Datenschutz-Tipps: Machete für den Datenschutz-Dschungel

Hallo %FIRSTNAME% 😊,

es ist Mittwoch. Und ein neues Gesetz will es so, dass dieser Newsletter nun immer mittwochs erscheint. Ich hätte heute eigentlich auch Lust gehabt, etwas anderes zu tun? Aber wenn ein Gesetz es vorschreibt, dann mache ich das halt.
So wie jetzt immer sonntags der andere Newsletter erscheint.

Zu dem Gesetz und Gesetzen komme ich dann unten im „Letter“-Teil des Newsletters noch einmal.

Praktische Umsetzung der DSGVO in Unternehmen

Ich bin schon häufiger gefragt worden, ob ich nicht einmal einen Online-Kurs machen kann, der sich damit beschäftigt, wie man denn nun konkret in einem Unternehmen die DSGVO umsetzen kann.

Das Thema hatte ich schon einmal angefangen, wieder verworfen und jetzt wieder aufgegriffen. Weil ich damit drei Fliegen mit einer Klappe schlagen kann.

  1. Fliege: Praktische Inhalte für Leserinnen und Leser dieses Newsletters, die in der Regel gut angenommen werden, weil sie Umsetzung von datenschutzrechtlichen Vorgaben sozusagen „hands on“ zeigen.
  2. Fliege: Ich kann daraus direkt später einen Online-Kurs für Datenschutz-Coaching-Mitglieder bauen.
  3. Fliege: Unsere Schwestergesellschaft bastelt sowieso gerade an den erforderlichen Abläufen und Dokumenten für die DSGVO-Umsetzung und kann sich da gut „über die Schultern“ schauen lassen.

KLLLLLAAAAATTTTSSSSSSCHHHH (das war die Klappe…für die Fliegen…du weißt schon)

Lange Rede, kurzer Sinn. Ich werde hier immer mal wieder neue Folgen, die für den Online-Kurs erstellt wurden, verlinken und sie dann für eine knappe Woche online lassen, bis dann die nächste Folge erscheint. So kannst du den „Content“ kostenlos anschauen, wenn du schnell genug bist. Und ich habe auch etwas davon, weil der gesamte Kurs dann nur für Datenschutz-Coaching-Mitglieder zugänglich sein wird.

Und die erste Folge ist dann heute auch online gegangen. Ist eine kleine Einführung in das Thema und soll zeigen, was dich erwarten wird:

Die Folge kannst du dir bis zum 16.02.2022 ansehen.
Ich teste da übrigens ein neues Kurs-Tool. Also nicht wundern, dass die „Übersetzungen“ noch nicht so ganz rund sind.

Weitere Beiträge

Dann noch ein kurzer Hinweis auf einige kurze Beiträge auf der Website:

Webinarempfehlung

Wie du vielleicht weißt, bin ich ein Fan von Frederik Richter, der die Stiftung Datenschutz leitet. Und was die Stiftung in den letzten Wochen und Monaten an „Output“ im Bereich Wissensvermittlung hervorgebracht hat, ist wirklich beachtlich.

Und jetzt bieten sie eine Doppel-Webinarreihe mit dem geschätzten Anwaltskollegen Tim Wybitul an. Kostenlos. Mit einem sehr interessanten Themenset. Es beginnt mit dem ersten Thema: Erfolgreiche Verteidigung gegen DSGVO-Bußgelder

Und jetzt tu mir bitte den Gefallen und melde dich dort auch an. Ist – wie gesagt –kostenlos, aber nicht umsonst. Und wir wollen doch mal sehen, ob wir bei der Stiftung Datenschutz nicht einmal einen kleinen Teilnehmer:innen-Rekord für ein Webinar produzieren. Ich weiß nicht, ob Frederik sich darüber freut. Aber ist egal. Melde dich jetzt hier an: Datenschutz am Mittag: Erfolgreiche Verteidigung gegen DSGVO-Bußgelder
Und bring „edudip“ zum Glühen. 😬

The Letter…

„Gesetze“ im privaten Umfeld

Hast du auch solche Gesetze? Die nur für dich bzw. in deinem privaten Umfeld gelten? Wir können sie auch „Regeln“ nennen. Und jeder von uns kennt das? Du nicht? Okay…dann wohnst du vielleicht alleine.

Spätestens dann, wenn du mit einer weiteren Person zusammenlebst, gibt es Gesetze, die für euer Zusammenleben gelten. Und das fängt schon damit an, dass es sehr früh „Gesetzgebungsvorhaben“ gibt, die sich damit befassen, in welche Richtung das Besteck in die Geschirrspülmaschine zu sortieren ist.

