Vortrag: Datenschutzaspekte bei Mobile Banking und Mobile Device Management

Ich freue mich, am 6.10.2014 beim Verband der Auslandsbanken im Seminar „Datenschutz – Aktuelle Herausforderungen“ in Frankfurt/Main zum Thema „Datenschutzaspekte bei Mobile Banking und Mobile Device Management“ vortragen zu dürfen (Programm, PDF). Weitere Vorträge befassen sich u.a. mit „Umgang mit Kundendaten bei bankspezifischen Transaktionen“ und „Datenschutz im grenzüberschreitenden Konzern“: zur Online-Anmeldung. Eine aktuelle Liste meiner Vorträge mit Links zu den bei SlideShare verfügbaren Folien ist unter Vorträge abrufbar.

Online-Seminar in 2 Blöcken zu IT und Arbeitsrecht

Im sechsten Jahr in Folge findet im November 2014 das Online-Seminar in zwei Blöcken zum IT- und Arbeitsrecht für die DeutscheAnwaltAkademie statt. Diesmal geht es im ersten Block am 17.11.2014 um Elektronisches Fuhrparkmanagement, im zweiten Block am 24.11.2014 um Straftaten von Beschäftigten und deren Aufklärung im Unternehmen (Anmeldung jeweils kostenpflichtig). Die Vorträge halte ich jeweils gemeinsam mit meinem Kollegen Christoph Legerlotz: Einer trägt vor, der andere beantwortet die Fragen im Chat oder diskutiert mit über die von den Teilnehmern gestellten Fragen. Ich freue mich!

Herbstakademie 2014 mit zwei Beiträgen aus Köln

Genau genommen mit zwei Beiträgen von Kolleg/inn/en aus unserem Team IT/IP/Medien auf der Herbstakademie 2014 der DSRI vom 10. bis 13. September 2014 in Mainz, worüber ich mich sehr freue:

Kollege Stefan Sander, LL.M. B.Sc., wird gemeinsam mit dem Kollegen Heiko Schöning, LL.M., zu „Anonymität im Internet vs. Kennzeichnungspflichten“ vortragen, Kollegin Barbara Buchalik, LL.M., zur „Durchführung von Softwarelizenzaudits aus Anbieter- und Anwendersicht“.

Grund genug, nach einem Jahr Pause (genau genommen waren es zwei, 2012 bin ich leider nur zum eigenen Vortrag in Wuppertal gewesen) wieder aktiv bei einer Herbstakademie dabei zu sein und mich nach der Freischaltung anzumelden.

Blocker für die Herbstakademie 2015 können schön jetzt auf den 9. bis 12. September 2015 gelegt werden, der Ort wurde bislang aber noch nicht verraten.

GDD Infotage 2014 zur Auftragsdatenverarbeitung und Unverständnis über Google-Urteil

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) veranstaltet auch 2014 wieder exklusiv für ihre Mitglieder die Infotage. Der Infotag 2014 steht unter dem Titel „Auftragsdatenverarbeitung in der Praxis“ und findet am 18.6.2014 in Frankfurt/Main im Schulungszentrum der Fraport AG und am 27.6.2014 bei der Vattenfall Europe Hamburg AG in Hamburg statt. Ich werde an beiden Tagen jeweils zum Thema „Unterauftragnehmer und deren Kontrolle durch den Auftraggeber, die Schriftform des Auftrags nach § 11 Abs. 2 S. 2 BDSG und die Änderungen an TOM (Datensicherheitskonzept mit den vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen nach § 9 BDSG). Weitere Vorträge befassen sich u.a. mit dem Leitfaden der GDD zur Prüfung von Rechenzentren sowie dem Datenschutzstandard DS-BvD-GDD-01.

Der Vortrag auf den Infotagen passt hervorragend zu meinen jüngsten Veröffentlichungen im IT-Rechtsberater (ITRB) zu „Leistungsketten in der Auftragsdatenverarbeitung – Anforderungen an die Einbeziehung von (Unter-)Unterauftragnehmern nach dem BDSG“ (ITRB 2014, 60 ff.) und „Gestaltung von Verträgen zur Auftragsdatenverarbeitung – Spielräume bei der Erfüllung der Pflichten aus § 11 BDSG“ (in Veröffentlichung, gemeinsam mit dem Kollegen Stefan Sander, LL,.M. B.Sc.).

