Vortrag: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Ich freue mich, am 6.10.2014 beim Verband der Auslandsbanken im Seminar „Datenschutz – Aktuelle Herausforderungen“ in Frankfurt/Main zum Thema „Datenschutzaspekte bei Mobile Banking und Mobile Device Management“ vortragen zu dürfen (Programm, PDF). Weitere Vorträge befassen sich u.a. mit „Umgang mit Kundendaten bei bankspezifischen Transaktionen“ und „Datenschutz im grenzüberschreitenden Konzern“: zur Online-Anmeldung. Eine aktuelle Liste meiner Vorträge mit Links zu den bei SlideShare verfügbaren Folien ist unter Vorträge abrufbar.

GDD Infotage 2014 zur Auftragsdatenverarbeitung und Unverständnis über Google-Urteil

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) veranstaltet auch 2014 wieder exklusiv für ihre Mitglieder die Infotage. Der Infotag 2014 steht unter dem Titel „Auftragsdatenverarbeitung in der Praxis“ und findet am 18.6.2014 in Frankfurt/Main im Schulungszentrum der Fraport AG und am 27.6.2014 bei der Vattenfall Europe Hamburg AG in Hamburg statt. Ich werde an beiden Tagen jeweils zum Thema „Unterauftragnehmer und deren Kontrolle durch den Auftraggeber, die Schriftform des Auftrags nach § 11 Abs. 2 S. 2 BDSG und die Änderungen an TOM (Datensicherheitskonzept mit den vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen nach § 9 BDSG). Weitere Vorträge befassen sich u.a. mit dem Leitfaden der GDD zur Prüfung von Rechenzentren sowie dem Datenschutzstandard DS-BvD-GDD-01.

Der Vortrag auf den Infotagen passt hervorragend zu meinen jüngsten Veröffentlichungen im IT-Rechtsberater (ITRB) zu „Leistungsketten in der Auftragsdatenverarbeitung – Anforderungen an die Einbeziehung von (Unter-)Unterauftragnehmern nach dem BDSG“ (ITRB 2014, 60 ff.) und „Gestaltung von Verträgen zur Auftragsdatenverarbeitung – Spielräume bei der Erfüllung der Pflichten aus § 11 BDSG“ (in Veröffentlichung, gemeinsam mit dem Kollegen Stefan Sander, LL,.M. B.Sc.).

Daneben habe ich in der RDV 2/2014 einen Aufsatz zu „Datenschutzerklärungen von Social Media Diensten: Anwendbares Recht und AGB-Kontrolle“ (RDV 2014, 73 ff.) veröffentlicht. Dort habe ich u.a. mit Blick auf die Schlussanträge des Generalanwalts im zwischenzeitlich veröffentlichten Urteil des EuGH v. 13.5.2014 (Az.: C-131/12, Volltext) noch die Hoffnung geäußert, dass der EuGH die extensive Auslegung des Art. 4 DSRL durch den Generalanwalt nicht übernehmen wird – und mich leider getäuscht:

Abweichend von Erwägungsgrund 19 S. 1 DSRL will der Generalanwalt beim EuGH den Begriff der Niederlassung mit Blick auf die Ubiquität des Internet und der dort erfolgenden Verarbeitungen neu fassen. […]

Mit [seiner] Definition der Niederlassung liest der Generalanwalt Art. 3 DS-GVO in Art. 4 Abs. 1 DSRL hinein, was jedoch mit der Systematik von Art. 4 Abs. 1 DSRL unvereinbar ist. Bereits Art. 4 Abs. 1 lit. c) DSRL erlaubt die Erstreckung des europäischen Datenschutzrechts auf für die Verarbeitung Verantwortliche außerhalb von EU/EWR, wenn diese auf in EU/EWR belegene Mittel zu Zwecken der Verarbeitung zurückgreifen. Mit der vom Generalanwalt vorgeschlagenen Erweiterung des Begriffs der Niederlassung würde Art. 4 Abs. 1 lit. c) DSRL überflüssig werden […]

