Artikel der Kategorie Datenschutz

Drittstaatentransfer: Helfen neue Gutachten in der Praxis?

Ein für Unternehmen immer noch leidiger Dauerbrenner: Um das Datenschutzrisiko beim Datentransfer in Länder außerhalb des EWR zu minimieren, muss bei der Verwendung der Standardvertragsklauseln (SCC) im Einzelfall die Rechtslage im Zielland geprüft werden: Erlaubt das nationale Recht dem Datenimporteur, die Vertragsregeln einzuhalten? Oder bestehen nationale Rechtsvorschriften, die dies ausschließen? Diese notwendige Prüfung und Risikobewertung ist in der Praxis komplex. Die Aufsichtsbehörden haben nun Gutachten veröffentlicht, um die Praxis zu entlasten – sie geben Hinweise zu den USA, China, Indien (…) Weiterlesen

Darf Google Analytics noch verwendet werden?

Google Analytics verstößt gegen die DSGVO, die Nutzung dieses Tools ist rechtswidrig. Solche und ähnliche Schlagzeilen haben in den letzten Wochen eine ganz erhebliche Verbreitung in den Medien gefunden. UPDATE: Am 10.2.2022 haben sich diese Schlagzeilen erneuert – die französische CNIL hat den Einsatz von Google Analytics im dort zu entscheidenden Fall ebenfalls für unzulässig erklärt. Ist Google Analytics damit jetzt ein Compliance-Risiko und die Abschaltung dringend anzuraten? Wir haben die Hintergründe der verbreiteten Schlagzeilen einmal näher betrachtet. Grund und (…) Weiterlesen

Einwilligungspflicht für Online-Tools: Der Standpunkt der Behörden

Websitebetreiber und Anbieter von Online-Tools kennen das Dauerthema der letzten Monate (oder gar Jahre): Welche Tools dürfen ohne Einwilligung der Nutzer auf den eigenen Seiten eingesetzt werden und wann ist eine Einwilligung erforderlich? Wie werden Einwilligungen wirksam eingeholt? Das EU-Recht und auch das seit dem 1.12.2021 in Deutschland geltende Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) helfen da nur bedingt: Ohne Einwilligung darf genutzt werden, was unbedingt erforderlich ist. Was danach aber „unbedingt“ benötigt wird, bleibt unklar. Die deutschen Datenschutzaufsichtsbehörden haben jüngst eine Konkretisierung gewagt (…) Weiterlesen

Neue Vorgaben für Online-Angebote: Unternehmen sollten Datenschutzerklärung und CMP jetzt updaten

Für Betreiber von Online-Angeboten wie Websites, Plattformen und Apps wird es nicht langweilig: Wieder sind neue Anforderungen zu beachten und umzusetzen. Anlass hierfür ist zum einen die Umbenennung des Facebook-Konzerns. Zum anderen bringt eine neue Orientierungshilfe der Datenschutzaufsichtsbehörden „Schwung“ in die Diskussion um die Anwendung des seit dem 1.12.2021 geltenden TTDSG. Facebook wird Meta: Neuer Name, neue Datenschutzerklärung Der Facebook-Konzern heißt nun Meta. Konkret hat die in der EU aktive Einheit „Facebook Ireland Limited“ ihren Namen in „Meta Platforms Ireland (…) Weiterlesen

Zwingende Datensicherheit: Keine Einwilligung Betroffener in eine unsichere Datenverarbeitung?

Die Datenschutzkonferenz hat dem am 24.11.2021 mit einem neuen Beschluss eine recht klare Absage erteilt. Relevant ist dies z.B. für die Übermittlung sensibler Daten per Email stößt immer wieder auf datenschutzrechtliche Bedenken. Im Frühjahr 2021 hatte der der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit sich dazu noch abweichend positioniert  und die Möglichkeiten für eine Einwilligung in ein niedrigeres Datensicherheitsniveau dargelegt. Was gilt nun?    „Die vom Verantwortlichen nach Art. 32 DSGVO vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, (…) Weiterlesen

Erste Gerichtsentscheidung zum Drittstaatentransfer: Online-Tools vor dem Aus?

