Ein Jahr Datenschutz-Grundverordnung

(c) BBH

Am 25.5.2019 jährte sich die Geltung der Datenschutz-Grundverordnung (DS-GVO) zum ersten Mal (wir berichteten). Dabei liegt die Betonung auf „Geltung“, denn in Kraft getreten ist sie bereits 2016. Die zweijährige Übergangszeit, während der die Betroffenen sich an die neuen Vorgaben langsam gewöhnen sollten, verstrich jedoch weitestgehend ungenutzt. Zu tief scheint der menschliche Grundsatz verankert: „Probleme interessieren mich erst, wenn sie akut sind.“ Und so entstand im Mai 2018 der Eindruck, der Datenschutz wäre über Nacht revolutioniert worden. Plötzlich war die DS-GVO allgegenwärtig. Nachfrage und Angebot an Informationen, Schulungen und Beratung explodierten förmlich. Mit dem Stichtag 25.5.2018 konnte man sich der DS-GVO endgültig kaum noch entziehen. Keine Zeitung kam ohne Schlagzeilen zur „neuen“ DS-GVO aus. Und die Mail-Postfächer wurden von Nachrichten mit der Betreffzeile „Unsere Datenschutzbestimmungen“ überschwemmt, mit deren Absender man womöglich niemals in Kontakt getreten war und die irgendwie an die persönliche E-Mail-Adresse gekommen waren.

Weiterlesen

„Der Nächste bitte!“ – Ein halbes Jahr Datenschutz-Grundverordnung

(c) BBH

Mit der Datenschutz-Grundverordnung (DS-GVO/VO (EU) 2016/679) (wir berichteten)  dringt der Datenschutz mitunter in Lebensbereiche vor, die der Verordnungsgeber so wohl nicht unmittelbar im Fokus hatte: Im Wartezimmer beim Arzt namentlich aufgerufen werden. Von dem Fleischerei-Fachverkäufer mit Namen begrüßt werden. Ist das nach dem neuen Datenschutzrecht überhaupt noch zulässig? In Wien fragte man sich, ob bei 220.000 städtischen Wohnungen die Namen auf den Klingelschildern durch Nummern ersetzt werden müssen. Diese Beispiele werden gerne als Indiz dafür genommen, welche Absurditäten die DS-GVO mit sich bringt. Dabei zeigen diese und andere Fälle doch eigentlich etwas ganz anderes: nämlich die Unsicherheiten, die mit einem neuen, komplexen Rechtsrahmen verbunden sind. Einschlägige Gerichtsurteile, die zur Orientierung dienen können, fehlen (noch), unionsweit abgestimmte Konkretisierungen durch der Aufsichtsbehörde ebenso.

Weiterlesen

Besser löschen (Teil 2): Wie man ein sauberes Lösch- und Sperrkonzept erstellt

(c) BBH

Bevor man ein Lösch- und Sperrkonzept erstellt, muss man sich erst einmal intensiv mit der Frage auseinandersetzen, in welchen Prozessen und in welchen IT-Systemen personenbezogene Daten verarbeitet werden, zu welchen Zwecken und wie lange. Dabei ist zu beachten, dass das Unternehmen personenbezogene Daten nicht nur ad hoc löschen können muss, wenn z.B. ein betroffener Kunde oder Mitarbeiter das berechtigterweise verlangt. Die Datenbestände des Unternehmens sind vielmehr auch regelmäßig um personenbezogene Daten zu bereinigen, für deren Verarbeitung kein berechtigter Zweck mehr besteht und die keinen gesetzlichen Aufbewahrungspflichten (mehr) unterliegen.

Weiterlesen

Besser löschen (Teil 1): Wie man den Datenbestand datenschutzkonform hält

(c) BBH

Datenschutz ist hochaktuell. In Bayern hat das Landesamt für Datenschutz (BayLDA) jüngst angekündigt, in den nächsten Wochen größere Unternehmen und ihre Praktiken beim Löschen von Daten unter die Lupe zu nehmen, schwerpunktmäßig bei SAP-Systemen. Im Fokus soll hierbei das datenschutzkonforme und fristgerechte Löschen personenbezogener Daten in ERP-Systemen sein. Dafür ist geplant, den Einsatz von SAP-Software bei Unternehmen hinsichtlich der vorhandenen Module bzw. Datenlösch-Applikationen zu kontrollieren und die erforderlichen Löschkonzepte zu begutachten.

