Die EU hat sich politisch auf eine Anpassung der Produkthaftungsrichtlinie verständigt. Für Softwarehersteller sind diese weitreichend. Software ist künftig „Produkt“. Für Schäden nach dem Produkthaftungsrecht wird dann verschuldensunabhängig gehaftet, die Produkte müssen fortlaufend überwacht werden. Auch müssen rechtzeitig Sicherheitsupdates bereitgestellt werden, wenn CVEs (Common Vulnerabilities and Exposures) bekannt werden. Die fortschreitende Digitalisierung bringt neue Risiken, die von dem seit 40 Jahren bestehenden Haftungsrecht nicht mehr ausreichend abgedeckt werden. Ob „Software“ als Produkt erfasst ist, ist seit langem umstritten. Die wohl (…) Weiterlesen
Cyber Security und Informationssicherheit für Unternehmen
Das Wichtigste im Überblick Was ist Informationssicherheit (Cyber Security)? Bei der Informationssicherheit (Cyber Security) geht es für Unternehmen darum, (unternehmensinterne) Informationen zu schützen. Der Schutz gilt: Es geht um Vertraulichkeit, Integrität und Verfügbarkeit der Informationen. Auch wenn Unternehmen dabei regelmäßig direkt an digitale Informationen denken, bezieht sich der Begriff auch auf physische und nicht nur auf elektronische Informationen. Der Gewährleistung der digitalen Informationssicherheit (Cyber Security) kommt dabei ein besonderer Stellenwert zu. Dieser Bereich wird in Deutschland regelmäßig als IT-Sicherheit bezeichnet. (…) Weiterlesen
Cloud-Verbot für Gesundheitsdaten?
Ein Papier der Datenschutzkonferenz (DSK) wirft große Fragen auf: Sollen Anbieter von cloudbasierten Gesundheitsanwendungen dazu verpflichtet sein, alternativ eine lokale Speicherung anzubieten? Die Positionierung der DSK sieht dies vor. Wir ordnen dies für Sie ein, gerade auch mit Blick auf die rechtlichen Anforderungen und die (fehlende) Rechtsverbindlichkeit einer solchen DSK-Positionierung. Die DSK äußert sich in ihrem Positionspapier zunächst zu erstattungsfähigen digitalen Gesundheitsanwendungen nach § 33a SGB V – deren Anbieter müssen zukünftig auf anderem als bisherigen Wege nachweisen, dass sie (…) Weiterlesen
Gemeinsame Verantwortlichkeit setzt keine Vereinbarung voraus
In einem weiteren Urteil hat der EuGH die Voraussetzungen für eine „gemeinsame Verantwortlichkeit“ geschärft. Sind mehrere Akteure derart gemeinsam verantwortlich, müssen sie dazu eine Vereinbarung schließen und die Rollen klar verteilen. In der Praxis ist besonders relevant, dass die Akteure dann auch gemeinsam (gesamtschuldnerisch) haften. Dies führt in vielen Fällen zu dem Bemühen, eine gemeinsame Verantwortlichkeit zu vermeiden, um Haftungsdiffusionen auszuschließen. Wann dies noch möglich ist, erläutern wir im nachfolgenden Beitrag. Dem Urteil des EuGH vom 05.12.2023 in der Rs. (…) Weiterlesen
EuGH: Die erste Kopie geht aufs Haus
Der datenschutzrechtliche Auskunftsanspruch nach Art. 15 DSGVO hält nach wie vor Unternehmen sowie Gerichte auf Trapp. Nun hat der EuGH eine bemerkenswerte Entscheidung getroffen, die sich ausführlich mit den Voraussetzungen des Auskunftsanspruchs befasst und klarstellt, unter welchen Bedingungen dieser durch nationale Rechtsvorschriften eingeschränkt werden kann. In dem zugrundeliegenden Sachverhalt ging es um einen Patienten, der bei einem Zahnarzt in Behandlung war und, da er einen Behandlungsfehler vermutete, um eine erste Kopie seiner Patientenakte bat. Der Zahnarzt wollte dieser Bitte nur (…) Weiterlesen
Die SCHUFA und der Datenschutz
SCHUFA-Auskünfte und die Grundlagen des Scorings für Bonitätsauskünfte sind datenschutzrechtlich seit jeher höchst umstritten. Angesichts der erheblichen Folgen (falscher) negativer Bonitätsauskünfte für die Betroffenen liegt dies auf der Hand. Schon das BDSG alt enthielt daher Sonderregelungen für das Scoring. Was unter der DSGVO gilt, hat nun der EuGH konkretisiert. Scoring Das sog. „Scoring“ war Gegenstand eines aktuell vom EuGH entschiedenen Vorabentscheidungsverfahrens (Rs. C‑634/21). Dabei handelt es sich um eine Methode, mit deren Hilfe die Wahrscheinlichkeit eines künftigen Verhaltens (bspw. die (…) Weiterlesen
Uferlose Schadensersatzrisiken nach neuen EuGH-Entscheidungen?
