenten Cookies ohne Einwilligung
  • Verwendung von Google Webfonts ohne Einwilligung

Ein Hinweis vorab: Ich selbst übernehme keine Mandate bzgl. einer Abmahnung von fehlerhaften Datenschutzhinweisen auf Internetseiten oder bzgl. der Verteidigung gegen diese Art von Abmahnungen.

Meine 2 Cents zu dem Thema und einen kleinen Einstieg in die Problematik, ob Abmahnungen wegen DSGVO-Verstößen nun wettbewerbsrechtlich abmahnbar sind oder nicht, könnt ihr in dieser Podcast-Episode hören.

Datenschutzhinweise bei der Registrierung im Online-Shop

Im heutigen Podcast fasse ich mich kurz. Es geht um das Verhalten vieler Betreiber von Online-Shops und Online-Plattformen bei der Registrierung von Usern.

Ist so ein Satz wie „Ich akzeptiere die AGB und Datenschutzhinweise“ wirklich sinnvoll?

Oder gibt es da eventuell ein Problem…? Ich habe da so mal meine Meinung. Mehr im Podcast:

Braucht mein Kontaktformular jetzt eine Checkbox?

Ob ihr es glaubt oder nicht. Ich bekomme diese Frage jede Woche gestellt. Und ich kann sie nicht mehr hören. Wie so viele Fragen, die immer wieder gestellt werden, weil irgendwelche „Experten“ da draußen sich zu den vermeintlichen Anforderungen der DSGVO räuspern.

Ich konnte mich hier zu später Stunde nicht mehr zusammenreißen und habe daher einen etwas genervt-bösen Podcast aufgenommen. Zu einem Thema, das mir – wie einige andere – derzeit ganz schön auf den Keks geht.

Aber hört selbst…

Muss ich nach der DSGVO ein Löschkonzept haben?

In diesem Podcast gibt es zum Anfang noch einen Nachklapp zum letzten Podcast. Thema war ja, dass es keine gute Idee ist, den eigenen IT-Dienstleister zugleich zum Datenschutzbeauftragten zu benennen. Und ich habe eine Menge Feedback bekommen. Einige von euch haben z.B. Fälle geschildert, in denen die Aufsichtsbehörde ihr „Go“ zu dieser Konstellation gegeben hat. Das ist vielleicht für einige von euch interessant.

Hauptthema dieses Podcasts ist dann aber die Beantwortung der Frage, ob ich nach der DSGVO nun zwingend ein Löschkonzept haben muss oder nicht. Die Antwort hier vorab: Die DSGVO verpflichtet nicht unmittelbar dazu, ein Löschkonzept zu haben. Ein Löschkonzept ist aber sehr sinnvoll, um den Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e) DSGVO einzuhalten und nachzuweisen. Und dann gibt es in diesem Podcast noch ein paar Tipps zur Erstellung von Löschkonzepten.

Hier dann noch der Link zu dem sehr empfehlenswerten Dokument, von dem ich im Podcast spreche:

Darf mein IT-Dienstleister zugleich mein Datenschutzbeauftragter sein?

Ob der IT-Dienstleister eines Unternehmens bzw. ein Mitarbeiter dieses Unternehmens zugleich auch der Datenschutzbeauftragte des Kunden sein darf, ist eine Frage, die mir gerade in letzter Zeit sehr häufig gestellt wurde.

Die Antwort gibt es hier im Podcast. Ich war übrigens zu blöde, um den richtigen Audio-Input-Kanal zu wählen. Daher hört sich der Ton etwas fade an. Ich habe versucht, das noch zu optimieren, das hat aber nur bedingt geholfen. Für eine Neuaufnahme hatte ich weder Zeit noch Lust. Da müsst ihr jetzt also durch…

Ist ein „Lead Magnet“ nach der DSGVO unzulässig?

Es gibt im Online-Marketing einen Spruch:

The Money is in the List

Je größer der Newsletter ist, umso höher sind die Umsätze im Online-Geschäft. Ich kann das bei Mandanten und bei mir selbst bestätigen.

