Es gibt viele Gründe, weshalb ein Unternehmen über den Wechsel des Datenschutzbeauftragten (DSB) nachdenken kann. Etwa weil er oder sie früher engagierter oder nicht so kritisch war. Möglicherweise geht der oder die DSB bald in Rente und man möchte die Übergabe frühzeitig einleiten. Vielleicht sind Sie auch schlicht über die Sichtweise des DSB nicht froh, der Ihrer Ansicht nach zu wenig pragmatisch und zu sehr als Projektverhinderer auftritt? Oder aber der externe DSB hat zu wenig Zeit für Sie und Sie möchten deshalb wechseln.

Sicherlich gibt es noch viel mehr Erwägungen, die Unternehmen zu dem Schritt bringen, den Datenschutzbeauftragten zu wechseln. Neben der Überlegung, wer die Aufgabe als nächstes übernehmen soll, steht natürlich die große Frage: Kann man eine(n) Datenschutzbeauftragte(n) kündigen und unter welchen Voraussetzungen? Die typische Juristinnen-Antwort lautet bekanntlich: Es kommt darauf an. Zum einen darauf, ob der Datenschutzbeauftragte extern oder intern ist. Ein interner DSB ist im Unternehmen beschäftigt und hat meistens zusätzlich zu den im Arbeitsvertrag vereinbarten Tätigkeiten die Aufgabe übernommen, als Datenschutzbeauftragte(r) aktiv zu sein. Ein externer DSB dagegen ist bei einem Dienstleister beschäftigt und zumeist von mehreren Unternehmen als ihr DSB benannt worden. Zum anderen kommt es darauf an, ob die Benennung zum Datenschutzbeauftragten befristet erfolgt ist.

Wir schauen uns also vier Konstellationen für die Frage der Kündigung und/oder Abberufung an:

• Interne(r) Datenschutzbeauftragte(r) ohne Befristung
• Interne(r) Datenschutzbeauftragte(r) mit Befristung
• Externe(r) Datenschutzbeauftragte(r) mit Dienstleistungsvertrag ohne feste Laufzeit
• Externe(r) Datenschutzbeauftragte(r) mit Dienstleistungsvertrag mit fester Laufzeit

Zudem wird erörtert, ob Covid19 ein Grund sein kann, die Zusammenarbeit mit dem Datenschutzbeauftragten zu beenden.

Noch ein kleiner Exkurs zur Ausräumung eines häufigen Missverständnisses, dann geht es los:

Ein Datenschutzbeauftragter hat nicht die Aufgabe, das gesamte Unternehmen – quasi im Alleingang – datenschutzkonform aufzustellen. Er kontrolliert und unterstützt das Unternehmen dabei, dass sich das Unternehmen um den Datenschutz kümmert. Verantwortlich für die Einhaltung der Vorgaben des Datenschutzes ist nach wie vor das Unternehmen selbst.

Den ganzen Artikel lesen.

Man könnte sagen, es kommt, wie es kommen musste, auch wenn wir bis zuletzt hofften, dass es anders kommen möge.

In einem Monat hätte der 2. IT JuristInnen Tag am 02. Oktober 2020 mit Armgard von Reden als Keynote-Speakerin stattfinden sollen. Wir, Marlene Schreiber, Partnerin bei Haerting Rechtsanwälte und ich, hatten uns als Organisatorinnen nach der Auftaktveranstaltung am 25. Oktober 2019, die mit hochverdichtetem Informationsaustausch während der Sessions, Networking zwischen diesen sowie zwei tollen Keynotes von Saskia Esken und Dr. Brigitte Zypries gefüllt war und – so munkelt man – mindestens einen Jobwechsel zur Folge hatte ;),  bereits ganz außerordentlich auf die zweite Auflage gefreut. Schließlich hatten wir bereits während und auch nach dem IT JuristInnen Tag unglaublich tolles Feedback von den TeilnehmerInnen erhalten (siehe zB auf Twitter unter #ITJurT19).

Doch trotz aller Hoffnung und langer Überlegung kommen wir zu keinem anderen Ergebnis:

Wir müssen dem IT JuristInnen Tag 2020 eine SARS-CoV2-bedingte Absage erteilen.

Es ist  es schon nicht möglich, eine Networking-Veranstaltung wie die unsrige mit den Auflagen, die nach der SARS-CoV2-EindämmungsVO verpflichtend sind, so durchzuführen, dass der Charakter erhalten bliebe. Schließlich wäre die Teilnehmerzahl inklusive aller Organisatoren und Mitarbeiter auf 100 begrenzt, all diese Personen müssten stets 1,5 Meter Abstand halten, pro Person müssten wir Platz in den Veranstaltungsräumen von 10 qm garantieren, ständig müsste gelüftet werden können, Buffets wären nicht erlaubt, d.h. es müsste mit Abstand am Platz gegessen werden und der Networking-Drink am Abend dürfte auf keinen Fall ein Wein oder Bier sein, da in diesem Fall nur maximal 50 Personen erlaubt wären. Zugegeben, die letzte Regelung ließe sich nur allzu leicht umsetzen. Alle anderen Regelungen sorgen aber jedoch eben dafür, dass der Networking-Charakter der Veranstaltung nicht mehr vorhanden wäre. Auch lässt sich aus unserer Sicht eine solche Veranstaltung, anders als klassische Konferenzen, nicht in die digitale Welt übertragen.

