PODCAST

Herr Koch hat Recht.

Henning Koch

DIGITALRECHT- Datenschutz, Arbeitsrecht und IT-Recht. Podcast und Beratung. Der Digitalrecht-Podcast mit Rechtsanwalt Henning Koch befasst sich mit dem Digitalrecht, Themen aus den Querschnittsbereichen des Datenschutz, Arbeitsrecht und IT-Recht – im Zusammenhang mit digitalen Anwendungen. Mal alleine, mal mit Gesprächspartnern. Aktuell, kompetent und mit einem Augenzwinkern. Diesen Podcast finden Sie auf www.herrkochhatrecht.de, bei Spotify, Apple podcast, Amazon Podcast, Deezer und den üblichen anderen podcast-Apps. Der Podcast adressiert sich an alle diejenigen, die beruflich mit Digitalrecht und Datenschutz bzw. digitalen Themen zu tun haben, wie zum Beispiel Datenschützer*Innen oder alle mit IT-Verantwortung, Geschäftsleitungen von Unternehmen oder Agenturen, Soloselbständige oder Gründer*Innen. Der Podcast ist natürlich aber auch für alle diejenigen gedacht, die das Thema interessiert oder einfach nach Denkanstößen für Ihre alltäglichen Fragestellungen in Digitalrecht suchen. Henning Koch ist Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht sowie zertifizierter (auch behördlicher) Datenschutzbeauftragter in der Wetzlarer Wirtschaftskanzlei Ruhmann Peters Altmeyer Daneben ist er Geschäftsführer der RPA Datenschutz+Compliance GmbH . Schwerpunkte seiner täglichen Arbeit liegen im Datenschutz, dem Arbeitsrecht und dem IT-Recht. Herr Koch ist auch Trainer für Betriebsverfassungsrecht und Datenschutzrecht. Feedback für Henning Koch gern per mail henning (at) herrkochhatrecht.de oder Henning Koch folgen unter Instagram, twitter und LinkedIn.

12 - Über Schule, Datenschutz und die Digitalisierung des Unterrichts.11- Über Clubhouse, Marketing und Datenschutz.10 - Über die elektronische Patientenakte und die Digitalisierung der Arztpraxis. + Interview mit Facharzt Stephan Eisfeld.
In der Folge geht es um die elektronische Patientenakte. Seit 2004 arbeitet man an der Möglichkeit einer elektronischen Patientenakte. Vom 1. Januar an gibt es nun die Möglichkeit für gesetzlich Versicherte an der elektronischen Patientenakte teilzunehmen. Die ePA soll von ihrer Idee her alle Gesundheitsinformationen bündeln. Medikamente, Behandlungen, behandelnde Ärztinnen und Ärzte, Vorerkrankungen, Impfungen: ab dem 1.1.2021 kann man eine solche Karte bei der jeweiligen gesetzlichen Krankenkasse erhalten. Ausgerollt wird das Ganze in mehreren Stufen: Im ersten Quartal 2021 können die Versicherten die elektronische Patientenakte erhalten. Einzelne Arztpraxen in sogenannten Projektgebieten in Nordrhein-Westfalen in und Berlin werden damit bereits vernetzt. Ab dem 2. Quartal 2021 sollen dann auch die sogenannten Leistungserbringer in die elektronische Patientenakte eingebunden werden. Ab der 2. Jahreshälfte 2021 soll dann die Vernetzung insgesamt für Ärztinnen und Ärzte sowie Leistungserbringer verpflichtend sein. In einem Jahr nämlich zum 1. Januar 2022 sollen auch dann die Krankenhäuser mit eingebunden sein. Den Zugriff auf diese Daten steuern die Versicherten. Sie entscheiden, wer worauf Zugriff hat. Dies ist auch wichtig, weil es sich bei diesen Daten als Gesundheitsdaten um sogenannte besondere personenbezogene Daten handelt im Sinne von Art. 9 DSGVO, für die besondere Verarbeitungsgrenzen gelten. Kritik kommt vor diesem Hintergrund vom Chaos Computer Club. Zwar sollen die Daten verschlüsselt abgelegt werden. Dennoch stellt sich die Frage, ob die Daten tatsächlich sicher sind. Die Möglichkeit, Zugriff zu erhalten etwa durch Hacking, ist durchaus gegeben. Schwachstelle