Ich bin allerdings der Auffassung, dass auch die „Qualität“ der Liste eine entscheidende Rolle spielt. Mir bringt ja ein E-Mail-Newsletter nichts, wenn der mit Personen vollgepackt ist, die eigentlich kein Interesse an mir oder meinen Dienstleistungen haben.

Viele Unternehmen versuchen aber auf „Gedeih und Verderb“ ihre Liste zu vergrößern. Und dafür suchen sie neue „Leads“. Also Personen, die sie in ihre Liste aufnehmen können, um ihnen insbesondere E-Mails senden zu dürfen.

Und dafür kommen sog. „Lead Magnets“ zum Einsatz. Und was ist so ein Lead Magnet nun?

Das ist schnell erklärt: Stellt euch vor, ich biete auf meiner Internetseite einen „Leitfaden: Diese 100 Dinge muss ich als Datenschutzbeauftragte mit der DSGVO in jedem Fall zuerst tun“ an. Diesen Leitfaden bekommt man aber nur, wenn man zugleich eine Einwilligung in die Verwendung von Namen und E-Mail-Adresse zwecks Zusendung meines E-Mail-Newsletters bekommt.

Der Leitfaden ist dann mein „Lead Magnet“. Er „zieht“ neue Leute auf meine Liste, damit diese wiederum meinen Newsletter bekommen und dann irgendwann zahlende Datenschutz-Coaching-Mitglieder oder Mandanten werden. Verstanden? Klar.

Und jetzt schaut ihr aber mal in Art. 7 Abs. 4 DSGVO hinein. Und wenn ihr beim Lesen das Problem erkennt, dann lohnt es sich, in diesen Podcast hineinzuhören. Ansonsten aber natürlich auch.

Denn ihr erfahrt, warum es mit der DSGVO künftig Probleme mit Lead Magnets geben kann. Vor allem erfahrt ihr aber Lösungswege, mit denen ihr auch künftig weiterhin Lead Magnets einsetzen könnt.

Warum Apple’s iCloud für Unternehmen derzeit ein Problem sein kann…

Liebe Apple-Nutzer im Business-Umfeld,

ihr müsst jetzt ganz stark sein. Es geht um die Beantwortung folgender Frage:

Ist es für Unternehmen rechtlich zulässig ist, personenbezogene Daten in iCloud zu speichern?

Die Antwort ist leider nicht so positiv, wie sich das mancher erhofft hätte.

Mehr dazu in dieser Podcast-Episode.

Ich würde mich sehr freuen, wenn Apple hierzu mal eine Info geben könnte. Das wäre für uns Apple-User im Business-Umfeld wirklich sehr, sehr wichtig.

Update, 22.03.2018: Ich bin via Twitter von geschätzten Kollegen („You know who you are“) darauf hingewiesen worden, dass es mitnichten herrschende Meinung sei, dass der Personenbezug bei einer Ende-zu-Ende-Verschlüsselung entfalle. Und ich muss eingestehen, dass die Kollegen hier richtig liegen. Es ist in der Tat nicht die herrschende Meinung. Letztere besagt, dass die Ende-zu-Ende verschlüsselten Daten pseudonymisierte Daten sind. Und da bei pseudonymisierten Daten der Personenbezug nicht entfällt, würde es sich auch dabei um eine Verarbeitung von personenbezogenen Daten im Auftrag handeln. Ich denke, die Kollegen haben hier leider einen Punkt. Auch Erwägungsgrund 26 der DSGVO spricht für diese Sichtweise.

Update, 23.03.2018: Ein Hörer hat mich außerdem noch auf zwei Passagen in den iCloud Nutzungsbedingungen (nachgesehen von mir am 22.03.2018) unter Ziff. I C am Ende aufmerksam gemacht:

Wenn du eine Covered Entity, ein Business Associate oder Vertreter einer Covered Entity oder eines Business Associate (gemäß Definition dieser Begriffe im 45 C.F.R § 160.103) bist, erklärst du dich damit einverstanden, keinerlei Komponente, Funktion oder sonstige Einrichtung von iCloud zu verwenden, um „geschützte Gesundheitsinformationen“ jeglicher Art (gemäß Definition dieses Begriffs im 45 C.F.R § 160.103) zu erstellen, zu empfangen, zu verwalten oder zu übertragen, oder iCloud in einer Art und Weise zu verwenden, durch die Apple (oder jegliche Apple-Tochtergesellschaft) zu deinem Business Associate oder zum Business Associate eines Dritten wird.

