Artikel der Kategorie Datenschutz

Kundendaten im Asset und Share Deal: Was ist erlaubt?

Immer wieder werden in Unternehmenstransaktionen auch personenbezogene Daten übertragen. Gerade Kundendaten haben dabei oft sogar einen relevanten Wert. Wie die Übertragung datenschutzkonform erfolgen kann, beschäftigt die Praxis immer wieder. Die deutschen Datenschutzaufsichtsbehörden haben sich dazu ebenso positioniert, wie jetzt auch der oberste Gerichtshof in Österreich (OGH). Wir fassen die in den verschiedenen Transaktionsphasen wichtigsten Eckpunkte zusammen. Der datenschutzkonforme Umgang mit Kundendaten in Transaktionen ist essentiell: Nur so wird das Asset gesichert und können Kundendaten auch entsprechend gewinnbringend weiter genutzt werden, (…) Weiterlesen

US-Datentransfer wieder sicher: EU-US Data Privacy Framework greift

Am 10. Juli 2023 hat die EU-Kommission einen neuen Angemessenheitsbeschluss nach Art. 45 DSGVO für den Transfer personenbezogener Daten in die USA veröffentlicht. Das EU-US Data Privacy Framework („DPF“) bringt neue Rechtssicherheit für Unternehmen. Wir geben einen ersten Überblick, was zu tun ist und was die von NOYB schon angekündigte Klage gegen das DPF in der Praxis bedeutet. Seit dem 16. Juli 2020 haben Datenschützer mit dem datenschutzkonformen Einsatz von US-Tools gekämpft: Der EuGH hatte in seinem Urteil an diesem (…) Weiterlesen

Gesundheitsdatennutzungsgesetz: Der erste Entwurf liegt vor

Ein Blick auf Stärken und Optimierungspotential des Referententwurfs Das Gesundheitsdatennutzungsgesetz aus dem Bundesministerium für Gesundheit (BMG) ist im Referentenentwurf seit einigen Tagen bekannt. Es ist ein wesentlicher Baustein der Digitalisierungsstrategie für das deutsche Gesundheitswesen.  Malgorzata (Margo) Steiner und ich (Dr. Kristina Schreiber) haben uns die Regelung einmal im Detail angesehen. Wir sehen großes Potential in dem neuen Gesetzentwurf für eine verbesserte, datenschutzkonforme Erschließung und Nutzung von Gesundheitsdaten – zum Wohle von uns allen, für eine optimierte Gesundheitsversorgung. Wir haben indes auch einige (…) Weiterlesen

Alles neu macht der Mai: Entscheidungswelle beim EuGH

Am 4. Mai und in den Tagen davor hat der EuGH mehrere datenschutzrechtlich höchst relevante Entscheidungen bzw. Schlussanträge veröffentlicht. Es geht unter anderem erneut um die Reichweite des Auskunftsrechts und Schadensersatzansprüche bei DSGVO-Verstößen, um den Adressaten von Bußgeldentscheidungen und vieles mehr. Wir haben Ihnen eine substantielle Übersicht erstellt mit den nach unserer Auswertung wichtigsten Aussagen. Angesichts der kürzlich veröffentlichten Entscheidungswelle wird deutlich, dass die Relevanz des Datenschutzrechts weiter steigt. Der EuGH schafft in diesem Bereich durch seine Urteile mehr Rechtssicherheit, (…) Weiterlesen

Hilft das Auskunftsrecht nach Art. 15 DSGVO im Zivilprozess?

Oder auch: Hilft das Datenschutzrecht, Beweismittel zu beschaffen? Nicht nur im Rahmen datenschutzrechtlicher Streitigkeiten kann das Auskunftsrecht der Datenschutzgrundverordnung (DSGVO) zur Anwendung kommen. Mittlerweile wird es auch vielfach zur bloßen Informationsbeschaffung genutzt, was Parteien in Zivilprozessen zur Verbesserung ihrer eigenen Position verhelfen kann. Für das Auskunftsrecht müssen zwar keine Voraussetzungen erfüllt sein, jedoch muss die Auskunft auch nicht uneingeschränkt erteilt werden, wenn diese bloß dazu dient, an Beweismittel zu gelangen. Was also ist im Zivilprozess zu beachten – wo kann (…) Weiterlesen

