Sicherlich diskutieren Sie in Ihrem Unternehmen auch die Implikationen, welche sich aus der SARS-CoV-2-Arbeitsschutzverordnung (in Kraft seit 10.09.2021) und der Corona-Schutzverordnung NRW (Fassung gültig ab 11.09.2021) für Sie ergeben. Eine Vielzahl der dort genannten Punkte haben datenschutzrechtliche Relevanz. Eine häufige Frage betrifft die Rechtmäßigkeit in Bezug auf Datenschutz zur Abfrage des 3G-Status Ihrer Belegschaft.

Weiterlesen: DSGVO-Gazette #19: Impf-und Genesenenstatus Ihrer Belegschaft

Mit der Einführung des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG, zum 01.12.2021) und dem Ratsentwurf zur ePrivacy-VO wird das Tracking auf Internetseiten und in mobilen Apps wieder thematisiert. Auch Datenschutz-Initiativen und Datenschutzaufsichtsbehörden nehmen das Momentum zum Anlass, um ein aus Ihrer Sicht nicht datenschutzkonformes Tracking zu bemängeln bzw. zu sanktionieren. Dabei wird das "Wie" einer Einwilligung zum Tracking mit beiden Normen keine Änderung zum bestehenden Status-Quo erfahren. Denn immer noch sind die Anforderungen des BGH Urteil vom 28.05.2020 – I ZR 7/16 „Cookie-Einwilligung II" alleine maßgeblich.

Seit diesem Urteil rätseln nun viele Webagenturen und Online-Werber, welcher Grad an Rechtsunsicherheit noch akzeptabel ist, ohne eben im Fadenkreuz von Aufsichtsbehörden und Datenschutz-Initiativen zu gelangen und Bußgeld zu riskieren. Und dieser Grad ist - wie alles im (rechtlichen) Risikomanagement - abhängig von ihrer Risikoaffinität oder ihrer Risikoaversion.

Weiterlesen: DSGVO-Gazette #18: Lassen Sie den anderen keine Wahl? Consent-Banner im Fadenkreuz //...

Die Europäische Kommission hat am gestrigen Freitag neue EU-Standardvertragsklauseln (SVK) veröffentlicht. Die EU-Standardvertragsklauseln, welchen ich mich näher widmen möchte, beziehen sich auf die Übermittlung von personenbezogenen Daten in (unsichere) Drittländer. Weitere SVK können im Verhältnis zwischen den Verantwortlichen (für die Datenverarbeitung) und deren Auftragsverarbeitern angewandt werden - auf diese gehe ich nicht näher ein.

Der EU-Kommissar für Justiz, Didier Reynders, sagte, dass es "mit diesen überarbeiteten Klauseln, (...) mehr Sicherheit und Rechtssicherheit für Unternehmen bei Datenübertragungen" geben wird. Tatsächlich kann sowas nur ein Politiker sagen, ohne rot zu werden. Denn absolut sicher werden Datenübertragungen in Drittländer mit diesen neuen SVK nicht. Dazu bedarf es weiterer Maßnahmen, sogenannter "zusätzlicher Garantien", welche ein gleichwertiges Schutzniveau für die personenbezogenen Daten in dem Drittland gewährleisten müssen.

Arbeit verursachen werden die neuen SVK auf jeden Fall, denn sie müssen nun mit den Auftragsverarbeitern abgeschlossen werden. Dabei werden nicht alle Auftragsverarbeiter derart schnell reagieren wie Microsoft, welche die Anwendung der neuen SVK unverzüglich gezwitschert haben.

Weiterlesen: DSGVO-Gazette #17: Neue EU-SVK durch die EU-Kommission veröffentlicht

Mailchimp gehört zu den größten Teilnehmern auf dem Markt für eMail-Marketing. Das Unternehmen nutzt als Logo einen Affen mit einer US-Postbotenkappe. Mailchimp ist unter anderem deswegen so erfolgreich, weil bei kleineren Nutzerzahlen keine oder nur geringe Kosten entstehen. Bis heute ist es für Unternehmen mit bis zu 2.000 Empfänger kostenfrei nutzbar. Anstatt den ersparten Aufwand in die Einrichtung eines datenschutzkonformen eMail-Newsletters zu stecken, wird lieber der Affenkopf in den Sand gesteckt und auf eine Beschwerde eines Nutzers gewartet. So ist es diese Woche einem Unternehmen in Bayern ergangen. Das Bayerischen Landesamts für Datenschutzaufsicht hat einem Unternehmen die Nutzung von Mailchimp untersagt - völlig zu recht.

Weiterlesen: DSGVO-Gazette #16: Nutzung von Mailchimp wurde durch Bay LDA untersagt