Auch der Wortlaut von Art. 4 Abs. 1 lit. a) BDSG steht einem solchen Verständnis einer Niederlassung entgegen. Hiernach wird das anwendbare Recht nur insoweit durch Art. 4 Abs. 1 lit. a) BDSG bestimmt, wie die Verarbeitungen „im Rahmen der Tätigkeit der Niederlassung ausgeführt werden“. Nach den Vorstellungen des Generalanwalts muss die Niederlassung aber überhaupt keine Verarbeitung mehr ausführen, womit die Wortlautgrenze deutlich überschritten wird.

Das im Schlussantrag des Generalanwalts formulierte Niederlassungsverständnis läuft damit auf eine Gesamtbetrachtung rechtlich selbständiger Konzernunternehmen wegen der von ihnen an welchem Ort auch immer vorgenommenen Verarbeitungen hinaus, solange diese nur in mindestens einen nationalen Markt hineinwirken. Damit konstruiert der Generalanwalt eine Konzerndiskriminierung, obwohl die DSRL im Übrigen ein Konzernprivileg nicht kennt. Es bleibt deshalb zu hoffen, dass der EuGH diese Überlegungen nicht aufgreift […].

Mit diesem Urteil des EuGH sind die bisherigen Entscheidungen in Sachen „Anwendbares Recht“ auf Facebook hinfällig (gemeint sind KG, Urt. v. 24.1.2014 – 5 U 42/12, Volltext, und OVG Schleswig, Beschlüsse v. 22.4.2013 – 4 MB 10/13 und 4 MB 11/13, Volltext). Denn damit findet auf Facebook stets deutsches Datenschutzrecht Anwendung.

Zu den weiteren Inhalten des Google-Urteils, insbesondere den Erwägungen des EuGH zum Verhältnis des Datenschutzes zur Meinungs- und Informationsfreiheit, hat Kollege Stadler alles geschrieben.

 

26.3.2014, Köln: Telematik im Versicherungswesen

Am 26.3.2014 lädt der Arbeitskreis EDV & Recht, Köln, zu seiner ersten Veranstaltung in 2014 ein. Unter dem Motto „Telematik im Versicherungswesen – das vernetzte Kfz ist Realität“ werden in der von mir moderierten Veranstaltung im ersten Teil der Veranstaltung Einsatzbereiche der Verkehrstelematik, praktische Erfahrungen aus bisherigen Projekten und der Stand der Entwicklung dargestellt. Im zweiten Teil der Veranstaltung erfolgt eine rechtliche Einordnung der Verkehrstelematik, die neben datenschutzrechtlichen auch vertrags- und strafrechtliche Fragestellungen berücksichtigt. Danach besteht Gelegenheit zum Erfahrungsaustausch und Netzwerken bei Kölsch und Häppchen: zu Details und Anmeldung.

Mit Herrn Roland Vogt (TÜV SÜD, Geschäftsführer TÜV SÜD Car Registration Services) und dem Kollegen Dr. Marc Störing (Osborne Clarke, Köln) konnte der Arbeitskreis zwei hochklassige Referenten gewinnen. Herr Vogt und ich sind zuletzt 2012 gemeinsam aktiv gewesen auf der Stadiontour 2012 der Technology Content Services GmbH/e-Flotte zum Fuhrparkmanagement, weshalb ich mich umso mehr auf ein Wiedersehen freue. Für alle Interessierten bei der Gelegenheit der Hinweis, dass Anmeldungen für die Fuhrpark Stadiontour 2014 bereits möglich sind. Termine sind am 10.4.2014 (München, Allianz-Arena), 5.6.2014 (Gelsenkirchen, Veltins-Arena), 9.10.2014 (St. Pauli, Millerntor-Stadion) und 6.11.2014 (Nürnberg, Grundig-Stadion). Ich bin als Referent mit einem Update zum Fuhrparkrecht 2013/2014 dabei: Anmeldung und Programm.