Federale overkoepelende Autoriteit Persoonsgegevens van Duitsland grijpt in bij naambordjes affaire

De hoogste Duitse commissaris voor gegevensbescherming, Andrea Voßhoff, heeft resoluut ingegrepen in de naambordjes discussie die in Duitsland en Oostenrijk al ruim een week voor vette koppen in de media zorgt.

Commissaris Voßhoff adviseert alle ondernemers, instellingen en verenigingen om bij AVG-maatregelen die uitgebreide impact hebben vooraf contact op te nemen met de Autoriteit Persoonsgegevens en advies te vragen.

De hoogste Duitse toezichthouder doet overduidelijk een poging om in de nabije toekomst onnodige imagoschade voor de Europese privacywet te voorkomen. Daarover verderop in dit artikel meer.

Discussie naambordjes beeindigd

Voßhoff maakt in ieder geval klip en klaar duidelijk dat de AVG discussie over naambordjes beeindigd kan worden. De naambordjes op centrale belborden in de hal van flatgebouwen en appartementencomplexen vallen definitief niet onder de Algemene Verordening Gegevensbescherming.

Verhuurders hoeven niets te doen. Dus ook geen toestemming vragen, zoals de toezichthouder in Thüringen adviseerde.

Voßhoff schrijft dat in een verklaring op de website van de federale Duitse toezichthouder BfDI.

Andrea Astrid Voßhoff (geboren 31 juli 1958 in de Duitse plaats Haren (Ems), district Meppen, vlakbij Ter Apel) is een Duits politicus (CDU). Ze was lid van de Duitse Bondsdag van 1998 tot 2013 en is sinds 4 februari 2014 federaal commissaris voor gegevensbescherming en vrijheid van informatie (BfDI). Bron: Wikipedia.

De Europese betekenis van de AVG-naambordjes discussie in Duitsland en Oostenrijk

De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet.

De privacyregels zouden sinds 25 mei 2018 in heel Europa identiek moeten zijn.

Maar zo eenvoudig is het in de praktijk niet. De regels kunnen op verschillende manieren worden uitgelegd. Er ontbreekt bovendien nog jurisprudentie over de jonge wet.

Verwarring, onrust en ophef die niet goed is voor de AVG

Dat zorgt voor verwarring, onrust en ophef die niet goed is voor de Algemene Verordening Gegevensbescherming en de diverse toezichthouders in Europa.

De AVG naambordjesdiscussie in Duitsland en Oostenrijk is daar een goed voorbeeld van. De discussie begon in Oostenrijk en sloeg al snel over naar Duitsland.

Waar ging het ook alweer over?

Een huurder in Wenen diende bij de gemeentelijkwoningcorporatie een klacht in omdat zijn naam op het centrale belbord in de hal van een flat was aangebracht. De huurder zag dit als een schending van de Algemene Verordening Gegevensbescherming (AVG).

De huurder kreeg gelijk van de gemeentelijke Functionaris Gegevensbescherming. Vervolgens besloot de woningcorporatie om 200.000 naambordjes in alle gemeentelijke gebouwen in Wenen verwijderen.

Tegenstrijdige AVG adviezen

De zaak zorgde voor grote ophef in Oostenrijk en al snel ook in Duitsland. Diverse privacydeskundigen en toezichthouders gaven in de media tegenstrijdige adviezen af. De verwarring over de interpretatie van de AVG was groot.

De Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren reageerde hevig geirriteerd over de ophef en sprak van een moedwillige poging van tegenstanders van de privacywet om de AVG met onzin in diskrediet te brengen.

Zijn collega in de Duitse deelstaat Thüringen liet in een officiele persverklaring echter weten dat de verhuirders wel schriftelijk toestemming voor de naambordjes moesten vragen bij de huurders.

Wie heeft er gelijk?

Twee toezichthouders die geacht worden de Algemene Verordening Gegevensbescherming als geen ander te kennen geven verschillende adviezen over dezelfde regels.

In Duitsland zijn er 18 toezichthouders. Iedere deelstaat heeft een eigen Autoriteit Persoonsgegevens.

Daarnaast is er nog een overkoepelende federale Autoriteit Persoonsgegevens. Deze hoogste Duitse commissaris voor gegevensbescherming, Andrea Voßhoff, heeft nu resoluut ingegrepen.

