Der datenschutzrechtliche Auskunftsanspruch nach Art. 15 DSGVO hält nach wie vor Unternehmen sowie Gerichte auf Trapp. Nun hat der EuGH eine bemerkenswerte Entscheidung getroffen, die sich ausführlich mit den Voraussetzungen des Auskunftsanspruchs befasst und klarstellt, unter welchen Bedingungen dieser durch nationale Rechtsvorschriften eingeschränkt werden kann. In dem zugrundeliegenden Sachverhalt ging es um einen Patienten, der bei einem Zahnarzt in Behandlung war und, da er einen Behandlungsfehler vermutete, um eine erste Kopie seiner Patientenakte bat. Der Zahnarzt wollte dieser Bitte nur (…) Weiterlesen
Artikel der Kategorie ‘Datenschutz’
Die SCHUFA und der Datenschutz
SCHUFA-Auskünfte und die Grundlagen des Scorings für Bonitätsauskünfte sind datenschutzrechtlich seit jeher höchst umstritten. Angesichts der erheblichen Folgen (falscher) negativer Bonitätsauskünfte für die Betroffenen liegt dies auf der Hand. Schon das BDSG alt enthielt daher Sonderregelungen für das Scoring. Was unter der DSGVO gilt, hat nun der EuGH konkretisiert. Scoring Das sog. „Scoring“ war Gegenstand eines aktuell vom EuGH entschiedenen Vorabentscheidungsverfahrens (Rs. C‑634/21). Dabei handelt es sich um eine Methode, mit deren Hilfe die Wahrscheinlichkeit eines künftigen Verhaltens (bspw. die (…) Weiterlesen
Uferlose Schadensersatzrisiken nach neuen EuGH-Entscheidungen?
Der EuGH hat in zwei Entscheidungen die Anforderungen an einen immateriellen Schadensersatz nach DSGVO-Verstoß konkretisiert. Hoch praxisrelevant sind dabei gerade die Anforderungen an Schadensersatzforderungen gegen die Opfer eines Hackerangriffs: Müssen Unternehmen auch dann noch Schadensersatz an betroffene Personen zahlen? In der Praxis wird bereits befürchtet, dass nun die Massenklagen anrollen. Aber ist das wirklich so? Eine genaue Betrachtung der beiden Urteile lohnt sich! Kommt es nach einem schuldhaften DSGVO-Verstoß zu einem Vermögensschaden, liegen Schadensersatzansprüche auf der Hand. Was aber ist, (…) Weiterlesen
Der Data Act kommt
Neue EU-Regeln für Datenzugang, Cloud-Nutzung und Vertragsklauseln zur Datenverwendung Der Umgang mit Daten ist inzwischen für jedes Unternehmen selbstverständlich: Die Nutzung von Cloud-Produkten entlasten die eigene IT-Infrastruktur, Kundenkontakte liegen im zentralen CRM, die Kommunikation läuft über E-Mail und Kollaborationstools, zunehmend enthalten auch die angebotenen Dienstleistungen und Produkte digitale Elemente. Für all diese Anwendungsfälle kommen bald neue Vorgaben aus der EU: Der Data Act, der kurz vor der Veröffentlichung steht, bringt neue Regeln für die Datenwirtschaft. EP und Rat haben ihr (…) Weiterlesen
EuGH: Immaterieller Schadensersatz und Identitätsdiebstahl
Liegt bereits ein Identitätsdiebstahl i.S.d. DSGVO vor, wenn Hacker personenbezogene Daten entwendet haben, aber sich (bisher) nicht als die betroffene Person ausgegeben haben? Diese und andere Fragen zum Verständnis von immateriellem Schadensersatz und seiner Beurteilung stellte sich das Amtsgericht München und legte sie im Rahmen eines Vorabentscheidungsverfahrens dem EuGH vor. Der Generalanwalt beim EuGH hat sich Ende Oktober zu der Frage geäußert, wann ein Identitätsdiebstahl vorliegt. In den letzten Monaten konkretisierte der EuGH die Voraussetzungen, die für die Gewährung vom immateriellen (…) Weiterlesen
US-Datentransfer: Sitzt, passt, wackelt und hat Luft?
