DSGVO – Expertenwissen für die Praxis | Informationen zur EU-Datenschutz-Grundverordnung (DSGVO)

Das „EuGH-Cookie-Urteil“ vom 01. Oktober 2019 („Planet49-Urteil“)

Publiziert am 8. Oktober 2019 von Werner Hülsmann

[Update 30.11.2019] Stellungnahmen der Datenschutz-Aufsichtsbehörden ergänzt (s.u.)
[Update 28.05.2020] Den Beitrag zum BGH-Urteil vom 28. Mai 2020 im „Cookie-Verfahren“ finden Sie hier.
[/Updates]

Eine Woche ist es nun schon her, das sogenannte „EuGH-Cookie-Urteil“ (oder auch „Planet49-Urteil“ genannt). Dieses Urteil sowie eine vom Europäischen Gerichtshof (EuGH) erstellte Zusammenfassung des Urteils finden Sie unter http://curia.europa.eu/juris/documents.jsf?num=C-673/17.

Das Urteil erging in einem Vorabentscheidungsverfahren. In einem vor dem Bundesgerichtshof (BGH) anhängigen Rechtsstreit des Verbraucherzentrale Bundesverband e. V. gegen die Planet49 GmbH hat der BGH dem EuGH einige Fragen zur Einwilliung in die Nutzung eines Werbecookies vorgelegt.

Wie hat der EuGH entschieden?

Zusammenfassend und kurz lässt sich hier sagen:

Ein vorangekreuztes Kästchen zur Einholung der Einwilligung ist keine wirksame Einwilligung.
Für die Nutzung von Werbecookies ist nach Art. 5 Abs. 3 ePrivacy-Richtlinie eine wirksame Einwilligung durch die Nutzerin bzw. den Nutzer Voraussetzung.

Wird jetzt für jedes Cookie eine Einwilligung benötigt?

Nein, nicht für jedes Cookie. So bedarf es für technisch unbedingt erforderliche Cookies (hierzu gehören z.B. Cookies für einen Warenkorb, sofern dieses nach Ende der Sitzung gelöscht werden) keiner Einwilligung der NutzerInnen. Für alle anderen Cookies ist in strikter Anwendung des Art. 5 Abs. 3 noch geltenen ePrivacy-Richtlinie (ePrivRL, Richtlinie 2002/58/EG in der Fassung der RICHTLINIE 2009/136/EG – Cookie-Richtlinie) eine wirksame Einwilligung erforderlich.

Welche Anforderungen werden an eine wirksame Einwilligung gestellt?

Für die Anforderungen an eine wirksame Einwilligung im Sinne der ePrivacy-Richtline sind seit dem 25. Mais 2018 die Anforderungen aus den Art. 7 und 8 der EU-Datenschutz-Grundverordnung (DSGVO) maßgebend. Hierzu gehören insbeisondere die vorherige Information der NutzerInnen und dass die Einwilligung eine aktive Handlung ist.

Was ist zu tun?

Sofern Sie auf Ihrer Website andere als nur technisch unbedingt erforderliche Cookies einsetzen, sollten Sie für diese Cookies eine wirksame Einwilligung einholen. Ein Cookiebanner, der nur „OK“ oder „akzeptiert“ als einzige Möglichkeit zu Anklicken anbieten stellt keine wirksame Einwilligung dar. Es muss die Möglichkeit geben, die nicht technisch unbedingt erforderlichen Cookies abzulehnen und trotzdem die Website zu besuchen.

Und was ändert sich mit der ePrivacy-Verordnung?

Das läßt sich derzeit noch nicht sicher sagen. Im derzeitigen Entwurfsstand findet sich in Art. 8 des Entwurfs der ePrivacy-Verordnung (ePrivVO) eine Nachfolgeregelung für Art. 5 Abs. 3 ePrivRL. Dabei bezieht sich Art. 8 ePrivVO-Entwurf aber nicht nur auf Cookies, sondern auch andere Methoden, mit denen eine Identifizierung des Endgerätes erforderlich ist. Sofern das Cookie oder der Abruf von Informationen zu Hard- und Software nicht technisch unbedingt erforderlich bedarf es Grundsätzlich der Einwilligung der NutzerInnen. Es gibt zwar einige Ausnahmen, aber die Nutzung von Werbecookies oder der Hard- und Software-Informationen zum Tracking gehört nicht zu den genannten Ausnahmen.