Früher dachte ich auch, dass es doch egal ist, wie der Geschirrspüler eingeräumt wird. Hauptsache, das Zeug wird sauber. Und wenn ich heute mal schlechte Laune haben, kann mich so ein Satz falsch einsortierter Kuchengabeln in der Besteckschublade des Geschirrspülers komplett in eine Depression hinunterreißen. Ja…okay…ich übertreibe etwas. Aber du kennst das auch, oder?

Regeln regeln Regeln

Dir ist natürlich klar, dass ich hier nicht über „Gesetze“ im formalen Sinne spreche, sondern über Regeln. Und Regeln sind aber auch dazu da, dass sie eingehalten werden. Ich denke, das ist ein allgemeiner Konsens. Zumindest dann, wenn die Regeln für alle Beteiligten nachvollziehbar sind.

Alternativ können Regeln im zwischenmenschlichen Miteinander auch auferlegt werden, weil die regelnde Person die „Macht“ dazu hat. Vielleicht, weil sie Eigentümerin über die Sache ist, in der die Regeln gelten sollen. Oder vielleicht, weil ihr eine Machtstellung durch Gesetze eingeräumt worden ist.

Und dann gibt es Regeln, die kaum noch einleuchten…

Auch der Datenschutz ist „geregelt“. Vornehmlich durch die DSGVO. Während ich diesen Newsletter schreibe, ist die DSGVO schon 1.356 Tage „anzuwenden“.

Im Frühjahr und Sommer 2018 wussten wir noch nicht so ganz, was uns mit der DSGVO denn praktisch wirklich erwartet. Ich hätte allerdings damals schon erwartet, dass wir zumindest zwei Jahre später ein wenig klarer sein und alle sich „eingegrooved“ haben.

Und das ist – das kann ich aus voller Überzeugung sagen – mitnichten heute der Fall. Und das, obwohl die DSGVO bald 4 Jahre Praxis auf dem Buckel hat.

Auch heute hält die DSGVO für uns Regeln bereit. Und für einige Regeln finde ich an manchen Tagen schwerlich Verständnis.

Während ich zu Beginn der „DSGVO“ noch den gesamten Abschnitt zu den Betroffenenrechten (speziell Art. 13 und 14 DSGVO) für komplett misslungen geregelt und auch die rechtspolitische „Stärkung“ der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) für kontraproduktiv und unnötig gehalten habe, haben viele andere Kenner:innen der Materie zu Recht den völlig misslungenen Art. 9 DSGVO als primäres Hassobjekt identifiziert.

Dass Art. 9 DSGVO in der Rechtspraxis kaum zu gebrauchen ist…dieser Eindruck hat sich der Pandemie nur bestärkt.

F*c#k you, TIA!

Und praktisch ist derzeit der gesamte Drittlandstransfer (Art. 44 ff. DSGVO) aufgrund der Schrems II-Entscheidung des EuGH ein „pain int the a…“ – also ein ganz großer Schmerz im Hintern.

Und daran ist nicht der EuGH Schuld. Auch wenn ich gestehen muss, dass ich mich schon frage, ob der Maßstab für ein angemessenes Datenschutzniveau mit Blick auf die Rechtslage in anderen EU-Mitgliedsstaaten wirklich vernünftig angesetzt worden ist. Der EuGH hatte aber letztlich „auszubügeln“ und anzuwenden, was im Kapitel 5 der DSGVO zu Drittlandstransfers geregelt ist. Und danach sind z.B. die USA eben einfach „böse…böse…böse“.

Und das mag mit Blick auf Sicherheitsbefugnisse in den USA auch so sein. Aber nach diesen Maßstäben sind dann z.B. Polen, Ungarn, Frankreich und auch die Bundesrepublik Deutschland auch böse. Das dürfte m.W. unter Jurist:innen auch einigermaßen Konsens sein.

In meinem beruflichen Umfeld hat nahezu jede Person momentan jede Woche etliche Stunden damit zu tun, irgendwelche „nichtsnutzigen“ Transfer Impact Assessments (TIA) vorzubereiten oder zu schreiben. Nur weil man wieder einmal einen US-Dienstleister nutzen möchte, der ein paar Daten mit geringem Schutzbedarf verarbeitet.
Stunden von Personen-Power gehen in diese Dokumente. Und diese Dokumente helfen exakt…niemandem. Und sie tragen auch nicht einem irgendwie gearteten Verständnis von „Datenschutz“ bei. Sie sind reine Bürokratie. Symbolhaftes Gehabe für eine Regelungssystematik in einem Gesetz, das vielleicht doch nicht in die Zeit passt.

