Liebe Grüße aus der Welt des Datenschutzes und herzlich willkommen zum DSGVO.CARE Newsletter APRIL 2021!

April April! Der macht was er will: Hitzewallungen und klirrende Kälte. Minister-Rücktritte und Impf- vor allem aber auch Pläne im allgemeinen durcheinander bringen. Insbesondere Newsletter-Versand-Termine wie vielleicht dem einen oder anderen schon aufgefallen ist ergeht der aktuelle Newsletter mit ein wenig Verspätung. Ursächlich sind IT-Komplikationen, Last-Minute-Kundenanfragen (gasp / schock o_O ) und - leider auch - vorausgegangene Faulheit.

Aber keine Sorgen liebe Leser/in! Der Newsletter-Plan im Allgemeinen ist nicht gefährdet, sondern setzen wir auf den Ketchup-Effekt und "versprechen", dass bis zum Sommer jede/r Newsletter-Willige auch zumindest einen Newsletter erhalten werden wird können.

So... und jetzt zum eigentlichen Thema: Datenschutz! Hier haben wir vom Team DSGVO.Care wieder mal ein paar interessante Ereignisse in der Welt des Datenschutzes aufgeschnappt:

1. Schrems Vs Facebook: ein Fall von Passierschein A-38 und Sequelitis!

Und den Anfang in diesem Newsletter macht unser geschätzter, unser berüchtigter, unser allseits berüchtigter ... the one and only Max Schrems (*Applaus Applaus bitte!):

Dieser brilliert im demnächst anlaufenden Frühlingsblockbluster "Schrems VS Facebook"! Die Rahmenhandlung an sich sollte bekannt sein: der Underdog Max Schrems gespielt von sich selbst kämpft - wieder einmal - gegen den fiesen Oberschurken Mark Zuckerberg bzw dessen Datenkrake Facebook. Als Setting wird diesmal der altehrwürdige Oberste Gerichtshof im schönen Österreich fungieren. Inhaltlich drehen wird sich das ganze - wieder einmal (!) - um die solche Fragen wie: "Sind Facebooks Einwilligungen rechtmäßig?" und "Warum in alle Welt regen sich Facebook-User eigentlich auf?" usw...

Was meint das Team DSGVO.Care dazu?

Aus unserer Sicht handelt es sich hier sicher nicht um große, brilliante Auflösung des Facebook-Schrems-Franchise. Ganz sicher nicht der große Endkampf ala Avengers Endgame (das wird es wohl erst vor dem EuGH geben) aber ganz sicher um solides Popcorn Kino. Unsere Empfehlung daher: unbedingt anschauen und auf eine Post-Credit-Scene hoffen.

2. CRM-Systeme, Art 26 DSGVO und andere fiese Datenschutz-Dinge...

Tja und jetzt Themen- und Perspektivenwechsel. Weg von der Underdog/Konsumenten-Rolle. Stattdessen rein in die Rolle der Firmen. Auch hier hat nämlich das Team DSGVO.Care eine coole und nützliche Info zum Thema CRM-Systeme und Art. 26 DSGVO:

So hat nämlich der Hamburger Beauftragte für Datenschutz und Informationssicherheit in seinem Tätigkeitsbericht für das Jahr 2020 eine kleine, aber feine Aussage zum Thema CRM-Systeme getroffen. Zusammengefasst lautet diese im Wesentlichen, dass solche Systeme - wenn sie in einem Konzernverbund betrieben werden - regelmäßig eine gemeinsame Datenverarbeitung nach Art 26 DSGVO und entsprechende Vereinbarungen begründen und man daher auch entsprechende Vereinbarungen (ähnlich wie eine AVV abschließen muss.

Warum? Wieso? Weshalb? ... Das können Sie im Blog im Detail nachlesen. Hier im Rahmen des Newsletters wollen wir aber noch auf das wichtigste hinweisen: wer's ignoriert kann mit Geldbußen rechnen.

3. Newslettertools als Datenschutzrisiko

So und zum Abschluss wollen wir noch ein wenig auf das Thema Newslettertools und Drittlandsübermittlungen eingehen. Solche Tools sind ja mittlerweile weit verbreitet und das ist auch gut so, denn warum sollte man das Rad neu erfinden (i.e. ein eigenes Tool bauen oder eine Excel / Outlook - Lösung basteln) wenn man stattdessen gratis eine fertige Lösung bekommen kann?

Vor dem Hintergrund von Schrems II (hust hust ... Privacy Shield und der gleichen) muss man hier allerdings vorsichtig sein wenn man US Anbieter verwendet. Werden solche Tools ohne "zusätzliche Garantien" wie es das Schrems II - Urteil vorschreibt verwendet, dann gefällt das den Datenschutzbehörden gar nicht.

In Bezug auf Mailchimp - JA! JA! Jetzt haben wir das Kind doch tatsächlich beim Namen genannt!!!! - gab es unlängst genau dazu eine entsprechende Entscheidung wo jemand eben genau jene zusätzlichen Garantien einfach komplett ignoriert hat und das obwohl seitens Mailchimps durchaus hier ein Entgegenkommen in Form von Standardvertragsklauseln und einem Data Processing Addendum angeboten werden.

Über die Qualität dieser Zusatzmaßnahmen kann man freilich streiten und wird - solange es nicht eine Latte von Entscheidungen zu dem Thema gibt - immer ein gewisses Restrisiko verbleiben, wenn man US-Dienstleister verwendet. Wer sich das ersparen möchte der kann hier auch einen anderen Weg gehen und - man höre und staune!!! - auf europäische Dienstleister wechseln.

Anmerkung: ja die gibt es wirklich!!! Wir müssen es wissen, schließlich haben wir es ja unlängst gemacht und sind selber nicht mehr bei Mailchimp sondern Mailerlite.

So! Langer Rede kurzer Sinn an alle Verantwortlichen, welche Mailchimp verwenden und sich mit dieser Thematik noch nicht auseinandergesetzt haben: Nehmt die Konsequenzen des Schrems II Urteils ernst und prüft zumindest, ob ihr die "zusätzlichen Garantien" abgeschlossen habt.

Und das wars auch schon wieder.

Das Team DSGVO.CARE wünscht einen angenehmen April.