Das Upload Magazin Nr. 64 trägt den Schwerpunkt Datenschutz. Zu dieser Ausgabe durfte ich zum einen mit einem Bericht zum Status Quo nach sechs Monaten DSGVO beitragen und zum anderen durfte ich einen Praxisleitfaden für KMU (kleine und mittelständische Unternehmen) zur Erreichung der DSGVO Compliance verfassen. Dabei erläutere ich nicht nur, was es mit

• dem Verzeichnis von Verarbeitungstätigkeiten
• den Informationen zur Datenverarbeitung
• den Vertraulichkeitsverpflichtungen
• den Technischen und organisatorischen Maßnahmen
• Auftragsverarbeitungsverträgen
• Privacy by Design & Default
• Datenschutzfolgeabschätzungen
• Meldepflichten und
• dem Datenschutzmanagement-Handbuch

jeweils auf sich hat, sondern vor allem, wie diese in Bezug zueinander stehen. Eine  eine systematische Herangehensweise an das Thema DSGVO-Compliance ist nämlich nicht nur sinnvoll, sondern spart am Ende Zeit und damit natürlich auch Geld.

Mitgeben möchte ich Ihnen als Geschäftsführer/in eines KMU vor allem, dass die Umsetzung der DSGVO  im Ergebnis natürlich machbar und gar nicht solch ein großer Schrecken ist. Sozusagen ein Scheinriese, der den Vorteil mit sich bringt, dass die Unternehmensprozesse einmal durchleuchtet werden – was man zumeist ohnehin schon lange vorhat, aber nun einen guten Grund hat, dies wirklich einmal zu tun.

Doch nun genug der Vorrede, hier können Sie den ganzen Artikel lesen (einfach auf den Screenshot klicken):

In diesem Sinne,

wir lesen uns drüben.

Uff. Der letzte Artikel hier auf dem Blog stammt vom 10. August. *hust. So sollte es hier natürlich an sich nicht zugehen. Aber Schuld ist – wie immer!1!!11 – die DSGVO. Nun ja, das stimmt vielleicht gar nicht, doch irgendjemand bzw. -etwas muss schließlich Schuld sein. Fakt ist jedenfalls, dass die DSGVO auch bei uns immer noch für eine extrem hohe Auslastung sorgt, so dass Themen bzw. Artikel wie etwa:

Ist der Betriebsrat eigentlich Verantwortlicher im Sinne der DSGVO? 

oder

Schließt die DSGVO die Anwendung von Ansprüchen aus dem UWG für Mitbewerber wirklich aus?

immer noch nur halbfertig in der digitalen Schublade liegen. (Ja, das ist gerade der Versuch, sich selbst etwas Druck vorzugeben…).

Doch trotz aller Arbeit, wenn das Upload-Magazin anfragt, ob ich nicht etwas zum neuen Heft beitragen kann, dann kann ich nicht nein sagen. Und so findet sich dort seit gestern der Beitrag

Statusbericht zur DSGVO: Was bisher geschah…

In dem Beitrag fasse ich zusammen, was seit der Geltung der DSGVO am 25. Mai 2018 geschehen und was nicht geschehen ist, vor allem jedoch, was nach Aussage der Datenschutzbehörden im vierten Quartal 2018 passieren wird. In dem Zusammenhang erläutere ich auch, warum zwar nach wie vor kein Grund zur Panik besteht, es jedoch verfehlt wäre, sich als Geschäftsführer zurückzulehnen und zu glauben, die Sache mit der DSGVO sei doch nicht so wichtig, schließlich seien doch – entgegen aller Untergangsszenarien – keine Millionen-Bußgelder verhängt worden.

Damit genug der Vorrede, hier geht es zum Artikel.

In diesem Sinne,

wir lesen uns drüben!

Die Geltung der DSGVO steht unmittelbar bevor. Und mit Hochdruck arbeiten mehr und mehr Unternehmen daran, im Hinblick auf die DSGVO compliant zu werden. Unternehmen, die erst vor kurzem anfingen, sich mit der Thematik zu beschäftigen, finden keine kompetenten Berater mehr. Denn die sind – wie auch wir in der Kanzlei – bereits über alle Kapazitäten hinaus ausgelastet. (Ein Grund dafür, dass der Blog in schönster Regelmäßigkeit schweigt – so gern ich bloggen würde und so viele Themen auch im Kopf sind).

Besser wird es auch nicht dadurch, dass in Sachen DSGVO immer wieder Säue durchs Dorf und Panik wegen diesem oder jenem ausgerufen wird. (Darauf kann ich jetzt im Einzelnen nicht eingehen, nur soviel: Nein, wir werden nicht alle sterben.)

