Verschuldensunabhängige Haftung bei verlorenen Daten?

Das Produkthaftungsrecht wird gerade von Brüssel aus novelliert: Software ist künftig ein Produkt. Softwareentwickler haften für Fehler der Software verschuldensunabhängig. Neu aufgenommen im Produkthaftungsrecht wird dabei auch die Haftung für verlorene oder zerstörte Daten. Wir haben uns angesehen, was dies genau bedeutet. Zur Ausweitung des Produkthaftungsrechts auf „Software“ generell lesen Sie bitte unseren Blogbeitrag: Wer infolge eines fehlerhaften Produktes Daten verliert bzw. diese beschädigt werden, soll künftig auch dafür Schadensersatz verlangen können. Das besagt der Entwurf der neuen Produkthaftungsrichtlinie. Dies (…) Weiterlesen

Uferlose Schadensersatzrisiken nach neuen EuGH-Entscheidungen?

Der EuGH hat in zwei Entscheidungen die Anforderungen an einen immateriellen Schadensersatz nach DSGVO-Verstoß konkretisiert. Hoch praxisrelevant sind dabei gerade die Anforderungen an Schadensersatzforderungen gegen die Opfer eines Hackerangriffs: Müssen Unternehmen auch dann noch Schadensersatz an betroffene Personen zahlen? In der Praxis wird bereits befürchtet, dass nun die Massenklagen anrollen. Aber ist das wirklich so? Eine genaue Betrachtung der beiden Urteile lohnt sich! Kommt es nach einem schuldhaften DSGVO-Verstoß zu einem Vermögensschaden, liegen Schadensersatzansprüche auf der Hand. Was aber ist, (…) Weiterlesen

Bußgeldrisiken: Wann und wem drohen sie?

Bußgelder wegen eines DSGVO-Verstoßes können den Unternehmen unmittelbar auferlegt werden, nicht nur den Leitungsorganen. Allerdings: Bußgelder setzen einen schuldhaften Verstoß gegen die DSGVO voraus. Gerade das Urteil in der Rechtssache Deutsche Wohnen war mit Spannung erwartet worden. Wo es Klärung bringt und wo neue Fragen, erläutern wir in unserem Beitrag. Am 05.12.2023 entschied der EuGH in dem von vielen intensiv beobachteten Verfahren „Deutsche Wohnen“: Ein deutsches Vorabentscheidungsverfahren, in dem eines der frühen hohen Bußgelder (14,5 Mio. Euro) auf dem Prüfstand (…) Weiterlesen

Alles neu macht der Mai: Entscheidungswelle beim EuGH

Am 4. Mai und in den Tagen davor hat der EuGH mehrere datenschutzrechtlich höchst relevante Entscheidungen bzw. Schlussanträge veröffentlicht. Es geht unter anderem erneut um die Reichweite des Auskunftsrechts und Schadensersatzansprüche bei DSGVO-Verstößen, um den Adressaten von Bußgeldentscheidungen und vieles mehr. Wir haben Ihnen eine substantielle Übersicht erstellt mit den nach unserer Auswertung wichtigsten Aussagen. Angesichts der kürzlich veröffentlichten Entscheidungswelle wird deutlich, dass die Relevanz des Datenschutzrechts weiter steigt. Der EuGH schafft in diesem Bereich durch seine Urteile mehr Rechtssicherheit, (…) Weiterlesen

Erweiterte Führung: Cyber-Vorstände

Unternehmen werden von Hackerangriffen bedroht. Das ist Realität in Deutschland. Die Digitalisierung birgt nicht nur Chancen, sondern auch Risiken, die man im Blick behalten muss. Unternehmen, die auf Führungsebene vorsorgen, haben Vorteile. Der Cyber-Vorstand ist eine leitende Position (m/w/d), die für maximale Cyber- und Handlungssicherheit im Unternehmen sorgt – heute ein Muss. Schöne neue Welt? Die Digitalisierung macht vieles einfacher, was früher mühsam war. E-Mail-Kommunikation ist schnell. Künstliche Intelligenz und automatisierte Management-Systeme sorgen für Effizienz. Die Cloud ermöglicht das Arbeiten (…) Weiterlesen

Rechtliche Vorgaben zur IT-Sicherheit: Was kommt auf die Unternehmen zu?

