Keine Bußgeldpflicht: EuGH zu Ermessen von Aufsichtsbehörden bei Datenschutzverstößen

Aufsichtsbehörden sind bei Datenschutzverstößen nicht in jedem Fall verpflichtet, ein Bußgeld zu verhängen. Vielmehr steht ihnen bei der Durchsetzung der DSGVO ein Auswahlermessen zu, welche Maßnahmen ergriffen werden. Die DSGVO räumt den Aufsichtsbehörden auch die Möglichkeit ein, auf die Verhängung von Bußgeldern zu verzichten, wie der EuGH in einem Fall des Hessischen Datenschutzbeauftragen nun entschied. Untersagung, Anordnung und andere Maßnahmen kjönnen ebenso gewählt werden, wenn sie im konkreten Fall angemessen sind. Kein Anspruch von Betroffenen auf Verhängung eines Bußgelds Der (…) Weiterlesen

EuGH: Neue Beschränkungen für soziale Netzwerke bei Datennutzung zu Werbezwecken

Soziale Netzwerke dürfen nicht alle Daten ihrer Nutzer für Werbewecke verwenden. Außerdem ist eine zeitlich unbegrenzte Verwendung unzulässig. Dies entschied der EuGH in einem Verfahren des österreichischen Datenschutzaktivisten Maximilian Schrems gegen den Facebook-Mutterkonzern Meta. Für Meta ist es derweil nicht der einzige datenschutzrechtliche Verstoß in jüngster Zeit. Worum es beim EuGH ging Der österreichische Datenschutzaktivist Maximilian Schrems hatte gegen die Verarbeitung seiner personenbezogenen Daten, insbesondere der Daten zu seiner sexuellen Orientierung, durch den Facebook-Mutterkonzern Meta geklagt. Schrems hatte sich bei (…) Weiterlesen

EuGH: Wettbewerbsrechtliche Klage bei DSGVO-Verstoß möglich und weiter Begriff „Gesundheitsdaten“

Eine Klage gegen einen Mitbewerber wegen eines DSGVO-Verstoßes, der als unlautere Geschäftspraktik geltend gemacht wird, ist möglich. Das entschied der EuGH in einem kürzlich ergangenen Urteil. Dabei ging es um den DSGVO-widrigen Vertrieb von Arzneimitteln über eine Online-Plattform. Im Ausgangsfall wurde durch den Verkäufer beim Bestellprozess keine datenschutzrechtliche Einwilligung in die Verarbeitung von Gesundheitsdaten von den Kunden eingeholt. Der EuGH musste sich deshalb auch mit der Frage auseinandersetzen, ob die beim Bestellvorgang eingegebene Kundendaten Gesundheitsdaten im Sinne der DSGVO darstellen. (…) Weiterlesen

EuGH: Auch rein wirtschaftliches Interesse von Unternehmen kann „berechtigtes Interesse“ sein

Das „berechtigte Interesse“ i.S.v. Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO ist weit auszulegen. Dies hat der EuGH nun bestätigt. Im Fall des niederländischen Tennisverbands entschied das Gericht, dass auch rein wirtschaftliche Interessen „berechtigte Interessen“ sein können. Für die Praxis ist das von großer Bedeutung. Der Fall Im Jahr 2018 legte der niederländische Tennisverband KNLTB gegenüber zwei Sponsoren, darunter dem größten Anbieter von Glücks- und Kasinospielen in den Niederlanden, personenbezogene Daten seiner Mitglieder offen. Für die Bereitstellung der (…) Weiterlesen

BVerwG: Unterlassungsklage gegen kommunale Videoüberwachung nicht durch DSGVO gesperrt

Gegen eine rechtswidrige Videoüberwachung öffentlicher Plätze kann geklagt werden. Das BVerwG entschied, dass die DSGVO einer Unterlassungsklage nicht entgegensteht, wenn die Überwachung zur Erfüllung öffentlicher Aufgaben, wie in diesem Fall der Bekämpfung von Kriminalität, erfolgt. Vor dem Bundesverwaltungsgericht ging es kürzlich um Rechtsschutz gegen eine durch die Stadt veranlasste Videoüberwachung (BVerwG, Beschluss vom 02.05.2024 – 6 B 66.23). Hintergrund des Verfahrens ist eine durch die Stadt betriebene Videoüberwachung des öffentlich zugänglichen „Klostergartens“ in Passau. Dadurch sollten kriminelle Aktivitäten im genannten (…) Weiterlesen