Wollen Sie sich ausführlicher informieren?

Wenn Sie sich ausführlicher informieren wollen (z.B. darüber, welche Arten von Cookies datenschutzrechtlich zu unterscheiden sind), empfehle ich Ihnen das von mir erstellte eBook „Das „Cookie-Urteil“ des EuGH vom 01.10.2019 – Stellungnahme und Empfehlungen„, das im EfWeHa-Verlag erschienen ist. Es enthält auch ausführliche Informationen zum Urteil und meine Zusammenfassung des Urteils. Weitere Informationen zu diesem eBook (mit Inhaltsverzeichnis, kurzer Leserobe) und die Bestellmöglichkeit finden Sie unter https://efweha-verlag.de/bd50
(ISBN 978-3-95546-050-1, eBook (PDF-Datei), 36 Seiten DIN A5, 4,90 €)

[Update 30.11.2019] Stellungnahmen der Datenschutz-Aufsichtsbehörden zum EuGH „Cookie-Urteil“ („Planet49-Urteil)

Nachfolgend ist jeweils die Pressmitteilung (Webseite oder PDF-Datei, je nach Angebot) zum „Cookie-Urteil (bzw. „Planet49-Urteil“ verlinkt. Die Links öffnen sich beim Anklicken in einem neuen Tab oder Fenster.

Im Mai 2019 hat die Deutsche Datenschutzkonferenz eine – auf Grund von der Rückmeldungen aus einem Konsultationsverfahren überarbeitete Version der im April 2018 erstmals herausgegebenen „Orientierungshilfe für Anbieter von Telemedien“ veröffentlicht. Diese beschäftigt sich ebenfalls mit der mangelhaften Umsetzung der im Jahr 2009 erfolgten Änderungen in deutsches Recht und der Erforderlichkeit von Einwilligungen für Cookies, die dem Werbetracking dienen. [/Update]

Veröffentlicht unter DSGVO-Allgemein, E-Privacy, EuGH, Urteile | Verschlagwortet mit Cookie, Cookie-Urteil, Datenschutz-Aufsichtsbehörden, Datenschutzkonferenz, Einwilligung, eprivacy, ePrivRL, ePrivVO, EuGH, EuGH-Urteil, Planet49, Planet49-Urteil, Website | Kommentare deaktiviert

Bundesdatenschutzgesetz (BDSG) mit den aktuellen Änderungen veröffentlicht

Publiziert am 26. September 2019 von Werner Hülsmann

Wie in meinem Newsletter vom 25. September 2019 beschrieben, hat der Bundestag dass 2. Datenschutzanspassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) am 27. Juni 2019 beschlossen und der Bundesrat am 20. September 2019 dem Gesetz zugestimmt.

Damit tritt nach Unterschrift durch den Bundespräsidenten und Veröffentlichung im Bundesgesetzblatt die Änderung des Bundesdatenschutzgesetztes (BDSG) durch Art. 12 des 2 .DSAnpUG-EU am Tag nach der Verkündung in Kraft.

Hier finden Sie bereits jetzt die geänderte Fassung des BDSG: BDSG-2019-09-20.pdf

Die Seite zum neuen BDSG (https://dsgvo.expert/BDSG-neu) wurde auch entsprechend aktualisiert.

[Update 27.09.2019] Auch die Synopse mit den Artikeln der DSGVO, de Erwägungsgründen und den Paragraphen des BDSG wurde aktualisiert:
https://efweha-verlag.de/bd41 [/Update]

Veröffentlicht unter Anpassung in Deutschland, BDSG-neu, Broschüre, Material | Kommentare deaktiviert

Änderung des BDSG und anderer Gesetze – Aus 10 wird 20

Publiziert am 18. Juli 2019 von Werner Hülsmann

Deutsche Regelung zur Benennungspflicht für betriebliche Datenschutzbeauftragte wird geändert

Das 2. DSAnpUG-EU (Datenschutz-Anpussungs-und Umsetzungsgesetz EU) wurde ebenso wie das DSUmsAnpG-EU (Datenschutz-Umsetzungs- und Anpassungsgesetz EU) am 27. Juni 2019 vom Bundestag in der Fassung der Ausschussempfehlungen verabschiedet (vgl. Link zum Bundestagsasusschuss). Mit diesen Gesetzen werden neben dem am 25. Mai 2018 in Kraft getretenen neuen Bundesdatenschutzgesetz (BDSG) viele weitere Gesetze an die EU-Datenschutz-Grundverordnung (DSGVO) angepasst. Des weiteren werden viele Gesetze zur Umsetzung der sogenannte EU-JI-Richtlinie (Richtlinie (EU) 2016/680, PDF-Datei) geändert.