Spaß macht das so nicht mehr…jedenfalls nicht das TIA-Writer-Dasein. Ich würde lieber für andere und anderes da sein.

Der Datenschutz-Dschungel

Ich praktiziere seit diesem Monat als Rechtsanwalt 20 Jahre im Datenschutzrecht. What a ride…

Ich denke, ich habe schon so gut wie jeden Dreck gesehen.
Und auch schöne Dinge.

Ob Dreck oder Schönheit hatte aber niemals etwas mit dem Land der Datenverarbeitung zu tun. Sondern mit den Menschen, die in den Organisationen Daten verarbeiten.

Und nur, weil ich vermeintlich in anderen Ländern etwas mehr Daten verarbeiten darf, heißt das noch lange nicht, dass die Menschen in diesen Organisationen das dann auch tun.

In den „schönen“ Unternehmen…denen mit Verständnis für die Belange von Betroffenen, für deren Persönlichkeitsrechten…in diesen Unternehmen tut es nichts zur Sache, ob man darf oder nicht. Man tut, was die Kundinnen und Kunden von dem Unternehmen erwarten dürfen.

Und manchmal – das meine ich sehr ehrlich – würde ich mir einen komplett neuen Ansatz für das Datenschutzrecht wünschen. Denn das Datenschutzrecht in seiner aktuellen Form…es ist kaputt. Jedenfalls praktisch kaputt.

Wir ertrinken in Informationen, die jeden Tag über Medien, juristische Datenbanken und Ergüsse von Aufsichtsbehörden über uns herabregnen. Ein ganzer Dschungel von undurchsichtigem „Recht“ entsteht. Und wir „Datenschutzrechtler:innen“ fühlen uns manchmal so, als würden wir mit einer Machete eine letzte Schneise in den Dschungel pflügen. Helden an Notebooks und Geräten.

Does the „DSGVO“ suck?

Ich würde sagen: Insgesamt ja. Und manchmal würde ich mir wirklich wünschen, dass wir das gesamte Datenschutzrecht mal wieder herunterreißen und neu denken. Und das ist unrealistisch. Ich weiß.
Und es ist auch nicht alles schlecht an der DSGVO.

Aber ein vorhandenes gewisses Maß an Überregulierung nervt mich und viele von uns doch ganz gewaltig. Und das obwohl wir uns vielleicht schon als datenschutz-sensibel ansehen und das Thema wichtig finden.

Sag, was du tust! Tu, was du sagst!

Für mich privat ist beim Thema Datenschutz nur eines wichtig, wenn ich Unternehmen meine Daten anvertraue.

Ich möchte von Unternehmen den Eindruck haben, dass sie den Grundsatz von „Treu und Glauben“ im europarechtlichen Sinne verinnerlicht haben. So, wie er auch in der DSGVO angelegt ist.

Denn der Grundsatz von Treu und Glauben in der DSGVO besagt im Ergebnis genau dieses hier:

Sag, was du tust! Tu, was du sagst!

Unternehmen, die sich daran nicht halten, kann ich persönlich für mich nicht gebrauchen (als Anwalt ist das etwas anderes 🙄).

Hoffen wir also mal, dass wir bald größere Macheten bekommen…

Beste Grüße

Stephan Hansen-Oest

P.S.: Ich kann gut verstehen, wenn du meine Einschätzung der DSGVO oder zur Verarbeitung in Drittländern anders siehst. Du hast da sicher auch deine Erfahrungen gemacht. Und das ist okay für mich. Ich habe nach 20 Jahren „Anwalt für Datenschutzrecht“ meine Sichtweise äußern wollen. Und ich hoffe, das ist ebenso okay für dich.


Datenschutz-Guru GmbH
Im Tal 10a
24939 Flensburg
Germany

Tel.: +49 461 40 68 245 0
Fax: +49 461 40 68 245 9

E-Mail: sh@datenschutz-guru.de
https://www.datenschutz-guru.de

Geschäftsführer: Stephan Hansen-Oest
Registergericht: Amtsgericht Flensburg, HRB 13436 FL

Den Newsletter kannst du abbestellen, wenn du auf diesen Link klickst: Newsletter abbestellen

Wenn du deine E-Mail-Adresse ändern möchtest (oder einen Vornamen hinzufügen/löschen), dann kannst du das hier tun: Profil aktualisieren


%SENDER-INFO-SINGLELINE%