Datenschutz-Tipps 25/2019: Datenschutz-Fahrplan 2020
Hallo,
Aktualisierte Version der Datenschutzvereinbarung mit Freelancern
Apropos fertig werden: Vielen Dank für die zahlreichen Hinweise zu dem kostenlosen Muster meiner „Datenschutzvereinbarung mit ‘Freelancern’“. Insbesondere möchte ich dem lieben Anwaltskollegen Dr. Oliver Gießler danken, der mir einen wichtigen Tipp zur Vertragsstrafenregelung in einer früheren Version des Musters gegeben hat. Mittlerweile sind wir bei Version 1.2 und ich denke, dass das Muster in der Fassung gut brauchbar ist. Du kannst es noch bis Weihnachten hier kostenlos herunterladen:
Datenschutzvereinbarung mit „Freelancern“ (Version 1.2, .docx)
Ab dem 27.12.2019 steht das Muster dann nur noch Datenschutz-Coaching-Mitgliedern als Download zur Verfügung.
Bußgelder als Weihnachtsgeschenk
Für einige Unternehmen hingegen gibt es jetzt vor Weihnachten keine guten Nachrichten. So ist gestern bekannt geworden, dass der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Bußgelder gegen mehrere Telekommunikationsunternehmen verhängt hat. So hat die 1&1 Telecom GmbH ein Bußgeld in Höhe von 9.550.000,00 € belegt erhalten. Frohe Weihnachten würde ich da nicht sagen.
Wenn wir uns das aber näher ansehen, kommt der eigentliche Hammer. Denn der vorgeworfene Verstoß gegen die Datensicherheit i.S.d. Art. 32 DSGVO ist m.E. weder offensichtlich, noch unter Verhältnismäßigkeitsaspekten in der Höhe berechtigt. So führt die Aufsichtsbehörde (BfDI) aus:
- Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.
Sicher kann man hier geteilter Auffassung sein und vertreten, dass es bessere Prozesse geben würde. Aber ist das ein echter Verstoß gegen Art. 32 DSGVO? Ich denke nicht. Jedenfalls nicht offensichtlich.
Ist allerdings auch immer schwierig zu beurteilen, wenn wir die Details des Falles nicht kennen. Die 1&1 Telecom GmbH hat allerdings auch gestern gleich angekündigt, gerichtlich gegen das Bußgeld vorzugehen. Und das ist gut so.
Denn wir können dringend Urteile benötigen, die das rechtlich sehr fragwürdige Berechnungsmodell der deutschen Aufsichtsbehörden für Bußgelder „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“ einmal rechtlich durchleuchten.
Die vornehmlich umsatzbasierte Zumessungsregel für Bußgelder in dem „Konzept“ der Aufsichtsbehörden führt – wie hier in diesem Fall – zu völlig unverhältnismäßigen Ergebnissen. Ich kann mir beim besten Willen nicht vorstellen, dass ein Bußgeld in der Höhe bei einem noch nicht einmal offensichtlichen Verstoß gegen eine zudem rechtlich äußerst unbestimmte Norm wie Art. 32 DSGVO vor einem Gericht Bestand haben wird. Nun ja…wir werden es erleben, wie es hier weitergeht.
Dass das „Bußgeldkonzept“ der Aufsichtsbehörden gute Chancen hat, von Gerichten „verrissen“ zu werden, zeigt übrigens ein sehr schöner Aufsatz in der aktuellen Ausgabe der Zeitschrift Computer & Recht (CR). Übrigens eine Zeitschrift, die ich jedem Datenschutzjuristen empfehlen kann. Und nein…ich bekomme dafür keinerlei Provision. Ich bin nur ein treuer Abonnent dieser Zeitschrift.
In CR 2019, 782 ff. nehmen jedenfalls die Autoren Timner/Radlanski /Eisenfeld in ihrem Beitrag „Die Bußgeldbemessung bei DSGVO-Verstößen“ das „Bußgeldkonzept“ der Aufsichtsbehörden rechtlich unter die Lupe. Sie kommen u.a. zu dem Ergebnis, dass die Bußgeldbemessungsregeln der deutschen Aufsichtsbehörden in mehrfacher Hinsicht rechtswidrig sind:
- Verstoß gegen das Bestimmtheitsgebot des Art. 103 Abs. 2 GG
- Verstoß gegen den Gleichbehandlungsgrundatz des Art. 3 Abs. 1 GG
- Verstoß gegen Verhältnismäßigkeitsgrundsatz, Willkürverbot und Schuldprinzip
Das sind harte, aber gut begründete Vorwürfe, die sich die Aufsichtsbehörden hier gefallen lassen müssen. Wir werden sehen, wie die Gerichte das sehen werden.