Beide Gesetze bedürfen aber noch der Zustimmung des Bundesrates. Es ist allerdings davion auszugehen, dass dies nur noch eine Formsache ist. Die nächste Sitzung des Bundesrates ist nach der aktuellen Planung erst am 20. September 2019.

Änderung des § 38 BDSG

Eine wesentliche Änderung ist die Änderung des § 38 BDSG. Hierzu heißt es in der vom Bundestag beschlossenen Fassung:
„In § 38 Absatz 1 Satz 1 wird das Wort „zehn“ durch die Angabe „20“ ersetzt.“

In der Begründung der Ausschussempfehlung des Bundestagssausschusses für Inneres und Heimat zum 2. DSAnpUG-EUheißt es hierzu lapidar:
„In § 38 Absatz 1 Satz 1 wird die maßgebliche Personenzahl, ab der ein betrieblicher Datenschutzbeauftragter zu benennen ist, von 10 auf 20 angehoben. Angestrebt wird damit vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine.“
Dabei wird verkannt, dass auch ohne Pflicht zur Benennung einer oder eines betrieblichen Datenschutzbeauftragten alle Umsetzungsaufgaben nach wie vor zu erledigen sind, auch von KMU und Vereinen. Es gibt ohne betrieblichen Datenschutbeauftragte in diesen Unternehmen und Vereinen meist niemanden mehr, der die zur effizienten Umsetzung erforderlich Fachkunde hat. Im Endeffekkt wird sich hier vermutlich der Aufwand für die betroffenen Unternehmen und Vereine eher erhöhen.

Die weiteren Schritte sind: Zustimmung des Bundesrates, Unterzeichnung durch den Bundespräsidenten und Verkündung im Bundesgesetzblatt. Ab dem Tag nach der Verkündung (Inkrafttreten des 2. DSAnpUG-EU) lautet der § 38 BDSG dann

„(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens ~~zehn~~ 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.“

Für alle betrieblichen Datenschutzbeauftragten, die in Betrieben, Vereinen oder anderen Einrichtungen benannt sind, die nicht mehr unter die Benennungspflicht fallen, fällt damit auch von einem Tag auf den anderen der Kündigungsschutz aus § 6 Absatz 4 BDSG fort.

Veröffentlicht unter Anpassung in Deutschland, BDSG-neu, Beschäftigtendatenschutz, DSGVO-Allgemein | Kommentare deaktiviert

Konsequenzen aus dem Facebook-Fanpages-Urteil des EuGH

Publiziert am 4. Juli 2018 von Werner Hülsmann

„Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich“

so überschreibt der EuGH in der Pressemitteilung zu seinem Urteil zur Verantwortlichkeit für die Facebook-Fanpages (vgl. meinen Linksammlung zu diesem Urteil vom 07. Juni 2018).

Konsequenzen?

[Update vom 05.09.2018] „Beschluss der dt. Datenschutzkonferenz (DSK) zu Facebook Fanpages: 2018-DSK-Facebook_Fanpages.pdf vom 05. September 2018 – Zitat: „Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.“ [/Update]

Aus meiner Sicht ist für die Frage der datenschutzrechlichen Zulässigkeit des Weiterbetriebs von Facebookfanpages insbesondere die Entschließung der Konferenz der
unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 6. Juni 2018 mit dem Titel „Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern“ (hier auch als PDF-Datei) relevant.

Dort steht u.a.

„Im Einzelnen ist Folgendes zu beachten:

Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.
Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.
Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.
Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.“

Erst wenn diese vier Bedingungen erfüllt sind – was derzeit m.E. derzeit allerdings nicht möglich ist – ist ein datenschutzkonformer Betrieb von Facebook-Fanpages wieder möglich. Ich verstehe nicht, warum Facebook hier bislang noch nicht reagiert hat und die entsprechenden Informationen und Vereinbarungen bereit gestellt hat.

