Das Thema Cookies rückt gerade wieder einmal in den Vordergrund der Datenschutz-Berichterstattung. Denn Anfang Oktober hat der EuGH (Europäische Gerichtshof) ein lang erwartetes Urteil gegen die Firma Planet 49 verhängt. Dabei ging und geht es um die Frage, wie Cookies und ähnliche Trackingmethoden künftig genutzt werden dürfen, um das Surfverhalten von Anwendern messen zu können.
Die schlechte Nachricht: Mit der einfachen (wirksamen) Einwilligung der Speicherung von personenbezogenen Daten mit dem Anklicken eines Cookie-Banners ist es ab sofort nicht mehr getan. Also zumindest teilweise, da nach wie vor unterschieden wird zwischen Cookies, die „unbedingt erforderlich“ sind und denen, auf die das nicht zutrifft.
Von (unbedingt) erforderlichen Cookies und ihrer Datenschutz-Bedeutungen
Als unbedingt erforderlich gelten zum Bespiel Cookies, die für das Steuern des Warenkorbs genutzt werden. Aber auch sogenannte Erinnerungs-Cookies fallen darunter, damit sich Anwender beim Besuch einer Webseite nicht jedes Mal neu anmelden müssen. Online-Communities legen beispielsweise solche Cookies an. Diese sind laut EuGH „harmlos“ und stellen keinen Verstoß gegen geltendes Recht dar.
Anders sieht es mit den meisten „Persistent Cookies“ aus, die dauerhaft oder zumindest für einen längeren Zeitraum auf dem Rechner des Anwenders gespeichert werden. Diese Cookie-Art kommt speziell zu Marktforschungszwecken oder anderen Gelegenheit vor. Diese sind immer einwillungspflichtig und bedürfen spezieller Maßnahmen des Webseitenbetreibers.
Dazu gehört vor allem die umfängliche Information des Internetseitenbesuchers, zu welchen Zwecken die per Cookies erfassten Daten genutzt werden sollen und wie lange. Erst wenn das geschehen ist, stimmt der Nutzer dem Setzen des Cookies zu – oder lehnt dieses ab.
Datenschutzbeauftragter erst ab 20 Beschäftigten erforderlich
Ende Juni hat die Bundesregierung Änderungen am BDSG-NEU erlassen, das ja auf der DSGVO basiert. Demnach ist ein Datenschutzbeauftragter (DSB) erst dann erforderlich, wenn 20 Mitarbeiter oder mehr mit der elektronischen Verarbeitung von personenbezogenen Daten betraut sind. Bisher lag diese Grenze bei 10 Anwendern.
Das sorgte vor allem bei kleineren Anwaltskanzleien, von denen viele die magische Grenzen von 20 Mitarbeitern unterschreiten, für ein deutlich hörbares Aufatmen. Allerdings sollte diese Änderung nicht dazu führen, dass aufgrund der Anpassung der DSGVO die Meinung sich breit macht, dass damit das Thema Datenschutz abgehakt sei, wie es Karl Fröhlich in unserem Gespräch nennt. Denn der Wegfall des mandatorischen DSB bedeutet nicht, dass die DSGVO in der jeweiligen Kanzlei nicht mehr greift. Das heißt lediglich, dass sich die Zuständigkeit vom DSB auf den Kanzleibetreiber verlagert. Und das wird in vielen Fällen zu einer erheblichen Mehrbelastung und vielen unbeantworteten Fragen führen.
Ein Datenschutzbeauftragter entlastet und sorgt für mehr Sicherheit
Daher kann und sollte unser Ratschlag lauten: Selbst wenn der DSB nicht mehr zwingend erforderlich ist – denken Sie trotzdem weiterhin darüber nach, sich von einem externen Datenschutzbeauftragten unterstützen zu lassen. Oder zumindest innerhalb der Kanzlei eine Person damit zu beauftragen, die Datenschutzgeschicke der Kanzlei künftig zu leiten und zu beobachten – inklusive einer fundierten und kontinuierlichen Aus- und Fortbildung. Disclaimer: Die Informationen, die in diesen Blogbeitrag eingeflossen sind, entstammen zu Teilen einem Interview, das ich mit dem Datenschutzbeauftragten Karl Fröhlich aus München geführt habe.
