1 Jahr DSGVO – Praxiserfahrungen und Evaluation Danke für die gute Uhrzeit – nicht 23:55 Uhr Danke dass auch Praktiker Gelegenheit erhalten Ihre Wünsche und Sorgen zu adressieren 1 Jahr DSGVO – Praxiserfahrungen und Evaluation Stephan Schmidt | Fachanwalt für IT-Recht / Datenschutzbeauftragter / CIPP-E Stuttgart | 28. Juni 2019

Belastung für (kleinere) Unternehmen den Verantwortlichen treffen fast 70 Pflichten, die mehr oder weniger unabhängig von der Größe des Unternehmens sind der risikobasierte Ansatz der DSGVO wird damit in weiten Teilen der Regelungen praktisch aufgegeben Umsetzung ist mit hohen Kosten verbunden – insbesondere auch, weil viele Vorgaben unklar und auslegungsbedürftig sind praktische Anleitungen zur Handhabung der Regelungen fehlen Wünschenswert wären europaweit einheitliche Regelungen zum Beschäftigtendatenschutz © RA Stephan Schmidt | TCI Rechtsanwälte 2019

Informationspflichten Mehrebenen-Ansatz und Medienbruch es muss über 14 einzelne „Punkte“ „leicht zugänglich“ informiert werden – und das gilt nur dann, wenn man alle Betroffenenrechte als einen Punkt zählt und die Daten direkt beim Betroffen erhoben werden Datenschutzerklärungen von Webseiten (bei Schriftart Arial und Schriftgröße 12) IHK Stuttgart – 16 Seiten (34.022 Zeichen) LfDI Baden-Württemberg – 32 Seiten (48.575 Zeichen) (umfasst aber nicht nur die Webseite) Google – 32 Seiten (51.282 Zeichen) Bild.de – 40 Seiten (122.819 Zeichen) Wünschenswert wäre Klarstellung, dass Mehrebenen-Ansatz und Medienbruch zulässig sind Gemäß Art. 12 Abs. 7 DSGVO können die gebotenen Informationen mit standardisierten Bildsymbolen kombiniert werden Wünschenswert wäre Klarstellung, dass „kombiniert“ in Art 12 DSGVO in den Fällen „ersetzen“ meint, in denen ein Ersetzen möglich ist Informationspflichten der Art. 12 bis 14 DSGVO sollen den Grundsätzen der fairen und transparenten Verarbeitung dienen Bärendienst für den Datenschutz Überdruss und Überfluss an Informationen führt zu Informationsermüdung (ähnlich bei den „Cookie-Bannern“) fragwürdig, ob Betroffenen mit „information overkill“ gedient ist oder ob dies der Transparenz aus Sicht des Betroffenen nicht eher schadet Gebot leichter Zugänglichkeit nach Art. 12 Abs. 1 S. 1 DSGVO Aufsichtsbehörden: so bereitzustellen, dass die betroffene Person sie bei Datenerhebung ohne Medienbruch bekommt Daten mit einem schriftlichen oder elektronischen Formular erhoben, müssen die Informationen grundsätzlich auf diesem Formular bereitgestellt werden Verbot des Mehrebenenansatzes oder des Medienbruchs ergibt sich nicht aus dem Wortlaut Mehrebenen-Ansatz beinhaltet, dass die Erteilung von Informationen zur Datenverarbeitung abgeschichtet und mittels verschiedener Medien erfolgen kann Art. 29 Gruppe WP 260: „ Eine Verwendung von Mehrebenen-Datenschutzerklärungen versetzt betroffene Personen in die Lage, zu einem bestimmten Teil der Datenschutzerklärungen zu navigieren, anstatt bei der Suche nach einzelnen Themen umfangreiche Texte durchkämmen zu müssen.“ Vergleichbar Verbraucherschutzregelungen bei mobilem Zugriff © RA Stephan Schmidt | TCI Rechtsanwälte 2019

Informationspflichten Fehlende Ausnahmen Art. 13 DSGVO ist insgesamt nicht ausgewogen extensiv ausgelegte Informationspflichten führen zu einer Verletzung anderer Grundrechte der Grundrechtecharta der EU Zweifel, ob die in den §§ 32 und 33 BDSG vorgesehenen Beschränkungen der Informationspflichten nach Art. 23 DSGVO zulässig sind Wünschenswert wären (weitere) ausdrückliche Ausnahmeregelungen, z.B.: für die Datenverarbeitung zu privilegierten Zwecken zugunsten Unternehmen, deren Datenverarbeitung nicht Zweck der Geschäftstätigkeit ist zugunsten der Geheimhaltungsinteressen des Verantwortlichen und bei Unverhältnismäßigkeit Art. 14 DSGVO schränkt Datenverarbeitung bei öffentlich zugänglichen Quellen unverhältnismäßig ein („chilling effect“) Grundrechte müssen in ausgewogenes Verhältnis gebracht werden, und zwar so, dass der Wesensgehalt des jeweiligen Grundrechts geachtet wird. Wesensgehalt von z.B. Grundrecht auf Freiheit der Meinungsäußerung und Informationsfreiheit (Art. 11 GRCh), Berufsfreiheit und Recht zu arbeiten (Art. 15 GRCh), unternehmerische Freiheit (Art. 16 GRCh) und Eigentumsrecht (Art. 17 GRCh) darf nicht verletzt werden Informationspflicht des Art. 13 kennt keine Ausnahmen geht eindeutig zulasten der Rechte des Verantwortlichen und der Rechte Dritter Overkill bei Auslegung, dass Art. 13/14 (2) stets verpflichtend sein sollen (m.E. falsch). Regelung wird zu einem erheblichen einmaligen und regelmäßigen bürokratischen Mehraufwand führen für viele Fälle (z.B. im E-Commerce) höchst fraglich, ob die Informationspflichten überhaupt praxisgerecht erfüllt werden können © RA Stephan Schmidt | TCI Rechtsanwälte 2019

