Änderungen in Sachen Datenschutz und was das für Anwaltskanzleien bedeutet
Das Thema Cookies rückt gerade wieder einmal in den Vordergrund der Datenschutz-Berichterstattung. Denn Anfang Oktober hat der EuGH (Europäische Gerichtshof) ein lang erwartetes Urteil gegen die Firma Planet 49 verhängt. Dabei ging und geht es um die Frage, wie Cookies und ähnliche Trackingmethoden künftig genutzt werden dürfen, um das Surfverhalten von Anwendern messen zu können.
Die schlechte Nachricht: Mit der einfachen (wirksamen) Einwilligung der Speicherung von personenbezogenen Daten mit dem Anklicken eines Cookie-Banners ist es ab sofort nicht mehr getan. Also zumindest teilweise, da nach wie vor unterschieden wird zwischen Cookies, die „unbedingt erforderlich“ sind und denen, auf die das nicht zutrifft.
Von (unbedingt) erforderlichen Cookies und ihrer Datenschutz-Bedeutungen
Als unbedingt erforderlich gelten zum Bespiel Cookies, die für das Steuern des Warenkorbs genutzt werden. Aber auch sogenannte Erinnerungs-Cookies fallen darunter, damit sich Anwender beim Besuch einer Webseite nicht jedes Mal neu anmelden müssen. Online-Communities legen beispielsweise solche Cookies an. Diese sind laut EuGH „harmlos“ und stellen keinen Verstoß gegen geltendes Recht dar.
Anders sieht es mit den meisten „Persistent Cookies“ aus, die dauerhaft oder zumindest für einen längeren Zeitraum auf dem Rechner des Anwenders gespeichert werden. Diese Cookie-Art kommt speziell zu Marktforschungszwecken oder anderen Gelegenheit vor. Diese sind immer einwillungspflichtig und bedürfen spezieller Maßnahmen des Webseitenbetreibers.
Dazu gehört vor allem die umfängliche Information des Internetseitenbesuchers, zu welchen Zwecken die per Cookies erfassten Daten genutzt werden sollen und wie lange. Erst wenn das geschehen ist, stimmt der Nutzer dem Setzen des Cookies zu – oder lehnt dieses ab.
Datenschutzbeauftragter erst ab 20 Beschäftigten erforderlich
Ende Juni hat die Bundesregierung Änderungen am BDSG-NEU erlassen, das ja auf der DSGVO basiert. Demnach ist ein Datenschutzbeauftragter (DSB) erst dann erforderlich, wenn 20 Mitarbeiter oder mehr mit der elektronischen Verarbeitung von personenbezogenen Daten betraut sind. Bisher lag diese Grenze bei 10 Anwendern.
Das sorgte vor allem bei kleineren Anwaltskanzleien, von denen viele die magische Grenzen von 20 Mitarbeitern unterschreiten, für ein deutlich hörbares Aufatmen. Allerdings sollte diese Änderung nicht dazu führen, dass aufgrund der Anpassung der DSGVO die Meinung sich breit macht, dass damit das Thema Datenschutz abgehakt sei, wie es Karl Fröhlich in unserem Gespräch nennt. Denn der Wegfall des mandatorischen DSB bedeutet nicht, dass die DSGVO in der jeweiligen Kanzlei nicht mehr greift. Das heißt lediglich, dass sich die Zuständigkeit vom DSB auf den Kanzleibetreiber verlagert. Und das wird in vielen Fällen zu einer erheblichen Mehrbelastung und vielen unbeantworteten Fragen führen.
Ein Datenschutzbeauftragter entlastet und sorgt für mehr Sicherheit
Daher kann und sollte unser Ratschlag lauten: Selbst wenn der DSB nicht mehr zwingend erforderlich ist – denken Sie trotzdem weiterhin darüber nach, sich von einem externen Datenschutzbeauftragten unterstützen zu lassen. Oder zumindest innerhalb der Kanzlei eine Person damit zu beauftragen, die Datenschutzgeschicke der Kanzlei künftig zu leiten und zu beobachten – inklusive einer fundierten und kontinuierlichen Aus- und Fortbildung.
Disclaimer: Die Informationen, die in diesen Blogbeitrag eingeflossen sind, entstammen zu Teilen einem Interview, das ich mit dem Datenschutzbeauftragten Karl Fröhlich aus München geführt habe.