ist hier auch das Leseterminal in den jeweiligen Arztpraxen. Das ganze System steht und fällt aber auch mit der Einhaltung der Berechtigungsstrukturen innerhalb der Arztpraxen und Kliniken. Es kann nicht ausgeschlossen werden, dass Leseberechtigungen intern weitergegeben werden mit der Folge, dass nicht nur die behandelnden Ärztinnen und Ärzte Einsicht erhalten, sondern auch andere. Danach führe ich ein Interview mit Stephan Eisfeld – (www.praxis-eisfeld-sarac.de) Internist mit hausärztlicher Praxis in Frankenberg /Eder über die Digitalisierung in der Arztpraxis. Herr Koch hat Recht. Der Digitalrecht-Podcast mit Rechtsanwalt Henning Koch befasst sich mit dem Digitalrecht, Themen aus den Querschnittsbereichen des Datenschutzrecht, Arbeitsrecht und IT-Recht – im Zusammenhang mit digitalen Anwendungen. Mal alleine, mal mit Gesprächspartnern. Aktuell, kompetent und mit einem Augenzwinkern. Diesen Podcast finden Sie auf www.herrkochhatrecht.de, bei Spotify, Apple podcast, Amazon Podcast und den üblichen anderen podcast-Apps. Henning Koch ist Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht sowie zertifizierter (auch behördlicher) Datenschutzbeauftragter in der Wetzlarer Wirtschaftskanzlei Ruhmann Peters Altmeyer (www.rpa-kanzlei.de). Daneben ist er Geschäftsführer der RPA Datenschutz+Compliance GmbH (www.rpa-datenschutz.de). Feedback für Henning Koch gern per mail Henning@herrkochhatrecht.de oder Henning Koch folgen unter www.Instagram.com/herrkochhatrecht www.twitter.com/kochhatrecht www.linkedin.com/in/rechtsanwalt-henning-koch-digitalrecht/
07-01-2021
22 Min.
09 - XMAS Crossover 202008 - Über Cookiebanner und die Freiheit im Internet
Ich bin der Meinung, dass die Cookie-Banner nicht das erreichen, was sie eigentlich sollen. Ich bin vielmehr der Meinung, dass durch Cookie-Banner und deren unübersichtliche Aufmachung viele dazu verleitet werden, allein schon aus Bequemlichkeit, einfach auf „Zustimmen“ zu klicken. Die Folge: weiterhin werden die Nutzer*innen überwacht und deren Bewegungen im Internet getrackt. Das gefährdet die Freiheit des Internets und die Freiheit der Auswahlmöglichkeiten ganz erheblich. Besonders fällt einem das auf bei sogenannten Cookie-Walls. Und ärgerlich ist natürlich auch, wenn in Portalen wie LinkIn, Twitter oder Diskussionsforen auf etwa journalistische Inhalte verlinkt wird und man dort den Inhalt erst dann sieht, wenn man die dortige Cookie-Wall durchbrochen hat. Ganz ehrlich: Mir macht das keinen Spaß. Man kann es eigentlich auch gleich lassen. Herr Koch hat Recht. Der Digitalrecht-Podcast mit Rechtsanwalt Henning Koch. Erscheint alle 2 Wochen und befasst sich mit dem Digitalrecht, Themen aus den Querschnittsbereichen des Datenschutzrecht, Arbeitsrecht und IT-Recht - im Zusammenhang mit digitalen Anwendungen. Mal alleine, mal mit Gesprächspartnern. Aktuell, kompetent und mit einem Augenzwinkern. Henning Koch ist Rechtsanwalt, Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht sowie zertifizierter (auch behördlicher) Datenschutzbeauftragter. Herr Koch ist Rechtsanwalt in der Wetzlarer Wirtschaftskanzlei Ruhmann Peters Altmeyer (www.rpa-kanzlei.de) und übernimmt als Geschäftsführer der RPA Datenschutz+Compliance GmbH (www.rpa-datenschutz.de), operativ Aufgaben als Datenschutzbeauftragter für Unternehmen und kommunale Einrichtungen. Herr Koch freut sich über Feedback z.B. unter Henning@herrkochhatrecht.de Folgen Sie Herrn Koch unter Twitter: @kochhatrecht Instagram: @herrkochhatrecht LinkedIn: https://www.linkedin.com/in/rechtsanwalt-henning-koch-digitalrecht/