Das alles ist schon Grund genug für eine Absage.

Darüber hinaus finden wir es auch nicht richtig, mit dem Herbst vor der Tür, dem anerkannten Übertragungsweg durch Aerosole und den grundlegende Empfehlungen des RKI möglichst Veranstaltungen bzw. Menschenansammlungen zu vermeiden, selbst eine solche Veranstaltung durchzuführen und damit möglicherweise zur weiteren SARS-CoV2-Verbreitung sowie zu weiteren Ausbrüchen von COVID-19 beizutragen.

Better safe than sorry.

Mit den schlechten Nachrichten kommen aber auch zu gleich die guten:

Der zweite IT JuristInnnen Tag wird am 10. September 2021 stattfinden!

Die Tickets behalten bis dahin ihre Gültigkeit. Selbstverständlich können die Tickets auch storniert werden (eine Stornierung ist ausschließlich via Eventbrite möglich), wir würden uns aber natürlich freuen, wenn wir uns alle einfach im nächsten Jahr wieder sehen würden. Dann ganz bestimmt mit vorhanden Impfstoffen, ohne Masken, ohne zwei Armeslängen Abstand und mit gemeinsamen Lachen am Buffet!

In diesem Sinne,

wir freuen uns schon jetzt auf Euch!

Nina Diercks & Marlene Schreiber

Es ist August 2020. Die Anwaltskanzlei Diercks ist mit allen Mitarbeitern gut in den neuen Räumen angekommen. Aber auch wenn die Arbeit von allen Seiten ruft- was an den leeren Seiten hier wohl zu erkennen ist -, ist es doch wirklich Zeit, sich endlich mal wieder dem Blog und vor allem der ins Leben gerufenen Reihe „Rechtsüberblick“ zu widmen. So viele sind es dieses Jahr zwar noch nicht gewesen, aber so lange ist kann es ja auch nocht nicht her sein. … Ouch! Doch! Der letzte Rechtsüberblick ist auf den 28. Februar datiert. Oh je! Also bat ich Tobias Hinderks doch einmal nach den Schönsten Perlen der letzten Monate zu tauchen. Et voilà! Hier ist er, der Rechtsüberblick, den wir maßgeblich der Recherche- und Schreibkunst von Tobias zu verdanken haben:

Liebe Leserinnen und Leser,

es gibt Momente, da wundert man sich, dass schon wieder ein Monat vergangen ist und  schon wieder ein Rechtsüberblick angefertigt werden will. Dann merkt man im August bestürzt, dass der letzte Rechtsüberblick auf den 28. Februar datiert ist… Und streicht das „monatlich“ reuend aus den Gedanken. Nichtsdestoweniger wollen wir nicht auf ihn verzichten und deshalb kann ich Sie heute einladen, einen Blick auf den Rechtsüberblick 02/20 zu werfen.

Heute beschäftigen wir uns mit diesen Themen:

1. BlnBfDI versus Microsoft: Dürfen Behörden Produktwarnungen aussprechen?
2. Präsident Trumps Executive Order nach Faktencheck auf Twitter
3. Österreichischer Verwaltungsgerichtshof begrenzt Zurechenbarkeit von Datenschutzverstößen
4. BMJV stellt Gesetzesvorhaben zu Unternehmenssanktionsrecht vor
5. BGH entscheidet in Sachen Planet 49

Ich wünsche Ihnen viel Freude beim Lesen!Den ganzen Artikel lesen.

Der EuGH hat das Privacy Shield für ungültig erklärt! Gut, das kam nicht überraschend. Interessanter sind daher die Ausführungen zu den Standardvertragsklauseln. Diese sind grundsätzlich abstrakt wirksam, es ist aber im Einzelfall zu prüfen, ob die konkrete Übermittlung von personenbezogenen Daten in ein bestimmtes Drittland damit gerechtfertigt werden kann (Urteil des EuGH vom 16.07.2020, C-311/18, Schrems II).

Aha. Ist das wichtig?

Ja! Die Entscheidung schafft Klarheit im Bezug auf den Transfer von personenbezogen Daten in ein Drittland (alles außerhalb des EWR, also außerhalb von EU, Norwegen, Island und Liechtenstein). Reine Absichtsbekundungen dahingehend, personenbezogene Daten schützen zu wollen, reichen nicht aus, daher wurde das Privacy Shield gekippt. Aber auch ein „Weiter so“ mit den Standarddatenschutzklauseln wird es nicht geben.

Den ganzen Artikel lesen.