Nichts zu verbergen - Das Datenschutz-Kaffeekränzchen

Nein, unsere Tastatur ist nicht defekt... 😉 Wir haben hier einfach nur alles, was es so an neuen Gesetzen gibt, aneinandergereiht. Es geht um BDSG, DDG, TDDDG. Eigentlich geht es auch noch gar nicht um neue Gesetze, sondern um entsprechende Entwürfe, die noch abgestimmt und irgendwann im nächsten Jahr verabschiedet werden sollen. Und was hat das Ganze mit datenschutzgesetze.eu zu tun? Kleiner Spoiler: Wenn Ihr regelmäßig Datenschutzgesetze im Internet recherchiert, dann seid Ihr hier genau richtig.

Viel diskutiert, lange darauf gewartet oder vielleicht auch gehofft, dass es nicht kommen wird. Wir haben wieder einen Angemessenheitsbeschluss, der den USA bescheinigt, ein der EU vergleichbares Datenschutzniveau zu haben. Übermittlungen personenbezogener Daten in die EU sollten also künftig wieder einfacher werden. Vorbei sind die Zeiten von TIAs und Risikobewertungen. Und jetzt ist alles gut? Haben wir jetzt ein vergleichbares Schutzniveau in den USA? Naja, zunächst einmal haben wir wieder einen Mechanismus, nach dem Unternehmen sich freiwillig zur Einhaltung bestimmter Maßnahmen verpflichten. Soweit nichts Neues. Darüber hinaus wurden die US-Behörden, was die massenhafte Überwachung angeht, so richtig stark an die Leine genommen... 😮 Während der Umfang der Überwachung bisher "maßgeschneidert" sein musste, darf jetzt nur noch überwacht werden, sofern dies "verhältnismäßig" und "notwendig" ist. Merkt Ihr den krassen Unterschied? Wir tun uns hier ehrlich gesagt etwas schwer. Das Ganze klingt eher nach altem Wein in neuen Schläuchen. Wir sind auch davon überzeugt, dass die US Geheimdienste auch bislang - in deren eigener Wahrnehmung - nur dann überwacht haben, wenn sie dies für verhältnismäßig und notwendig erachtet haben. Es gibt aber auch Positives zu berichten. Rechtsbehelfe sind nun möglich. Der Data Protection Review Court macht es möglich. Und noch etwas Positives gibt es: Unsere Beratungstätigkeit wird deutlich einfacher.... 😀

Und wieder haben wir ein aktuelles Urteil, das uns eine weitere Folge unseres Podcasts wert ist. Diesmal ist es zwar kein Urteil des EuGH, sondern "nur" dasjenige eines Verwaltungsgerichts. Dafür ist das Thema umso interessanter. Es ging in dem Verfahren darum, wie lange die Aufnahmen einer Videoüberwachung einer SB-Tankstelle gespeichert werden dürfen. Das Ergebnis des Urteils haben wir mit dem Titel dieser Folge ja schon verraten 😉😉. Aber was waren die Argumente, die das Gericht zu dieser Ansicht haben kommen lassen. Und ist dieses Urteil nun generell auf andere Videoüberwachungen anderer Tankstellen oder auch ganz anderer Einsatzbereiche übertragbar? Und was ist mit den 10 Tagen Speicherzeit, die ein anderes Gericht mal zugesprochen hatte? Über das Urteil kann man also sicherlich unterschiedlicher Auffassung sein. Und übrigens - kleiner Spoiler: Auch wir waren uns hier nicht immer einig, weshalb wir in dieser Podcastfolge kontrovers diskutieren... 🧨💣💣🤬

Eine weitere Frage, die seit langem in der Datenschutzwelt herumgeistert, wurde durch den EuGH geklärt. Wird eine Verarbeitung schon alleine dadurch unrechtmäßig, dass irgendeine Vorschrift der DSGVO nicht beachtet wurde?