DSK: Neues zur Übertragung personenbezogener Daten beim Asset Deal

Unternehmenskäufe bringen regelmäßig eine Vielzahl datenschutzrechtlicher Fragen mit sich. Eine zentrale Frage ist dabei, ob und wann die Übermittlung personenbezogener Daten im Rahmen des Asset Deals zulässig ist. Die Datenschutzkonferenz hat sich in einem Beschluss vom 11.09.2024 erneut damit beschäftigt und ihren Standpunkt aus Mai 2019 überarbeitet und differenziert. Aus dem neuen Beschluss ergeben sich wichtige Leitlinien für die Praxis. Beim Asset Deal als Form des Unternehmenskaufs werden – anders, als im Fall eines Share Deals – (einzelne oder alle) (…) Weiterlesen

Neues zu Cookies: OLG-Urteil und Cookie-Verordnung

Mit der Einwilligung in die Verwendung von Cookies setzte sich das OLG Frankfurt auseinander. Nach Ansicht des Gerichts trifft die Pflicht, eine Einwilligung einzuholen, nicht nur Website-Betreiber, sondern auch Diensteanbieter, die Cookies für andere setzen und verwalten. Die bloße Vereinbarung, dass der jeweilige Website-Betreiber verpflichtet ist, eine Einwilligung der Nutzer einzuholen, genüge nicht. Ob dies auch in Zukunft noch relevant ist, wird sich zeigen: Seit Anfang September liegt die Einwilligungsverordnung auf Basis des § 26 TDDDG vor, die die sog. (…) Weiterlesen

Neues zum Auskunftsrecht – Bedeutung für die Praxis

Das datenschutzrechtliche Auskunftsrecht ist eines der wichtigsten Betroffenenrechte in der DSGVO. Es wird häufig geltend gemacht und immer wieder diskutiert. Der Bundesgerichtshof (BGH) legte in neuen Entscheidungen Anforderungen an die Bestimmtheit eines Auskunftsantrags fest. Außerdem äußerte er sich zum Umfang herauszugebender Kopien. Für die Praxis sind dies wichtige Entscheidungen, um im Einzelfall rechtssicher durch die Bearbeitung von Auskunftsersuchen zu navigieren. Wieder einmal war der datenschutzrechtliche Anspruch auf Auskunft und Kopie Gegenstand von höchstrichterlichen Entscheidungen. In mehreren BGH-Urteilen wurden die Voraussetzungen (…) Weiterlesen

Barrierefreie Websites: Bald auch für private Unternehmen Pflicht!

Große Schrift, Vorlesefunktion und einfache Sprache: Für Websites und Apps der öffentlichen Hand ist das schon seit Längerem verpflichtend. Ab dem 28. Juni 2025 müssen auch viele Websites, Produkte und Dienste von privaten Unternehmen entsprechend barrierefrei gestaltet sein. Dann treten das Barrierefreiheitsstärkungsgesetz (BFSG) und die zugehörige Umsetzungsverordnung (BFSGV) in Kraft. Derzeit sind BFSG und BFSGV noch unscheinbar unterwegs: Die Internetrecherche führt bei unbedachtem Klick auf „Gesetze im Internet“ zu einem beinahe inhaltsleeren Gesetz. Grund dafür ist, dass Gesetz und Verordnung (…) Weiterlesen

Chatbots, LLMs und Datenschutz

Wann werden wo personenbezogene Daten verarbeitet? Am 15. Juli 2024 wurde das Diskussionspapier des HmbBfDI zur Frage der Anwendbarkeit der Datenschutz-Grundverordnung (DS-GVO) auf Large Language Models (LLMs) veröffentlicht. Darin festgestellt wird, dass in LLMs keine personenbezogenen Daten gespeichert werden und diese somit auch keine personenbezogenen Daten verarbeiten würden. Doch was hat diese Feststellung für Folgen für die Nutzung von Chatbots und anderen KI-Systemen durch Unternehmen, die LLMs beinhalten, wie beispielsweise ChatGPT? Wir arbeiten dies für Sie in folgendem Blogbeitrag anhand (…) Weiterlesen