Daher kann meine Empfehlung nur sein, die Facebook-Fanpage solange zu deaktivieren, bis Facebook zum einen die Vereinbarung für die gemeinsame Verantwortung (gemäß Art. 26 DSGVO) anbietet und die erforderlichen Informationen zur Erfüllung der Informationspflichten aus Art. 13 und 14 bereit stellt.

Hinweis: Das Urteil und weitere Informationen finden Sie unter https://dsgvo.expert/EuGHFBFP

Veröffentlicht unter DSGVO-Allgemein, E-Privacy, EuGH, Urteile | Verschlagwortet mit Beschluß, Datenschutzkonferenz, DSGVO, DSK, Entschleißung, EuGH, EuGH-Urteil, Facebook, Fanpages, gemeinsam Verantwortliche, Urteil | Kommentare deaktiviert

EuGH-Urteil zu Facebook-Fanpages – Linksammlung

Publiziert am 7. Juni 2018 von Werner Hülsmann

Am 05. Juni 2018 wurde das EuGH-Urteil zur Verantwortung der Betreiber von Facebook-Fanpages veröffentlicht:

„Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich“

so titelt der EuGH selbst in seiner Pressemitteilung zu seinem Urteil. In der Pressemiteilung wird u.a. ausgeführt:

"Nach Ansicht des Gerichtshofs kann der Umstand, dass ein 
Betreiber einer Fanpage die von Facebook eingerichtete Platt-
form nutzt, um die dazugehörigen Dienstleistungen in Anspruch 
zu nehmen, diesen nicht von der Beachtung seiner Verpflich-
tungen im Bereich des Schutzes personenbezogener Daten be-
freien."

Anstelle einer inhaltlichen Bewertung finden Sie hier eine Reihe von externen Links zu diesem Urteil (Links ohne Datum wurden vom 05. – 07. Juni eingestellt):

Europäischer Gerichtshof:

Pressemitteilung des EuGH als PDF-Datei: cp180081de.pdf
Übersichtsseite des EuGH zum Urteil:
http://curia.europa.eu/juris/documents.jsf?num=C-210/16
Das Urteil auf der Website des EuGH
Das Urteil als PDF-Datei: CELEX_62016CJ0210_DE_TXT.pdf

Datenschutzaufsichtsbehörden

16.11.2018: Prüfung des Betriebs von Facebook-Fanpages eröffnet
- Pressemitteilung: 20181116-PM-Fanpages.pdf
- Fragenkatalog im Anhörungsverfahren: 2018-BlnBDI-Fragenkatalog_Fanpages.pdf
Beschluss der dt. Datenschutzkonferenz (DSK) zu Facebook Fanpages: 2018-DSK-Facebook_Fanpages.pdf vom 05. September 2018 – Zitat: „Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.“
Entschließung der deutschen Datenschutzkonferenz: „Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern„ und hier als PDF-Datei: 095-096_Facebook-Fanpage.pdf
Pressemitteilung der Landesbeauftragten für den Datenschutz Bayern und Schleswig-Holstein: „Europäischer Gerichtshof bestätigt die Auffassung deutscher Datenschutzaufsichtsbehörden: Betreiber von Facebook-Fanpages können für Datenverarbeitungen von Facebook (mit)verantwortlich sein“ und hier als PDF-Datei: 20180605_ULD_PM_EuGH-Entscheidung-Fanpages.pdf
- Näheres zur Entscheidung des BVerwG und den Vorlagefragen an den EuGH
- Weitere Informationen zum Hintergrund
ULD Schleswig-Holstein: „Handlungsbedarf für Facebook-Fanpage-Betreiber, Handlungsbedarf für Facebook„ (08.06.2017)
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: „EuGH nimmt Betreiber von Facebook-Fanpages in die Verantwortung“
Hamburger Beauftragter für Datenschutz und Informationsfreiheit: „EuGH bestätigt die Datenschutzbehörden in Schleswig Holstein und Hamburg gegenüber Facebook und Fanpage-Betreibern“

