Die ersten 30 Tage der DSGVO

Datenschutzgrundverordnung DSGVO

Die ersten 30 Tage der EU-Datenschutzgrundverordnung sind um. Welche neuen Entwicklungen es in dieser kurzen Zeit schon gab, wie geänderte Anforderungen umzusetzen sind und welche Erfahrungen sich aus diversen Datenschutz-Projekten ergeben, fasst dieser Artikel zusammen.

Positionspapier der DSK zum Tracking

Kurz vor dem Ablauf der Umsetzungsfrist der EU-Datenschutzverordnung (DSGVO) am 25.5.2018 hat die Datenschutzkonferenz (DSK), ein Zusammenschluss der Landesdatenschutzbeauftragten, in einem Positionspapier eine Äußerung mit großer Tragweite veröffentlicht. Die DSK hält eine vorherige Einwilligung vor dem Einsatz von Tracking-Tools für notwendig. Dies entspricht weder der gängigen Praxis noch der bisher vorherrschenden Rechtsauffassung. Praktisch umgesetzt würde dies bedeuten, dass Webseiten, die ein Statistiktool, wie beispielsweise Google Analytics oder Matomo, einsetzen, eine Art Vorschaltseite benötigen, auf der erst die Einwilligung des Webseitebesuchers eingeholt wird, bevor er die Webseite betritt und vor allen Dingen bevor der erste Cookie gesetzt wird.

Diese etwas seltsame Interpretation der DSK hat viele Webseitenbetreiber dazu veranlasst, (vorübergehend) auf Tracking zu verzichten. Dies geschieht aus Angst vor Abmahnungen, die sich auf das Positionspapier der DSK berufen. Der Einsatz entsprechender Tracking-Cookies ist relativ einfach für Webseitenbesucher und damit auch für Abmahner zu erkennen.

Leider hat sich diese Vermutung bewahrheitet und der Einsatz von Tracking-Cookies ohne vorherige Einwilligung ist die Grundlage einiger aktueller Abmahnungen.

 

Interpretationshilfen für die DSGVO

An etlichen Stellen der DSGVO herrscht noch keine vollständige Klarheit über deren Auslegung und damit Interpretationsbedarf. Einigermaßen sicher werden die unklaren Stellen wohl erst, wenn Gerichte über die genaue Auslegung entschieden haben. Bis dahin sind zwei Anlaufstellen bei etlichen Unsicherheiten recht hilfreich.

Die Stellungnahmen der

  • Artikel-29-Datenschutzgruppe und der
  • Datenschutzkonferenz.

Die Artikel-29-Datenschutzgruppe ist das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes. Sie wurde am 25.05.2018 durch das European Data Protection Board (EDPB) ersetzt. Die Auslegungen der Artikel-29-Datenschutzgruppe finden Sie aber weiterhin auf folgender Webseite: http://ec.europa.eu/justice/article-29/documentation/index_en.htm

Die Datenschutzkonferenz (vollständig: Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) ist ein Zusammenschluss der amtlichen Datenschutzbeauftragten der Länder. Sie treffen sich regelmäßig zweimal im Jahr, um sich in aktuellen Fragen des Datenschutzrechts abzustimmen. Sie geben Empfehlungen und Orientierungshilfen zu Fragen des Datenschutzes heraus.

Diese Empfehlungen und Orientierungshilfen sind auf folgender Webseite zu finden: https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/DSGVO_Kurzpapiere1-3.html

 

auftragsverarbeitung

Auftragsverarbeitung

Bei Auftragsverarbeitungsverhältnissen scheint es einige grundlegende Missverständnisse zu geben. Mir sind beispielsweise Auftragsverarbeitungsverträge für reine Telekommunikationsdienstleister oder Logistikunternehmen untergekommen. Beides war natürlich kein Auftragsverarbeitungverhältnis.

Grundsätzlich ist der Auftragsverarbeiter die verlängerte Werkbank des Verantwortlichen. Der Verantwortliche muss über Zweck und Mittel der Verarbeitung entscheiden. Zusätzlich zu dem Zweck und den Mitteln der Verarbeitung sollten Sie auch hinterfragen, ob die Datenverarbeitung nur eine Nebenpflicht ist. Falls dem so ist, sollten Sie daraus auch keine Auftragsverarbeitung machen.