In der letzten Woche trieb dann aber ein Thema ganz besonders der Digital-Branche den Schweiß auf die Stirn und die Wut ins Gesicht: Das neue (in Teilen herzlich unausgereifte) Positionspapier der DSK (Datenschutzkonferenz) zum Tracking. Genau genommen die

„Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 26. April 2018 – Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“

Dazu möchte ich schlicht auf zwei Kommentare von zwei geschätzten Kollegen verweisen:

Aufsichtsbehörden als Wegbereiter für „Abmahner“ von Internetseiten – von Stephan Hansen-Oest

Tracking nur noch mit Einwilligung! Was ist dran am Beschluss der Datenschutzkonferenz? – von Dr. Martin Schirmbacher

tl;dr Beide arbeiten sehr schön die Schwächen des DSK-Papiers im Hinblick auf das Tracking (was soll das überhaupt sein!?) und das dünne dogmatische Eis, auf dem hier pauschal die Einwilligung gefordert wird, heraus. Beide stellen – zu recht – heraus, dass die DSGVO entgegen dem Postionspapier die Möglichkeit des „Tracking“ bzw. das Erstellen von Nutzerprofilen auf Basis von Art. 6 I f) DSGVO erfolgen kann, wenn berechtigte Interessen des Unternehmens vorliegen und keine überwiegenden Interessen des Betroffenen entgegenstehen – es kommt wie so oft auf den Einzelfall an und darauf, was erfasst wird. Die pauschale Aussage der DSK, es seien Einwilligungen zu fordern, ist jedenfalls… schwierig, um es mal ganz freundlich zu sagen.

Übrigens, der Kollege Hansen-Oest hält daneben mit einer Kritik gegenüber den Aufsichtsbehörden nicht hinter dem Berg, die ich – leider! – in sehr großen Teilen auch aus meiner Praxis heraus für berechtigt halte. Hansen-Oest kritisiert einerseits, dass in den Aufsichtsbehörden oftmals überhaupt keine praktischen Kenntnisse in Bezug auf die Funktionen von Datenverarbeitungen bestehen, teilweise noch nicht einmal bewusst ist, dass dieses oder jenes „ein Praxisproblem“ ist oder werden kann. Auch ich finde, dass dies einem Behördenmitarbeiter, der nur die dogmatische Theorie aus Universitätslehre und Doktorarbeit kennt, bis er seinen Dienst antrat, kaum anzulasten ist. Wohl aber, die mangelnde Bereitschaft, sich auf die Praxis und die dortigen Probleme einzulassen (was aber auch nicht zwingend Fehler des einzelnen Mitarbeiter ist…). Anderseits trifft man auch bei Behördenmitarbeitern immer wieder auf, nun ja, juristische Antworten, bei denen man nicht weiß, ob man lachen oder weinen soll, weil so deutlich wird, dass der- oder diejenige besser einfach gesagt hätte „Wir wissen es doch auch (noch) nicht“ – anstatt etwas zu schreiben, was so löchrig wie eine alte Socke ist. Nein, das ist kein Behördenmitarbeiter-Bashing. Es sind einfach nur Beobachtungen aus der Praxis, die bei mir als Rechtsberaterin in Sachen DSGVO die Frage aufwerfen, wie das denn so werden soll, mit dem Beratungsauftrag der Behörden… Last but not least, um das klar und richtig zu stellen: Auch in den Aufsichtsbehörden sitzen hoch engagierte Kollegen, mit denen jeder Austausch ein Gewinn ist.

Uff, so viel wollte ich dazu doch gar nicht schreiben, aber es musste wohl mal raus. Nun aber zum eigentlichen Thema:

Der rechtskonforme Einsatz von Universal Analytics (Google Analytics) unter der DSGVO

Den ganzen Artikel lesen.

Gastbeiträge oder Interviews finden sich in diesem Blog äußerst selten. Doch wenn es passt, dann lasse ich natürlich gerne auch einmal andere zu Wort kommen. So wie zum Beispiel den Strafverteidiger Christoph Nebgen, der sich der Strafbarkeit des Cybermobbings annahm. Heute passt es wieder einmal. Und zwar in Sachen Compliance. Zu Compliance unter strafrechtlichen Gesichtspunkten ließe sich natürlich auch eine Menge schreiben. Doch wer mich kennt, der weiß, dass ich doch viel lieber präventiv berate und gestalte als gefallene Kinder aus dem Brunnen zu holen. Darum soll es heute um den – wie ich finde – unglaublich spannenden Aspekt der Compliance-Kommunikation innerhalb des Unternehmens gehen.

Den ganzen Artikel lesen.

Das Bundesarbeitsgericht (BAG) hatte im Verfahren 2 AZR 681/16 am gestrigen Tag, den 27. Juli 2017, über die Zulässigkeit einer Kündigung wegen privater Internetnutzung zu befinden. Soweit so vorerst wenig spannend. Dem Ganzen lag jedoch ein – gerade aus Perspektive diesen Blogs und damit vermutlich der unserer Leserschaft – spannender Sachverhalt zu Grunde:

Der Arbeitgeber kündigte dem Arbeitnehmer außerordentlich fristlos, hilfsweise ordentlich. Als Kündigungsgrund wurde angegeben, dass der Arbeitnehmer seinen Dienst-PC privat in einem erheblichen Umfang genutzt habe.

Den ganzen Artikel lesen.