Cloud-Verbot für Gesundheitsdaten?

Ein Papier der Datenschutzkonferenz (DSK) wirft große Fragen auf: Sollen Anbieter von cloudbasierten Gesundheitsanwendungen dazu verpflichtet sein, alternativ eine lokale Speicherung anzubieten? Die Positionierung der DSK sieht dies vor. Wir ordnen dies für Sie ein, gerade auch mit Blick auf die rechtlichen Anforderungen und die (fehlende) Rechtsverbindlichkeit einer solchen DSK-Positionierung. Die DSK äußert sich in ihrem Positionspapier zunächst zu erstattungsfähigen digitalen Gesundheitsanwendungen nach § 33a SGB V – deren Anbieter müssen zukünftig auf anderem als bisherigen Wege nachweisen, dass sie (…) Weiterlesen

Gemeinsame Verantwortlichkeit setzt keine Vereinbarung voraus

In einem weiteren Urteil hat der EuGH die Voraussetzungen für eine „gemeinsame Verantwortlichkeit“ geschärft. Sind mehrere Akteure derart gemeinsam verantwortlich, müssen sie dazu eine Vereinbarung schließen und die Rollen klar verteilen. In der Praxis ist besonders relevant, dass die Akteure dann auch gemeinsam (gesamtschuldnerisch) haften. Dies führt in vielen Fällen zu dem Bemühen, eine gemeinsame Verantwortlichkeit zu vermeiden, um Haftungsdiffusionen auszuschließen. Wann dies noch möglich ist, erläutern wir im nachfolgenden Beitrag. Dem Urteil des EuGH vom 05.12.2023 in der Rs. (…) Weiterlesen

EuGH: Die erste Kopie geht aufs Haus

Der datenschutzrechtliche Auskunftsanspruch nach Art. 15 DSGVO hält nach wie vor Unternehmen sowie Gerichte auf Trapp. Nun hat der EuGH eine bemerkenswerte Entscheidung getroffen, die sich ausführlich mit den Voraussetzungen des Auskunftsanspruchs befasst und klarstellt, unter welchen Bedingungen dieser durch nationale Rechtsvorschriften eingeschränkt werden kann.  In dem zugrundeliegenden Sachverhalt ging es um einen Patienten, der bei einem Zahnarzt in Behandlung war und, da er einen Behandlungsfehler vermutete, um eine erste Kopie seiner Patientenakte bat. Der Zahnarzt wollte dieser Bitte nur (…) Weiterlesen

Die SCHUFA und der Datenschutz

SCHUFA-Auskünfte und die Grundlagen des Scorings für Bonitätsauskünfte sind datenschutzrechtlich seit jeher höchst umstritten. Angesichts der erheblichen Folgen (falscher) negativer Bonitätsauskünfte für die Betroffenen liegt dies auf der Hand. Schon das BDSG alt enthielt daher Sonderregelungen für das Scoring. Was unter der DSGVO gilt, hat nun der EuGH konkretisiert. Scoring Das sog. „Scoring“ war Gegenstand eines aktuell vom EuGH entschiedenen Vorabentscheidungsverfahrens (Rs. C‑634/21). Dabei handelt es sich um eine Methode, mit deren Hilfe die Wahrscheinlichkeit eines künftigen Verhaltens (bspw. die (…) Weiterlesen

Uferlose Schadensersatzrisiken nach neuen EuGH-Entscheidungen?

Der EuGH hat in zwei Entscheidungen die Anforderungen an einen immateriellen Schadensersatz nach DSGVO-Verstoß konkretisiert. Hoch praxisrelevant sind dabei gerade die Anforderungen an Schadensersatzforderungen gegen die Opfer eines Hackerangriffs: Müssen Unternehmen auch dann noch Schadensersatz an betroffene Personen zahlen? In der Praxis wird bereits befürchtet, dass nun die Massenklagen anrollen. Aber ist das wirklich so? Eine genaue Betrachtung der beiden Urteile lohnt sich! Kommt es nach einem schuldhaften DSGVO-Verstoß zu einem Vermögensschaden, liegen Schadensersatzansprüche auf der Hand. Was aber ist, (…) Weiterlesen