Zurzeit werden aus meiner Sicht zu viele Konstellationen als Auftragsverarbeitung vereinbart. Sollten Sie bei der Entscheidung nicht sicher sein finden, Sie einen guten Leitfaden im Working Paper 169 der Artikel 29 Gruppe.

 

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO

Leider haben uns die Datenschutzbehörden der Länder bis zum letzten Tag auf diese Listen warten lassen. Jede Landesdatenschutzbehörde hat eine eigene Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO veröffentlicht. Die Listen sind aber zum Glück nahezu identisch. Für die in den Listen aufgeführten Verarbeitungsvorgänge ist eine Datenschutz-Folgenabschätzung obligatorisch.

Beispiele aus Hamburg und Schleswig-Holstein finden Sie hier:

Hamburg:

https://datenschutz-hamburg.de/assets/pdf/Liste%20Art%2035-4%20DSGVO%20HmbBfDI-%C3%B6ffentlicher%20Bereich_v1.0.pdf

Schleswig-Holstein (mit Erklärungen):

https://www.datenschutzzentrum.de/uploads/datenschutzfolgenabschaetzung/20180525_LfD-SH_DSFA_Muss-Liste_V1.0.pdf

 

abmahnung

Abmahnungen – aktuelle Fälle

Die große Abmahnwelle ist zum Glück ausgeblieben, dennoch hat es etliche Abmahnungen gegeben. Hier einige Beispiele für die Begründung von aktuellen Abmahnungen:

  • Verwendung von Google Analytics ohne Opt-in-Möglichkeit, außerdem die zusätzlich fehlende Opt-out-Möglichkeit auf einer Webseite.
  • Fehlende Angaben im Datenschutzhinweis. Es wurde kein Datenschutz-Verantwortlicher genannt, die Dauer der Speicherung personenbezogener Daten wurde nicht erwähnt und der Zweck der Datenerhebung fehlte.
  • Einsatz von Google Fonts ohne Information des Webseitenbesuchers im Datenschutzhinweis.
  • Internetseiten ohne jegliche Datenschutzhinweise.

Generell scheint es zurzeit noch nicht ganz klar zu sein, ob es sich bei der DSGVO um eine Marktverhaltensregel handelt. Dies wäre die grundlegende Voraussetzung für eine Abmahnung.

Facebook-Urteil – EuGH sieht gemeinsame Verantwortung von Seitenbetreibern und Facebook!

Von vielen mit Spannung erwartet, hat der EuGH am 05.06.2018 eine Entscheidung zur Nutzung von Facebook-Seiten durch Unternehmen gefällt. Die Headline der Pressemitteilung fasst es sehr schön zusammen: „Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich.

Was bedeutet das?

Die Erfüllung der Informationspflichten gemäß DSGVO ist für Betreiber von Facebook-Fanpages sicherlich unmöglich, da sie nicht genau wissen, was Facebook zu welchen Zwecken verarbeitet. Die sicherste Variante, um dieser Situation zu begegnen, ist sicherlich, die eigene Facebook-Fanpage abzuschalten. Was ich in letzter Zeit häufiger gesehen habe, ist eine umfassende und transparente Information der Seitenbetreiber im eigenen Datenschutzhinweis. Ob das ausreichend ist, bleibt abzuwarten.

Auch wenn es in der Entscheidung des EuGH um Facebook geht, kann die Entscheidung auch auf viele anderen Social-Media-Plattformen übertragen werden.

Die Entscheidung des EuGH finden Sie auf dieser Webseite: http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=298398

Ein Blogpost von Facebook zum Thema können Sie hier lesen: https://de.newsroom.fb.com/news/2018/06/ein-update-fuer-betreiber-von-facebook-seiten/

 

datenpanne

Datenpannen

Was Datenpannen sind, wie Sie mit ihnen umgehen und sie vermeiden können, lesen Sie in diesem Beitrag.