Im Auftrag der DSGVO
Joerg und Holger besprechen in Episode 38 zunächst ein Bußgeld der niederländischen Datenschutzaufsicht gegen eine Gemeinde: Die Stadt Enschede hat mit WLAN-Sensoren den Andrang in der Innenstadt gemessen, hätte dabei aber auch Bewegungsprofile der Bürger-Smartphones erstellen können. Doch genügt es, dass sie es technisch hätte können, um sie dafür zu bestrafen? Rechtsanwalt Sascha Kremer, Gast der Sendung, bezweifelt das und hält das Bußgeld für übertrieben. Es ist nicht rechtskräftig, und wird es nach Meinung von Sascha wohl auch nicht werden. Schwerpunkt der Episode ist allerdings das datenschutzrechtliche Konstrukt der Auftragsverarbeitung. Welche Haftung trifft den Verantwortlichen, welche den Auftragsverarbeiter? Was ist ein AV-Vertrag, und vor allem: Wann ist er nötig und was muss drinstehen? Sascha erläutert, wie der wenig bekannte Artikel 29 der DSGVO zu interpretieren ist, in dem wage die Rolle der "unterstellten Person" des Verantwortlichen beschrieben ist, also etwa die aller Mitarbeiter im Unternehmen außer dem Chef. Anhand vieler Beispiele macht Sascha klar, wie wichtig es ist, sich mit der Auftragsverarbeitung zu beschäftigen, sei es als verantwortlicher Datenverarbeiter oder als davon Betroffener. Und um es richtig kompliziert zu machen, gibt es ja auch noch die gemeinsame Verantwortung ("Joint Controlling") ...