Mit dem achten und neunten Teil unserer großen DSGVO-FAQ-Videoreihe gehen wir den Fragen nach, ob jede Kanzlei einen Datenschutzbeauftragten braucht und welche Maßnahmen notwendig sind, wenn personenbezogene Daten in falsche Hände geraten.
„Benötigen wir unbedingt einen Datenschutzbeauftragten?“
Grundsätzlich gilt, dass Kanzleien und vergleichbare Firmen erst dann einen externen oder internen Datenschutzbeauftragten brauchen, wenn 10 oder mehr Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind. Darüber hinaus muss unabhängig von der Größe der Firma ein DSB bestellt werden, wenn eine Datenschutz-Folgeabschätzung erforderlich ist oder wenn Daten geschäftsmäßig erhoben und verarbeitet werden. Das ist beispielsweise bei Marktforschungsunternehmen der Fall. Und Behörden müssen unter allen Umständen einen DSB ernennen. Aber: Ein Datenschutzexperte hilft Ihnen bei der fach- und sachgerechten Umsetzung der erforderlichen DSGVO-Maßnahmen.
Übrigens: Verantwortlich für die Einhaltung der DSGVO ist übrigens immer die Unternehmensleitung. Der DSB ist lediglich Berater und Unterstützer.
„Was sollten wir tun, wenn personenbezogene Daten in falsche Hände geraten?“
Hier gibt es zwei Vorgehensweisen: Sollten Ihre Kanzlei das datenschutzrechtliche Vergehen selber bemerken, haben sie genau 72 Stunden Zeit, um den Verstoß bei der zuständigen Aufsichtsbehörde zu melden. Diese nimmt dann Kontakt mit Ihnen auf und stimmt mit Ihnen die weitere Vorgehensweise ab. Hierfür sollten Sie unbedingt selber die richtigen Lösungen in petto haben.
Zweiter Fall: Falls eine betroffene Person bemerkt, dass ihre Daten z.B. nicht rechtmäßig gelöscht wurden, kann sie mit der Aufsichtsbehörde Kontakt aufnehmen, um diesen Verstoß zu melden. Auch in diesem Fall werden Sie Post oder einen Anruf von dem zuständigen Sachbearbeiter bekommen. Danach liegt es wieder bei Ihnen, zielführende Maßnahmen einzuleiten.
Hülskötter & Partner unterstützen Sie bei der Umsetzung der DSGVO
In diesem Kontext möchte ich Ihnen den Service eines Kooperationspartners von Hülskötter & Partner ans Herz legen. Damit werden Sie bei Ihrer ganz persönlichen Umsetzung der DSGVO bestmöglich unterstützt. Zu den Leistungen zählen unter anderem die Bereitstellung eines externen Datenschutzbeauftragten oder die gesamte Basisdokumentation für den Datenschutz zur individuellen Anpassung – und das für gerade mal 70 Euro (netto) monatlich. Vergleichbare Angebote für externe Datenschutzbeauftragte rufen schnell mal 150 Euro (netto) monatlich auf den Plan. Weitere Informationen zu dem Thema Datenschutz finden Sie auf unserer Internetseite.
Bereiten Sie sich mit unserem Webinar auf die DSGVO richtig vor
Falls Sie noch mehr zur DSGVO wissen möchten, kann ich Ihnen unser DSGVO-Webinar im Rahmen der Kanzleiakademie-Flatrate guten Gewissens ans Herz legen, das wir für unsere Kunden konzipiert haben. Haben Sie keine noch keine Flatrate bieten wir Ihnen für dieses Webinar einmalig die Möglichkeit für 299,00 Euro (netto) pro Teilnehmer am Webinar teilzunehmen, auch wenn Sie keine Flatrate haben. Das Onlineseminar können Sie direkt über unsere Kanzleiakademie buchen. Bitte geben Sie bei der Buchung an, ob Sie bereits eine Flatrate haben oder nicht. Wir nehmen falls erforderlich dann nach der Buchung mit Ihnen Kontakt auf und schalten Sie dann für das Webinar frei.
Das Thema Datenschutz steht angesichts der fortschreitenden Digitalisierunginnerhalb der Anwaltsbrancheimmer mehr im Fokus.
Daher bietet Hülskötter & Partner für die Matrixkunden der advozon Kanzlei Konzept, die sich gerade zertifizieren lassen oder dies bereits getan haben, die nächste vollständige Seminarreihe zum Thema Datenschutz in Anwaltskanzleien an. Das ist insbesondere für QM-zertifizierte Kunden von besonderer Bedeutung, da mit der Einführung der ISO-Norm DIN EN 9001:2015 das Thema Datenschutz eine noch wichtigere Rolle einnimmt.