Unsere letzte Folge ist schon ungefähr zwei Monate her. Wenig Neues aus der Datenschutzwelt und Urlaub 🏖🏖 waren die Gründe. Aber jetzt rufen zwei aktuelle Urteile des EuGH geradezu danach, in die Welt getragen zu werden... 😀😀 Beim ersten Urteil ging es um zwei bislang ungeklärte Fragen zum Thema Schadenersatz. Das zweite Urteil stellen wir dann in der nächsten Folge vor. Coming soon.. 🎵🎵

Nein, das sind nicht die nächsten Lottozahlen... 😀 Die Zahlen beziehen sich auf die Artikel und Paragraphen verschiedener Gesetze und Verordnungen, die von einer aktuellen Entscheidung des EuGH betroffen sind. Und mit "Honks" wollten wir nicht die Richter am EuGH beleidigen, sondern uns selbst bezeichnen. Hää...?!? - Warum das? Weil wir mehrere Tage gebraucht haben, bis uns ein Licht aufging und wir merkten, dass das unbedingt ein Thema für eine neue Podcast-Folge ist... 😮😮😮😮 Eine auf den ersten Blick recht unwichtige Entscheidung des EuGH zum hessischen Landesdatenschutzgesetz könnte nämlich enorme Auswirkungen aus jegliche Verarbeitung im Beschäftigungskontext haben. Wir meinen, das ist auf jeden Fall mal wieder eine neue Folge unseres Podcasts wert.... Viel Spaß beim hören... 🎵🎶📣📣🎶🙉

Nein, unsere Tastatur ist nicht defekt... ⌨🔨 Wir wollten tatsächlich EDSA und TADPF schreiben. Lediglich das Leerzeichen ist uns abhanden gekommen und sorgt für den enorm eingänglichen Titel dieser Folge... 😉😉 Wie übrigens in unserer letzten Folge angekündigt: Wir beschränken uns künftig darauf, Folgen nur dann zu veröffentlichen, wenn es auch wirklich etwas Neues gibt. Und ja, nun gibt etwas interessantes zu berichten. Und somit kommen wir übrigens auch wieder zu unserer Überschrift. Der EDSA ist der Europäische Datenschutzausschuss und der hat sich zum TADPF - also dem Trans-Atlantic Data Privacy Framework - geäußert. Unsere regelmäßigen Hörer wissen, was gemeint ist. Es geht um den geplanten Angemessenheitsbeschluss der Europäischen Kommission, der die Drittlandübermittlung in die USA künftig deutlich erleichtern soll. Und diese Stellungnahme des EDSA ist nun der nächste Schritt, der auf dem Weg zu dem geplanten Angemessenheitsbeschluss zu gehen war. Und was ebenfalls positiv ist: Der EDSA fand zwar nicht alles super, was die Kommission da demnächst beschließen soll. Aber so richtig schlecht findet er es wohl auch nicht. Die Zeichen verdichten sich also, dass hier demnächst eine positive Nachricht kommen könnte. Aber mehr wird hier nicht verraten - sondern Ihr könnt es in dieser Folge unseres Podcasts - Nichts zu verbergen - Das Datenschutz-Kaffeekränzchen erfahren.

60 Folgen - über 2 Jahre - alle zwei Wochen Donnerstags - so lange läuft unser Podcast - Nichts zu verbergen - Das Datenschutz-Kaffeekränzchen nun schon. Wir denken, das ist ein Feuerwerk wert... 🎆🎇🧨🎇🎆🎆🎆 Es hat viel Spaß gemacht - und besonders gefreut haben uns natürlich unsere zahlreichen Abonnent:innen und die vielen Feedbacks, die wir regelmäßig bekommen haben. Und wir finden, das ist auch eine gute Gelegenheit, mal darüber nachzudenken, was gut war, was vielleicht nicht so gut war und vor allem, was wir noch besser machen können. Und ganz ehrlich: Nachdem wir nun 60 Folgen lang über aktuelles aber auch die Regelungen der DSGVO rauf und runter diskutiert haben, gehen uns auch ein bisschen die Themen aus. Daher haben wir folgendes entschieden: **1. Wir werden AKTUELLER:** Es gibt künftig keinen festen "Sendetag" mehr. Das hat den Vorteil, dass wir kurzfristig reagieren können, wenn etwas Besonderes passiert. Wenn also mal wieder irgendwelche wildgewordenen Rechtsanwält:innen die halbe Republik mit ihren Bettelbriefen drangsalieren, dann müssen wir nicht erst warten, bis wieder der 2. Donnerstag ist, sondern wir setzen uns sofort ans Mikro und legen los. **2. Es wird SPANNENDER:** Wir senden künftig in unregelmäßigen Abständen. Also dann, wenn es wirklich etwas gibt, was wir Euch mitteilen möchten. Eben weil es wirklich eine Neuigkeit ist, zu der es was zu diskutieren gibt. Und nicht, weil morgen Donnerstag ist und wir uns ein Thema ausdenken müssen. **3. Wir erscheinen SELTENER:** Ja, "aktueller" und "spannender" bedeutet auch, dass unsere Folgen insgesamt seltener erscheinen. Eben nur dann, wenn es auch wirklich was zu sagen gibt...😀 Wir freuen uns auf das neue Format! Wir hoffen, Ihr auch...😀😀😀

