#40 - E-Mail-Ver-🔑-ung

Nein, unsere Tastatur ist nicht defekt... 😉 Wir haben hier einfach nur alles, was es so an neuen Gesetzen gibt, aneinandergereiht. Es geht um BDSG, DDG, TDDDG. Eigentlich geht es auch noch gar nicht um neue Gesetze, sondern um entsprechende Entwürfe, die noch abgestimmt und irgendwann im nächsten Jahr verabschiedet werden sollen. Und was hat das Ganze mit datenschutzgesetze.eu zu tun? Kleiner Spoiler: Wenn Ihr regelmäßig Datenschutzgesetze im Internet recherchiert, dann seid Ihr hier genau richtig.

Viel diskutiert, lange darauf gewartet oder vielleicht auch gehofft, dass es nicht kommen wird. Wir haben wieder einen Angemessenheitsbeschluss, der den USA bescheinigt, ein der EU vergleichbares Datenschutzniveau zu haben. Übermittlungen personenbezogener Daten in die EU sollten also künftig wieder einfacher werden. Vorbei sind die Zeiten von TIAs und Risikobewertungen. Und jetzt ist alles gut? Haben wir jetzt ein vergleichbares Schutzniveau in den USA? Naja, zunächst einmal haben wir wieder einen Mechanismus, nach dem Unternehmen sich freiwillig zur Einhaltung bestimmter Maßnahmen verpflichten. Soweit nichts Neues. Darüber hinaus wurden die US-Behörden, was die massenhafte Überwachung angeht, so richtig stark an die Leine genommen... 😮 Während der Umfang der Überwachung bisher "maßgeschneidert" sein musste, darf jetzt nur noch überwacht werden, sofern dies "verhältnismäßig" und "notwendig" ist. Merkt Ihr den krassen Unterschied? Wir tun uns hier ehrlich gesagt etwas schwer. Das Ganze klingt eher nach altem Wein in neuen Schläuchen. Wir sind auch davon überzeugt, dass die US Geheimdienste auch bislang - in deren eigener Wahrnehmung - nur dann überwacht haben, wenn sie dies für verhältnismäßig und notwendig erachtet haben. Es gibt aber auch Positives zu berichten. Rechtsbehelfe sind nun möglich. Der Data Protection Review Court macht es möglich. Und noch etwas Positives gibt es: Unsere Beratungstätigkeit wird deutlich einfacher.... 😀

Und wieder haben wir ein aktuelles Urteil, das uns eine weitere Folge unseres Podcasts wert ist. Diesmal ist es zwar kein Urteil des EuGH, sondern "nur" dasjenige eines Verwaltungsgerichts. Dafür ist das Thema umso interessanter. Es ging in dem Verfahren darum, wie lange die Aufnahmen einer Videoüberwachung einer SB-Tankstelle gespeichert werden dürfen. Das Ergebnis des Urteils haben wir mit dem Titel dieser Folge ja schon verraten 😉😉. Aber was waren die Argumente, die das Gericht zu dieser Ansicht haben kommen lassen. Und ist dieses Urteil nun generell auf andere Videoüberwachungen anderer Tankstellen oder auch ganz anderer Einsatzbereiche übertragbar? Und was ist mit den 10 Tagen Speicherzeit, die ein anderes Gericht mal zugesprochen hatte? Über das Urteil kann man also sicherlich unterschiedlicher Auffassung sein. Und übrigens - kleiner Spoiler: Auch wir waren uns hier nicht immer einig, weshalb wir in dieser Podcastfolge kontrovers diskutieren... 🧨💣💣🤬

Eine weitere Frage, die seit langem in der Datenschutzwelt herumgeistert, wurde durch den EuGH geklärt. Wird eine Verarbeitung schon alleine dadurch unrechtmäßig, dass irgendeine Vorschrift der DSGVO nicht beachtet wurde?

