Liebe Grüße aus der Welt des Datenschutzes und herzlich willkommen zum DSGVO.CARE Newsletter OKTOBER 2020!

Ja... wir sind mittlerweile im Oktober angelangt. Normalerweise die Zeit in der der reguläre Trott einkehrt: Schulen und Universitäten und normaler Geschäftsbetrieb...

Naja... irgendwie... nicht so richtig... Das Team DSGVO.CARE vertritt ja die These, dass 2020 in den Sprachgebrauch eingehen wird wie die Folge 08/15...
Hey wie wars bei dir? Boah... frag nicht... richtig 2020...

Aber genug des Jammerns... Was gibt es neues im Datenschutz?

Hier kann man sagen: vieles(!) und gleichzeitig auch wenig wirklich neues. Die aktuell große Baustelle welche durch das gekippte Privacy Shield verursacht worden ist, ist noch immer in erster Linie von Planlosigkeit geprägt. Naja... immerhin hat man eine Taskforce eingesetzt... yay!!!

Fast möchte man meinen, dass der EuGH sich in puncto Vorgehensweise an der Linzer Stadtverwaltung und ihrem Standpunkt zum Thema Eisenbahnbrücke inspirieren hat lassen: erstmal abreißen und dann erstmal über das Nachfolgemodell sich Gedanken machen...

In der Zwischenzeit sollte man auf die mittlerweile zur umstrittenen, aber dennoch etablierten best practice der Standarddatenschutzklauseln setzen. DSGVO.CARE weist aus gegebenem Anlass darauf hin, dass diese aber grundsätzlich nicht verändert werden dürfen, sondern nach dem Motto "take it or leave" zu verwenden sind.

Eine genaue FAQ zu dem Thema Standarddatenschutzklauseln gibt es hier.

Aus gegebenem Anlass wollen wir uns zur Frage Standarddatenschutzklauseln und Auftragsverarbeitervereinbarung äußern:

Sehr viele schließen ja - wenn sie einen Drittlandsdienstleister haben - beides ab. Einmal die Standarddatenschutzklauseln wegen der Drittlandsübermittlung und dann nochmal on top die Auftragsverarbeitervereinbarung nach Art 28 DSGVO.

Unserer Meinung nach ist dies sehr löblich und - bei ganz genauer Betrachtungsweise - auch absolut korrekt...

.....AAAAAABER: warum denn so kompliziert und umständlich?

Im Endeffekt reicht bei diesen Drittlandsübermittlungen der Abschluss der Standarddatenschutzklauseln, da in diesen Klauseln zu 99% das gleiche drinnen steht wie in den allermeisten Auftragsverarbeitervereinbarungen.

Weiters schreibt die DSGVO nirgendwo... wirklich absolut nirgendwo(!) vor, dass man eine Auftragsverarbeitervereinbarung schön formell mit dem Etikett "Art 28 Vereinbarung" versehen muss.

Liebe Verantwortliche: spart euch daher diesen zusätzlichen Schritt. Wer schon einen Gürtel (Standarddatenschutzklauseln) hat, der braucht nicht noch zusätzlich Hosenträger (Auftragsverarbeitervereinbarungen)...

Apropos Auftragsverarbeitervereinbarungen:

Im September hat sich das Team DSGVO.CARE mit dem Thema gemeinsame Verantwortlichkeit, deren Abgrenzung zur Auftragsverarbeitung und der absolut wichtigen, praxisrelevanten Frage der Art 26 Vereinbarung beschäftigt.

Und last but not least noch zu den restlichen Ereignissen in der Datenschutzwelt:

Die mittlerweile berüchtigte Post hat wieder einmal zugeschlagen, da mit fraglicher (sprich: nicht existenter!) Rechtsgrundlage ein Profiling mit sensiblen Daten zur persönlichen Lebenseinstellung erfolgt. Irgendwie ziemlich einfallslos dieses Sequel: der gleiche Plot wie im ersten Teil...

Und H&M sorgt auch für Schlagzeilen negativer Art, da dort in großem Ausmaß Mitarbeiter überwacht werden. Satte 35 Millionen EURO Bußgeld wurden verhängt. In Zeiten von Corona-bedingter Rezession dürfte diese Summe durchaus empfindlich sein.

Sowohl im Fall der Post als auch im Fall von H&M ist die weitere Entwicklung mit Spannung zu verfolgen, da man sich ziemlich sicher sein kann, dass man hier Rechtsmittel erheben wird.

DSGVO.CARE bleibt jedenfalls dran und wird hoffentlich bald Neuigkeiten in diesen Fällen liefern können.