Der EuGH hat bereits mehrfach zu den Voraussetzungen des Schadensersatzanspruchs nach Art. 82 DSGVO und insbesondere den Voraussetzungen für einen immateriellen Schadensersatz entschieden. Mit den letzten Urteilen hierzu festigt sich die bisherige Linie zunehmend. Wir werfen dafür einen besonderen Blick auf seine Urteile aus April und Juni 2024. Im Ergebnis: Immaterieller Schadensersatz hängt nicht davon ab, dass gestohlene Daten tatsächlich zum Identitätsbetrug verwendet wurden, es ist auch keine besondere Erheblichkeit des Schadens erforderlich. Der eingetretene Schaden muss aber vom Betroffenen (…) Weiterlesen
Artikel der Kategorie ‘Prävention, Krisenmanagement und Rechtsverfolgung’
Verschuldensunabhängige Haftung bei verlorenen Daten?
Das Produkthaftungsrecht wird gerade von Brüssel aus novelliert: Software ist künftig ein Produkt. Softwareentwickler haften für Fehler der Software verschuldensunabhängig. Neu aufgenommen im Produkthaftungsrecht wird dabei auch die Haftung für verlorene oder zerstörte Daten. Wir haben uns angesehen, was dies genau bedeutet. Zur Ausweitung des Produkthaftungsrechts auf „Software“ generell lesen Sie bitte unseren Blogbeitrag: Wer infolge eines fehlerhaften Produktes Daten verliert bzw. diese beschädigt werden, soll künftig auch dafür Schadensersatz verlangen können. Das besagt der Entwurf der neuen Produkthaftungsrichtlinie. Dies (…) Weiterlesen
Uferlose Schadensersatzrisiken nach neuen EuGH-Entscheidungen?
Der EuGH hat in zwei Entscheidungen die Anforderungen an einen immateriellen Schadensersatz nach DSGVO-Verstoß konkretisiert. Hoch praxisrelevant sind dabei gerade die Anforderungen an Schadensersatzforderungen gegen die Opfer eines Hackerangriffs: Müssen Unternehmen auch dann noch Schadensersatz an betroffene Personen zahlen? In der Praxis wird bereits befürchtet, dass nun die Massenklagen anrollen. Aber ist das wirklich so? Eine genaue Betrachtung der beiden Urteile lohnt sich! Kommt es nach einem schuldhaften DSGVO-Verstoß zu einem Vermögensschaden, liegen Schadensersatzansprüche auf der Hand. Was aber ist, (…) Weiterlesen
Bußgeldrisiken: Wann und wem drohen sie?
Bußgelder wegen eines DSGVO-Verstoßes können den Unternehmen unmittelbar auferlegt werden, nicht nur den Leitungsorganen. Allerdings: Bußgelder setzen einen schuldhaften Verstoß gegen die DSGVO voraus. Gerade das Urteil in der Rechtssache Deutsche Wohnen war mit Spannung erwartet worden. Wo es Klärung bringt und wo neue Fragen, erläutern wir in unserem Beitrag. Am 05.12.2023 entschied der EuGH in dem von vielen intensiv beobachteten Verfahren „Deutsche Wohnen“: Ein deutsches Vorabentscheidungsverfahren, in dem eines der frühen hohen Bußgelder (14,5 Mio. Euro) auf dem Prüfstand (…) Weiterlesen
Alles neu macht der Mai: Entscheidungswelle beim EuGH
Am 4. Mai und in den Tagen davor hat der EuGH mehrere datenschutzrechtlich höchst relevante Entscheidungen bzw. Schlussanträge veröffentlicht. Es geht unter anderem erneut um die Reichweite des Auskunftsrechts und Schadensersatzansprüche bei DSGVO-Verstößen, um den Adressaten von Bußgeldentscheidungen und vieles mehr. Wir haben Ihnen eine substantielle Übersicht erstellt mit den nach unserer Auswertung wichtigsten Aussagen. Angesichts der kürzlich veröffentlichten Entscheidungswelle wird deutlich, dass die Relevanz des Datenschutzrechts weiter steigt. Der EuGH schafft in diesem Bereich durch seine Urteile mehr Rechtssicherheit, (…) Weiterlesen
Erweiterte Führung: Cyber-Vorstände
Unternehmen werden von Hackerangriffen bedroht. Das ist Realität in Deutschland. Die Digitalisierung birgt nicht nur Chancen, sondern auch Risiken, die man im Blick behalten muss. Unternehmen, die auf Führungsebene vorsorgen, haben Vorteile. Der Cyber-Vorstand ist eine leitende Position (m/w/d), die für maximale Cyber- und Handlungssicherheit im Unternehmen sorgt – heute ein Muss. Schöne neue Welt? Die Digitalisierung macht vieles einfacher, was früher mühsam war. E-Mail-Kommunikation ist schnell. Künstliche Intelligenz und automatisierte Management-Systeme sorgen für Effizienz. Die Cloud ermöglicht das Arbeiten (…) Weiterlesen
Rechtliche Vorgaben zur IT-Sicherheit: Was kommt auf die Unternehmen zu?