Unsere letzte Folge ist schon ungefähr zwei Monate her. Wenig Neues aus der Datenschutzwelt und Urlaub 🏖🏖 waren die Gründe. Aber jetzt rufen zwei aktuelle Urteile des EuGH geradezu danach, in die Welt getragen zu werden... 😀😀 Beim ersten Urteil ging es um zwei bislang ungeklärte Fragen zum Thema Schadenersatz. Das zweite Urteil stellen wir dann in der nächsten Folge vor. Coming soon.. 🎵🎵

Nein, das sind nicht die nächsten Lottozahlen... 😀 Die Zahlen beziehen sich auf die Artikel und Paragraphen verschiedener Gesetze und Verordnungen, die von einer aktuellen Entscheidung des EuGH betroffen sind. Und mit "Honks" wollten wir nicht die Richter am EuGH beleidigen, sondern uns selbst bezeichnen. Hää...?!? - Warum das? Weil wir mehrere Tage gebraucht haben, bis uns ein Licht aufging und wir merkten, dass das unbedingt ein Thema für eine neue Podcast-Folge ist... 😮😮😮😮 Eine auf den ersten Blick recht unwichtige Entscheidung des EuGH zum hessischen Landesdatenschutzgesetz könnte nämlich enorme Auswirkungen aus jegliche Verarbeitung im Beschäftigungskontext haben. Wir meinen, das ist auf jeden Fall mal wieder eine neue Folge unseres Podcasts wert.... Viel Spaß beim hören... 🎵🎶📣📣🎶🙉

Nein, unsere Tastatur ist nicht defekt... ⌨🔨 Wir wollten tatsächlich EDSA und TADPF schreiben. Lediglich das Leerzeichen ist uns abhanden gekommen und sorgt für den enorm eingänglichen Titel dieser Folge... 😉😉 Wie übrigens in unserer letzten Folge angekündigt: Wir beschränken uns künftig darauf, Folgen nur dann zu veröffentlichen, wenn es auch wirklich etwas Neues gibt. Und ja, nun gibt etwas interessantes zu berichten. Und somit kommen wir übrigens auch wieder zu unserer Überschrift. Der EDSA ist der Europäische Datenschutzausschuss und der hat sich zum TADPF - also dem Trans-Atlantic Data Privacy Framework - geäußert. Unsere regelmäßigen Hörer wissen, was gemeint ist. Es geht um den geplanten Angemessenheitsbeschluss der Europäischen Kommission, der die Drittlandübermittlung in die USA künftig deutlich erleichtern soll. Und diese Stellungnahme des EDSA ist nun der nächste Schritt, der auf dem Weg zu dem geplanten Angemessenheitsbeschluss zu gehen war. Und was ebenfalls positiv ist: Der EDSA fand zwar nicht alles super, was die Kommission da demnächst beschließen soll. Aber so richtig schlecht findet er es wohl auch nicht. Die Zeichen verdichten sich also, dass hier demnächst eine positive Nachricht kommen könnte. Aber mehr wird hier nicht verraten - sondern Ihr könnt es in dieser Folge unseres Podcasts - Nichts zu verbergen - Das Datenschutz-Kaffeekränzchen erfahren.