Der EuGH hat in zwei Entscheidungen die Anforderungen an einen immateriellen Schadensersatz nach DSGVO-Verstoß konkretisiert. Hoch praxisrelevant sind dabei gerade die Anforderungen an Schadensersatzforderungen gegen die Opfer eines Hackerangriffs: Müssen Unternehmen auch dann noch Schadensersatz an betroffene Personen zahlen? In der Praxis wird bereits befürchtet, dass nun die Massenklagen anrollen. Aber ist das wirklich so? Eine genaue Betrachtung der beiden Urteile lohnt sich! Kommt es nach einem schuldhaften DSGVO-Verstoß zu einem Vermögensschaden, liegen Schadensersatzansprüche auf der Hand. Was aber ist, (…) Weiterlesen
Data Act verkündet: Es geht los
Am 22.12.2023 hat die EU den Data Act in ihrem Amtsblatt verkündet. Er tritt damit in 20 Tagen in Kraft. Gelten wird er überwiegend ab dem 12.09.2025. Die Datenzugangsregeln greifen ab dem 12.09.2026. Dies erscheint lange – wir starten doch gerade erst in das Jahr 2024. Doch ist hier Vorsicht geboten: Die Pflichten sind weitreichend und oft unklar. Für eine rechtssichere Umsetzung ist ein intensiver Austausch im Unternehmen mit allen Stakeholdern geboten. Der volle Titel des Data Act ist sperrig: (…) Weiterlesen
Bußgeldrisiken: Wann und wem drohen sie?
Bußgelder wegen eines DSGVO-Verstoßes können den Unternehmen unmittelbar auferlegt werden, nicht nur den Leitungsorganen. Allerdings: Bußgelder setzen einen schuldhaften Verstoß gegen die DSGVO voraus. Gerade das Urteil in der Rechtssache Deutsche Wohnen war mit Spannung erwartet worden. Wo es Klärung bringt und wo neue Fragen, erläutern wir in unserem Beitrag. Am 05.12.2023 entschied der EuGH in dem von vielen intensiv beobachteten Verfahren „Deutsche Wohnen“: Ein deutsches Vorabentscheidungsverfahren, in dem eines der frühen hohen Bußgelder (14,5 Mio. Euro) auf dem Prüfstand (…) Weiterlesen
Der Data Act kommt
Neue EU-Regeln für Datenzugang, Cloud-Nutzung und Vertragsklauseln zur Datenverwendung Der Umgang mit Daten ist inzwischen für jedes Unternehmen selbstverständlich: Die Nutzung von Cloud-Produkten entlasten die eigene IT-Infrastruktur, Kundenkontakte liegen im zentralen CRM, die Kommunikation läuft über E-Mail und Kollaborationstools, zunehmend enthalten auch die angebotenen Dienstleistungen und Produkte digitale Elemente. Für all diese Anwendungsfälle kommen bald neue Vorgaben aus der EU: Der Data Act, der kurz vor der Veröffentlichung steht, bringt neue Regeln für die Datenwirtschaft. EP und Rat haben ihr (…) Weiterlesen