29-10-2020
22 Min.
07 - Über Drohnen, Stromnetze und Datenschutz06 - Über Tesla und Datenverarbeitung in Autos
Zahlreiche Steuerungssysteme überwachen in modernen Autos ständig das Fahrzeug und auch die Fahrer*innen. Die meisten Daten werden in internen Speichern abgelegt. Hierbei wird die Stellung des Gaspedals ebenso erfasst wie der Bremsvorgang oder Position und Geschwindigkeit. Vieles hat technische Gründe, wie zum Beispiel beim Airbag. Diese Daten gehören in der Regel nicht den Fahrzeugbesitzer*innen, sondern den Autoherstellern, was sich aus den allgemeinen Geschäftsbedingungen in den meisten Fällen auch ergibt. D.h., dass die Besitzer*innen keinen Einfluss haben auf diese Art der Daten und diese auch nicht selbständig auslesen können, vielmehr meist auch nicht dürfen. Nun hat das Folgen: diese Daten können viel über die Nutzer*innen Aussagen und auch gegen die Fahrer*innen verwendet werden. So gibt es teilweise schon spezielle Versicherungstarife, die bei Verwendung einer Blackbox, ähnlich in einem Flugzeug günstiger sind als andere Tarife. Hierbei senden diese Sammelstellen dann Daten über das Fahrverhalten an die Versicherung. Gesetzliche Regelungen außer diejenigen der DSGVO oder des BDSG fehlen hierbei. Wo dies vor allen Dingen die Fahrer*innen betrifft, sind moderne Fahrzeuge wie Tesla mit einer großen Anzahl von Videoüberwachungssystemen ausgerüstet. So befindet sich in diesen Fahrzeugen regelmäßig im Bereich der Spiegel, Rückspiegel, B-Säule im Blinker sowie direkt am Heck eine von bis zu 8 Kameras. Recherchen haben ergeben, dass diese Kameras während des Betriebs des Fahrzeuges ständig Aufnahmen vornehmen und hierbei Personen und vor allem ihre Gesichter filmen sowie Nummernschilder anderer Fahrzeuge. Auch Fahrspuren anderer Fahrzeuge werden hierbei erfasst. Daneben gibt es bei Tesla auch einen Wächtermodus, bei dem das Fahrzeug im Ruhezustand selbsttätig und ohne dass man es steuern kann auf eigene Veranlassung hin Videoaufnahmen der Umgebung macht. Nicht genug: diese Daten werden nach einem Bericht des ARD-Magazins „Kontraste“ vom 17.9.2020 auch ständig an Tesla in die USA übertragen - und zwar Live. Das stellt regelmäßig einen Datenschutzverstoß dar, weil in Deutschland die anlasslose Videoüberwachung verboten ist und aus diesem Grunde Dascams, die vergleichbare Zwecke erfüllen, nämlich den Straßenverkehr dauerhaft während der Fahrt zum Erwachen ebenfalls verboten sind. Videoüberwachung durch sogenannte nicht-öffentliche Stellen im öffentlichen Raum kann regelmäßig nur durch Art. 6 Abs. 1 Buchstabe f DSGVO gerechtfertigt sein. Hierbei muss eine Interessenabwägung stattfinden. Danach ist die Überwachung nur dann zulässig, soweit die Verarbeitung zur Wahrung des berechtigten Interesse des Verantwortlichen erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Ein sogenanntes berechtigtes Interesse kann sich daraus ergeben, wenn die Videoüberwachung gerechtfertigt ist um einen legitimen Zweck zu verfolgen, etwa zur Durchführung des Hausrechtes oder Schutz vor Diebstahl oder Vandalismus. Hierbei darf der öffentliche Raum aber nicht gefilmt werden. Daher müssen beispielsweise Überwachungskameras regelmäßig diejenigen Bereiche, die außerhalb des Grundstücks tragen mindestens verpixeln, also die Personen unkenntlich machen bzw. den öffentlich überwachten Raum unkenntlich machen. Wichtig ist aber vor allen Dingen die Interessenabwägung und die Durchführung einer Datenschutzfolgeabschätzung, weil die Art und Weise der Datenverarbeitung einen besonders intensiven Eingriff in die Rechte und Grundfreiheiten der betroffenen Person darstellt - Stichwort: Recht am eigenen Bild. Hierbei muss danach geschaut werden, ob es mildere Mittel gibt und die Datenverarbeitung als solche besonders datensparsam auch erfolgen kann. Auch die Sicherheit der Daten spielt hierbei eine Rolle.