60 Folgen - über 2 Jahre - alle zwei Wochen Donnerstags - so lange läuft unser Podcast - Nichts zu verbergen - Das Datenschutz-Kaffeekränzchen nun schon. Wir denken, das ist ein Feuerwerk wert... 🎆🎇🧨🎇🎆🎆🎆 Es hat viel Spaß gemacht - und besonders gefreut haben uns natürlich unsere zahlreichen Abonnent:innen und die vielen Feedbacks, die wir regelmäßig bekommen haben. Und wir finden, das ist auch eine gute Gelegenheit, mal darüber nachzudenken, was gut war, was vielleicht nicht so gut war und vor allem, was wir noch besser machen können. Und ganz ehrlich: Nachdem wir nun 60 Folgen lang über aktuelles aber auch die Regelungen der DSGVO rauf und runter diskutiert haben, gehen uns auch ein bisschen die Themen aus. Daher haben wir folgendes entschieden: **1. Wir werden AKTUELLER:** Es gibt künftig keinen festen "Sendetag" mehr. Das hat den Vorteil, dass wir kurzfristig reagieren können, wenn etwas Besonderes passiert. Wenn also mal wieder irgendwelche wildgewordenen Rechtsanwält:innen die halbe Republik mit ihren Bettelbriefen drangsalieren, dann müssen wir nicht erst warten, bis wieder der 2. Donnerstag ist, sondern wir setzen uns sofort ans Mikro und legen los. **2. Es wird SPANNENDER:** Wir senden künftig in unregelmäßigen Abständen. Also dann, wenn es wirklich etwas gibt, was wir Euch mitteilen möchten. Eben weil es wirklich eine Neuigkeit ist, zu der es was zu diskutieren gibt. Und nicht, weil morgen Donnerstag ist und wir uns ein Thema ausdenken müssen. **3. Wir erscheinen SELTENER:** Ja, "aktueller" und "spannender" bedeutet auch, dass unsere Folgen insgesamt seltener erscheinen. Eben nur dann, wenn es auch wirklich was zu sagen gibt...😀 Wir freuen uns auf das neue Format! Wir hoffen, Ihr auch...😀😀😀

An mehreren Stellen taucht in der DSGVO der Begriff "gelegentlich" auf. In allen Fällen geht es um Verarbeitungen. Erfolgen diese lediglich "gelegentlich" dann entfällt entweder eine lästige Pflicht (z.B. zum Führen des Verzeichnisses von Verarbeitungstätigkeiten) oder etwas ist erlaubt (z.B. die Übermittlung in ein Drittland), man bekommt also eine Erleichterung. Und schon geht der Ärger los...🧨👿 Was ist gelegentlich" Wie oft darf eine Verarbeitung erfolgen, damit sie noch als gelegentlich gilt? Die Interessenlage ist klar. Die Aufsichtsbehörden sehen die Sachlage erwartungsgemäß sehr streng. So richtig viel geht da nicht als "gelegentlich" durch... 😀 Und für die Unternehmen geht es um Erleichterungen, die da in Aussicht gestellt werden. Und schon finden wir uns in der Beratungspraxis in der Situation wieder, dass wir plötzlich gut begründen müssen, warum das Online-Bewerbungsmanagementsystem, das 24/7 zur Verfügung steht und über das eigentlich immer zahlreiche Stellen gleichzeitig ausgeschrieben werden, nicht mehr als gelegentlich durchgeführte Verarbeitung zählen kann...😓😓 Und wo liegt nun die Wahrheit? Naja - wie immer - irgendwo in der Mitte....

Immer wieder hören wir in unserer Beratungspraxis Fragen wie "Was spricht eigentlich dagegen, unseren Kunden eine E-Mail zu Werbezwecken zu senden?" oder "Was spricht eigentlich dagegen, unser Firmengelände mit Video 📹 zu überwachen. Aus Kundensicht ist das natürlich sehr verständlich, denn man empfindet die DSGVO ja meist als "Verbotsgesetz". Man meint mit der Frage also im Prinzip: "Wo steht denn, ob eine bestimmte Verarbeitung verboten ist?" Und natürlich ist es ja auch richtig, wenn unsere Kunden uns vorher fragen - besser als "einfach machen". Dennoch muss man sagen: Aus Datenschutzsicht ist es die FALSCHE FRAGE! Es steht nämlich nirgendwo. "Verbotsprinzip mit Erlaubnisvorbehalt" heiß hier das Zauberwort. Ich muss also nicht schauen, ob irgendeine Verarbeitung verboten ist, sondern ob diese irgendwo explizit erlaubt wird. Aber - hört Euch am besten unsere Folge einfach an... 😀