Datenschutz-Mittwoch
Leider muss der für morgen (11.12.2019) geplante Datenschutz-Mittwoch kurzfristig ausfallen. Bei meinen Mandanten ist wieder „Jahresend-Rallye“. Das führt leider zu Terminengpässen, dem auch der Datenschutz-Mittwoch morgen zum Opfer fallen muss. Geplant ist, diesen im Januar nachzuholen. Schauen wir mal…außerdem habe ich eine kleine Ersatzlösung:
Datenschutz-Fahrplan für 2020
Eigentlich wollte ich morgen im Datenschutz-Mittwoch etwas dazu erzählen. Nun habe ich dazu heute ein 14-minütiges Video aufgenommen. Ja…ich weiß…14 Minuten sind für viele lang. Aber ich denke, dass es das wert ist. Worum geht es? Das Jahr 2020 wird das Jahr der Datenschutz-Bußgelder. Das zeichnet sich schon jetzt ganz deutlich ab. Nicht nur die Höhe der Bußgelder steigt. Vor allem wird auch die Anzahl der Bußgelder steigen.
Und da ist es eine gute Idee, das Jahr 2020 zu nutzen, um im „Datenschutz“ besser zu werden. Das Ganze ist ein 12-monatiger Prozess bzw. Fahrplan mit Ideen dazu, welche Themen du im Unternehmen oder in der öffentlichen Stelle Schritt-für-Schritt angehen kannst. In dem Video werden konkret diese Themen als Bestandteile eines Datenschutz-Fahrplans 2020 angegeben:
- Auftragsverarbeitung & gemeinsame Verantwortlichkeit
- Informationspflichten
- Auskunftsrechte von Betroffenen (Datenportabilität)
- Datenschutzschulungen
- Kundendaten & CRM
- Datensicherheit (technisch / organisatorisch)
- Beschäftigtendatenschutz
- Löschkonzepte
- Verzeichnis von Verarbeitungstätigkeiten
- Datenschutzmanagement
- Privacy by Design & Privacy by Default
- Cookies, Pixel & Co. – Datenschutz im Internet
Dabei ist die Reihenfolge nicht wichtig. Jedenfalls nicht primär wichtig. Ich persönlich habe für meine Mandantinnen und auch die Datenschutz-Coaching-Mitglieder eine Reihenfolge gewählt, die etwas anders aussieht als die o.a. Auflistung. Und warum das so ist…das würde hier den Rahmen sprengen.
Schau’ dir einfach das Video dazu an, um die Idee dahinter zu erfahren:
Die Datenschutz-Coaching-Mitglieder werden auch im ganzen nächsten Jahr in den besonderen Genuss kommen, hier Unterstützung zu erhalten. Durch Vorlagen, Muster, Textempfehlungen und Webinare.
Wer keine Lust oder Zeit hat, sich selbst eine Reihenfolge und die Textvorlagen dazu zu basteln, kann sonst auch gerne an einer Schulung von mir teilnehmen….
Datenschutz 2020 – Die Schulung
Zu guter Letzt noch ein kleiner Hinweis…zu dem gerade angesprochenen Konzept „Datenschutz 2020“ gibt es auch eine Schulung. Die findet am 14.01.2020 von 09:00 Uhr bis 17:00 Uhr in Hamburg statt.
Und noch bis Montag, 11:59 Uhr gibt es einen Frühbucherpreis i.H.v. 349,00 € netto (415,31 € inkl. 19% USt.). Für Datenschutz-Coaching-Mitglieder gibt es darüber hinaus noch einen Rabatt von 50,00 € auf den Nettopreis.
Die Mindestteilnehmerzahl von 15 haben wir bereits erreicht. Die Schulung findet also auf jeden Fall statt.
Es sind nicht mehr viele Plätze frei. Wenn du also einen unterhaltsamen Tag mit mir zum Thema Datenschutz verbringen möchtest, kann du hier vielleicht noch Plätze ergattern: Datenschutz 2020 – Effektive Strategien zur Umsetzung von Datenschutz in Unternehmen und öffentlichen Stellen (Hamburg, 14.01.2020)
Wenn die Plätze bis Anfang kommender Woche ausverkauft sein sollten, planen wir ggf. noch eine zweite Veranstaltung. Versprechen kann ich aber nichts.
Das war’s für heute. Ich gehe dann jetzt gleich mal zum heute geplanten Glühwein-Trinken. Keine Bange…ich muss morgen früh raus. Wird also nicht zu „weinlastig“ werden. Viele Grüße Stephan Hansen-Oest
Psst...ein Wort zum Datenschutz-Coaching... Wenn dir der Inhalt dieses Newsletters gefallen hat und du vielleicht beruflich mit dem Thema Datenschutz zu tun hast, dann würde ich mich freuen, wenn du dir mal meine Datenschutz-Coaching-Angebote ansehen würdest.
Du erhältst diese E-Mail, weil du dich für meinen Newsletter "Datenschutz-Tipps für Unternehmen" auf der Internetseite "Datenschutz-Guru" angemeldet hast.
Anbieterkennzeichnung: Datenschutz-Guru GmbH Im Tal 10a 24939 Flensburg Tel.: +49 461 40 68 245 0 Fax: +49 461 40 68 245 9 E-Mail: [email protected] https://www.datenschutz-guru.de
Geschäftsführer: Stephan Hansen-Oest Registergericht: Amtsgericht Flensburg, HRB 13436
Möchtest du deine E-Mail-Adresse ändern? Dann aktualisiere hier dein Profil: Profil aktualisieren Zum Abbestellen des Newsletters kannst du hier klicken: Newsletter abbestellen