Weitere (externe) Links

Berufsverband der Datenschutzbeauftragten Deutschlands: „EuGH stellt Facebook-Fanpage-Betreiber vor neue Herausforderungen“
Heise-Newsticker: „EuGH: Betreiber von Facebook-Fanseiten sind für Datenschutz mitverantwortlich“
Heise-Newsticker: „Analyse zum EuGH-Urteil: Kein Grund, Facebook-Seiten zu schließen“
CR-online.de: „Fanpage-Urteil des EuGH – 10 Fragen, 10 Antworten : Good bye Auftragsverarbeitung, welcome ‚gemeinsame Verantwortlichkeit'“
Dierks Digital-Recht: „Facebook-Seitenbetreiber und Facebook sind gemeinsam für die Datenverarbeitung verantwortlich – EuGH C-210/16 – Und nun?“
Dierks Digital-Recht: „Update: Entschließung der DSK zum EuGH-Urteil C-210/16 im Hinblick auf eine gemeinsame Verantwortung von Facebook und Seitenbetreibern – Spoiler: Sie müssen was tun“
MEEDIA: “’Abschalten der Fanpages derzeit einzige rechtskonforme Lösung‘: Was der Anwalt zum EuGH-Facebook-Urteil sagt“
Recht 2.0: „EuGH Urteil: Facebook Fanpagebetreiber sind mitverantwortlich für Datenverarbeitung auf Facebook ! Und jetzt ?“
Recht 2.0: „Datenschutzbehörden nehmen Stellung zum Fanpage Urteil des EuGH und erweitern Anforderungen an Facebookseiten ganz erheblich“
allfacebook.de: „EUGH Urteil: Müssen nun alle Facebook-Seiten geschlossen werden?“
De lege Data: „Facebook Fanpages: Datenschutzbehörden veröffentlichen (leider nur vage) Handlungsempfehlungen für Unternehmen – Was ist nun zu tun?“
von Boetticher Rechtsanwälte: „Rechtsanwalt: Nach EuGH-Urteil die eigene Website auf Dritt-Inhalte überprüfen“
wbs-law.de: „Sind Facebook-Fanpages nun illegal? EuGH hat entschieden – RA Solmecke erläutert den Fall“
Versuch der Beantwortung des Fragebogens der Berliner Beauftragten für Datenschutz und Informationsfreiheit (s.o.) von Marc Dauenhauer und Ausführungen zum Facebook Local Storage

Veröffentlicht unter DSGVO-Allgemein, E-Privacy, EuGH, Pressemitteilung, Urteile | Verschlagwortet mit Art 26, Datenschutzkonferenz, DSK, EuGH, Facebook, Fanpages, Handlungsbedarf, Linksammlung, rechtswidrig, Urteil, Verantwortung, Vertrag | Ein Kommentar

Aktueller Stand der EU-ePrivacy-Verordnung (ePrivVO)

Publiziert am 8. Mai 2018 von Werner Hülsmann

Zum Entwurf der EU-ePrivacy-Verordnung gibt es leider wenig Neues gegenüber meinen letzten Beitrag zum Thema :

Der Ministerrat hat seine Stellungnahme noch immer nicht abschließend beschlossen. Der bisherige Verlauf:
- 09. Juni 2017: Erste Behandlung im Ministerrat
- 08. September 2017: Entwurf der Änderungsvorschläge des Ministerrates (vgl. http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_11995_2017_INIT&qid=1505069080801&from=EN)
- 06. Oktober 2017: Abgestimmte Fassung der Änderungsvorschläge zu den Artikeln 1 – 5 (und der entsprechenden Erwägungsgründen) (vgl. http://data.consilium.europa.eu/doc/document/ST-12955-2017-INIT/EN/pdf)

04. Mai 2018: Es gibt nun einen neuen Stand der ePrivacy-Verhandlungen im EU-Ministerrat. Dieses Dokument enthält nun die Stellungnahme zu allen Erwägungsgründen und Artikeln des Kommissionsentwurfs:
http://data.consilium.europa.eu/doc/document/ST-8537-2018-INIT/en/pdf

Nun erscheint es möglich, dass die Stellungnahme des Rates noch im zweiten oder dritten Quartal erfolgt und die anschließenden Trilog-Verhandlungen noch dieses Jahr abgeschlossen werden können.
Das Gültigwerden wäre aber auch dann erst für Ende 2019 oder Anfang 2020 zu erwarten, da sowohl die Stellungnahme des EU-Parlaments als auch der Entwurf der Rats-Stellungnahme eine Übergangsfrist von einem Jahr vorsehen.

Veröffentlicht unter E-Privacy | Verschlagwortet mit Entwurf, ePRivacyVO, EU-Parlament, Ministerrat, Trilog, Übergangsfrist | Kommentare deaktiviert

Warum es sinnvoller ist, die DSGVO umzusetzen anstatt sich über diese aufzuregen.