Zum 1. Mai 2023 müssen Unternehmen nach dem BSIG die Angriffserkennung verbessern: Betreiber kritischer Infrastrukturen (KRITIS) müssen bis dahin Systeme zur Angriffserkennung implementieren. Derweil arbeitet der deutsche Gesetzgeber an der Umsetzung der NIS-2, die Richtlinie (EU) 2022/2555 ins deutsche Recht. Die Richtlinie ist Ende Dezember 2022 im Amtsblatt verkündet wurde und muss bis Oktober 2024 umgesetzt werden. Sie bringt einige Nachjustierungen für die KRITIS-Betreiber und insbesondere ganz neue Pflichten für wesentliche und wichtige Einrichtungen. Etliche Unternehmen werden dadurch erstmals in (…) Weiterlesen

Websites: Neues zur Gestaltung von Cookie-Bannern

Der Europäische Datenschutzausschuss (EDSA) hat sich mit der Zulässigkeit und Gestaltung von Cookies und Cookie-Bannern im Lichte der e-Privacy-Richtlinie und der DSGVO beschäftigt. In einem Bericht vom 17.01.2023 hat er eine gemeinsame Position zu Cookie-Bannern angenommen. Mit den vertretenen Positionen zaubert der EDSA keine unerwarteten Überraschungen aus dem Datenschutz-Hut, dennoch gilt es für Website-Betreiber bestimmte Punkte zu beachten. Ausgangspunkt für den EDSA-Bericht bilden die durch den Verein „NOYB – Europäisches Zentrum für digitale Rechte“ eingelegten Beschwerden gegen verschiedene Ausgestaltungen von (…) Weiterlesen

Risiko Datenschutzaufsichtsbehörden: Welche öffentlichen Äußerungen sind zulässig?

Datenschutzaufsichtsbehörden spielen bei der Anwendung und Auslegung des Datenschutzrechts eine entscheidende Rolle. Äußern sich diese kritisch ggü. der Datenschutzkonformität von (digitalen) Produkten, kann dies das Ende des Produkterfolgs bedeuten: Der Absatz wird gehemmt, die Risiken steigen auch für (potentielle) Investoren enorm. Der Fall Microsoft illustriert dies derzeit deutlich: Die Datenschutzaufsichtsbehörden veröffentlichten vernichtende Einschätzungen, nach denen ein Datenschutzkonformer Einsatz von MS365 unmöglich sei – und dies zunächst sogar ohne vorherige Anhörung von Microsoft. Gäbe es Alternativprodukte am Markt, so wäre MS365 (…) Weiterlesen

EuGH: Problematische Aussagen zu sensiblen Daten

Das Verwaltungsgericht Vilnius in Litauen legte dem Europäischen Gerichtshof im Rahmen eines Vorabentscheidungsverfahrens zwei Fragen zum Verhältnis einiger litauischer Regelungen zur Korruptionsbekämpfung zu den Bestimmungen der DSGVO vor. Im Rahmen seines Urteils hat der Europäische Gerichtshof eine Aussage zur Reichweite des Art. 9 Abs. 1 DSGVO getroffen, der sensible Datenkategorien unter besonderen Schutz stellt. Der Europäische Gerichtshof legte den Anwendungsbereich der (immer wieder problematischen) Vorschrift weit aus und erregt damit die Gemüter in datenschutzrechtlichen Foren nachhaltig. In dem Vorabentscheidungsverfahren ging es im (…) Weiterlesen

OLG Frankfurt: Schadensersatzanspruch nach Art. 82 DSGVO nur bei hinreichender Erheblichkeit

Das OLG Frankfurt befasste sich im Juni in einem Berufungsverfahren mit dem Facebook-Post eines Users, der gegen die Nutzungsbedingungen zur sogenannten Hassrede verstieß und Facebook damit zur Löschung des Posts sowie zur vorübergehenden Einschränkung von Funktionen des verantwortlichen Accounts veranlasste. Der Kläger hatte beim Landgericht Frankfurt erfolglos die erneute Freischaltung des Beitrags durch Facebook sowie Schadensersatz gem. Art. 82 DSGVO wegen Verstoßes gegen datenschutzrechtliche Bestimmungen verlangt.  Der umstrittene Post vom November 2018 nahm Bezug auf einen Artikel, der über die (…) Weiterlesen