An mehreren Stellen taucht in der DSGVO der Begriff "gelegentlich" auf. In allen Fällen geht es um Verarbeitungen. Erfolgen diese lediglich "gelegentlich" dann entfällt entweder eine lästige Pflicht (z.B. zum Führen des Verzeichnisses von Verarbeitungstätigkeiten) oder etwas ist erlaubt (z.B. die Übermittlung in ein Drittland), man bekommt also eine Erleichterung. Und schon geht der Ärger los...🧨👿 Was ist gelegentlich" Wie oft darf eine Verarbeitung erfolgen, damit sie noch als gelegentlich gilt? Die Interessenlage ist klar. Die Aufsichtsbehörden sehen die Sachlage erwartungsgemäß sehr streng. So richtig viel geht da nicht als "gelegentlich" durch... 😀 Und für die Unternehmen geht es um Erleichterungen, die da in Aussicht gestellt werden. Und schon finden wir uns in der Beratungspraxis in der Situation wieder, dass wir plötzlich gut begründen müssen, warum das Online-Bewerbungsmanagementsystem, das 24/7 zur Verfügung steht und über das eigentlich immer zahlreiche Stellen gleichzeitig ausgeschrieben werden, nicht mehr als gelegentlich durchgeführte Verarbeitung zählen kann...😓😓 Und wo liegt nun die Wahrheit? Naja - wie immer - irgendwo in der Mitte....

Immer wieder hören wir in unserer Beratungspraxis Fragen wie "Was spricht eigentlich dagegen, unseren Kunden eine E-Mail zu Werbezwecken zu senden?" oder "Was spricht eigentlich dagegen, unser Firmengelände mit Video 📹 zu überwachen. Aus Kundensicht ist das natürlich sehr verständlich, denn man empfindet die DSGVO ja meist als "Verbotsgesetz". Man meint mit der Frage also im Prinzip: "Wo steht denn, ob eine bestimmte Verarbeitung verboten ist?" Und natürlich ist es ja auch richtig, wenn unsere Kunden uns vorher fragen - besser als "einfach machen". Dennoch muss man sagen: Aus Datenschutzsicht ist es die FALSCHE FRAGE! Es steht nämlich nirgendwo. "Verbotsprinzip mit Erlaubnisvorbehalt" heiß hier das Zauberwort. Ich muss also nicht schauen, ob irgendeine Verarbeitung verboten ist, sondern ob diese irgendwo explizit erlaubt wird. Aber - hört Euch am besten unsere Folge einfach an... 😀

Gleich drei Artikel in der DSGVO befassen sich mit einem ähnlichen Thema. In den Artikeln 24, 25 und 32 geht es im weiteren Sinne um die technischen und organisatorischen Maßnahmen, die vom Verantwortlichen zu ergreifen sind. Die Formulierungen gleichen sich teilweise fast wörtlich. Stand der Technik, Implementierungskosten, Art, Umfang, Zweck der Verarbeitung, Risikoabschätzung sind hier die immer wiederkehrenden Zauberwörter. Bemerkenswert ist, dass auch die Implementierungskosten berücksichtigt werden dürfen und Maßnahmen auch insgesamt nur "angemessen" sein müssen. Absolute Sicherheit wird also nicht verlangt. Dafür müssen aber zusätzlich Nachweispflichten erfüllt werden. Wie das gehen soll ? - Hört einfach unsere aktuelle Folge - dann werden alle Fragen beantwortet.. 😀 Öhöm....

Irgendwie klingen Verhaltensregeln nach guten Manieren - also nicht sonderlich spannend 😴🥱. So ein paar Gemeinsamkeiten gibt es tatsächlich. Ähnlich wie bei guten oder auch schlechten Manieren, geht es bei den Verhaltensregeln gemäß Art. 40 DSGVO darum, auf welche Art und Weise man bestimmte Dinge umsetzt. Die DSGVO fördert mit Art. 40 die Ausarbeitung von sogenannten Verhaltensregeln. Verbände oder andere Vereinigungen können solche Verhaltensregeln ausarbeiten, mit denen die Anwendung der DSGVO präzisiert wird. Es werden also keine neuen oder strengeren Regeln jenseits der DSGVO definiert, sondern es geht darum, wie die Vorgaben der DSGVO für bestimmte Anwendungsfälle umgesetzt werden. Für Verantwortliche, die sich im Rahmen einer Selbstverpflichtung einer solchen Verhaltensregel und den damit verbundenen Kontrollen einer Überwachungsstelle unterwerfen, sieht die DSGVO im Gegenzug bestimmte Vorteile vor. Klingt eigentlich ganz gut? Warum gibt es dann eigentlich nach mittlerweile mehr als vier Jahren keine einzige von einer Aufsichtsbehörde genehmigte Verhaltensregel? Na gut, zugegeben - eine einzige gibt es mittlerweile. Diese nennt sich Trusted Data Processor und ist für Auftragsverarbeiter gedacht. Aber mehr gibt es wirklich noch nicht. Und wir verstehen definitiv nicht, warum... 🤨🤨😯