Das VG Wiesbaden untersagt der Hochschule RheinMain vorläufig den Einsatz des Consent Management Tools „Cookiebot“: Die Nutzung des Dienstes, mit dem Einwilligungen in die Cookie-Verwendung abgefragt werden können, führe zu einem unzulässigen Drittstaatentransfer. Die Entscheidung des VG Mainz ist die erste veröffentlichte Gerichtsentscheidung zum Drittstaatentransfer personenbezogener Daten nach dem Schrems II-Urteil des EuGH. Sie hat enorme Sprengkraft. UPDATE: Der VGH Hessen hat die Entscheidung des VG Wiesbaden aufgehoben. Cookiebot darf vorläufig weiter genutzt werden. Dies hat allerdings keinen datenschutzrechtlichen Hintergrund, (…) Weiterlesen

Die EU-Digitalstrategie: Kritik vom EDSA

Aus Brüssel kommen neue Rechtsakte zu digitalen Themen am Fließband: Vom DGA bis zur KI-Verordnung ist in Sachen Datengesetzgebung viel in Bewegung. Aber sind die geplanten Regelungen auch DSGVO-konform? Werden die Grundrechte gewahrt und fügen sich in ein stimmiges Gesamtkonzept ein? Der EDSA meint: Nein. Die Kritik ist grundlegend und sollte gehört werden. Wir fassen für Sie die aktuellen Gesetzgebungsvorhaben und die Kritik des EDSA zusammen, für den konzisen Überblick: Die EU setzt ihre Digitalstrategie um: Schlag auf Schlag erscheinen (…) Weiterlesen

Schadensersatz wegen SCHUFA-Eintrag

Unternehmen, die an die SCHUFA Meldungen abgeben, müssen auf die Richtigkeit der Meldung sorgsam achten. Dabei kommt es nicht nur auf den Wahrheitsgehalt an, sondern auch auf die Einhaltung der „Meldevoraussetzungen“ in § 31 BDSG. Wer zu früh meldet, kann sich schadensersatzpflichtig machen – im konkreten Fall wurden dem Betroffenen 5.000 Euro zugesprochen, da die Meldung ohne vorherige Androhung erfolgte. Das Urteil ist ein weiterer Mosaikstein: Zivilrechtliche Schadensersatzklagen wegen Datenschutzverletzungen nehmen zu, und zwar sowohl hinsichtlich der Anzahl als auch (…) Weiterlesen

Verarbeitung von Gesundheitsdaten: Neues aus der Rechtsprechung

Auch über drei Jahre nach Inkrafttreten der DSGVO ist die Zahl der Rechtsprechung zu vielen Detailfragen des Datenschutzrechts überschaubar. Wer in seiner täglichen Arbeit mit Fragen des Datenschutzrechts befasst ist, muss sich regelmäßig auf Stellungnahmen von Behörden oder aus der Literatur verlassen – dies bringt Rechtsunsicherheit mit sich. Etwas mehr Klarheit könnte hier eine aktuelle Vorlage des BAG an den EuGH bringen, in der sich das BAG mit der Auslegung der Erlaubnisnormen zur Verarbeitung von Gesundheitsdaten beschäftigt. Die von dem (…) Weiterlesen

Neues zum Drittstaatentransfer

Wann dürfen US-Dienstleister datenschutzkonform genutzt werden? Was gilt es zu beachten, um das Datenschutzrisiko beim Transfer von Daten in Länder außerhalb des EWR zu minimieren? Seit der EuGH-Entscheidung in Sachen Schrems II sind diese Fragen ein (leidiger) Dauerbrenner. Vor wenigen Tagen hat der Europäische Datenschutzausschuss neue Leitlinien hierzu erlassen. Wir haben das Wichtigste daraus für Sie zusammengefasst. Die Leitlinien 05/2021 des Europäischen Datenschutzausschusses (EDSA), die am 18.11.2021 angenommen wurden, befassen sich mit dem „Zusammenspiel zwischen der Anwendung von Artikel 3 (…) Weiterlesen