Publiziert am 8. Mai 2018 von Werner Hülsmann

Da es ja immer wieder diese Diskussion gibt, wie schlimm die DSGVO gerade für EinzelunternehmerInnen, Kleinst- und Kleine Unternehmen ist, zitiere ich hier meine Mail, die ich heute auf einer Mailingliste geschrieben hatte.

Die Zeilen mit „>>“ am Anfang hat Jan Philipp Albrecht, der Berichterstatter zum DSGVO-Entwurf des LIBE-Ausschuß geschrieben. Er hatte auch noch auf folgenden Link verwiesen: http://www.rechtzweinull.de/archives/2558-mein-erster-dgsvo-rant-zu-viele-mythen-und-gefaehrliches-halbwissen-zum-neuen-europaeischen-datenschutzrecht.html. Die Zeilen mit „>“ am Anfang sind aus der Antwort auf Jan Philipp Albrechts Beitrag. Die anderen Zeilen sind mein Text. „(…)“ ist ein Zeichen dafür, dass ich in meiner Antwort Teile des Beitrags, auf den ich antworte herausgekürzt habe. 🙂

„Hallo,

Am 08.05.2018 um 14:21 schrieb *************:

>> Für die allermeisten Unternehmen, Vereine und Einzelpersonen, die
>> Daten von anderen digitalisiert verarbeiten, gilt: Wer sich bisher
>> an das deutsche Datenschutzrecht gehalten hat, wird auch unter
>> der Datenschutz-Grundverordnung nichts zu befürchten haben.

Diese Aussage von Jan [Philipp Albrecht] kann ich uneingeschränkt bestätigen.

(…)

> 1) Eigentlich wartet die ganze Branche nur darauf, dass es dicke
> Abmahnwelle auf alle zu rollt. Das mag nach einem
> Nebenkriegsschauplatz klingen und hat nicht direkt etwas mit der
> Verordnung selbst zu tun.

Es könnte tatsächlich die eine oder andere Abmahnung mehr geben, aber
vermutlich keine Abmahnwelle. Zum einen kann ja nur das abgemahnt
werden, was öffentlich sichtbar ist. Und zum Anderen muss der
Abmahnende, der einen Anwalt beauftragt, sicher sein, dass er selbst
nicht angreifbar ist.

> 2) Kleine Unternehmen ohne eigene Rechtsabteilung stehen vor dem
> Problem zu jeder Frage eine externe Rechtsberatung einholen müssen.

Zum einen dürften in einem kleinen Unternehmen nicht alle Nase lang
datenschutzrechtliche Fragestellungen auftauchen. Sollte das doch der
Fall sein. würde es sich anbieten evtl. auch ohne gesetzliche
Verpflichtung einen Datenschutzbeauftragten zu bestellen. Zum anderen
bedarf es für Datenschutzfragen nicht immer einer Rechtsberatung. Da
reicht meist eine Datenschutzberatung.

> Wenn in einem Projekt die unterschiedlichsten Freiberufler und Firmen
> involviert werden kommt da gleich mal für einen einzelnen Aspekt ein
> Kostenvoranschlag von 2000 Euro von der Anwaltskanzlei ins Haus.

Wenn ich ehrlich bin, kann ich mir keinen solchen einzelnen Aspekt
vorstellen, der einen Beratungsaufwand von ca. 1,5 Tagen bedingen würde.

> Eine Firma die in 20 verschiedenen Projekten aktiv ist steht hier
> schnell vor kaum zu stemmenden Herausforderungen. Nicht umsonst sind
> die Fachanwälte gerade sehr gut ausgelastet und die Preise schnellen
> in die Höhe.

S.o.: hier wäre der eigene Datenschutzbeauftragte sicher hilfreich.

> 3) Viele Unternehmen befürchten, dass eine große Anzahl von Kunden
> oder auch böswilligen Konkurrenzen nach der DSGVO Auskünfte einholt
> und sich anschließend über die erhaltene Antwort bei einer
> Aufsichtsbehörde beschweren.

Unternehmen, die nicht selbst natürliche Personen sind, können keine
Auskünfte einholen. Und wenn die Auskünfte an die betroffene Person
korrekt erteilt werden, gibt es auch keinen Grund zur Beschwerde.
Auskunftsersuchen waren auch bislang schon möglich (es gibt seit 1977
ein Bundesdatenschutzgesetz).