Apple möchte also schon auf diese Weise verhindern, dass wir hier Vertragspartner im unternehmerischen Sinne werden. Das könnte (muss aber nicht) bedeuten, dass also von vornherein keine Auftragsverarbeitung mit Apple möglich wird.

Noch deutlicher wird es dann aber noch in der Passage der iCloud Nutzungsbedingungen (auch hier ein Danke für den Hinweis des Hörers) unter Ziff. IV A:

Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist (…)

Okay, dann ist Apple in der Hinsicht zumindest ehrlich und gibt hier zu, dass sie nichts mit Unternehmen zu tun haben wollen. Oder gibt es etwas doch noch irgendwo Nutzungsbedingungen für die berufliche Nutzung von iCloud? Dear Apple, wir hätten da ein Markt. Kenne genug zahlende und zahlungskräftige Apple-User, die bereit wären, für geschäftliche iCloud Services zu zahlen, wenn ihr uns dann auch die Möglichkeit bietet, das rechtskonform zu nutzen. So schwer ist das ja nicht…

Muss ich einen Auftragsverarbeitungsvertrag mit meinem Reinigungsunternehmen schließen?

Ich bekomme ungefähr 1x pro Woche folgende Anfrage von Mandanten oder Lesern dieser Internetseite:

Muss ich mit meinem Reinigungsunternehmen einen Auftragsverarbeitungsvertrag schließen?

Und die nächste Frage ist dann meist auch schon, ob das nach der DSGVO nun erforderlich ist.

Und die Beantwortung ist dann gar nicht ganz so einfach. Denn rechtlich lassen sich da mehrere Auffassungen vertreten. Das hat mit der sehr weiten Definition der Datenverarbeitung in Art. 4 Nr. 2 DSGVO zu tun. Und auch mit der leider nicht geklärten Frage, was denn überhaupt das „geschützte Rechtsgut“ beim Datenschutz ist. Das würde nämlich bei der Auslegung und Klärung der Frage etwas helfen.

Ich denke aber, dass zumindest in den Fällen, in denen die Reinigungskraft bzw. das Reinigungsunternehmen auch beauftragt ist, Papiermülleimer zu leeren und (hoffentlich) in Vernichtungssammelbehälter im Unternehmen zu werfen, eine Datenverarbeitung im Auftrag vorliegen wird. Dann wäre auch ein Auftragsverarbeitungsvertrag zu schließen.

In allen anderen Fällen halte ich es für vertretbar, nicht von einer „Datenverarbeitung“ durch die Reinigungskraft auszugehen. Und dann bleibt auch kein Raum für die Verarbeitung im Auftrag – logischerweise.

Im Podcast gehe ich die Konstellationen und die diesbezüglichen rechtlichen Möglichkeiten einmal durch.

Update, 18.03.2018: Ein wichtiger Punkt: Ich wurde zurecht darauf angesprochen, wie ich darauf komme, dass das Verbringen von Papiermüll in einen Vernichtungsbehälter oder in einen Shredder als Datenverarbeitung nach der DSGVO zu werten sei. Die Frage ist sehr berechtigt. Denn nach Art. 2 Abs. 2 DSGVO ist die DSGVO im Bereich der nichtautomatisierten Datenverarbeitung nur dann anwendbar, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Nach Erwägungsgrund 15 der DSGVO fallen z.B. Akten und Aktensammlungen nicht in den Anwendungsbereich der DSGVO. Warum also gehe ich denn davon aus, dass in dem Szenario, wenn eine Reinigungskraft am Vernichtungsprozess für Papierunterlagen beteiligt ist, eine Auftragsverarbeitung vorliegen kann?

Das hat zunächst mit dem für mich als Anwalt geltenden „Gebot der Beratung des sichersten Weges“ zu tun. Wir Anwälte sollen immer so beraten, dass der sicherste Weg für den Mandanten gewählt wird. Und da hier das Vorliegen einer Auftragsverarbeitung im Raum stehen kann, wähle ich diesen Weg.