Der Data Act kommt

Neue EU-Regeln für Datenzugang, Cloud-Nutzung und Vertragsklauseln zur Datenverwendung Der Umgang mit Daten ist inzwischen für jedes Unternehmen selbstverständlich: Die Nutzung von Cloud-Produkten entlasten die eigene IT-Infrastruktur, Kundenkontakte liegen im zentralen CRM, die Kommunikation läuft über E-Mail und Kollaborationstools, zunehmend enthalten auch die angebotenen Dienstleistungen und Produkte digitale Elemente. Für all diese Anwendungsfälle kommen bald neue Vorgaben aus der EU: Der Data Act, der kurz vor der Veröffentlichung steht, bringt neue Regeln für die Datenwirtschaft. EP und Rat haben ihr (…) Weiterlesen

EuGH: Immaterieller Schadensersatz und Identitätsdiebstahl

Liegt bereits ein Identitätsdiebstahl i.S.d. DSGVO vor, wenn Hacker personenbezogene Daten entwendet haben, aber sich (bisher) nicht als die betroffene Person ausgegeben haben? Diese und andere Fragen zum Verständnis von immateriellem Schadensersatz und seiner Beurteilung stellte sich das Amtsgericht München und legte sie im Rahmen eines Vorabentscheidungsverfahrens dem EuGH vor. Der Generalanwalt beim EuGH hat sich Ende Oktober zu der Frage geäußert, wann ein Identitätsdiebstahl vorliegt. In den letzten Monaten konkretisierte der EuGH die Voraussetzungen, die für die Gewährung vom immateriellen (…) Weiterlesen

US-Datentransfer: Sitzt, passt, wackelt und hat Luft?

Seit Juli gilt der neue Angemessenheitsbeschluss für den Datentransfer in die USA, das EU US-Data Privacy Framework. Kritik hieran war schon früh zu hören. Wenig überraschend sind erste Verfahren anhängig. Überraschend ist dagegen: Es gab sogar bereits erste Gerichtsentscheidungen. Also: Gilt das EU US-DPF noch oder wackelt der US-Datentransfer schon wieder? Seit dem 10. Juli 2023 ist das EU US-Data Privacy Framework (DPF), der neue Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO, in Kraft. Personenbezogene Daten können darunter sicher an (…) Weiterlesen

EuGH: Was sind personenbezogene Daten?

Der EuGH hat in einer aktuellen Entscheidung konkretisiert, wann Nummernfolgen personenbezogene Daten sind. Konkret ging es um die FIN als eindeutige Identifikationsnummer von Fahrzeugen, die Urteilsgründe können auch auf andere IDs und Kennziffern, etwa die dynamische IP-Adresse, übertragen werden. Für die Praxis ist die Entscheidung von elementarer Bedeutung. Die FIN kennzeichnet ein Fahrzeug. Für den Fahrzeughersteller hat sie zunächst keinen Bezug zu einer natürlichen Person. Dies kann sich aber ändern, wenn das Fahrzeug auf eine natürliche Person zugelassen wird oder (…) Weiterlesen

Kundendaten im Asset und Share Deal: Was ist erlaubt?

Immer wieder werden in Unternehmenstransaktionen auch personenbezogene Daten übertragen. Gerade Kundendaten haben dabei oft sogar einen relevanten Wert. Wie die Übertragung datenschutzkonform erfolgen kann, beschäftigt die Praxis immer wieder. Die deutschen Datenschutzaufsichtsbehörden haben sich dazu ebenso positioniert, wie jetzt auch der oberste Gerichtshof in Österreich (OGH). Wir fassen die in den verschiedenen Transaktionsphasen wichtigsten Eckpunkte zusammen. Der datenschutzkonforme Umgang mit Kundendaten in Transaktionen ist essentiell: Nur so wird das Asset gesichert und können Kundendaten auch entsprechend gewinnbringend weiter genutzt werden, (…) Weiterlesen