Weiterlesen

Smartphone-Regulierung in der Sauna: was geht und was nicht?

(c) BBH

Auch wenn wir in diesem Jahr länger darauf warten mussten: Jetzt beginnt die Zeit, in der es viele nach einem kalten regnerischen Tag in die wohlige Wärme der Sauna zieht. Das freut den Bad- und Saunabetreiber, bringt aber auch rechtliche Fragen mit sich. Nach einem Saunagang im Ruheraum entspannen, auf dem Smartphone im Internet surfen oder Musik hören – eine Selbstverständlichkeit? Kaum ein Ort im Badebetrieb ist sensibler als die Umkleideräume oder der Saunabereich. Der Badegast selbst kann kaum kontrollieren, ob er fotografiert wird und was danach mit dem Bild passiert. Daher verbieten immer mehr Bad- und Saunabetreiber das Fotografieren oder sogar generell das Nutzen von Smartphones.

Weiterlesen

Die Facebook-Fanpage im datenschutzrechtlichen Blickpunkt – Wer ist „Verantwortlicher“?

(c) BBH

Das Urteil v. 5.6.2018 (Az. C-210/16) des Europäischen Gerichtshofs (EuGH)  – und somit nur zwei Wochen nach dem Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO/VO (EU) 2016/679) (wir berichteten) – war ein kleiner Paukenschlag für Unternehmen, die auf der Seite von Facebook eine Fanpage betreiben. Neben verfahrensrechtlichen Fragestellungen hat der EuGH dort im Wesentlichen festgestellt, dass die Betreiber einer Facebook-Fanpage gemeinsam mit Facebook datenschutzrechtlich verantwortlich sind, soweit über das von Facebook implementierte Tool „Insights“ personenbezogene Daten der Besucher der Fanpage verarbeitet werden. Nun hat Facebook reagiert.

Weiterlesen

Anpassungsbedarf bei online abrufbaren Datenschutzbestimmungen

(c) BBH

Das Thema Datenschutz ist derzeit in aller Munde. Zuletzt etwa musste sich der Facebook-Gründer Mark Zuckerberg öffentlich für den Vorfall um den Missbrauch von Daten von bis zu 87 Mio. Facebook-Usern durch das Unternehmen Cambridge Analytica entschuldigen. Man habe keine ausreichenden Maßnahmen gegen Missbrauch ergriffen. Für Facebook bedeutet die aktuelle Diskussion einen erheblichen Imageschaden und – nach dem jüngsten Rutsch des Aktienkurses – auch einen massiven Wertverlust.

Der Fall Facebook zeigt: Das Thema Datenschutz ist allmählich in der Mitte der Gesellschaft angekommen.

Weiterlesen

Stichtag 25.5.: Datenschutz-Grundverordnung wird Pflicht!

(c) BBH

Am 25.5.2018 ist es soweit: Dann kommen die neuen Datenschutz-Spielregeln für alle Unternehmen zum Einsatz (wir berichteten), die mit personenbezogenen Daten (z.B. von Kunden oder Mitarbeitern) zu tun haben. Darunter auch: Energieversorger. Ziel der Datenschutz-Grundverordnung (DS-GVO/VO (EU) 2016/679), die mit einer zweijährigen Umsetzungsfrist bereits 2016 in Kraft getreten ist, ist eine Vereinheitlichung des europäischen Datenschutz-Niveaus.

Weiterlesen

Datenschutz im Versorgungsunternehmen: Was jetzt zu tun ist

(c) BBH

Auch Versorgungsunternehmen müssen sich auf neue Datenschutzregeln einstellen. Seit November liegt ein Entwurf zur Anpassung des deutschen Rechts an die neue EU-Datenschutz-Grundverordnung vor, der noch vor dem Ende der Legislaturperiode im Sommer verabschiedet werden soll. Danach besteht auch für Versorgungsunternehmen Handlungsbedarf bei der Gestaltung von Verträgen, Abläufen und Prozessen im Sinne eines datenschutzkonformen Verhaltens.

Weiterlesen