Das Datenschutzrecht ist reformiert. Aber einige Probleme bleiben ungelöst. Und es sind nicht die Kleinsten:
1. Was sind eigentliche personenbezogene Daten?
Klar, eine schöne Definition findet sich in Art. 4 Nr. 1 DSGVO "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen...", aber wenns konkret wird, muss man bis zum EuGH, um herauszufinden, ob IP-Adressen personenbezogene Daten sind. Der EuGH antwortet dann (nach einigen Jahren),
"dass eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen."
Was ergibt sich nun daraus für andere Daten, die häufig vorkommen, z.B. "verschlüsselte Backups" oder meine Fingerabdrücke auf der Wasserflasche, die der Getränkelieferdienst in der Kanzlei abholt? ADV erforderlich? ... Entschuldigung "AV" natürlich!
2. Facebook-Fanpages
Gehen derzeit wohl eher nicht, meinen der EuGH und das ULD. Facebook ist betroffen. Wer diese Betroffenheit im Orginaltext lesen will, gerne. Was machen wir jetzt also? Abwarten! Kennen wir schon von Safe-Harbor! Die ganze Welt ist illegal, aber irgendwie dreht sie sich weiter.
3. Ach ja- last but not least: Lohnbuchhaltung durch Steuerberater als Auftragsverarbeitung
Das Thema Lohnbuchhaltung ist auch ein schönes Beispiel, das wohl ein paar Millionen Unternehmen und eine sechststellige Anzahl an Steuerberatern betrifft. Braucht man nun einen Vertrag über die Auftragsverarbeitung mit Steuerberatern - oder nicht? Das Bayerische Landesamt meint "nein" das LDI in NRW meint "ja". Schön, dass sich alle einig sind!
Die Liste der offenen Fragen wächst jedenfalls wesentlich schneller als die Liste der geklärten Fragen. Und die Mutter aller Fragen "Wie schlachtet man jetzt mit der DSGVO die Datenkraken?" ist auch noch unbeantwortet. Als Anwalt darf man sich nicht beschweren, der Beratungsbedarf ist für die nächsten Jahre gesichert. Im Interesse der Mandanten brauchen wir aber jetzt dringend eine Datenschutzreform, die das Ganze zumindest bundesweit oder besser europaweit vereinheitlicht! Ups - hatten wir ja gerade...
P:S....braucht man jetzt eigentlich einen Cookie-Layer? Ich halte es da derzeit mit dem Datenschutz-Guru!