01-10-2020
18 Min.
05 - Über Homeoffice, Beschäftigtendatenschutz und betriebliche Mitbestimmung04 - Über Marketing, Cookies und Smartspeaker. + Interview mit Benjamin Grimmer03 - Über Aspirin, Amazon und Datenschutz02 - Über Wärmebildkameras und Coronaprävention
Zur Coronaprävention am Eingang von Gebäuden z. B. Supermärkten die Temperatur von Personen zu messen, ist datenschutzrechtlich zulässig, aber nur mit einer ausdrücklichen Einwilligung. Denn das Problem sind die Gesundheitsdaten, die hierbei anfallen. Es gilt der Grundsatz, dass die Datenverarbeitung von personenbezogenen Daten nur mit Rechtsgrundlage erlaubt ist (Verbot mit Erlaubnisvorbehalt). Anders gesagt: Datenverarbeitung von personenbezogenen Daten ist verboten, es sei denn, sie ist erlaubt. Hört sich erst mal doof an, ist aber eine gute Eselsbrücke. Wärmebildaufnahmen nebst Temperaturmessung sind personenbezogene Daten, da auch bei etwaiger Verpixelung die Personen identifizierbar sind. Es liegen sogar Gesundheitsdaten vor. Gesundheitsdaten sind solche personenbezogenen Daten, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen und aus den Informationen über deren Gesundheitszustand hervorgehen. Denn es ist zumindest ermittelbar, dass sich die gemessene Temperatur in einem bestimmten Bereich befindet. Gibt es also dafür eine Rechtsgrundlage ? Die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder im Beschäftigungskontext zum Schutz der anderen Beschäftigten scheidet als Rechtsgrundlage aus. Zwar geht es von der Idee her um die Bekämpfung der Pandemie, die Datenverarbeitung muss aber zur Bekämpfung der Pandemie erforderlich sein. Erforderlich ist eine Datenverarbeitung aber immer nur dann, wenn sie auch überhaupt für die Zweckerreichung geeignet ist. Das ist der Knackpunkt. Nach dem Robert-Koch-Institut ist eine Fiebermessung nicht geeignet, um allein damit eine Covid-19 Infektion festzustellen. Denn eine erhöhte Temperatur kann auch auf einem natürlichen Körperzustand beruhen oder andere Infektionskrankheiten als Ursache haben. Zudem tritt in vielen Fällen nach Auskunft des Robert-Koch-Institutes gar kein Fieber bei einer Corona-Infektion auf. Somit bleibt mangels anderer gesetzlicher Grundlagen nur die ausdrückliche Einwilligung Artikel 9 Abs. 2 DSGVO als Rechtsgrundlage. In der Praxis kann diese Form der Erteilung der Einwilligung jedoch zu erheblichen praktischen Schwierigkeiten führen. Natürlich geht dies schriftlich, wäre aber oft sehr unpraktisch. Andere sinnvolle technische Möglichkeiten müssten erst noch entwickelt werden.
06-08-2020
10 Min.
01 - Über sichere Häfen und Schutzschilde
Zwar ging es in diesem Verfahren als Vorabentscheidungsverfahren im Kern im die Datenweitergabe von Facebook Irland zu Facebook USA. Diese Entscheidung hat aber generelle und massive Auswirkungen für alle Datentransfers in sogenannte Drittstaaten. Die Entscheidung betrifft aber vor allem auch Leistungen von Cloud-Diensten oder typische Outsourcing-Szenarien. Das EU-US-Privacy Shield kann ab dem Urteilsspruch vom 16. Juli 2020 nicht mehr als Transferinstrument verwendet werden. Datenübermittlungen auf dessen Grundlage sind rechtswidrig. Hintergrund Mit der Datenschutz-Grundverordnung (DSGVO) haben wir in der ganzen Europäischen Union ein hohes Datenschutzniveau erreicht, mit welchem nicht alle Länder der Erde mithalten können. Die DSGVO selbst zeigt - wenn auch nicht einfache - Wege auf, wie man den Datentransfer in Drittländer dennoch europarechtskonform und datenschutzkonform gestalten kann. Diese sollten die Unternehmen beschreiten. Denn auch bei Verstößen gegen diese Vorschriften drohen empfindliche Bußgelder. Bei einer Datenübermittlung in ein Drittland müssen die spezifischen Anforderungen an die Übermittlung in Drittländer beachtet werden. Bezüglich der USA galt zunächst gemäß Beschluss der europäischen Kommission das sogenannte Safe Harbor-Abkommen. Mit Urteil vom 06.10.2015 hatte der EuGH diesen