Denn: Mal angenommen, in einen Unternehmen wurde ein Brief von einem Kunden eingescannt, weil er in das Dokumentenmanagementsystem aufgenommen werden sollte. Wenn dieser Brief gescannt wurde, besteht kein Zweifel daran, dass dessen Verarbeitung in den Anwendungsbereich der DSGVO fällt. Der Brief war dazu gedacht, dass er in einem Dateisystem verarbeitet werden soll. Damit liegt die Voraussetzung für die Anwendung der DSGVO nach Art. 2 Abs. 1 DSGVO m.E. vor.

Natürlich können auch einmal andere Briefe im Papierkorb landen, die nicht dazu gedacht waren, in ein Dateisystem überführt zu werden. Nur: Wer will das unterscheiden? Und: Ist es wirklich ausgeschlossen, dass Papierunterlagen, die in einem Dateisystem verarbeitet werden sollen, im Papierkorb landen? Wohl kaum! Daher gehe ich in diesen Szenarien davon aus, dass die DSGVO Anwendung finden kann. Und daher ist es eine gute Idee, diesen Bereich mit einem Auftragsverarbeitungsvertrag zu regeln.

Crashkurs Datenschutzrecht (DSGVO) – Teil 8

Im 8. und letzten Teil des Crashkurses zur DSGVO geht es um die sonstigen Pflichten für Verantwortliche, die in der Praxis umzusetzen sind.

Der ganze Abschnitt 4 der DSGVO, der sich an Verantwortliche und Auftragsverarbeiter richtet, ist gut gefüllt mit Pflichten, die einzuhalten sind.

Die Darstellung der einzelnen Pflichten kann ganze Bücher füllen. Wir kümmern uns im letzten Teil des Crashkurses nur noch um einen kleinen Überblick zu dem Thema.

Wer jetzt noch mehr zum Thema Datenschutz erfahren möchte und vielleicht Datenschutzbeauftragte ist oder werden möchte, dem kann ich meinen Online-Kurs für Datenschutzbeauftragter ans Herz legen. Der kostet allerdings etwas. Lohnt sich aber…

Crashkurs Datenschutzrecht (DSGVO) – Teil 7

Im 7. Teil des Crashkurses zur DSGVO geht es um den meiner Meinung nach wohl misslungensten Teil der DSGVO: die Informationspflichten

Der Podcast ist im Wesentlichen ein „Rant“, also ein „Herumwettern“ meinerseits, warum ich die Regelung der Informationspflichten für nicht nur schlecht gemacht, sondern groben Unfug halte. Ja, es ist etwas emotional geworden. Ich bekomme nur in der Mandatspraxis seit Monaten mit, zu welchem Blödsinn diese Regelungen in der Praxis führen werden.

Und ich bin der festen Überzeugung, dass die vollkommen überzogene Bringschuld im Hinblick auf die Informationspflichten dem Datenschutz einen Bärendienst leisten wird. Genauso wie die Umsetzung der Einwilligung für Cookies. Es ist einfach nur traurig.

Unabhängig von diesem persönlichen „Touch“ erfahrt ihr als Hörer aber gleichwohl etwas zu den 14 Punkten (bzw. 15 Punkten), zu denen ihr den Betroffenen etwas erzählen dürft.

Crashkurs Datenschutzrecht (DSGVO) – Teil 6

Im 6. Teil des Crashkurses zur DSGVO geht es um Frage, die in der Praxis immer wieder auftaucht. Und die lautet:

Wann liegt eine Auftragsverarbeitung i.S.d. Art. 28 DSGVO vor?

Und eines dazu vorab. Vergesst endlich diesen Quatsch mit der Funktionsübertragung.

Den Beitrag von Malte Engeler, den ich im Podcast erwähnt habe, findet ihr übrigens hier: Die Auftragsdatenverarbeitung braucht ein Reboot – mit der DSGVO in der Hauptrolle

Und nach dem Podcast stellt ihr euch vielleicht eher die Frage, wann eine Auftragsverarbeitung i.S.d. Art. 4 Nr. 8 DSGVO vorliegt.