Uferlose Schadensersatzrisiken nach neuen EuGH-Entscheidungen?

Der EuGH hat in zwei Entscheidungen die Anforderungen an einen immateriellen Schadensersatz nach DSGVO-Verstoß konkretisiert. Hoch praxisrelevant sind dabei gerade die Anforderungen an Schadensersatzforderungen gegen die Opfer eines Hackerangriffs: Müssen Unternehmen auch dann noch Schadensersatz an betroffene Personen zahlen? In der Praxis wird bereits befürchtet, dass nun die Massenklagen anrollen. Aber ist das wirklich so? Eine genaue Betrachtung der beiden Urteile lohnt sich! Kommt es nach einem schuldhaften DSGVO-Verstoß zu einem Vermögensschaden, liegen Schadensersatzansprüche auf der Hand. Was aber ist, (…) Weiterlesen

Data Act verkündet: Es geht los

Am 22.12.2023 hat die EU den Data Act in ihrem Amtsblatt verkündet. Er tritt damit in 20 Tagen in Kraft. Gelten wird er überwiegend ab dem 12.09.2025. Die Datenzugangsregeln greifen ab dem 12.09.2026. Dies erscheint lange – wir starten doch gerade erst in das Jahr 2024. Doch ist hier Vorsicht geboten: Die Pflichten sind weitreichend und oft unklar. Für eine rechtssichere Umsetzung ist ein intensiver Austausch im Unternehmen mit allen Stakeholdern geboten. Der volle Titel des Data Act ist sperrig: (…) Weiterlesen

Bußgeldrisiken: Wann und wem drohen sie?

Bußgelder wegen eines DSGVO-Verstoßes können den Unternehmen unmittelbar auferlegt werden, nicht nur den Leitungsorganen. Allerdings: Bußgelder setzen einen schuldhaften Verstoß gegen die DSGVO voraus. Gerade das Urteil in der Rechtssache Deutsche Wohnen war mit Spannung erwartet worden. Wo es Klärung bringt und wo neue Fragen, erläutern wir in unserem Beitrag. Am 05.12.2023 entschied der EuGH in dem von vielen intensiv beobachteten Verfahren „Deutsche Wohnen“: Ein deutsches Vorabentscheidungsverfahren, in dem eines der frühen hohen Bußgelder (14,5 Mio. Euro) auf dem Prüfstand (…) Weiterlesen

Der Data Act kommt

Neue EU-Regeln für Datenzugang, Cloud-Nutzung und Vertragsklauseln zur Datenverwendung Der Umgang mit Daten ist inzwischen für jedes Unternehmen selbstverständlich: Die Nutzung von Cloud-Produkten entlasten die eigene IT-Infrastruktur, Kundenkontakte liegen im zentralen CRM, die Kommunikation läuft über E-Mail und Kollaborationstools, zunehmend enthalten auch die angebotenen Dienstleistungen und Produkte digitale Elemente. Für all diese Anwendungsfälle kommen bald neue Vorgaben aus der EU: Der Data Act, der kurz vor der Veröffentlichung steht, bringt neue Regeln für die Datenwirtschaft. EP und Rat haben ihr (…) Weiterlesen

EuGH: Immaterieller Schadensersatz und Identitätsdiebstahl

Liegt bereits ein Identitätsdiebstahl i.S.d. DSGVO vor, wenn Hacker personenbezogene Daten entwendet haben, aber sich (bisher) nicht als die betroffene Person ausgegeben haben? Diese und andere Fragen zum Verständnis von immateriellem Schadensersatz und seiner Beurteilung stellte sich das Amtsgericht München und legte sie im Rahmen eines Vorabentscheidungsverfahrens dem EuGH vor. Der Generalanwalt beim EuGH hat sich Ende Oktober zu der Frage geäußert, wann ein Identitätsdiebstahl vorliegt. In den letzten Monaten konkretisierte der EuGH die Voraussetzungen, die für die Gewährung vom immateriellen (…) Weiterlesen

US-Datentransfer: Sitzt, passt, wackelt und hat Luft?