> In welchem Umfang dann Beweispflichten auf die Unternehmen zukommen
> und welche Arbeitsbelastung dadurch entsteht lässt sich aus Sicht der
> Betroffenen kaum kalkulieren.

Hier kann ich nur sagen: Hier galt es bereits jetzt, dass ich die
Erteilung von Auskünften zu dokumentieren hatte.

(…)

> Ich halte es für eine wichtige Information in dieser Debatte, dass
> im Alltag ganz viele Menschen die sich bisher zu 100% an das
> deutsche Datenschutzrecht halten enorme Zusatzbelastung zu stemmen
> haben werden und mit großer Unsicherheit konfrontiert sind.

Zum einen hat sich niemand zu 100 % an das bisherige Datenschutzrecht
gehalten. Zum anderen gilt, dass EinzelunternehmerInnen,
Gewerbetreibende, Selbständige, FreiberuflerInnen, Unternehmen, Vereine
und andere Institutionen, die sich zu 90 % und mehr an das bisherige
Datenschutzrecht gehalten haben, einen überschaubaren Aufwand zur
Umsetzung der DSGVO haben, denn sie zudem auch noch über zwei Jahre
verteilen konnen.

> Gleichzeitig werden sie am Ende aber keinen einzigen Datensatz anders
> behandeln werden wie vorher.

Wenn dem so wäre, wäre der Aufwand sogar marginal. Die meisten
Unternehmen, die ich als externer Datenschutzbeauftragte betreue, nehmen
an der einen oder anderen Stelle schon Änderungen vor.

> Ich kenne einige Beispiel bei denen sich Einzelunternehmer oder KMU
> schon aus Tätigkeitsfeldern zurückziehen weil sie die Kosten für die
> Rechtsberatung nicht lohnen oder die Unsicherheiten zu groß sind.

Das müssen dann aber Tätigkeitsfelder sein, die bereits nach dem
derzeitigen Datenschutzrecht kritisch zu bewerten sind oder Unternehmen,
die sich die letzten 10 Jahr oder länger nicht um den Datenschutz
gekümmert haben. Leider ist letzteres bei vielen Unternehmen der Fall, wie ich aus den diversen Anfragen immer wieder mitbekomme. Ein konkretes Beispiel: Ein Verlag, der seit mindestens 15 Jahren eine/n Datenschutzbeauftragten hätte bestellen müssen, hat dies nicht getan. Als ich dann eine Datenschutzbestandsaufnahme durchführte kam tatsächlich für die externen ToDos ein Aufwand in Höhe von etwa 10.000 € zusammen. Allerdings wäre der Aufwand zur Umsetzung des derzeitigen BDSG auch mindestens 8.000 € gewesen. Sprich: Jetzt ist ein Aufwand zu bewältigen, der mit den in den letzten 15 Jahren eingesparten Kosten leicht finanziert werden könnte.

So gibt es ja diverse Materialien, mit denen gerade KMU die Anpassung an die DSGVO vornehmen können
(vgl. https://dsgvo.expert/Mat-KMU).

> Meine Bitte ist, dass ihr diese Sorgen auch ernst nehmt.
Die Sorgen ja, deshalb gibt es ja vielfältige Informationen und Materialien. Aber für das Gejammer der Firmen, die sich die letzten x Jahre in keinster Weise um den Datenschutz gekümmert haben und jetzt feststellen, dass sie einiges zu tun haben, habe ich kein Verständnis. Diesen Firmen kann ich nur empfehlen: Aufhören zu jammern, in die Hände spucken und mit der Umsetzung loslegen. Ein 10-Punkte-Plan findet sich u.a. in meinem Handout zum Webinar „5½ Wochen oder ‚Auf der Zielgeraden der DSGVO – Was Sie jetzt noch tun können'“ (zu finden als PDF-Datei unter https://dsgvo.expert/20180416).

Und wenn nur die Hälfte der Energie, die mit der Verbreitung von Halbwissen und dem Schüren von Ängsten zur DSGVO, verbracht wird, von den Leuten für die Verbreitung von sachlichen Informationen genutzt würde, wären gerade die EinzelunternehmerInnen und KMU viel weiter.

