Gestern gab die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczy, per Pressemitteilung bekannt, dass am 30. Oktober gegen die Deutsche Wohnen SE ein Bußgeldbescheid in Höhe von 14,5 Millionen Euro aufgrund von Verstößen gegen die DSGVO erlassen worden sei. Dabei handelt es sich um das fünfthöchste Bußgeld, dass bislang EU-weit und um das höchste Bußgeld, dass bislang in Deutschland erlassen wurde.

Naturgemäß eilt nun diese Meldung durch die Presselandschaft und wird auf Twitter kommentiert. Dazu hat der geschätzte Kollege Niko Haerting bereits die erste juristische Kritik geäußert, seiner Auffassung nach steht der Bußgeldbescheid auf dünnem Eis.

Doch worum geht es eigentlich? Wie ist der Bußgeldbescheid rechtlich einzuordnen? Und ist das Eis tatsächlich so dünn wie vom Kollegen Haerting beschrieben?

Den ganzen Artikel lesen.

Ich freue mich sehr mitteilen zu können, dass ich ab 2020 den Bereich IT- und Datenschutzrecht bei MÖHRLE HAPP LUTHER als Partnerin verantworten sowie gemeinsam mit meinem bisherigen Team dort weiterentwickeln und ausbauen werde.

Die offizielle Pressemitteilung finden Sie hier:

MÖHRLE HAPP LUTHER holt Digitalexpertin Nina Diercks an Bord

„Moment! Wie bitte? Rechtsanwältin Diercks schließt ihre Kanzlei und wechselt mit ihrem Team zu einer großen Einheit? Ernsthaft?“ – wenn das gerade Ihre Gedanken beim Lesen der vorgehenden Sätze gewesen sein sollten, dann kann ich das sehr gut nachvollziehen. Eine Antwort darauf, warum und wieso ich diesen Schritt sehr gerne mache, können Sie – wenn Sie mögen – den nachfolgenden Zeilen entnehmen.

Übrigens: Zum Aufbau des Teams sucht MÖHRLE HAPP LUTHER Rechtsanwälte (m/w/d). Die Stellenausschreibung finden Sie unter https://mhl.de/karriere. Gerne bewerben oder weitersagen!

Den ganzen Artikel lesen.

Das mit Spannung erwartete Urteil des EuGH C-673/17 in Sachen Planet49 GmbH ./. Bundesverband der Verbraucherverbände um die (vermeintliche) Frage, ob Cookies einer Einwilligung bedürfen, ist endlich da. Und wie zu erwarten, tönte es schon mit der Pressemitteilung (fast) unisono aus allen Ecken „Cookies sind nur noch mit Einwilligung erlaubt!“ und „Das war es mit den Werbenetzwerken!“. Doch wie immer gilt zu hinterfragen: Ist das wirklich so?

Die tl,dr Version oder: Die Pressemitteilung

Um zu verstehen, warum die Headlines voll mit Aussagen á la „Cookies sind nur noch mit Einwilligungen erlaubt!“ sind, ist es hilfreich einen Blick in die Pressemittelung zu werfen. Dort heißt es:

„Mit seinem heutigen Urteil entscheidet der Gerichtshof, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird. [betrifft Frage 1. a) und c)]

Es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen. [betrifft Frage 1. b)]

Der Gerichtshof stellt klar, dass die Einwilligung für den konkreten Fall erteilt werden muss. Die Betätigung der Schaltfläche für die Teilnahme am Gewinnspiel stellt deshalb noch keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies dar.

Der Gerichtshof stellt ferner klar, dass der Diensteanbieter gegenüber dem Nutzer hinsichtlich der Cookies u.a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss. [betrifft Frage 2.]“

Für den unbefangenen Betrachter klingt es tatsächlich so, als sei eine Einwilligung stets von Nöten.

Die einschlägig bewanderte JurstIn denkt dazu hingegen: Ist dieses Ergebnis überraschend? Nein, nicht wirklich. Und: Bedeutet das jetzt, dass für jedes Cookie eine Einwilligung eingeholt werden muss? Nein, auch das nicht.

Und so ist es durchaus sinnvoll für die praktische Arbeit, sich das Urteil einmal näher anzusehen und die möglichen Konsequenzen zu diskutieren. Dies aber nicht, ohne vorher einen Blick in den Sachverhalt und auf die gesetzlichen Grundlagen, auf derer das Urteil basiert, zu werfen (das hilft schließlich gemeinhin bei der Rechtsfindung).

Den ganzen Artikel lesen.