Daneben habe ich in der RDV 2/2014 einen Aufsatz zu „Datenschutzerklärungen von Social Media Diensten: Anwendbares Recht und AGB-Kontrolle“ (RDV 2014, 73 ff.) veröffentlicht. Dort habe ich u.a. mit Blick auf die Schlussanträge des Generalanwalts im zwischenzeitlich veröffentlichten Urteil des EuGH v. 13.5.2014 (Az.: C-131/12, Volltext) noch die Hoffnung geäußert, dass der EuGH die extensive Auslegung des Art. 4 DSRL durch den Generalanwalt nicht übernehmen wird – und mich leider getäuscht:

Abweichend von Erwägungsgrund 19 S. 1 DSRL will der Generalanwalt beim EuGH den Begriff der Niederlassung mit Blick auf die Ubiquität des Internet und der dort erfolgenden Verarbeitungen neu fassen. […]

Mit [seiner] Definition der Niederlassung liest der Generalanwalt Art. 3 DS-GVO in Art. 4 Abs. 1 DSRL hinein, was jedoch mit der Systematik von Art. 4 Abs. 1 DSRL unvereinbar ist. Bereits Art. 4 Abs. 1 lit. c) DSRL erlaubt die Erstreckung des europäischen Datenschutzrechts auf für die Verarbeitung Verantwortliche außerhalb von EU/EWR, wenn diese auf in EU/EWR belegene Mittel zu Zwecken der Verarbeitung zurückgreifen. Mit der vom Generalanwalt vorgeschlagenen Erweiterung des Begriffs der Niederlassung würde Art. 4 Abs. 1 lit. c) DSRL überflüssig werden […]

Auch der Wortlaut von Art. 4 Abs. 1 lit. a) BDSG steht einem solchen Verständnis einer Niederlassung entgegen. Hiernach wird das anwendbare Recht nur insoweit durch Art. 4 Abs. 1 lit. a) BDSG bestimmt, wie die Verarbeitungen „im Rahmen der Tätigkeit der Niederlassung ausgeführt werden“. Nach den Vorstellungen des Generalanwalts muss die Niederlassung aber überhaupt keine Verarbeitung mehr ausführen, womit die Wortlautgrenze deutlich überschritten wird.

Das im Schlussantrag des Generalanwalts formulierte Niederlassungsverständnis läuft damit auf eine Gesamtbetrachtung rechtlich selbständiger Konzernunternehmen wegen der von ihnen an welchem Ort auch immer vorgenommenen Verarbeitungen hinaus, solange diese nur in mindestens einen nationalen Markt hineinwirken. Damit konstruiert der Generalanwalt eine Konzerndiskriminierung, obwohl die DSRL im Übrigen ein Konzernprivileg nicht kennt. Es bleibt deshalb zu hoffen, dass der EuGH diese Überlegungen nicht aufgreift […].

Mit diesem Urteil des EuGH sind die bisherigen Entscheidungen in Sachen „Anwendbares Recht“ auf Facebook hinfällig (gemeint sind KG, Urt. v. 24.1.2014 – 5 U 42/12, Volltext, und OVG Schleswig, Beschlüsse v. 22.4.2013 – 4 MB 10/13 und 4 MB 11/13, Volltext). Denn damit findet auf Facebook stets deutsches Datenschutzrecht Anwendung.

Zu den weiteren Inhalten des Google-Urteils, insbesondere den Erwägungen des EuGH zum Verhältnis des Datenschutzes zur Meinungs- und Informationsfreiheit, hat Kollege Stadler alles geschrieben.

 

Präsentationen auf Slideshare verfügbar

In den kommenden Woche werde ich die Präsentationen zu meinen Vorträgen und Veranstaltungen (soweit nicht ausnahmsweise vertraglich untersagt) bei Slideshare online stellen. Auch diese Präsentationen stehen wie die übrigen Inhalte auf DPITOS unter der Creative Commons Namensnennung – Weitergabe unter gleichen Bedingungen 4.0 International Lizenz. Den Anfang machen meine Folien zu Bring Your Own Device (BYOD) von der 37. DAFTA (Datenschutzfachtagung) im November 2013 in Köln: Abruf hier.

Auf eine unmittelbare Einbindung der Slides über einen Embedded-Frame verzichte ich derzeit angesichts der datenschutzrechtlichen Fragestellungen. Zur technischen Umsetzung einer 2-Klick-Lösung gibt es unter Wer Slideshare nutzt muss jetzt sofort handeln! einen Vorschlag. Ein Muster für die Ergänzung der Datenschutzerklärung hält die Kollegin Lachenmann unter Muster: Slideshare (fast) datenschutzkonform einsetzen bereit.

