Datenschutz-Tipps 24/2019: Aufsichtsbehörden gegen Google Analytics & Co.
Hallo, ich melde mich heute nur ganz kurz, da der Schreibtisch (zu) voll ist. Aber diese Meldung hier ist sicher für viele von uns interessant:
Tod der ePrivacy-Verordnung (vorläufig)
Wie gerade vor einigen Minuten mitgeteilt wurde, ist die ePrivacy-Verordnung tot. Zumindest in der derzeitigen Version. Also vorläufig. Wie hier nachzulesen ist, hat das für die ePrivacy-Verordnung zuständige Mitglied der EU-Kommission Thierry Breton heute mitgeteilt, dass die EU-Kommission im Rahmen der bevorstehenden kroatischen EU-Präsidentschaft einen überarbeiteten Vorschlag zum „Schutz der Privatsphäre im Internet“ vorlegen wird. Rechtlich kann die EU-Kommission das, obwohl das Gesetzgebungsverfahren eigentlich schon fortgeschritten ist. Solange der Ministerrat jedoch keinen Beschluss gefasst hat (das ist vor kurzem gescheitert), kann nach Art. 293 Abs. 2 AEUV ein neuer Vorschlag von der Kommission eingebracht werden. Das wird also spannend. Ich denke, es waren sich die meisten Beteiligten auch einig, dass die bisherigen Entwürfe zur ePrivacy-Verordnung im Großen und Ganzen kein gelungener Wurf waren. Es ist also gut, wenn die EU-Kommission sich hier noch einmal neu ans Reißbrett begibt und einen ordentlichen Entwurf vorlegt, auf dem dann weiter aufgebaut werden kann. Fest steht aber, dass die ePrivacy-Verordnung in der derzeitigen Entwurfsfassung tot ist. Die kroatische Ratspräsidentschaft läuft von Januar bis einschließlich Juni 2020. Danach folgt die deutsche Ratspräsidentschaft. Es bleibt also spannend. Frei nach dem Motto „Die ePrivacy-Verordnung ist tot. Es lebe die ePrivacy-Verordnung“. Und die Verlautbarungen im o.a. Euractiv-Artikel lassen erahnen, dass die EU-Kommission doch jetzt einen anderen Ansatz wählen wird. Spannend…
Weihnachtspost & DSGVO
Die Datenschutz-Aufsichtsbehörde in Rheinland-Pfalz hat heute in einer Pressemitteilung kundgetan, dass sie ein Bußgeld von 105.000,00 € gegenüber einem Krankenhaus verhängt hat. Gegen das Bußgeld wurde kein Einspruch eingelegt. Grund für das Bußgeld waren „Defizite im Patientenmanagement“. Aha…es wird aber in der Pressemitteilung näher ausgeführt: Die bestandskräftige Geldbuße beruht auf mehreren Verstößen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Diese hatte eine falsche Rechnungsstellung zur Folge und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement. Offenbar hat das Krankenhaus in dem Bußgeldverfahren auch den nicht-konfrontativen Weg gewählt. Das kann eine gute Idee sein, muss es aber nicht. Nach dem Bußgeld-Zumessungskonzept der Aufsichtsbehörden in Deutschland, das man in vielerlei Hinsicht kritisieren kann, bekommt man als Unternehmen ja „Bonuspunkte“ für konstruktive Zusammenarbeit mit der Behörde. Dabei hätte doch alles so schön sein können. Denn ausgerechnet die Aufsichtsbehörde in Rheinland-Pfalz hat einen Adventskalender auf der Internetseite, wo wir jeden Tag ein Türchen öffnen dürfen. Ich finde, das ist eine schöne Idee. Und auch eine Menge Arbeit. Im zweiten Türchen (gestern) ging es um das schöne Thema Weihnachtspost: „Wie sollten Unternehmen Weihnachtsgrüße datenschutzgerecht versenden?