Freundliche Grüße,

Werner Hülsmann“

Veröffentlicht unter DSGVO-Allgemein, Umsetzung | Verschlagwortet mit DSGVO, Einzelunternehmen, kleine Unternehmen, Kleinstunternehmen, KMU, Umsetzung | Kommentare deaktiviert

PM von absolit: Deutsche Unternehmen stolpern in die DSGVO

Publiziert am 20. April 2018 von Werner Hülsmann

Nachfolgend dokumentiere ich eine Pressemitteilung von absolit Dr. Schwarz Consulting zu einer Studie, die absolit in Zusammenarbeit mit eco – Verband der Internetwirtschaft erstellt hat: Weiterlesen →

Veröffentlicht unter DSGVO-Allgemein, Pressemitteilung, Umsetzung | Verschlagwortet mit E-Mail, Pressemitteilung, Profiling, Umsetzung. Marketing, Unternehmen | Kommentare deaktiviert

5½ Wochen oder „Auf der Zielgeraden der DSGVO – Was Sie jetzt noch tun können“

Publiziert am 17. April 2018 von Werner Hülsmann

Gestern habe ich bei der bizcon AG ein Webinar gehalten zum Thema „5½ Wochen oder ‚Auf der Zielgeraden der DSGVO – Was Sie jetzt noch tun können‘„. Mein Handout zu diesem Webinar finden Sie unter https://dsgvo.expert/20180416. Weiterlesen →

Veröffentlicht unter DSGVO-Allgemein, Material, Vortrag | Verschlagwortet mit DSGVO, EU, EU-Datenschutzgrundverordnung, Europäische Union, Europäischer Wirtschaftsraum, EWR, Hinweise, Materialien, Stiftung, Tipps, Umsetzung, Unternehmen, Verein | Kommentare deaktiviert

DSGVO.guru verlinkt auf Datenschutz-Guru wg. 22 Muster für Verarbeitungstätigkeitsbeschreibungen :-)

Publiziert am 4. April 2018 von Werner Hülsmann

Hallo,

auf der Website Datenschutz-Guru (der Betreiber nennt seine Website wirklich so 🙂 ) wurden 22 Muster für Verarbeitungstätigkeitsbeschreibungen bereit gestellt. Der Link hierzu findet sich – wie Links zu weiteren Materialien zum Verzeichnis von Verarbeitungstätigkeiten – auf meiner Seite mit den Materialien zum Verzeichnis von Verarbeitungstätigkeiten. Diese ist zu finden unter: https://dsgvo.expert/MatV3T oder unter www.vvvt.de

Es grüßt Ihr

„DSGVO.Guru“

Veröffentlicht unter DSGVO-Allgemein, Material, Umsetzung | Verschlagwortet mit DSGVO Guru, V3T, Verarbeitungstätigkeit, Verarbeitungstätigkeitsbeschreibung, Verzeichnis, Verzeichnis von Verarbeitungstätigkeiten, VVVT | Kommentare deaktiviert

DSGVO – Expertenwissen für die Praxis

Bundesdatenschutzgesetz (BDSG) mit den aktuellen Änderungen veröffentlicht

Änderung des BDSG und anderer Gesetze – Aus 10 wird 20

Deutsche Regelung zur Benennungspflicht für betriebliche Datenschutzbeauftragte wird geändert

Änderung des § 38 BDSG

Konsequenzen aus dem Facebook-Fanpages-Urteil des EuGH

„Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich“

Konsequenzen?

EuGH-Urteil zu Facebook-Fanpages – Linksammlung

„Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich“

Europäischer Gerichtshof:

Datenschutzaufsichtsbehörden

Weitere (externe) Links

Aktueller Stand der EU-ePrivacy-Verordnung (ePrivVO)

Warum es sinnvoller ist, die DSGVO umzusetzen anstatt sich über diese aufzuregen.

PM von absolit: Deutsche Unternehmen stolpern in die DSGVO

5½ Wochen oder „Auf der Zielgeraden der DSGVO – Was Sie jetzt noch tun können“

DSGVO.guru verlinkt auf Datenschutz-Guru wg. 22 Muster für Verarbeitungstätigkeitsbeschreibungen :-)

Formales

Werbung: Wechseln Sie jetzt zu Naturstrom

Eigenwerbung

Aktuelles

Newsletter abonnieren

Seitenübersicht

Beliebte Beiträge

Beliebte Seiten

Empfehlenswerte Links