26.3.2014, Köln: Telematik im Versicherungswesen

Am 26.3.2014 lädt der Arbeitskreis EDV & Recht, Köln, zu seiner ersten Veranstaltung in 2014 ein. Unter dem Motto „Telematik im Versicherungswesen – das vernetzte Kfz ist Realität“ werden in der von mir moderierten Veranstaltung im ersten Teil der Veranstaltung Einsatzbereiche der Verkehrstelematik, praktische Erfahrungen aus bisherigen Projekten und der Stand der Entwicklung dargestellt. Im zweiten Teil der Veranstaltung erfolgt eine rechtliche Einordnung der Verkehrstelematik, die neben datenschutzrechtlichen auch vertrags- und strafrechtliche Fragestellungen berücksichtigt. Danach besteht Gelegenheit zum Erfahrungsaustausch und Netzwerken bei Kölsch und Häppchen: zu Details und Anmeldung.

Mit Herrn Roland Vogt (TÜV SÜD, Geschäftsführer TÜV SÜD Car Registration Services) und dem Kollegen Dr. Marc Störing (Osborne Clarke, Köln) konnte der Arbeitskreis zwei hochklassige Referenten gewinnen. Herr Vogt und ich sind zuletzt 2012 gemeinsam aktiv gewesen auf der Stadiontour 2012 der Technology Content Services GmbH/e-Flotte zum Fuhrparkmanagement, weshalb ich mich umso mehr auf ein Wiedersehen freue. Für alle Interessierten bei der Gelegenheit der Hinweis, dass Anmeldungen für die Fuhrpark Stadiontour 2014 bereits möglich sind. Termine sind am 10.4.2014 (München, Allianz-Arena), 5.6.2014 (Gelsenkirchen, Veltins-Arena), 9.10.2014 (St. Pauli, Millerntor-Stadion) und 6.11.2014 (Nürnberg, Grundig-Stadion). Ich bin als Referent mit einem Update zum Fuhrparkrecht 2013/2014 dabei: Anmeldung und Programm.

GDPdU: kontroverse Standpunkte und Datenanalyse

Am 13.11.2013 lädt der Arbeitskreis EDV & Recht zu seiner nächsten Veranstaltung im art’otel in Köln. Unter dem ein wenig sperrigen Titel „Mehr als 10 Jahre GDPdU – kontroverse Standpunkte hinsichtlich der Herausgabe von Daten und Möglichkeiten/Chancen der Datenanalyse für Unternehmen“ tragen Christian Hoppen (FGS Flick Gocke Schaumburg) und Olaf Graf (BOKS Gesellschaft für Datenorganisation mbH) vor. Programm und Anmeldung hier, mehr zum Arbeitskreis EDV & Recht hier. Der Bericht von der Veranstaltung am 9.10.2013 zum „Vertragsmanagement und rechtssicheren ersetzenden Scannen“ ist hier abrufbar.

 

Fuhrparkmanagement: Stadiontour 2013

Gestern fand in München der erste Termin der von der e-Flotte Academy veranstalteten „Stadiontour 2013″ statt. Fuhrparkmanager, Fuhrparkbeauftragte, Geschäftsführer von Flotten, Speditionen und Leasinggesellschaften haben hier Gelegenheit, sich über aktuelle Entwicklungen im Flottengeschäft zu informieren. Neben meinem Beitrag zur „Delegation der Halterverantwortlichkeit“ (Organisationspflichten des Unternehmens, Rechtsfolgen bei Zuwiderhandlungen) gab es unter anderem einen hochinteressanten Beitrag von Thilo von Ulmenstein, fleetcompetence europe GmbH, zum Thema „Den Fahrer steuern – das Zusammenspiel von Fahrzeugkosten und Mensch“. Der zweite und letzte Termin der Stadiontour ist am 7.11.2013 im Signa-Iduna-Park in Dortmund (einschließlich Stadionführung): kostenlose Anmeldung hier.

Vortrag: Arbeitnehmer, Telekommunikation und BYOD

Am 14. und 15.11.2013 findet die 37. DAFTA (Datenschutzfachtagung) der GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) statt. Zum Programm unter dem Motto „Big Data – Big Responsibility“ gehören insgesamt neun Fachforen. Ich freue mich, gemeinsam mit meinem Kollegen Stefan Sander unter der Leitung des Kollegen Jaspers das Forum 1 zu gestalten, welches am 14.11.2013 gleich zweimal um 14.15 Uhr und um 16.15 Uhr angeboten wird. Unter der Überschrift „Der Zugriff des Arbeitgebers auf die Mitarbeiterkommunikation – was geht noch?“ gibt es zwei Impulsreferate zu „Der Arbeitgeber als TK-Provider? Voraussetzungen des Zugriffs auf die Mitarbeiterkommunikation“ und „Bring your own device – rechtliche und tatsächliche Aspekte“, bevor dann die Diskussion konkreter Gestaltungsmöglichkeiten mit den Teilnehmern folgt.