Informationspflichten Angabe von Empfängern Nach dem Wortlaut von Art. 13 Abs. 1 lit. e) DSGVO sind „gegebenenfalls die Empfänger oder Kategorien von Empfängern“ anzugeben Regelung wird von h.M. dahingehend verstanden, dass konkreter Empfänger zu benennen ist, wenn dieser bei der Datenerhebung bereits absehbar ist Problem für „Whitelabel-Lösungen“ bei der Auftragsverarbeitung Anbieter/Auftragsverarbeiter ist Empfänger von Daten und daher zu benennen Kunde wird auf Zulieferer/Auftragsverarbeiter hingewiesen und eine wirtschaftsfreundliche Lösung dadurch erschwert / unmöglich gemacht der Betroffene ist ausreichend durch das Auskunftsrecht geschützt Wünschenswert wäre Klarstellung, dass selbst dann eine Angabe einer Kategorie von Empfängern ausreichend ist, wenn der Verantwortliche den/die Empfänger konkret kennt © RA Stephan Schmidt | TCI Rechtsanwälte 2019

Auftragsverarbeitung DSGVO erstreckt Vorgaben für Auftragsverarbeitungen auf die Mehrzahl internationaler Auftragsverarbeitungen mit EU-Bezug daher in der Praxis oft Auftragsverarbeitung + Standardvertragsklauseln wobei Muster nach Art. 46 Abs. 2 lit. d DSGVO immer noch fehlen unklar, wie mit Widersprüchen umgegangen werden soll Anforderungen sind für Cloud Computing Anbieter kaum umzusetzen zweifelhaft, ob den Anforderungen aus Art. 28 DSGVO künftig im Wege von Verhaltensregeln (Art. 40 DSGVO) und Zertifizierungen (Art. 42 DSGVO) entsprochen werden kann die Folge ist das Risiko für Anbieter und Modelle, dass Verarbeitung als fehlerhafte Auftragsverarbeitung im Fall unerkannter Funktionsübertragung qualifiziert wird (Bußgeldrisiko) führt zu einer parallelen Verantwortlichkeit, die nach Maßgabe von Art. 26 DSGVO zu behandeln wäre ungeachtet der Bezeichnung oder des Willens bzw. der Selbstwahrnehmung der beteiligten Akteure um eine fehlerhafte Auftragsverarbeitung, sobald die Bestimmung über Zwecke und Mittel der konkreten Verarbeitungen nicht hinreichend von den Verantwortlichen bzw. Auftraggebern getroffen wird Datenschutzkonferenz vertritt die Auffassung, dass IT-Wartungsverträge den Anforderungen des Artikel 28 DSGVO genügen müssen (https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf) © RA Stephan Schmidt | TCI Rechtsanwälte 2019

Gemeinsame Verantwortlichkeit Betrifft viele Geschäftsmodelle in der digitalen Ökonomie, bei denen Unternehmen kooperieren und über Onlineplattformen Informationen austauschen bereits in der Datenschutzrichtlinie aus dem Jahr 1995 angelegt erheblicher Unterschied im Detailierungsgrad zu Art. 28 DSGVO nicht zu erklären Nichtabschluss einer den Anforderungen des Art. 26 DSGVO genügenden Vereinbarung zwischen den gemeinsam Verantwortlichen ist mit einem erheblichen Bußgeld bedroht Wünschenswert wäre eine dem Art. 28 DSGVO im Detailgrad vergleichbare Regelung, die für Verantwortliche mehr Sicherheit bringt Bisher kaum praktische Bedeutung offensichtlich auch bei Müttern und Vätern der DSGVO nicht weiter beachtet EuGH Urteile zu Facebook-Fanpages und Zeugen Jehovas Muster des LfDI BW Bereits jetzt ist festzustellen, dass in vielen Konzernen vorsorglich Datenschutzvereinbarungen abgeschlossen werden, die zumindest formal den Anforderungen des Art. 26 DS-GVO genügen sollen bürokratische Aufwand ist erheblich Mehrwert für die von der Datenverarbeitung betroffenen Personen dagegen eher nicht © RA Stephan Schmidt | TCI Rechtsanwälte 2019

© RA Stephan Schmidt | TCI Rechtsanwälte 2019 Vielen Dank! Rechtsanwalt Stephan Schmidt Fachanwalt für Informationstechnologierecht Datenschutzbeauftragter | CIPP/E TCI Rechtsanwälte Isaac-Fulda-Allee 5 D-55124 Mainz Telefon: +49 - (0) 6131 - 302 90 460 Telefax: +49 - (0) 6131 - 302 90 466 E-Mail: sschmidt@tcilaw.de Internet: www.tcilaw.de Twitter: @stephanschmidt © RA Stephan Schmidt | TCI Rechtsanwälte 2019