Voßhoff geeft op de website van de Duitse federale toezichthouder DfBI gedetailleerd uitleg waarom de AVG bij de belborden niet van toepassing is:

Geen automatische verwerking

“Het plaatsen van naambordjes op centrale belborden is op zich geen geautomatiseerde verwerking, noch een feitelijke of beoogde opslag in bestandssystemen. In zoverre is het toepassingsgebied van het AVG krachtens artikel 2, lid 1, van de AVG in het algemeen niet eens opengesteld voor dergelijke zaken.”

“Zelfs als de AVG van toepassing zou zijn, zou artikel 6, lid 1, onder f), van de AVG (afweging van belangen) als rechtsgrondslag kunnen worden beschouwd naast de toestemming. In bijzondere gevallen zou de huurder dan het recht hebben om op grond van artikel 21 AVG bezwaar te maken tegen de verwerking. De AVG biedt verschillende rechtsgrondslagen voor gegevensverwerking, die ook moeten worden gebruikt.”

Hoe zit het met digitale naamborden?

Einde discussie over de naambordjes dus?
Nee, toch noch niet helemaal. Hoe zit het met Digitale naamborden?

Als er persoonlijke gegevens (bijv. voornaam, achternaam) op een elektronisch scherm worden weergegeven, is dit elektronische gegevensverwerking en is dit onderworpen aan de AVG.

Meer actueel awareness nieuws

In Wenen moeten vanwege de AVG 220.000 naamplaatjes op belborden in flats worden vervangen

In de Oostenrijkse hoofdstad Wenen worden vanwege de Algemene Verordening Gegevensbescherming (AVG)
naamplaatjes op de belborden van ongeveer 220.000
gemeenschapsappartementen vervangen. Verhuurder Wiener Wohnen heeft alle huurders een brief gestuurd.

De discussie werd volgens de Oostenrijkse nieuwssite Salzburg24 geïnitieerd door een bewoner van een appartementencomplex in Wenen die een klacht indiende omdat zijn naam op de intercom stond.

De zaak wordt momenteel in Oostenrijk hoog opgespeeld door ARGE Daten, een organisatie die opkomt voor de privacyrechten van burgers.

Woningstichting in Salzburg laat AVG consequentie voor naambordjes juridisch onderzoeken

Een woningstichting in Salzburg laat door een advocaat onderzoeken of ook zij deze vergaande maatregel moet volgen.

Als uit dat juridische onderzoek blijkt dat het besluit in Wenen om op basis van de AVG 220.000 naamborden te verwijderen terecht is kan dit gevolgen hebben voor heel Europa. Het besluit wordt immers genomen op basis van uniforme Europese privacyregels.

Daarbij is het goed te weten dat de European Data Protection Board (EDPB) in Brussel die toeziet op een uniforme toepassing van de regels in alle EU-lidstaten wordt geleid door Andrea Jelinek, een Oostenrijkse die jarenlang leiding gaf aan de Autoriteit Persoonsgegevens in Oostenrijk.

Andrea Jelinek toonde ze zich als toezichthouder in Oostenrijk kordaat en rigoureus. Ze bezorgde Oostenrijk een naam als privacybekommerd land. Daarin werd ze ook geholpen door haar landgenoot Max Schrems, die als rechtenstudent Facebook voor de rechter daagde voor het uitvoeren van persoonlijke Europese data naar de VS. Een zaak die Schrems won.

 

Combinatie naam en huisnummer vormt inbreuk op privacyregels

De verhuurder Wiener Wohnen heeft vervolgens de Magistratsabteilung 63, de afdeling die in Wenen verantwoordelijk is voor gegevensbescherming, geraadpleegd. Die kwam tot de conclusie dat de combinatie van achternaam en deurnummer daadwerkelijk inbreuk maakt op de Europese privacywetgeving.

Als gevolg van de conclusie moeten alle bij 2.000 gemeentelijke gebouwen in Wenen met in totaal 220.000 appartementen nu naamplaatjes op de belborden worden uitgewisseld. Ze worden vervangen door neutrale benamingen met topnummers.

Anonimisering moet voor eind dit jaar afgerond zijn

De anonimisering moet voor het einde van het jaar voltooid zijn. Woningcorporatie Wiener Wohnen verwijdert alle naambordjes. Bewoners die wel een naambordje willen houden moeten dat dan vervolgens zelf aanbrengen, aldus de woningcorporatie.

“Als u uw naam wilt blijven lezen op het deurbellabellabeletiket, moet u deze zelf aanbrengen met behulp van een sticker of briefje”, schrijft Wiener Wohnen aan de huurders.