Die Webinarserie beginnt am 7. Oktober 2016 und endet am 12. Dezember 2016. Die Onlinekurse finden jeweils zwischen 11:00 und 12:00 Uhr statt, dauern also jeweils eine Stunde. Die Inhalte stellen sich wie folgt dar: 7.10.2016: Einführung in den Datenschutz Seminarinhalte: Datenschutzrechtliche Grundlagen des Bundesdatenschutzgesetzes (BDSG) // Was bedeutet Datenschutz? // Einstiegsfälle // Fragerecht im Arbeitsverhältnis 14.10.2016: Technische Risiken Seminarinhalte: Motive (Was ist eigentlich ein Hacker? Ist er immer kriminell? Wieso werden Systeme angegriffen? etc.) // Mögliche Gefahren (Identitätendiebstahl, Malware, Betrüger, Spammer, Hacker, etc.) 21.10.2016: Gesetze I Seminarinhalte: Anwendungsbereich // Definitionen und Begriffsbestimmungen // Zulässigkeit von Datenerhebungen // Bestellung von Datenschutzbeauftragten // Rechte des Betroffenen // Schadensersatz // Erhebung, Verarbeitung und Nutzung personenbezogener Daten 28.10.2016: Gesetze II Seminarinhalte: BDSG-Sondervorschriften // Telemediengesetz §5 – Anbieterkennzeichnung von Inhalten // Arbeitnehmerdatenschutz // Vorratsdatenspeicherung // Schweigepflicht // Europäische Datenschutzverordnung 11.11. 2016 Bestandsaufnahme
Seminarinhalte: Welche Fragen stellen sich bei einer Bestandsaufnahme im Unternehmen? // Rundgang durch ein fiktives Unternehmen anhand von Fotobeispielen
Später folgen weitere Webinare, deren Inhalte noch nicht vollständig feststehen. Deren Termine lauten wie folgt:
18. 11.2016: Der technisch-organisatorische Datenschutz
25.11.2016: Notwendige Maßnahmen des effektiven Datenschutzes
16. 12.2016: Datenschutz im Arbeitsverhältnis / Zusammenfassung und Ergänzung der bisherigen Inhalte
Zwischen- und Abschlussprüfung finden in Nordwalde bei Hülskötter & Partner statt
Darüber hinaus finden zwei Präsenztermine im Seminarzentrum von Hülskötter & Partner in Nordwalde statt. Das betrifft zum einen die Zwischenprüfung, die unsere Teilnehmer am 4. November 2016 absolvieren. Und am 13. Januar 2017 finden sich alle Datenschutz-Kursteilnehmer erneut in Nordwalde ein, um die Abschlussprüfung zu abzulegen. Bei Vor-Ort-Termine beginnen jeweils um 10 Uhr und enden um 14:00 Uhr. Melden Sie sich noch heute mit Ihrer Advozon Comfortcard an!
Die Anmeldung erfolgt wie gewohnt mithilfe der Advozon Comfortcard-Nummer, mit der Sie sich in unsere Onlineakademie einwählen und die Kurse belegen können, indem Sie auf den kleinen Pfeil vor dem Eintrag „Kurse“ und dann auf den Link „Datenschutz Reihe 5 – Start 7. Oktober 2016“ klicken. Dort erhalten Sie weitere Informationen zu den Inhalten.
Falls Sie Fragen zu unserer Datenschutz-Webinarreihe haben, dürfen Sie uns gerne unter der Telefonnummer 02573-9393-170 anrufen oder uns an team@huelskoetter.info eine E-Mail schreiben.
Der Berufsverband der Datenschutzbeauftragten (BvD) hat erst kürzlich die Alarmglocken läuten lassen. Hintergrund: Laut BvD sind etwa 50 Prozent aller Datenschutzbeauftragten nicht ausreichend qualifiziert. Damit sind sie laut Marco Biewald den Anforderungen nicht gewachsen, die für das Umsetzen der internen Sicherheitsstandards notwendig sind.