Seit Juli gilt der neue Angemessenheitsbeschluss für den Datentransfer in die USA, das EU US-Data Privacy Framework. Kritik hieran war schon früh zu hören. Wenig überraschend sind erste Verfahren anhängig. Überraschend ist dagegen: Es gab sogar bereits erste Gerichtsentscheidungen. Also: Gilt das EU US-DPF noch oder wackelt der US-Datentransfer schon wieder? Seit dem 10. Juli 2023 ist das EU US-Data Privacy Framework (DPF), der neue Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO, in Kraft. Personenbezogene Daten können darunter sicher an (…) Weiterlesen

EuGH: Was sind personenbezogene Daten?

Der EuGH hat in einer aktuellen Entscheidung konkretisiert, wann Nummernfolgen personenbezogene Daten sind. Konkret ging es um die FIN als eindeutige Identifikationsnummer von Fahrzeugen, die Urteilsgründe können auch auf andere IDs und Kennziffern, etwa die dynamische IP-Adresse, übertragen werden. Für die Praxis ist die Entscheidung von elementarer Bedeutung. Die FIN kennzeichnet ein Fahrzeug. Für den Fahrzeughersteller hat sie zunächst keinen Bezug zu einer natürlichen Person. Dies kann sich aber ändern, wenn das Fahrzeug auf eine natürliche Person zugelassen wird oder (…) Weiterlesen

Kundendaten im Asset und Share Deal: Was ist erlaubt?

Immer wieder werden in Unternehmenstransaktionen auch personenbezogene Daten übertragen. Gerade Kundendaten haben dabei oft sogar einen relevanten Wert. Wie die Übertragung datenschutzkonform erfolgen kann, beschäftigt die Praxis immer wieder. Die deutschen Datenschutzaufsichtsbehörden haben sich dazu ebenso positioniert, wie jetzt auch der oberste Gerichtshof in Österreich (OGH). Wir fassen die in den verschiedenen Transaktionsphasen wichtigsten Eckpunkte zusammen. Der datenschutzkonforme Umgang mit Kundendaten in Transaktionen ist essentiell: Nur so wird das Asset gesichert und können Kundendaten auch entsprechend gewinnbringend weiter genutzt werden, (…) Weiterlesen

Die Adressaten des neuen IT-Sicherheitsrechts

Die Cyber-Sicherheit ist aktuell eine der wichtigsten Aufgaben für Unternehmen. Dies hat auch der Gesetzgeber erkannt: Zum Jahreswechsel ist auf EU-Ebene die sog. NIS-2-Richtlinie in Kraft getreten. Der deutsche Gesetzgeber bereitet derzeit die Umsetzung ins nationale Recht vor und hat einen Referentenentwurf vorgelegt. Der heutige Blog-Beitrag vertieft die Frage, wer von den neuen gesetzlichen Anforderungen in der Privatwirtschaft überhaupt adressiert wird. Wichtig ist: Das neue IT-Sicherheitsgesetz adressiert diverse Unternehmen und nicht nur die Betreiber von kritischen Infrastrukturen, den sog. KRITIS. (…) Weiterlesen

Neues IT-Sicherheitsrecht:

Auf Unternehmen und ihre Leitungsorgane kommen weitreichende Pflichten zu Die Cyber-Sicherheit ist aktuell eine der wichtigsten Aufgaben für Unternehmen. Dies hat auch der Gesetzgeber erkannt: Zum Jahreswechsel ist auf EU-Ebene die sog. NIS-2-Richtlinie in Kraft getreten, die „Network and Information Security 2.0“-Richtlinie. Der deutsche Gesetzgeber bereitet derzeit die Umsetzung ins nationale Recht vor. Vorgelegt hat er dafür einen Referentenentwurf, der es in sich hat: Er enthält umfangreiche Pflichten für viele Unternehmen. Hinzu kommt eine ausdrückliche Pflicht des Leitungsebene, Cyber-Sicherheit zu (…) Weiterlesen