Datenschutz-Tipps 23/2019: Aufsichtsbehörden gegen Google Analytics & Co.
Hallo,
in dieser Woche möchte ich dich gerne um deine Mithilfe für meine Schulungsplanung 2020 bitten. Dazu unten mehr. Wie du vielleicht auch…habe ich diese Woche wenig Zeit. Also machen wir es kurz.
Ganz kurz – eine kleine Anmerkung zur ePrivacy-Verordnung
Apropos „kurz“. Kurzen Prozess hat es letzte Woche für einen sich fast anbahnenden weiteren Weg der „ePrivacy-Verordnung“ gegeben. Nachdem in den letzten Wochen doch wieder Bewegung in die Sache kam und es sich abzeichnete, dass im EU-Ministerrat vielleicht doch noch eine gemeinsame Verhandlungsposition beschlossen und dann Anfang kommenden Jahres der sog. „Trilog“ zwischen EU-Kommission, EU-Parlament und EU-Ministerrat hätte begonnen werden können (bei optimistischer Zeitplanung), war dieser Kompromiss nun doch nicht zu erreichen.
Meiner Meinung nach ist die „ePrivacy-VO“ derzeit ein Haufen Schutt und Asche. Es ist nicht zu erwarten, dass es hier kurzfristig wieder eine Perspektive für einen Konsens gibt. Ich finde das nicht unbedingt schlimm. Ich würde es begrüßen, wenn das derzeitige Sammelsorium von Vorschriften in der „ePrivacy-VO“ über den Haufen geworfen würde und die EU-Kommission noch einmal neu mit dem „Denken“ von vorne anfangen würde. Bis auf Weiteres bleibt es also in Sachen „ePrivacy“ wohl eher ruhig – jedenfalls bzgl. neuerer Regelungen, die in absehbarer Zeit in Kraft treten könnten.
Nun aber zum Thema dieser Woche:
Was mache ich datenschutzrechtlich mit dem „Freelancer“?
Der Trend in Unternehmen, mehr und mehr Freelancer einzusetzen, wird immer größer. Das hat mit einer gewandelten Arbeitswelt und dem Wunsch vieler Menschen mit Talent nach einem „freien Arbeiten“ zu tun. Ohne festen Arbeitgeber, auf eigene Rechnung – also einfach „frei“.
Ich versuche mich hier bewusst nicht in einer Definition des „Freelancers“. Ich denke, dass die Unternehmen, die Freelancer einsetzen, wissen, was damit gemeint ist. Natürlich gibt es Freelancer, die auch als Einzelperson als Auftragsverarbeiter einzustufen sind. Weil sie eben weisungsgebunden Daten im Auftrag verarbeiten und in keiner Weise über Zwecke und Mittel der Datenverarbeitung entscheiden können.
Ganz häufig passt eine Auftragsverarbeitung aber eben nicht für einen Freelancer. Denken wir z.B. auch einmal an den Unternehmensberater, der bei der Organisation von Prozessen im Unternehmen berät und mitwirkt. Natürlich wird er bei der Gelegenheit auch Kenntnis von personenbezogenen Daten erhalten. Und vielleicht wird er im Zusammenhang mit seiner Beratungsleistung auch selbst einmal – z.B. für Demonstrationszwecke – so in Prozesse eingreifen, dass er selbst Daten verarbeitet. Ist er dann Auftragsverarbeiter? Nach dem Sinn und Zweck des Rechtsinstituts der Auftragsverarbeitung wohl nicht. Es passt einfach nicht zum „Szenario“.
Und für diese Fälle können wir dann, um gleichwohl den Schutz personenbezogenen Daten entsprechend zu gewährleisten, auf eine Regelung in Art. 29 DSGVO zurückgreifen. Eine Norm, die ich selbst sehr lange unterschätzt habe. Denn diese richtet sich eben nicht nur an Auftragsverarbeiter, sondern ist auch für den Einsatz von anderen Personen im Unternehmen, die nicht Auftragsverarbeiter sind, wie z.B. Freelancer anwendbar.