Seit Juli gilt der neue Angemessenheitsbeschluss für den Datentransfer in die USA, das EU US-Data Privacy Framework. Kritik hieran war schon früh zu hören. Wenig überraschend sind erste Verfahren anhängig. Überraschend ist dagegen: Es gab sogar bereits erste Gerichtsentscheidungen. Also: Gilt das EU US-DPF noch oder wackelt der US-Datentransfer schon wieder? Seit dem 10. Juli 2023 ist das EU US-Data Privacy Framework (DPF), der neue Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO, in Kraft. Personenbezogene Daten können darunter sicher an (…) Weiterlesen
EuGH: Was sind personenbezogene Daten?
Der EuGH hat in einer aktuellen Entscheidung konkretisiert, wann Nummernfolgen personenbezogene Daten sind. Konkret ging es um die FIN als eindeutige Identifikationsnummer von Fahrzeugen, die Urteilsgründe können auch auf andere IDs und Kennziffern, etwa die dynamische IP-Adresse, übertragen werden. Für die Praxis ist die Entscheidung von elementarer Bedeutung. Die FIN kennzeichnet ein Fahrzeug. Für den Fahrzeughersteller hat sie zunächst keinen Bezug zu einer natürlichen Person. Dies kann sich aber ändern, wenn das Fahrzeug auf eine natürliche Person zugelassen wird oder (…) Weiterlesen
Kundendaten im Asset und Share Deal: Was ist erlaubt?
Immer wieder werden in Unternehmenstransaktionen auch personenbezogene Daten übertragen. Gerade Kundendaten haben dabei oft sogar einen relevanten Wert. Wie die Übertragung datenschutzkonform erfolgen kann, beschäftigt die Praxis immer wieder. Die deutschen Datenschutzaufsichtsbehörden haben sich dazu ebenso positioniert, wie jetzt auch der oberste Gerichtshof in Österreich (OGH). Wir fassen die in den verschiedenen Transaktionsphasen wichtigsten Eckpunkte zusammen. Der datenschutzkonforme Umgang mit Kundendaten in Transaktionen ist essentiell: Nur so wird das Asset gesichert und können Kundendaten auch entsprechend gewinnbringend weiter genutzt werden, (…) Weiterlesen
US-Datentransfer wieder sicher: EU-US Data Privacy Framework greift
Am 10. Juli 2023 hat die EU-Kommission einen neuen Angemessenheitsbeschluss nach Art. 45 DSGVO für den Transfer personenbezogener Daten in die USA veröffentlicht. Das EU-US Data Privacy Framework („DPF“) bringt neue Rechtssicherheit für Unternehmen. Wir geben einen ersten Überblick, was zu tun ist und was die von NOYB schon angekündigte Klage gegen das DPF in der Praxis bedeutet. Seit dem 16. Juli 2020 haben Datenschützer mit dem datenschutzkonformen Einsatz von US-Tools gekämpft: Der EuGH hatte in seinem Urteil an diesem (…) Weiterlesen
Gesundheitsdatennutzungsgesetz: Der erste Entwurf liegt vor
Ein Blick auf Stärken und Optimierungspotential des Referententwurfs Das Gesundheitsdatennutzungsgesetz aus dem Bundesministerium für Gesundheit (BMG) ist im Referentenentwurf seit einigen Tagen bekannt. Es ist ein wesentlicher Baustein der Digitalisierungsstrategie für das deutsche Gesundheitswesen. Malgorzata (Margo) Steiner und ich (Dr. Kristina Schreiber) haben uns die Regelung einmal im Detail angesehen. Wir sehen großes Potential in dem neuen Gesetzentwurf für eine verbesserte, datenschutzkonforme Erschließung und Nutzung von Gesundheitsdaten – zum Wohle von uns allen, für eine optimierte Gesundheitsversorgung. Wir haben indes auch einige (…) Weiterlesen