‘Woningcorporatie mag geen naamplaatjes verwisselen’

Een verzoek aan Wiener Wohnen om dit over te nemen of om de uitwisseling op eigen verzoek te laten plaatsvinden, heeft geen zin: “Wij mogen dit niet meer zelf doen.”

De maatregel van de gemeentelijke woningcorporatie zorgt voor verwarring bij particuliere verhuurders en projectontwikkelaars in Oostenrijk.

Ook elke particuliere verhuurder en elke corperatie heeft te maken met dezelfde privacyregels.

 

ARGE Daten is een organisatie die zich in Oostenrijk bezighoudt met de privacyrechten van burgers. Volgens ARGE Daten is het besluit van Wiener Wohnen om alle naambordjes te verwijderen de “enige wettelijk conforme procedure”. ARGE Daten besteedt op zijnskte uitgebreid aandacht aan de kwestie.

ARGE Daten – Österreichische Gesellschaft für Datenschutz is een Oostenrijkse vereniging zonder winstoogmerk, gevestigd in Wenen. Het is opgericht in 1983 en houdt zich bezig met vraagstukken op het gebied van gegevensbescherming, informatierecht, telecommunicatie en het gebruik van nieuwe technologieën. De vereniging ziet zichzelf als een “initiatief voor de bescherming van de privacy in tijden van wereldwijde netwerkvorming” en als een “voorvechter van persoonlijke rechten”.

“Het verbod op etikettering bestond al enige tijd”, zegt ARGE Daten. “Deze verplichting om anoniem te blijven is niet nieuw en is sinds 1980 van kracht, maar sinds mei 2018 zijn de sanctiemogelijkheden aangescherpt.”

Huurders kunnen klacht indienen bij Oostenrijkse Autoriteit Persoonsgegevens

Als vastgoedbeheerders of verhuurders de verordening overtreden, kunnen huurders klachten indienen bij de gegevensbeschermingsautoriteit. ARGE Daten verwacht dat een “tamelijk tandeloze administratieve procedure” volgt, “die relatief lang duurt en in het algemeen geen direct voordeel oplevert voor de betrokkenen”.

Een staakt-het-vuren en een vordering tot schadevergoeding voor de burgerlijke rechter zouden volgens ARGE Daten efficiënter zijn.

De reden hiervoor is dat het aanbrengen van de naam in een openbare ruimte zonder toestemming een inbreuk op de gegevensbescherming vormt.

Huurders kunnen schadeclaim indienen van 1.000 Euro

“Alleen al uit deze titel is een immateriële schadeclaim verschuldigd, die nog niet voor de deurpanelen is beoordeeld, maar in vergelijkbare gevallen ongeveer 1.000 euro per betrokken persoon bedraagt”, benadrukte ARGE Daten.

ARGE Daten adviseert huurders om een klacht in te dienen bij de verhuurder of het vastgoedbeheer en na drie tot zeven dagen een schadevergoeding van 1.000 euro te eisen en zo nodig een rechtsvordering in te stellen.

Heimat Österreich heeft advocaat ingeschakeld

Projectontwikkelaars in Salzburg zitten met de kwestie in Wenen in hun maag. Stephan Gröger, directeur van Heimat Österreich, laat de zaak onderzoeken door een advocaat.

“Als blijkt dat we de namenlijsten op de klokkenborden van de appartementencomplexen daadwerkelijk moeten verwijderen, dan doen we dat natuurlijk”, zegt directeur Gröger. Hij ziet echter problemen voor bezoekers en postbezorgers: “Of een postbesteller het juiste appartement vindt als hij alleen met Top 1 tot Top 25 is gelabeld, is zeer de vraag.”

Salzburg Wohnbau onderzoekt ook materie

Salzburg Wohnbau heeft een soortgelijke visie: “In principe plaatsen wij de namen op de deurbel. Als een huurder dit nu niet wil, kan hij zijn naam op eigen kosten verwijderen”, aldus Salzburg Wohnbau in een interview met SALZBURG24.

Meer actueel awareness nieuws

Onderneemt u ook in Duitsland en u hebt uw AVG of DSGVO nog niet op orde? 5 procent van uw Duitse collega’s heeft al een Abmahnung gehad

Nederlandse online ondernemers die hun activiteiten naar Duitsland willen uitbreiden doen er sinds 25 mei 2018 meer dan ooit verstandig aan er voor te zorgen dat ze zich juridisch zeer zorgvuldig voorbereiden.

