Der EuGH hat am 29.07.2019 im Fall „Fashion-ID“ ein weitreichendes Urteil gefällt, was Einfluss auf eine Vielzahl von Webseiten hat. Das Gericht stellte dabei fest, dass bei Einbindung des Facebook „like-buttons“ eine gemeinsame Verantwortlichkeit zwischen dem Websitenbetreiber und Facebook begründet und die Verarbeitung personenbezogener Daten durch den „like-button“ der Einwilligung der der entsprechenden Nutzer bedarf. Für Websitenbetreiber bedeutet dieses Urteil konkret:
1. Die Einbindung des Facebook „like-buttons“ befindet sich derzeit im juristischen Graubereich, nachdem Facebook (noch) keinen Vertrag über eine gemeinsame Verantwortlichkeit anbietet.
2. Websiten, die einen Facebook „like-button“ eingebunden haben, bedürfen nun auch in Deutschland einen so genannten Cookie-Banner, um die Einwilligung in die Datenverarbeitung durch Facebook sicherzustellen. Insbesondere bedarf die Einbindung dieses plug-ins, im worst-case sogar der Zugriff auf die Website, der Einwilligung durch die entsprechenden Nutzer (betroffenen Personen).
Vor allem aber zeigt das Urteil, dass der Datenschutz ein sehr lebendiges Rechtsgebiet ist und hier ein besonderes Augenmerk auf Änderungen der Rechtslage gelegt werden muss.
Mehr lesenDie Implementierung eines Löschungskonzepts, welches einerseits den Anforderungen der DSGVO genügt und andererseits die gesetzlichen Aufbewahrungspflichten beachtet kann durchaus zur Herausforderung werden. Die Verantwortlichen sehen sich hier regelmäßig einem schmalen Grat zwischen den gesetzlichen Aufbewahrungspflichten, den Löschungspflichten nach der DS GVO und den Löschungsbegehren der betroffenen Personen ausgesetzt. Unsere Datenschutzbeauftragten implementieren Ihnen auf Wunsch ein praktikables Löschungskonzept, welches sowohl den gesetzlichen Aufbewahrungspflichten als auch der DSGVO genügt und somit eine Compliance Ihres Unternehmens sowohl hinsichtlich des Datenschutzes als auch betreffend der übrigen Gesetze in jedem Fall sichergestellt ist.
In der Nacht zum 28.6.2019 hat der Bundestag das zweite Datenschutzanpassungs- und Umsetzungsgesetz verabschiedet. Das zweite Datenschutzanpassungs- und Umsetzungsgesetz enthält bereichskonkretisierende Klarstellungen und macht verstärkt von den in der DSGVO vorgesehenen Spezifizierungsklauseln gebraucht. Insbesondere wurden die Anforderung, ab welcher Unternehmensgröße ein Datenschutzbeauftragter zu bestellen ist, abgeschwächt. Zukünftig ist ein Datenschutzbeauftragter nur dann zu bestellen, wenn mehr als 20 Mitarbeiter fortlaufend mit der Verarbeitung personenbezogener Daten betreut sind. Unabhängig von der Verpflichtung zur Bestellung eines Datenschutzbeauftragten, macht die Bestellung eines solchen jedoch regelmäßig schon vorher Sinn um die Legalität der Datenverarbeitung im Unternehmen sicherzustellen und Haftungsrisiken zu vermeiden.
Die Frage, ob hinsichtlich einer Verarbeitungstätigkeit von einer gemeinsamen Verantwortlichkeit oder von einer Auftragsverarbeitung auszugehen ist, kann durchaus äußerst kompliziert sein. Auftragsverarbeitung ist, wer personenbezogene Daten auf Weisung des Verantwortlichen verarbeitet. Eine gemeinsame Verantwortlichkeit liegt dem entgegen vor, wenn Zweck und Mittel der Verarbeitung von zumindest zwei Verantwortlichen gemeinsam festgelegt werden. Nicht immer lässt sich eine Abgrenzung jedoch zweifelsfrei vornehmen. So waren Fragen der Verantwortlichkeit bereits mehrfach Gegenstand von Entscheidungen des europäischen Gerichtshofs. Entsprechend ist den datenverarbeitenden Stellen zu raten, die Abgrenzung zwischen Auftragsverarbeitung und gemeinsame Verantwortlichkeit von einem qualifizierten Experten durchführen zu lassen.
Eine Datenschutzfolgenabschätzung gehört wohl zu den umfangreichsten Dokumentationserfordernissen welche die DSGVO vorsieht. Interessanterweise ist zur Durchführung einer solchen, trotz voll harmonisierten EU-Rechts, keine einheitliche Methodik festgeschrieben oder von europäischer Stelle erarbeitet worden. Unsere Datenschutzexperten führen Datenschutzfolgenabschätzungen unter Berücksichtigung der nationalen als auch der internationalen europäischen Methoden durch, um eine bestmögliche Datenschutzfolgenabschätzung für unsere Kunden anbieten zu können.
Die in der DSGVO vorgesehenen Geldbußen bei Datenschutzverstößen können schwerwiegend, ja sogar existenziell sein. Ausgehend von der DSGVO müssen Geldbußen wirksam verhältnismäßig und abschreckend sein. Ihre abschreckende Wirkung erhalten die in der DSGVO vorgesehenen Geldbußen oft schon durch ihre abstrakte Höhe. Ob verhängte Geldbußen jedoch im Einzelfall auch verhältnismäßig sind, kann durchaus fraglich sein. Unsere Datenschutzexperten sind zugleich erfahrene Rechtsanwälte und können gegen ihr Unternehmen verhängte Geldbußen überprüfen sowie erforderlichenfalls gerichtlich gegen diese vorgehen. In diesem Fall profitieren Sie neben der der Expertise unserer Datenschutzexperten auch von ihrer Expertise als Rechtsanwälte.