“ Da lese ich mit Interesse, dass Weihnachtspost von Unternehmen auf Basis der Interessenabwägung (Art. 6 Abs. 1 lit. f) DSGVO) versendet werden darf. Das sehe ich auch ganz klar so. Aber eben nur im Hinblick auf Briefpost. Zurecht weist die Aufsichtsbehörde zu Beginn des Artikels darauf hin, dass Weihnachtspost – „egal ob traditionell per Post verschickt oder auf elektronischem Weg“ – als Werbung einzustufen ist. Und dann führt die Aufsichtsbehörde schön aus, warum Weihnachtspost aber auf Basis einer Interessenabwägung versendet werden kann. Nur leider differenziert die Aufsichtsbehörde hier nicht nach der Versandart. Denn für das Aussenden von E-Mails ist die DSGVO überhaupt nicht anwendbar. Hier greift § 7 UWG als Umsetzung der betreffenden Regelungen der ePrivacy-Richtlinie. Und hier brauche ich – wenn ich nicht gerade alle Voraussetzungen von § 7 Abs. 3 UWG erfülle (erfüllen die wenigsten Unternehmen) – auch bei Bestandskunden eine Einwilligung des Empfängers der Weihnachts-E-Mail. Da ich heute schon die ersten Hinweis von Mandanten hatte, dass man neuerdings ja Weihnachts-E-Mails problemlos senden könnten und „die Aufsichtsbehörden“ das auch so sehen würden, weise ich auf diesem Wege noch einmal deutlich darauf hin, dass die Aufsichtsbehörde in Rheinland-Pfalz hier insoweit nicht „sauber genug gearbeitet“ hat. Persönlich habe ich übrigens kein Problem, wenn ich eine an mich gerichtete Weihnachts-E-Mail erhalte, wenn sich der Absender die Mühe gemacht hat, mir persönliche Worte zu schreiben. Rein rechtlich wird man aber häufig doch eine Einwilligung benötigen. Jedenfalls bei den plump versendeten Standard-Weihnachts-E-Mails, die „ohne Liebe“ plump durch das Internet gejagt werden. Dabei fragte ich mich, ob es nicht sinnvoll wäre, wenn Aufsichtsbehörden eine Art Berufshaftpflichtversicherung für fehlerhafte rechtliche Hinweise hätten. Ja…ist ein Scherz. Aber wenn wir Anwälte beraten würden, wie machen Aufsichtsbehörden sich zu konkreten Anfragen rechtlich äußern, dann müssten wir sehr häufig Schadensmeldungen beim Versicherer veranlassen. Aber ich möchte das jetzt nicht schlechter reden als es ist. Ich mag auf jeden Fall den Adventskalender der Aufsichtsbehörde. Es ist und bleibt eine schöne Idee.
Datenschutz-Mittwoch
Letzte Woche musste der Datenschutz-Mittwoch ausfallen. Morgen findet er aber wieder statt. Und zwar zum Thema „Datenschutz-Schulungen in Unternehmen und öffentlichen Stellen“. Wir besprechen in 15 Minuten u.a. folgende Themen:
- Muss ich die Beschäftigten zum Thema Datenschutz schulen?
- Wie lang muss eine Schulung sein?
- Welche Themen müssen in einer Schulung enthalten sein?
- Wer darf oder sollte die Schulung machen?
- Ist E-Learning für Schulungen eine gute Idee? Wenn du also morgen, am 04.12.2019 von 10:00 Uhr bis 10:15 Uhr Zeit und Lust hast, dann kannst du hier über den Link kostenlos in das Webinar einwählen: Datenschutz-Mittwoch (04.12.2019 – 10:00 Uhr) Falls du Datenschutz-Coaching-Mitglied bist oder noch werden willst, gibt es übrigens am Donnerstag um 16:00 Uhr ein einstündiges Webinar zum Thema „Umsetzung von Datensicherheitsmaßnahmen (in KMU)“. Vielleicht ist das auch interessant.
Viele Grüße
Stephan Hansen-Oest
Psst...ein Wort zum Datenschutz-Coaching... Wenn dir der Inhalt dieses Newsletters gefallen hat und du vielleicht beruflich mit dem Thema Datenschutz zu tun hast, dann würde ich mich freuen, wenn du dir mal meine Datenschutz-Coaching-Angebote ansehen würdest.
Du erhältst diese E-Mail, weil du dich für meinen Newsletter "Datenschutz-Tipps für Unternehmen" auf der Internetseite "Datenschutz-Guru" angemeldet hast.
Anbieterkennzeichnung: Datenschutz-Guru GmbH Im Tal 10a 24939 Flensburg Tel.: +49 461 40 68 245 0 Fax: +49 461 40 68 245 9 E-Mail: [email protected] https://www.datenschutz-guru.de
Geschäftsführer: Stephan Hansen-Oest Registergericht: Amtsgericht Flensburg, HRB 13436
Möchtest du deine E-Mail-Adresse ändern? Dann aktualisiere hier dein Profil: Profil aktualisieren Zum Abbestellen des Newsletters kannst du hier klicken: Newsletter abbestellen