15
Mrz

Datentransfer nach England nach dem Brexit? Achtung!

Achtung beim Datentransfer nach England nach dem Brexit!

Während in Großbritannien das politische Chaos rund um den Brexit ungehemmt weiter geht, muss die restliche EU sich weiterhin darauf vorbereiten, einen ungeregelten No-Deal Brexit zu verkraften.

Für private Unternehmen, die im Rahmen ihrer Netzwerke, Webseiten oder anderer Softwarelösungen Daten mit Großbritannien austauschen, besteht insoweit Handlungsbedarf: Sobald am 30. März (oder bei einer Verschiebung etwas später) Großbritannien kein Teil der EU mehr ist, wird es nach DSGVO als Drittstaat zu behandeln sein. Datentransfers in Drittstaaten unterliegen aber strengen Regelungen. Zwar ist es wahrscheinlich, dass Großbritannien als Drittstaat mit angemessenem Datenschutzniveau von der EU anerkannt wird, doch bis dieser Beschluss formell gefasst werden kann, entsteht ein Zeitfenster, in dem Datentransfers besonders geregelt werden müssen.

Um den angemessenen Datenschutzstandard zu gewährleisten, muss daher jedes einzelne Unternehmen, das persönliche Daten nach Großbritannien übermitteln möchte, mit seinen Partnern in Großbritannien Verträge schließen, die ein adäquates Datenschutzniveau garantieren. Vorhandene individuelle Verträge müssten von den Aufsichtsbehörden genehmigt werden, was zeitnah nicht zu bewältigen sein wird, ob der starken Belastung der Datenschutzaufsicht. Eine Umstellung auf die anerkannten Standardverträge ist daher zum aktuellen Zeitpunkt die sinnvollste Möglichkeit, notwendige Datentransfers auch weiterhin legal und rechtssicher aufrecht zu erhalten.

Wir beraten Sie gerne zur Implementierung der vertraglichen Lösungen in Ihrem Unternehmen.

13
Jun

DSGVO Beschwerdestelle „Datasax“

DSGVO Beschwerdestelle „Datasax“

Aktuell sind E-Mails einer „DSGVO Beschwerdestelle“ im Umlauf, welche die Adressaten auf einen angeblichen Verstoß gegen die DSGVO und eine bevorstehende „Abmahnung oder Anzeige“ hinweisen. Natürlich wird der Verstoß nicht konkret benannt.

Abgesehen davon, dass es solche DSGVO Beschwerdestellen nicht gibt, dürfte man hier bereits schon bei der genauen Bezeichnung stutzig werden:

„DSGVO Beschwerdestelle & Meditation“

Zunächst könnte man annehmen, dass es sich hier um einen Tippfehler handelt, der sich dann aber bei dem Verweis auf das Gesetz „zur Förderung der Meditation und anderer Verfahren der außergerichtlichen Konfliktbeilegung in Deutschland“ wiederholt. Rund wird die Sache aber, wenn man die Website unter der Domain „datasax.de“ aufruft und nach einigem Suchen das Impressum gefunden hat: Websitebetreiber ist „datasax | Coaching & Meditation“.

Das Vorgehen von datasax ist – ebenso wie die Website von datasax selbst – unter verschiedenen rechtlichen Gesichtspunkten (etwa § 5 Abs. 1 TMG, § 7 Abs. 2, 3 UWG) zu beanstanden und damit als unseriös zu qualifizieren. Eine Gefahr, tatsächlich wegen der erfundenen Beschwerde ein Bußgeld auferlegt zu bekommen, besteht nicht.

Kurzum: Ob man die Mail als unzulässigen SPAM ansieht und mit einem Gegenangriff, wie von dem Kollegen Hansen-Oest (Link – bitte nur beim Namen hinterlegen, nicht vollständig anzeigen: https://www.datenschutz-guru.de/digitaler-ablasshandel-in-zeiten-der-dsgvo-die-vermeintliche-beschwerdestelle/) vorgeschlagen, reagiert oder sie schlicht ignoriert, ist dem Empfänger selbst überlassen.

10
Jun

Facebook-Fanpages und Verantwortliche nach dem Datenschutzrecht

Facebook-Fanpages und Verantwortliche nach dem Datenschutzrecht

 

Das Urteil des EuGH vom 5. Juni 2018 (Az.: C‑210/16) kam als donnernder Paukenschlag inmitten einer schon vor dem Inkrafttreten der DSGVO am 25. Mai 2018 bereits aufgeheizten Debatte um die Reichweite des Datenschutzes. Und es wird noch weitereichende Konsequenzen haben, denn es betrifft nicht nur Facebook und seine Nutzer, sondern jeden, der nicht nur privat auf einer Social Media-Plattform eine Seite oder ein Profil betreibt.