Das klingt äußerst beunruhigend, schließlich sollte man gerade als Anwalt stets darauf bedacht sein, die eigenen Daten und die seiner Mandanten mit der größtmöglichen Sorgfalt zu behandeln. Genau aus diesem Grundbeschäftigt Hülskötter & Partner einen Externen Datenschutzbeauftragten, der ein ausgewiesener Fachmann ist. Von dem wollten wir es genauer wissen, warum es so wichtig ist, bei der Ausbildung zum Datenschutzbeauftragten auf höchste Standards zu setzen und diese möglichst auf einem kontinuierlich hohen Niveau zu halten. Herr Tenti, Marco Biewald, Sprecher des Berufsverbands der Datenschutzbeauftragten (BvD), hat sich anlässlich des 25-jährigen Bestehens des BvD kritisch zum aktuellen Ausbildungsstand vieler Datenschutzbeauftragten in Deutschland geäußert. Was sagen Sie dazu?
Das kann ich mir sehr gut vorstellen, da Datenschutz nach wie vor in zahlreichen Unternehmen sehr stiefmütterlich behandelt wird, was in vielen Fällen mit der oft kostspieligen Ausbildung zu tun hat. Daher bevorzugen viele Firmen eher eine 24-Stunden-Schulung, anstatt auf eine fundierte Ausbildung zu setzen, was dem Thema sehr viel angemessener wäre. Denn zu einem gut ausgebildeten Datenschutzbeauftragten gehört sowohl ein technisches als auch juristisches Fachwissen, das sich nicht über Nacht aneignen lässt. Wodurch zeichnet sich eine fundierte Ausbildung zum Datenschutzbeauftragten aus?
Wichtig ist vor allem, das die geeigneten Kandidaten ein solides Grundwissen vorweisen können, und das vor allem in technischer Hinsicht. Wir können immer wieder feststellen, dass es deutlich einfacher ist, einen IT-Fachmann mit dem notwendigen juristischen Grundwissen zu versorgen als umgekehrt. Denn wichtig ist vor allem ein sehr profundes Know-how zu technischen und organisatorischen Belangen, die sich ein Datenschutzbeauftragter aneignen muss. Dabei sollte man sich stets vor Augen führen, dass Ausbildungsangebote zum Datenschutzbeauftragten mit einer Laufzeit unter einer Woche nicht seriös sind. Derzeit fordert das Gesetz von Datenschutzbeauftragten lediglich, dass sie fachkundig und zuverlässig sind. Reicht das aus oder fordern Sie auch wie Herr Biewald eine verpflichtende Zulassung?
Aus berufsethischen Gründen muss ich Herrn Biewald zustimmen, allerdings wider besseres Wissen. Denn in der Praxis würde solch eine Verpflichtung die Messelatte gerade für mittelständische Unternehmen sehr hoch legen, da sich diese wie bereits erwähnt oft vor den Kosten scheuen, die mit einem internen oder externen Datenschutzbeauftragten einher gehen. Zudem müsste erst einmal genau definiert werden, wie so eine verpflichtende Zulassung aussehen und wie diese umgesetzt werden soll. Allerdings darf man dabei nicht vergessen, dass dem Thema Datenschutz eine immer größere Bedeutung beigemessen wird. Was sollte ein gut ausgebildeter Datenschutzbeauftragter alles leisten können?
Ein guter Datenschutzbeauftragter ist in der Lage, ein vollständiges Verfahrensverzeichnis anzulegen, eine Liste aller personenbezogenen Prozesse anzufertigen, die existierende Organisation vor Ort zu prüfen und daraus Verbesserungsvorschläge abzuleiten. Sie können davon ausgehen, dass ein Datenschutzbeauftragter seinen Aufgaben nicht ernsthaft nachkommt, wenn er keine fundierten Vorschläge zur Verbesserung der IT-Organisation macht oder machen kann. Dazu gehören beispielsweise komplexe Kennwörter sowie der regelmäßige Wechsel derselben, die ordnungsgemäße Entsorgung digitaler Daten und vieles mehr. Update 25.7.2018: Mittlerweile ist die europäische DSGVO (Datenschutzgrundverordnung) in Kraft getreten. Damit gewinnt das Thema Datenschutz eine zusätzliche Bedeutung. Hierzu haben wir eine 10-teilige Videoserie mit den wichtigsten Fragen und Antworten rund um die DSGVO produziert. Und das passende Interview mit unserem Datenschutzbeauftragten finden Sie ebenfalls auf dem Advoblog.