Wie denkt dat dankzij de Europese privacywetgeving iedere Nederlandse site die voldoet aan de AVG zonder problemen na een eenvoudige vertaling ook voldoet aan de Duitse wet begeeft zich op bijzonder glad ijs. In dit artikel leggen we uit waarom.

DSGVO

De Algemene Verordening Gegevensbescherming (AVG) is in Duitsland bekend als Datenschutz-Grundverordnung (DSGVO).

De privacyregels zijn in heel Europa gelijk. Toch is er een wezenlijk verschil tussen Duitsland en de rest van Europa. Dat is de handhaving. In Nederland rekenen veel ondernemers op coulance bij de handhaving van de regels. Ze houden rekening met een overgangsperiode. Eerst waarschuwingen, dan pas boetes.

Risicomanagement AVG

De praktijk moet nog uitwijzen of het vertrouwen in de Nederlandse gedoogcultuur verstandig risicomanagement is.

Duitse ondernemers nemen die gok in ieder geval niet. En dat heeft te maken met de totaal andere manier waarop de naleving van de DSGVO in Duitsland gecontroleerd en gehandhaafd wordt. Duitsland heeft de handhaving als het ware geprivatiseerd.

Abmahnung DSGVO

Grote gespecialiseerde advocatenkantoren controleren websites van bedrijven op onregelmatigheden. Het minste of geringste verzuim wordt aangegrepen om een Abmahnung (waarschuwing) naar de eigenaar van de site te sturen. Een waarschuwing met eis tot aanpassing van de site binnen 14 dagen en meteen een gepeperde rekening van het advocatenkantoor, veelal ruim duizend Euro.

Wie niet reageert wordt voor de rechter gesleept en verliest de rechtszaak vrijwel zeker. De boetes lopen dan al gauw in de tienduizenden Euros.

Deze gang van zaken was in Duitsland ook voor de privacywet al gangbaar. De DSGVO zorgt er nu voor dat Duitse ondernemers als de dood zijn om ook maar het geringste steekje te laten vallen.

12.500 Euro Smartengeld

Een recent voorbeeld: een webshopeigenaar had verzuimd om zijn site te beveiligen met SSL. Hij kreeg een Abmahnung van 12.500 Euro. De klager wil een smartegeldvergoeding! Absurd, denkt u nu waarschijnlijk. Dat mag, maar als u zo’n Abmahnung ontvangt zult u hoe dan ook meteen in actie moeten komen. U zult een advocaat moeten inschakelen. Of u wint of verliest, het kost u veel tijd, ergernis en geld.

Vijf procent van de Duitse online bedrijven heeft al een waarschuwing ontvangen op basis van het DSGVO, blijkt uit onderzoek van het Bundesverband Digitale Wirtschaft (BVDW) e.V. onder zijn 278 leden. 28 procent verwacht binnenkort ook een Abmahnung te ontvangen.

43 procent van de Duitse online ondernemers geeft aan de digitale activiteiten te hebben beperkt vanwege het DSGVO.

56 procent Duitse bedrijven ervaart negatieve impact op omzet

Meer dan de helft (56 procent) van de ondervraagde bedrijven in de BVDW-studie verklaarde dat de hervorming van de gegevensbescherming een negatieve of zeer negatieve impact zal hebben op de omzetontwikkeling. Eén op de drie bedrijven (34 procent) ziet geen impact op de omzet.

Aufsichtsbehörde

PrivacyZone begeleidt ook Nederlandse ondernemers die actief zijn in Duitsland. Voor deze bedrijven is professionele Duitstalige ondersteuning van extra belang. Bij vragen of problemen in betrekking tot de privacyregels moet in Duitsland net als in Nederland contact opgenomen worden met de Autoriteit Persoonsgegevens. En dat zijn er in Duitsland veel meer dan in Nederland.

Iedere Duitse deelstaat heeft een Aufsichtsbehörde (Duitse lokale autoriteit persoonsgegevens) die zich bezighoudt met de bescherming van persoonsgegevens in de regio. Zij voeren ook steekproeven uit bij bedrijven en overheidsorganisaties.

Ondernemers die in heel Duitsland actief zijn kunnen dus door de autoriteiten in ieder Bundesland gecontroleerd en beboet worden wannneer de zaken niet op orde zijn, of er incorrect met de gegevens wordt omgesprongen. Iedere Aufsichtsbehörde kan hoge boetes opleggen wanneer de stukken niet voldoen aan de gestelde eisen.