Um den Datenschutz im Beschäftigungsverhältnis ranken sich – leider –  hartnäckig zahlreiche Mythen und Halbwahrheiten. Schenkte man ihnen allen Glauben, wäre eine angemessene und vor allem moderne Gestaltung von Auswahl- & Bewerbungsverfahren spätestens seit Geltung der DSGVO nicht mehr möglich. Oder anders ausgedrückt: Einzig und allein die gute alte alte analoge Bewerbungsmappe könne demnach den datenschutzrechtlichen Anforderungen genügen, alles darüber hinaus sei zwar nützliches aber letztlich nicht erforderliches „Gedöns“ (um einfach mal Worte von Altbundeskanzlern zu nutzen).

Das ist nicht schön und führt leider dazu, dass viele Unternehmen sich weder trauen, die Personalverwaltung sinnvoll zu digitalisieren noch das volle Potential aktueller wissenschaftlicher Feststellungen der Eignungsdiagnostik zu nutzen.

„Zur Sicherheit“ will man lieber alle Beschäftigten eine Datenschutzerklärung unterschreiben lassen und schickt den Praktikanten schon mal zum Büroartikelladen der Wahl, um für das analoge Personalverwaltungssystem weitere 100 Leitzordner zu beschaffen.

Warum Sie die Beschäftigten natürlich nicht Informationen zur Datenverarbeitung unterschreiben lassen müssen und dem Grunde nach selbstverständlich Personalmanagement-Systeme nutzen und moderne Eignungsdiagnostik einsetzen könenen, dass ich erkläre ich Ihnen sehr gerne im ersten Teil meines zweiteiligen Fachaufsatzes

Datenschutz im Beschäftigtenverhältnis – Teil 1 

Zeit, mit den Mythen aufzuräumen und endlich das Notwendige zu tun!

der in der zfm, 2019, 97 erschien und den ich freundlicherweise in Absprache mit der Schriftleiterin (Danke an @DanielaGaub!) an dieser Stelle öffentlich zugänglich machen darf.

Insbesondere, wenn Sie gerade an Schnappatmung aufgrund der DSGVO leiden und glauben, Sie dürften nichts mehr in Ihrem Unternehmen tun, dann lesen Sie diesen Artikel, entrümpeln Sie die Kammer der Mythen und Legenden rund um den Beschäftigtendatenschutz und atmen Sie entspannt weiter, denn: Die DSGVO ruiniert die Arbeitswelt nicht. (auch wenn so ein Titel click-bait mäßig natürlich viel toller wäre…)

Artikel lesen

Übrigens, der der zweite Teil, der Ihnen konkrete ToDos mit an die Hand gibt,  ist bereits in der Pipeline und wird in Kürze ebenfalls erscheinen!

In diesem Sinne,

auf bald!

Vor meinem Urlaub berichteten wir bereits kurz im Rechtsüberblick 06/19 über das EuGH-Urteil C 193/18. Mit diesem Urteil entschied der EuGH, dass der Dienst „Gmail“ kein Telekommunikationsdienst im Sinne des Telekommunikationsgesetz (TKG) bzw. vielmehr der dem TKG zu Grunde liegenden EU-Richtlinie 2002/21 sei. Soweit so bekannt.

Das Urteil hat aber über den Einzelfall hinaus Bedeutung. Zu betrachten sind dabei zum einen die Auswirkungen für alle sog. Over-the-top-Dienste (OTT), wie Skype oder Facebook. In dem Zusammenhang muss auch ein Blick auf die neue EU-Richtlinie 2018/1972 „über den Kodex für die elektronische Kommunikation, welche ab dem 21. Dezember 2020 Anwendung findet und die bisherige ersetzt, geworfen werden.

Und schließlich lohnt es sich das Urteil unter der Perspektive „Wird der Arbeitgeber bei erlaubter privater IT- und Internetnutzung zum TK-Anbieter“ (Spoiler: Nein! Aber diese Auffassung scheint irgendwie kaum auszurotten sein. *Seufz.) zu betrachten. Allerdings habe ich beim Schreiben nun feststellen müssen, dass der Artikel schon sehr, sehr lang geworden ist und von daher wird es besser einen Teil II geben, der in Kürze erscheinen und wie folgt heißen wird „EuGH C 193/18: Gmail ist kein Telekommunikationsdienst II – Auswirkungen auf Arbeitgeber, die die private IT-Nutzung erlauben.“

Beginnen wir nun aber doch von vorn.

Den ganzen Artikel lesen.