Alles neu macht der Mai: Entscheidungswelle beim EuGH

Am 4. Mai und in den Tagen davor hat der EuGH mehrere datenschutzrechtlich höchst relevante Entscheidungen bzw. Schlussanträge veröffentlicht. Es geht unter anderem erneut um die Reichweite des Auskunftsrechts und Schadensersatzansprüche bei DSGVO-Verstößen, um den Adressaten von Bußgeldentscheidungen und vieles mehr. Wir haben Ihnen eine substantielle Übersicht erstellt mit den nach unserer Auswertung wichtigsten Aussagen. Angesichts der kürzlich veröffentlichten Entscheidungswelle wird deutlich, dass die Relevanz des Datenschutzrechts weiter steigt. Der EuGH schafft in diesem Bereich durch seine Urteile mehr Rechtssicherheit, (…) Weiterlesen

Wir brauchen einen Cyber-Vorstand!

Viele Unternehmen vernachlässigen die Informationssicherheit noch. Sie fällt hinter dem Tagesgeschäft zurück. Oft ist niemand „wirklich verantwortlich“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatiert: „Dadurch besteht bei unklarer Aufteilung der Zuständigkeiten die Gefahr, dass Informationssicherheit grundsätzlich zu einem ,Problem anderer Leute‘ wird. Damit wird die Verantwortung für Informationssicherheit so lange hin- und hergeschoben, bis keiner sie mehr zu haben glaubt“ (BSI, Standard 200-2 zur IT-Grundschutz-Methodik). Eine wegen einer fehlenden Priorisierung unzureichende Cyber-Security ist oft der Grund für (besonders (…) Weiterlesen

Hilft das Auskunftsrecht nach Art. 15 DSGVO im Zivilprozess?

Oder auch: Hilft das Datenschutzrecht, Beweismittel zu beschaffen? Nicht nur im Rahmen datenschutzrechtlicher Streitigkeiten kann das Auskunftsrecht der Datenschutzgrundverordnung (DSGVO) zur Anwendung kommen. Mittlerweile wird es auch vielfach zur bloßen Informationsbeschaffung genutzt, was Parteien in Zivilprozessen zur Verbesserung ihrer eigenen Position verhelfen kann. Für das Auskunftsrecht müssen zwar keine Voraussetzungen erfüllt sein, jedoch muss die Auskunft auch nicht uneingeschränkt erteilt werden, wenn diese bloß dazu dient, an Beweismittel zu gelangen. Was also ist im Zivilprozess zu beachten – wo kann (…) Weiterlesen

Erweiterte Führung: Cyber-Vorstände

Unternehmen werden von Hackerangriffen bedroht. Das ist Realität in Deutschland. Die Digitalisierung birgt nicht nur Chancen, sondern auch Risiken, die man im Blick behalten muss. Unternehmen, die auf Führungsebene vorsorgen, haben Vorteile. Der Cyber-Vorstand ist eine leitende Position (m/w/d), die für maximale Cyber- und Handlungssicherheit im Unternehmen sorgt – heute ein Muss. Schöne neue Welt? Die Digitalisierung macht vieles einfacher, was früher mühsam war. E-Mail-Kommunikation ist schnell. Künstliche Intelligenz und automatisierte Management-Systeme sorgen für Effizienz. Die Cloud ermöglicht das Arbeiten (…) Weiterlesen

Neues zum Drittstaatentransfer?

Die meisten großen Tech-Giganten sind in den USA ansässig. Die Nutzung der Dienste von Apple, Microsoft, Google & Co. ist für Unternehmen oftmals alternativlos. Da die USA ein Drittland im Sinne der DSGVO sind, muss der Datentransfer dorthin spezifisch abgesichert sein. Seit dem EuGH-Urteil in Sachen Schrems II ist das kein einfaches Unterfangen. Nun zeichnet sich eine Lösung in Form eines neuen Angemessenheitsbeschlusses ab. Unternehmen müssen für den Einsatz von Drittanbietern, die personenbezogene Daten in die USA transferieren, die Absicherung (…) Weiterlesen

Rechtliche Vorgaben zur IT-Sicherheit: Was kommt auf die Unternehmen zu?