Zum 1. Mai 2023 müssen Unternehmen nach dem BSIG die Angriffserkennung verbessern: Betreiber kritischer Infrastrukturen (KRITIS) müssen bis dahin Systeme zur Angriffserkennung implementieren. Derweil arbeitet der deutsche Gesetzgeber an der Umsetzung der NIS-2, die Richtlinie (EU) 2022/2555 ins deutsche Recht. Die Richtlinie ist Ende Dezember 2022 im Amtsblatt verkündet wurde und muss bis Oktober 2024 umgesetzt werden. Sie bringt einige Nachjustierungen für die KRITIS-Betreiber und insbesondere ganz neue Pflichten für wesentliche und wichtige Einrichtungen. Etliche Unternehmen werden dadurch erstmals in (…) Weiterlesen
Websites: Neues zur Gestaltung von Cookie-Bannern
Der Europäische Datenschutzausschuss (EDSA) hat sich mit der Zulässigkeit und Gestaltung von Cookies und Cookie-Bannern im Lichte der e-Privacy-Richtlinie und der DSGVO beschäftigt. In einem Bericht vom 17.01.2023 hat er eine gemeinsame Position zu Cookie-Bannern angenommen. Mit den vertretenen Positionen zaubert der EDSA keine unerwarteten Überraschungen aus dem Datenschutz-Hut, dennoch gilt es für Website-Betreiber bestimmte Punkte zu beachten. Ausgangspunkt für den EDSA-Bericht bilden die durch den Verein „NOYB – Europäisches Zentrum für digitale Rechte“ eingelegten Beschwerden gegen verschiedene Ausgestaltungen von (…) Weiterlesen
Risiko Datenschutzaufsichtsbehörden: Welche öffentlichen Äußerungen sind zulässig?
Datenschutzaufsichtsbehörden spielen bei der Anwendung und Auslegung des Datenschutzrechts eine entscheidende Rolle. Äußern sich diese kritisch ggü. der Datenschutzkonformität von (digitalen) Produkten, kann dies das Ende des Produkterfolgs bedeuten: Der Absatz wird gehemmt, die Risiken steigen auch für (potentielle) Investoren enorm. Der Fall Microsoft illustriert dies derzeit deutlich: Die Datenschutzaufsichtsbehörden veröffentlichten vernichtende Einschätzungen, nach denen ein Datenschutzkonformer Einsatz von MS365 unmöglich sei – und dies zunächst sogar ohne vorherige Anhörung von Microsoft. Gäbe es Alternativprodukte am Markt, so wäre MS365 (…) Weiterlesen
EuGH: Problematische Aussagen zu sensiblen Daten
Das Verwaltungsgericht Vilnius in Litauen legte dem Europäischen Gerichtshof im Rahmen eines Vorabentscheidungsverfahrens zwei Fragen zum Verhältnis einiger litauischer Regelungen zur Korruptionsbekämpfung zu den Bestimmungen der DSGVO vor. Im Rahmen seines Urteils hat der Europäische Gerichtshof eine Aussage zur Reichweite des Art. 9 Abs. 1 DSGVO getroffen, der sensible Datenkategorien unter besonderen Schutz stellt. Der Europäische Gerichtshof legte den Anwendungsbereich der (immer wieder problematischen) Vorschrift weit aus und erregt damit die Gemüter in datenschutzrechtlichen Foren nachhaltig. In dem Vorabentscheidungsverfahren ging es im (…) Weiterlesen