Erweiterte Führung: Cyber-Vorstände

Unternehmen werden von Hackerangriffen bedroht. Das ist Realität in Deutschland. Die Digitalisierung birgt nicht nur Chancen, sondern auch Risiken, die man im Blick behalten muss. Unternehmen, die auf Führungsebene vorsorgen, haben Vorteile. Der Cyber-Vorstand ist eine leitende Position (m/w/d), die für maximale Cyber- und Handlungssicherheit im Unternehmen sorgt – heute ein Muss. Schöne neue Welt? Die Digitalisierung macht vieles einfacher, was früher mühsam war. E-Mail-Kommunikation ist schnell. Künstliche Intelligenz und automatisierte Management-Systeme sorgen für Effizienz. Die Cloud ermöglicht das Arbeiten (…) Weiterlesen

Neues zum Drittstaatentransfer?

Die meisten großen Tech-Giganten sind in den USA ansässig. Die Nutzung der Dienste von Apple, Microsoft, Google & Co. ist für Unternehmen oftmals alternativlos. Da die USA ein Drittland im Sinne der DSGVO sind, muss der Datentransfer dorthin spezifisch abgesichert sein. Seit dem EuGH-Urteil in Sachen Schrems II ist das kein einfaches Unterfangen. Nun zeichnet sich eine Lösung in Form eines neuen Angemessenheitsbeschlusses ab. Unternehmen müssen für den Einsatz von Drittanbietern, die personenbezogene Daten in die USA transferieren, die Absicherung (…) Weiterlesen

Rechtliche Vorgaben zur IT-Sicherheit: Was kommt auf die Unternehmen zu?

Zum 1. Mai 2023 müssen Unternehmen nach dem BSIG die Angriffserkennung verbessern: Betreiber kritischer Infrastrukturen (KRITIS) müssen bis dahin Systeme zur Angriffserkennung implementieren. Derweil arbeitet der deutsche Gesetzgeber an der Umsetzung der NIS-2, die Richtlinie (EU) 2022/2555 ins deutsche Recht. Die Richtlinie ist Ende Dezember 2022 im Amtsblatt verkündet wurde und muss bis Oktober 2024 umgesetzt werden. Sie bringt einige Nachjustierungen für die KRITIS-Betreiber und insbesondere ganz neue Pflichten für wesentliche und wichtige Einrichtungen. Etliche Unternehmen werden dadurch erstmals in (…) Weiterlesen

Datenschutzbeauftragte: Wann ist eine Abberufung zulässig?

Datenschutzbeauftragte sind geschützt: Ihre Unabhängigkeit und Kontrollrechte können nur dann wirksam gewahrt werden, wenn eine Abberufung nicht ohne weiteres möglich ist. Über die Rechtmäßigkeit von zwei Abberufungen hatte jüngst der Europäische Gerichtshof (EuGH) zu entscheiden. Ein Beitrag unserer Praktikantin Gizem Aslan. Die Entscheidungen des EuGH ergingen in zwei Vorabentscheidungsersuchen, die dem Gerichtshof beide vom Bundesarbeitsgericht (BAG) angetragen worden waren. Streitig war jeweils die Frage, ob eine Abberufung des Datenschutzbeauftragten aus wichtigem Grund gem. § 6 Abs. 4 BDSG unionsrechtskonform ist. (…) Weiterlesen

Der Data Governance Act: Was der deutsche Gesetzgeber jetzt tun muss.

Der Data Governance Act (DGA) ist im Juni 2022 in Kraft getreten und wird ab dem 24.09.2023 unmittelbare Geltung in jedem Mitgliedsstaat der EU entfalten. Obwohl es sich um eine EU-Verordnung handelt, muss der nationale Gesetzgeber hier einiges umsetzen und mit Leben füllen: Von Behördenzuständigkeiten über Register bis hin zu zentralen Informationsstellen. Die Mitgliedstaaten müssen, um das Potential des DGA zu heben, jetzt die in dem DGA vorgesehenen Mechanismen und Strukturen zu schaffen, damit seine Regelungen die beabsichtigte Wirkung erzielen (…) Weiterlesen