Schlagwort-Archive: Düsseldorfer Kreis

Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist da! – Worauf müssen sich Unternehmen einstellen? – Teil 5

Mitautor: Christian Frerix*

Die Informationspflichten und Auskunftspflichten der Unternehmen

Das letzte Mal, dass die Datenschutzgrundverordnung, kurz DSGVO, hier Thema war, war Ende August. Mehr als ein Monat ist seit dem vergangen. Ein Monat weniger, der Ihnen als Unternehmen zur Verfügung steht, um sich auf die DSGVO mit allen Neuerungen vorzubereiten.

Im August hatten wir die Dokumentations-, Datensicherungs- und Meldepflichten der Unternehmen im Blick. Heute soll es vor allem um die Informationspflichten und Auskunftspflichten der Unternehmen gehen. Ergo, wann und wie sind die Betroffenen (also diejenigen, deren Daten erhoben werden) zu informieren und wie sieht es mit den Auskunftsrechten bzw. -pflichten aus. Auch hier gibt es einige Änderungen, die Sie als Unternehmen unbedingt kennen und bis 2018 umsetzen müssen.

Weiterlesen

Safe Harbor zum Dritten: Das Positionspapier der Datenschutzkonferenz und die Auswirkungen auf die Unternehmen

Am 06. Oktober gaben wir eine kurze Einschätzung zum Urteil EuGH C 362-/14, mit dem „Safe Harbor“ für ungültig erklärt wurde, ab. Am 14. Oktober setzten wir uns mit der ersten Stellungnahme des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (also der Schleswig-Holsteinischen Datenschutzbehörde) kritisch auseinander.

Zwischenzeitlich hat sich die Artikel 29 Gruppe sowie die Datenschutzkonferenz zu den Konsequenzen des Urteils für deutsche bzw. europäische Unternehmen geäußert. Dazu nun im Folgenden.

Weiterlesen

Google Analytics kann rechtskonform verwendet werden!

Hin und her ging es zwischen Google und insbesondere dem Hamburger Datenschutzbeauftragten – Google Analytics war nach Auffassung von letzterem nicht in Übereinstimmung mit geltendem Datenschutzrecht zu verwenden (ein wenig mehr dazu findet sich in diesem Artikel und in diesem). Seit Ende 2009 führten der Hamburgische Datenschutzbeauftragte im Auftrag des Düsseldorfer Kreises (informelle Vereinigung der obersten Datenschutzaufsichtbehörden für den nicht-öffentlichen Bereich) Gespräche über erforderliche Änderungen des Tracking-Tools für den rechtskonformen Einsatz. Nun, offensichtlich waren diese Gespräche im Ergebnis erfolgreich. Google änderte das Tracking-Verfahren, so

  • dass den Nutzern einer Website die zwingend notwendige Möglichkeit zum Widerspruch gegen die Erfassung von Nutzungsdaten mittels des Deaktivierungs-Add-On eingeräumt werden kann und zwar für alle gängigen Browsern,
  • dass auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist (Obacht: Das ist zwingend für deutsche Webseitenbetreiber zum rechtskonformen Einsatz!),
  • und dass schließlich die Webseitenbetreiber einen schriftlichen Vertrag (Ja, wirklich schriftlich mit Unterschrift und so!) zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abschließen können (müssen). Dieser Vertrag findet sich hier.

Darüber hinaus muss der Webseitenbetreiber natürlich eine ordnungsgemäße Datenschutzerklärung erstellen. Hilfestellung bei der rechtskonformen Einbindung des Tracking-Tools gibt es vom Hamburger Datenschutzbeauftragten an dieser Stelle: Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen.

Also, es geht! Das kleine Deutschland mit den in vielen Augen „komischen“ Datenschutzgesetzen zwingt den Riesen Google. Da kann man dann ja guter Hoffnung sein, dass auch Facebook weitere Schritte unternimmt. 

Und nein, wir wollen jetzt nicht jammern, dass es Irrsinn sei, schriftlich Verträge mit Google abschließen zu müssen. Wir freuen uns jetzt erstmal einfach, dass man Google Analytics rechtskonform benutzen kann. Jawoll.

In diesem Sinne,

Meckerfritzen bitte erstmal nach hinten!

(Wenn ich das Haar in der Suppe gefunden habe, dürfen natürlich auch die wieder alle sofort kommen. 😉 )