Und weiter geht es mit unserem 🐎 Ritt durch die DSGVO. Heute ist Artikel 22 fällig...😀 Es geht um automatisierte Entscheidungen im Einzelfall und Profiling: Langweilig? Naja, spätestens wenn Ihr aufgrund eines Wechsels der Bankverbindung aufgrund eines Umzugs keinen Mobilfunkvertrag mehr abschließen könnt, wird es spannend... Vor solchen Erfahrungen soll uns der Artikel 22 DSGVO schützen. Ob das funktioniert oder wo die Grenzen sind? Hört einfach rein... 🔈🔉🔊

Die DSGVO kennt noch mehr Betroffenenrechte, als nur das Auskunftsrecht. Da gibt es nämlich noch 🗑 Löschung, 🖍 Berichtigung, 🔒🔒 Einschränkung der Verarbeitung, 📣 Widerspruchsrecht und das wenig bekannte Recht auf 📀 Datenübertragbarkeit. Wir stellen diese Rechte vor und sprechen über die wichtigsten Apekte dieser Rechte.

Und weiter geht's mit unseren Folgen zu den Grundlagen der DSGVO. Heute ist das Auskunftsrecht dran. Dieses Recht ist eigentlich dafür gedacht, dass Betroffene in Erfahrung bringen können, welche Daten zu ihrer Person gespeichert 💾💿 sind. Es eignet sich leider aber manchmal auch hervorragend dafür, Verantwortliche zu ärgern, mit denen man noch eine Rechnung offen hat 🎇👿😡🪓💣🔫. Wenn beispielsweise die ehemalige Geschäftsleitung eines Unternehmens eine Auskunftsanfrage stellt, dann sind schon mal einige Ressourcen gebunden um alle Daten zu finden, die zu einer Person gespeichert sind, die maßgeblich an sämtlichen Prozessen im Unternehmen beteiligt war.

Nach einer kurzen Pause in Folge 52, machen wir weiter mit unserem Ritt durch die DSGVO. Heute geht es um die Informationspflichten.

In unserer Beratungspraxis sehen, wir dass die Videoüberwachung immer wieder kontrovers 🧨diskutiert wird. Meist möchten die Verantwortlichen eher mehr und länger 🕜aufzeichnen. Wir Datenschützer müssen meist bremsen, machmal muss es sogar zur Vollbremsung werden. Zeit, diesem Thema mal eine Folge unseres Datenschutz ☕-Kränzchens zu widmen.

Einige Arten personenbezogener Daten hält der Verordnungsgeber für besonders schützenswert. Diese werden in Art. 9 DSGVO abschließend aufgezählt. Gesundheitsdaten gehören natürlich dazu; genauso biometrische und genetische Merkmale, Religionszugehörigkeit, sexuelle Orientierung und noch einige mehr.

Und weiter geht es mit unserer Reihe zu den Grundlagen des Datenschutzes. Für heute haben wir uns die Einwilligung vorgeknöpft... 😀 Wir sind also bei den Aritkeln 7 und 8 der DSGVO angelangt.

Ideen, wie wir künftig endlich diese nervigen Cookie-Banner auf den Webseiten loswerden könnten, gibt es jede Menge. Durchgesetzt hat sich noch keine. Wie wäre es eigentlich, wenn es einen zentralen Dienst gäbe, bei dem man alle erteilten Einwilligungen zentral speichern könnte und die auf allen verwendeten Endgeräten automatisch gelten? Super? Finden wir auch, aber warum gibt es so etwas eigentlich nicht schon längst? 🙄 Wir sprechen in dieser Folge darüber, was solche Dienste genau können sollen, was vom Gesetzgeber geplant ist und wie lange es wohl noch dauern wird...😴😴