Beschluss aufgehoben und damit das Safe Harbor-Abkommen außer Kraft gesetzt. Als Nachfolgevereinbarung wurde das EU-U.S. Privacy-Shield-Abkommen auf Grundlage des Beschlusses der EU-Kommission vom 12.7.2016 ins Leben gerufen. US-Unternehmen konnten diesem Abkommen beitreten und damit sich ihrerseits verpflichten, das Datenschutzniveau des Abkommens einzuhalten, welches demjenigen der DSGVO entsprechen sollte. Damit sollte auf einfachem Wege eine Möglichkeit geschaffen werden, transnational und in Bezug auf die USA Daten zu übermitteln. Aktuelle Entscheidung Mit der aktuellen Entscheidung hat nun der EuGH nun auch das EU-US-Privacy Shield-Abkommen für ungültig erklärt. Der EuGH hat zudem festgestellt, dass im Falle von Datentransfers ein solches Schutzniveau gewährleistet sein muss, wie es die DSGVO und die EU-Grundrechte-Charta europäischen Bürgern garantiert. Um das zu beurteilen, zieht der EuGH die Vertragsbeziehungen zwischen denjenigen, die die Daten weitergeben und denjenigen, die die Daten empfangen, heran. Hierzu konnten bisher von der EU-Kommission genehmigte Standardvertragsklauseln verwendet werden. Nur in den Fällen, in denen die in den Standardvertragsklauseln enthaltenen Garantien nicht eingehalten werden können, dürfen diese Standardvertragsklauseln nicht mehr als Grundlage für Datenübermittlungen dienen. Die Sicherheitsgesetze in den USA, wie der Foreign Intelligence Surveillance Act (FISA) 702, erlaubt den US-Behörden ohne richterlichen Beschluss Zugriff auf personenbezogene Daten. Das Betrifft Unternehmen z.B. dann, wenn diese Unternehmen Dienstleistungen wie etwa Cloud-Dienste in Anspruch nehmen. Dann besteht die Möglichkeit, dass die US-Sicherheitsbehörden auf diesem Wege Zugriff auf die Daten erhalten. Darüber hinaus hat im Zusammenhang mit der Datenübermittlung in die USA die US-amerikanischen Executive Order 12.333 Gültigkeit, die auch eine Überwachung der Daten vornimmt. Kann vor diesem Hintergrund also das geforderte Schutzniveau nicht positiv festgestellt werden, müssten Unternehmen dann als letzte Konsequenz den Datenexport einstellen oder aber den Vertrag kündigen. Mit der aktuellen Entscheidung ist die Datenweitergabe an Empfänger in den USA auf Basis des EU-US-Privacy Shield-Abkommen jedenfalls ab sofort unzulässig.
24-07-2020
20 Min.
00 - Herr Koch hat Recht
Herr Koch hat Recht. Der Titel natürlich mit einem Augenzwinkern gewählt. Herr Koch ist Rechtsanwalt. Schwerpunkte seiner täglichen Arbeit bilden die Querschnittsbereich aus Datenschutzrecht, Arbeitsrecht und IT Recht. Mal alleine, mal mit Gesprächspartnern geht es in diesem Podcast um das Digitalrecht: Themen aus den Querschnittsbereichen des Datenschutzes, Arbeitsrecht und IT-Recht- natürlich auch im Zusammenhang mit digitalen Anwendungen. Der Podcast adressiert sich an alle diejenigen, die beruflich mit Digitalrecht bzw. digitalen Themen zu tun haben, wie zum Beispiel DatenschützerInnen oder alle mit IT-Verantwortung, Geschäftsleitungen von Unternehmen oder Agenturen, Soloselbständige oder GründerInnen. Der Podcast ist natürlich aber auch für alle diejenigen gedacht, die das Thema interessiert oder einfach nach Denkanstößen für Ihre alltäglichen Fragestellungen in Digitalrecht suchen. Der Podcast wird regelmäßig erscheinen. Geplant ist zunächst ein Abstand von rund 14 Tagen. Herr Koch Henning Koch ist Rechtsanwalt und zugleich Fachanwalt für Arbeits- und Sozialrecht sowie zertifizierter Datenschutzbeauftragter. Herr Koch kommt aus Marburg und ist Rechtsanwalt in einer Wirtschaftskanzlei in Wetzlar (www.rpa-kanzlei.de) und zugleich Geschäftsführender Gesellschafter einer Gesellschaft, die operativ Aufgaben als Datenschutzbeauftragte für Unternehmen und kommunale Einrichtungen übernimmt (www.rpa-datenschutz.de). Herr Koch ist auch Trainer für Betriebsverfassungsrecht und Datenschutzrecht. Herr Koch freut sich über Feedback unter info(at)herrkochhatrecht.de.
24-07-2020
4 Min.