Als ondernemer loop je niet alleen het risico op een boete door controles van Duitse toezichthouders. Iedereen heeft het recht jouw bedrijf een Abmahnung – een aanmaning – te sturen wanneer de Datenschutzerklärung of AGB niet voldoen aan de wet. De overtreding wordt gezien als oneerlijke concurrentie. Dit wordt gezien als een economisch delict. Een Abmahnung leidt tot hoge advocaatkosten plus kosten om de documenten te laten corrigeren.

PrivacyZone kan Nederlandse ondernemers begeleiden in hun communicatie met Duitse toezichthouders, die over het algemeen louter communiceren in de Duitse taal. Dat is voor PrivacyZone geen probleem.

AhaErlebizz Deutschland

PrivacyZone werkt voor de Duitse markt samen met marketing en communicatiebureau AhaErlebizz Deutschland, het Duitse advocatenkantoor Alpmann Fröhlich uit Rheine en het Nederlandse advocatenkantoor Rein uit Assen.

Astrid Brouwer van AhaErlebizz Deutschland heeft de Duitse nationaliteit. Zij begeleidt Nederlandse ondernemers op de Duitse markt.

De advocatenkantorenAlpmann Fröhlich en Rein zijn gespecialiseerd in grensoverschrijdend ondernemen tussen Nederland en Duitsland.

Samenvatting

Nederlandse ondernemers die denken klaar te zijn met een eenvoudige letterlijke vertaling van de Nederlandse site lopen sinds 25 mei in Duitsland grotere risico’s dan ooit.

Laat uw Duitse site doorlichten door PrivacyZone.nl. Wij kunnen u in samenwerking met communicatie en marketingbureau AhaErlebizz en de advocatenkantoren Alpmann Fröhlich en Rein helpen om zowel uw Nederlandse als uw Duitse site privacyproof te maken.

Bel: 0598-468860

Meer actueel awareness nieuws

Beheerder van Facebook fanpagina volgens Europese Hof van Justitie verantwoordelijk voor persoonsgegevens

Het Europese Hof van Justitie heeft bepaald dat beheerders van fanpagina’s op Facebook net zo verantwoordelijk zijn voor de verwerking en bescherming van persoonsgegevens als Facebook zelf.

Het hof deed dinsdag uitspraak in een zaak die was aangespannen door de Duitse Wirtschaftsakademie Schleswig-Holstein tegen een privébedrijf dat onderwijsdiensten aanbiedt via onder meer een fanpagina op Facebook.

Volgens het hof kan een beheerder zich niet verschuilen door te zeggen dat hij gebruikmaakt van de diensten van Facebook.

De Duitse toezichthouder had het bedrijf in 2011 bevolen de pagina te deactiveren. Zowel het bedrijf als Facebook hadden niet aan de bezoekers gemeld dat Facebook met cookies persoonlijke informatie over hen verzamelde en dat de paginabeheerder deze informatie vervolgens verwerkte.

Het ging onder meer om geanonimiseerde data over de doelgroep van het bedrijf, zoals leeftijd, geslacht, burgerlijke staat en beroep, informatie over online aankopen van de bezoekers en geografische gegevens. Met die informatie kan de beheerder van de fanpagina bijvoorbeeld gerichter zijn diensten aanprijzen.

De toezichthouder in het land van de beheerder van de fanpagina mag volgens het hof ingrijpen als de beheerder de EU-regels voor databescherming schendt.

Beheerders die deze verantwoordelijkheid niet willen, kunnen volgens het hof kiezen om de zogenoemde Insights-functies van Facebook niet te gebruiken.

Met Insights-functies krijgen paginabeheerders inzicht in het gedrag van hun bezoekers. Die gegevens worden ook op de apparaten van de beheerder opgeslagen.

Mede daarom is ook de beheerder verantwoordelijk voor de bescherming en verwerking van die data.

Gedeelde verantwoordelijkheid

 

Het hof zegt dat buiten kijf staat dat Facebook verantwoordelijk is voor de verwerking van de gegevens.

Maar dat neemt volgens de Europese rechters niet weg dat ook een beheerder verplicht is de EU-regels voor de bescherming van persoonsgegevens te volgen.

Facebook ligt al maanden onder vuur wegens het slordig en commercieel omspringen met persoonsgegevens. Met deze uitspraak wordt de verantwoordelijkheid voor de privacy ook deels bij beheerders van Facebook-pagina’s gelegd.

Meer actueel awareness nieuws