Zum 1. Mai 2023 müssen Unternehmen nach dem BSIG die Angriffserkennung verbessern: Betreiber kritischer Infrastrukturen (KRITIS) müssen bis dahin Systeme zur Angriffserkennung implementieren. Derweil arbeitet der deutsche Gesetzgeber an der Umsetzung der NIS-2, die Richtlinie (EU) 2022/2555 ins deutsche Recht. Die Richtlinie ist Ende Dezember 2022 im Amtsblatt verkündet wurde und muss bis Oktober 2024 umgesetzt werden. Sie bringt einige Nachjustierungen für die KRITIS-Betreiber und insbesondere ganz neue Pflichten für wesentliche und wichtige Einrichtungen. Etliche Unternehmen werden dadurch erstmals in (…) Weiterlesen

Datenschutzbeauftragte: Wann ist eine Abberufung zulässig?

Datenschutzbeauftragte sind geschützt: Ihre Unabhängigkeit und Kontrollrechte können nur dann wirksam gewahrt werden, wenn eine Abberufung nicht ohne weiteres möglich ist. Über die Rechtmäßigkeit von zwei Abberufungen hatte jüngst der Europäische Gerichtshof (EuGH) zu entscheiden. Ein Beitrag unserer Praktikantin Gizem Aslan. Die Entscheidungen des EuGH ergingen in zwei Vorabentscheidungsersuchen, die dem Gerichtshof beide vom Bundesarbeitsgericht (BAG) angetragen worden waren. Streitig war jeweils die Frage, ob eine Abberufung des Datenschutzbeauftragten aus wichtigem Grund gem. § 6 Abs. 4 BDSG unionsrechtskonform ist. (…) Weiterlesen

Der Data Governance Act: Was der deutsche Gesetzgeber jetzt tun muss.

Der Data Governance Act (DGA) ist im Juni 2022 in Kraft getreten und wird ab dem 24.09.2023 unmittelbare Geltung in jedem Mitgliedsstaat der EU entfalten. Obwohl es sich um eine EU-Verordnung handelt, muss der nationale Gesetzgeber hier einiges umsetzen und mit Leben füllen: Von Behördenzuständigkeiten über Register bis hin zu zentralen Informationsstellen. Die Mitgliedstaaten müssen, um das Potential des DGA zu heben, jetzt die in dem DGA vorgesehenen Mechanismen und Strukturen zu schaffen, damit seine Regelungen die beabsichtigte Wirkung erzielen (…) Weiterlesen

Wann sind Bestelldaten personenbezogen?

Oder auch: Bestelle ich immer für mich selbst? Sind Bestellungen von Medikamenten dadurch zugleich Gesundheitsdaten, die sich auf mich beziehen? Der Bundesgerichtshof (BGH) hat dem Europäischen Gerichtshof (EuGH) mit Beschluss vom 12.01.2023 hierzu eine Frage vorgelegt: Sind Arzneimittelbestelldaten auch dann Gesundheitsdaten, wenn aus den übermittelten Daten nicht hervorgeht, für wen ein Arzneimittel bestimmt ist? Das Verfahren ist für die Auslegung des Begriffs der Gesundheitsdaten in Art. 9 DSGVO praktisch hoch relevant und auch für sonstige Fälle, in denen Gesundheitsdaten zur (…) Weiterlesen

Websites: Neues zur Gestaltung von Cookie-Bannern

Der Europäische Datenschutzausschuss (EDSA) hat sich mit der Zulässigkeit und Gestaltung von Cookies und Cookie-Bannern im Lichte der e-Privacy-Richtlinie und der DSGVO beschäftigt. In einem Bericht vom 17.01.2023 hat er eine gemeinsame Position zu Cookie-Bannern angenommen. Mit den vertretenen Positionen zaubert der EDSA keine unerwarteten Überraschungen aus dem Datenschutz-Hut, dennoch gilt es für Website-Betreiber bestimmte Punkte zu beachten. Ausgangspunkt für den EDSA-Bericht bilden die durch den Verein „NOYB – Europäisches Zentrum für digitale Rechte“ eingelegten Beschwerden gegen verschiedene Ausgestaltungen von (…) Weiterlesen