So sieht Art. 29 DSGVO dann vor, dass eine etwaige Verarbeitung von personenbezogenen Daten durch den Freelancer nur auf Weisung des Auftraggebers erfolgen darf.
Nur sollte das dann natürlich auch geregelt werden. Für Datenschutz-Coaching-Mitglieder werde ich dazu sicher in Kürze noch einmal ausführliche Inhalte zu der Thematik bereitstellen.
Dieser Newsletter soll aber auch immer für die Abonnenten einen Mehrwert bieten.
Und daher stelle ich hier mal mein Muster für eine Datenschutz- und Geheimhaltungsverpflichtung „Freelancer“ kostenlos als Download im Word-Format zur Verfügung:
Datenschutz- und Geheimhaltungsverpflichtung „Freelancer“ (V1, .docx)
Das Muster ist noch nicht ganz rund geschliffen, sollte in der Praxis aber schon gut brauchbar sein. Natürlich erfolgt die Verwendung auf eigene Gefahr und unter Ausschluss der Gewährleistung.
Dieses Muster ersetzt – das ist der übliche Hinweis – keine individuelle Rechtsberatung, die ich insbesondere bei Anpassungen des Musters empfehlen würde. Und nein, ich habe aktuell keine Ressourcen mehr zur Verfügung (bzw. nur sehr wenige).
Bitte um Mithilfe - Wirklich kurze („anonyme“) Umfrage zur Schulungsplanung 2020
Wir planen hier gerade im Team die Präsenzschulungen zu bestimmten Datenschutz-Themen im Jahr 2020, bei denen ich persönlich referieren werde. Im nächsten Jahr planen wir vorrangig 1-tägige Schulungen. Aber auch zu 2- und 3-tägigen Schulungen haben wir uns etwas überlegt. Für die weitere Planung wäre sehr, sehr hilfreich, wenn wir ein Meinungsbild zu den Schulungsthemen (1.) und zu den Schulungsorten (2.) bekommen würden. Ich wäre dir sehr dankbar, wenn du an der wirklich kurzen Umfrage zu unseren Schulungen teilnehmen würdest. Die Umfrage nimmt wirklich nur sehr wenig Zeit in Anspruch. Und du hilfst uns damit wirklich sehr:
Kurze Umfrage zur Schulungsplanung 2020
Und ich kann übrigens aus der Umfrage keinerlei Rückschlüsse auf deine Person ziehen (es sei denn du schreibst etwas „personenbeziehbares“ in das Freitextfeld).
Und sonst so…
Sonst gab es noch ein paar Beiträge, die ich hier nur kurz aufliste:
Darf das Finanzamt bei einer Betriebsprüfung die Patientendaten einsehen?
Abberufung der internen Datenschutzbeauftragten bei späterem Wegfall der Benennungspflicht
Aufzeichnung des Webinars „Datenschutz & Bußgeldrisiken“ (nur für Datenschutz-Coaching-Mitglieder)
Aufzeichnung der Office Hours für Beginner vom 22.11.2019 (nur für Datenschutz-Coaching-Mitglieder)
Das war es für heute. Wir lesen uns nächste Woche wieder…
Viele Grüße
Stephan Hansen-Oest
Psst...ein Wort zum Datenschutz-Coaching... Wenn dir der Inhalt dieses Newsletters gefallen hat und du vielleicht beruflich mit dem Thema Datenschutz zu tun hast, dann würde ich mich freuen, wenn du dir mal meine Datenschutz-Coaching-Angebote ansehen würdest.
Anbieterkennzeichnung: Datenschutz-Guru GmbH Im Tal 10a 24939 Flensburg Tel.: +49 461 40 68 245 0 Fax: +49 461 40 68 245 9 E-Mail: [email protected] https://www.datenschutz-guru.de
Geschäftsführer: Stephan Hansen-Oest Registergericht: Amtsgericht Flensburg, HRB 13436