GDD-ERFA-Kreis Bayern - Frühjahrsping - BayLDA - PrivacyShield

1. Anworten des BayLDA
2. Dt-amerikanischer Datenschutztag - (m)ein Resümee
3. Reminder 80. Sitzung

Sehr geehrte ERFAKreis-Mitglieder,

einen frohen Frühling, Wochenausklang und einen überschaubaren Schreibtisch wünsche ich Ihnen! Ich wollte mich einfach mal wieder gemeldet haben :-) und ein paar Themen mit Ihnen teilen.

Anworten des BayLDA

Ich hatte es bislang nicht geschafft, Ihnen die wertvollen Antworten des BayLDA auf Ihre Fragen mitzuteilen. Ein herzliches Danke an Frau Benedikt hierfür!

• Wie streng ist das Koppelungsverbot bei der Einwilligung zum Tracking zu sehen? Wenn ein Nutzer die Einwilligung verweigert, muss der Anbieter dann die Website ohne Tracking anbieten oder darf er auch den Zugang zur Website verweigern? Darf er den Zugang verweigern, wenn er alternativ auch eine Bezahl-Lösung ohne Tracking anbietet?

BayLDA: Welche Anforderungen für eine freiwillige Einwilligung gelten, entnehmen Sie bitte der verbindlichen Leitlinie zur Einwilligung (S. 5 ff.), abrufbar unter https://www.datenschutz-bayern.de/datenschutzreform2018/wp259rev01_de.pdf

Ob sog. "Tracking-Walls" zulässig sind, wird derzeit auf europäischer Ebene diskutiert. Hierzu wird voraussichtlich eine Leitlinie zu Online-Services veröffentlicht werden.

Wir sind derzeit der Auffassung - vorbehaltlich einer entgegenstehenden europäischen Auffassung -, dass der Nutzer vom Besuch einer Website ausgeschlossen werden darf, wenn er keine Einwilligung erteilt. Nach unserer Ansicht besteht kein Anspruch des Nutzers auf unbeschränkten Zugang zu Websites.

• Ist für den Einsatz von Tools, die eine unabhängige Reichweitenmessung von dritter Seite durchführen wie INFOnline oder das METIS-Zählpixel eine Einwilligung erforderlich?

BayLDA: Wir gehen davon aus, dass die o.g. Tools nur mit einer Einwilligung des Nutzers eingesetzt werden dürfen. Art. 6 Abs. 1 lit. f) DSGVO ist keine Rechtsgrundlage, da eine Abwägung ergibt, dass die Interessen des Betroffenen überwiegen.

Dem BayLDA ist bekannt, dass u.a. INFOnline eine andere Auffassung vertritt. Aus diesem Grund weisen wir ausdrücklich darauf hin, dass Verantwortliche im Rahmen ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachweisen müssen, dass die Verarbeitung personenbezogener Daten rechtmäßig erfolgt. Dies bedeutet, dass Verantwortliche vorab prüfen und dokumentieren müssen, auf welchen Erlaubnistatbestand sie die Verarbeitung stützen.

5. Deutsch-amerikanischer Datenschutztag in München (m)ein Resümee

Gestern konnte ich mit einigen von Ihnen am 5. Deutsch-amerikanischen Datenschutztag, veranstaltet vom vbw und moderiert von Herrn Dr. Ehmann, Regierungspräsident von Unterfranken, teilnehmen.

Eine erste interessante Botschaft hinsichtlich Datenübermittlungen in die USA kam auch gleich zu Anfang.
Prof. Dr. Martin Selmayr, Generalsekretär der EU-Kommission machte durchaus deutlich, dass ein „weiter so“ vermutlich nicht Ergebnis des EuGH zu "Schrems 2.0" sein wird. Damit würde nicht nur das Privacy Shield „fallen“ sondern eben gleichbedeutend die sog. Standardvertragsklauseln.

Er habe aber durchaus grosses Vertrauen in die Motivation beider Parteien, dass eine Weiterentwicklung möglich ist und den Unternehmen in Europa nicht die sprichwörtliche Türe vor der digitalen Nase zugeschlagen wird.

Wunschkonzert aber wäre, dass Grundlagen geschaffen werden, die eine Adäquanzentscheidung der Kommission ermöglichen.

Julie Brill, Corporate Vice President Privacy and Regulatory Affairs Group der Microsoft Corporation, zeigte dazu recht plakativ auf, wo und wie sich USA in verschiedenen Staaten bereits durchaus deutlich auf den Weg machen und Gesetze erlassen, die Datenverarbeitung regeln. Mit teils empfindlichen Strafen.

Richard Downing, Deputy Assistant Attorney General, U.S. Department of Justice erklärte einiges zum CLOUD Act. Hierzu schrieb er wohl noch gestern in Anlehnung an seine Eindrücke des Tages einen sehr detaillierten und wirklich lesenswerten Beitrag:

Deputy Assistant Attorney General Richard W. Downing Delivers Remarks at the 5th German-American Data Protection Day on “What the U.S. Cloud Act Does and Does Not Do”
https://www.justice.gov/opa/speech/deputy-assistant-attorney-general-richard-w-downing-delivers-remarks-5th-german-american

Herr Alexander Filip, Leiter des Referats für Internationalen Datenverkehr, BayLDA, ging nach einer Frage noch einmal darauf ein, dass das Thema „in der EU niedergelassener Auftragsverarbeiter der einen oder mehrere Unterauftragsverarbeiter in Drittländern ohne angemessenes Datenschutzniveau einsetzt“ ein leider noch kompliziertes ist, da die sog. Standardvertragsklauseln es nicht abbilden. Er verwies zum Thema auf den aktuellen 8. Tätigkeitsbericht

Siehe zu Herrn Filips Hinweis Seite 86 des insgesamt lesenswerten Berichtes: https://www.lda.bayern.de/media/baylda_report_08.pdf

Lesen Sie hier den Rückblick des vbw zum Deutsch-amerikanischen Datenschutztag:
https://www.vbw-bayern.de/vbw/Aktionsfelder/Recht/IT-Recht-Datenschutz/5.-Deutsch-amerikanischer-Datenschutztag.jsp

Frequently Asked Questions about the U.S. CLOUD Act
https://www.crossborderdataforum.org/frequently-asked-questions-about-the-u-s-cloud-act/

Kurze Einführung zu Adäquanzentscheidungen (Hessen BfDI)
https://datenschutz.hessen.de/datenschutz/internationales/angemessenheitsbeschl%C3%BCsse

Nächste Sitzung

BTW … Haben Sie sich den 20. September geblockt? Sie erinnern sich … 80. Sitzung des GDD-ERFA-Kreises Bayern. Wo? Beim ADAC in München. Das Programm und die Einladung folgt … wie immer erst ein paar Wochen zuvor.

Aber eine Bitte an dieser Stelle: Haben Sie Geschichten aus oder über den ERFA-Kreis Bayern und seine Historie, die Sie beizusteuern möchten. Anläßlich dieses doch wirklich fein runden Geburtstags sollten wir sie teilen, meinen Sie nicht?

Schreiben Sie mir dazu. Ich freue mich!

P.S. Sehe ich Sie nächsten Freitag bei der Stiftung Datenschutz und dem Datentag (https://www.datentag.de/#datentag-dsgvo-home)