In dem Verfahren ging es um einen privaten Bildungsträger, der auf einer Facebook-Fanseite sein Angebot vermarktete. Hiergegen ging das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein vor und ordnete an, dass die Facebook-Fanseite deaktiviert werden muss.

Wichtigster Punkt im Vorgehen der Datenschutzbehörde und im dieses nun bestätigenden Urteil ist, wer für unzulässige Datenverarbeitungen durch Facebook im Rahmen bzw. auf Grundlage einer Facebook-Fanseite verantwortlich gemacht werden kann. Nach der vom EuGH zugrunde gelegten Richtlinie 95/46/EG (diese war die Grundlage für das BDSG bis zum Inkrafttreten der DSGVO) können mehrere gemeinsam Verantwortliche sein, sofern jeder von ihnen über Mittel und Zwecke der Datenverarbeitungen (mit-) entscheidet.

Da der Betreiber einer Facebook-Fanseite nach Ansicht des EuGH den Anlass dafür gibt, dass gerade über diese Seite Daten der Besucher erhoben und verarbeitet werden, wurde entschieden, dass er auch Mitverantwortlicher für die entsprechenden unzulässigen Datenverarbeitungen ist.

Dass die Datenschutzaufsichtsbehörde also (auch) gegen den Bildungsträger und nicht nur gegen Facebook vorging, war somit aus Sicht des EuGH richtig.

Die Regelungen zur Verantwortlichkeit in der DSGVO sind unverändert zur alten Rechtslage, sodass diese Einschätzung auch für das neue Recht von höchster Relevanz ist. Und sie betreffen nicht nur Facebook: Die Grundsätze, nach denen die Mitverantwortlichkeit angenommen wird, gelten für jedes Social Media-Profil, das ein Unternehmer betreibt. Nur ausschließlich persönliche und familiäre Tätigkeiten sind allgemein von der DSGVO ausgenommen. Wenn ein Social Media-Netzwerk unzulässige Datenverarbeitungen vornimmt, so kann nach diesem Urteil jeder nicht-private Nutzer hierfür mit in die Verantwortung genommen werden, wenn er dort ein Profil unterhält, über das entsprechende Datenverarbeitungen passieren.

Insofern sollte jeder gewerbliche Betreiber einer Facebook-Fanseite eine genaue Risiko-Nutzen-Analyse durchführen und – sollte er sich für den Erhalt der Facebook-Seite entscheiden – die weiteren Entwicklungen genau beobachten. Facebooks Datenschutz entspricht nicht den Vorgaben der DSGVO und nach diesem Urteil kann jeder, der dort eine Seite betreibt, mit dafür verantwortlich gemacht werden.

28
Mai

Informationspflichten nach Art. 13 DSGVO

Informationspflichten nach Art. 13 DSGVO

Als Hauptanwendungsbereich der DSGVO wurde bislang vorrangig die Datenerhebung über das Internet betrachtet, was jedoch eine ebenso unzulässige wie gefährliche Verkürzung wäre.

Art. 13 DSGVO verlangt, dass bei jeder Erhebung persönlicher Daten über den Verantwortlichen der Datenerhebung sowie deren Zweck informiert wird; wenn bestimmte andere Voraussetzungen erfüllt sind, auch über mehr. Diese Norm diente bisher überwiegend als Anhaltspunkt dafür, welche zwingenden Inhalte die Datenschutzerklärung einer Website enthalten muss. Doch in ihrer allgemeinen Formulierung beschränkt sich die Norm nicht auf Websites. Vielmehr muss bei jeder Datenerhebung – auch in der Offline-Welt – eine derartige Information erfolgen.

Da persönliche Daten schon bei der Frage nach dem Namen erhoben werden, oft lange bevor einem Kunden Dokumente ausgehändigt werden können, ist fraglich, wie die „bei Erhebung der persönlichen Daten“ erforderliche Information am besten erfolgen kann. Ähnlichen Informationspflichten wurde in der Vergangenheit oft mittels Aushängen in den Geschäftsräumen genüge getan, z.B. im Gaststättenbereich. In ähnlicher Weise werden auch AGB in Geschäften ausgehängt, um den Kunden eine Kenntnisnahme vor Vertragsschluss zu ermöglichen.

Aktuell sollte man einen Informationsaushang vorsehen, um den Anforderungen des Art. 13 DSGVO nachzukommen. Inhaltlich wird man in weiten Teilen auf die (hoffentlich anwaltlich geprüfte) Datenschutzerklärung von der eigenen Website zurückgreifen können. Ob in formeller Hinsicht etwa ein QR-Code anstelle eines Aushangs den Vorgaben des Art. 13 DSGVO genügt, muss derzeit noch bezweifelt werden, selbst wenn dieser auf eine um die nötigen Elemente ergänzte Datenschutzerklärung verlinkt.