Artikel der Kategorie Prävention, Krisenmanagement und Rechtsverfolgung

Die Zertifizierung als rechtssichere Grundlage für Datenübermittlungen in Drittstaaten?

Internationale Datentransfers außerhalb des EWR sind in der Wirtschaft praktisch alternativlos: Etliche Tools basieren auf US-Dienstleistungen, nutzen Server in Israel oder anderen Ländern außerhalb des EWR. Spätestens, seitdem der EuGH im Schrems II-Urteil das EU-US-Privacy-Shield kippte und spezifische Prüfpflichten für die Standardvertragsklauseln betont hat, sind jedoch gerade Datenübermittlungen in die USA mit sehr viel mehr Prüfaufwand, Rechtsunsicherheit und Risiken verbunden. Mit seinen neuen Leitlinien ruft der Europäische Datenschutzausschuss (EDSA) die Zertifizierung als Instrument zur rechtlichen Absicherung von Datenübermittlungen auf den (…) Weiterlesen

Facebook-Fanpages und andere Social Media Präsenzen auf dem Prüfstand

Die Datenschutzaufsichtsbehörden haben in den letzten Monaten oftmals verlautbart: Facebook-Fanpages können kaum datenschutzkonform betrieben werden. Verfahren gab es bislang aber nicht. Das ändert sich jetzt: Der BfDI hat ein Verfahren gegen das Bundespresseamt (BPA) eröffnet, bezogen auf die vom BPA betriebene Facebook-Fanpage „Bundesregierung“. Damit ist der Startschuss für eine Überprüfung öffentlicher und im Anschluss daran womöglich auch privater Facebook-Fanpages gefallen. Zudem befasste sich die Datenschutzkonferenz (DSK) in ihrer Sitzung vom 22.06.2022 erneut mit der datenschutzrechtlichen Konformität von Facebook-Fanpages und verabschiedete (…) Weiterlesen

Extensives Auskunftsrecht: Angabe der Empfänger personenbezogener Daten

Das Auskunftsrecht Betroffener nach Art. 15 DSGVO ist in seiner praktischen Bedeutung das wichtigste Betroffenenrecht der DSGVO. Sein Umfang ist nach wie vor in etlichen Details unklar und umstritten. Erste Verfahren zur Klärung liegen beim EuGH. Von dort kommt nun auch ein erster Hinweis auf das Verständnis dieses Rechts: Werden personenbezogene Daten offengelegt, muss Betroffenen jeder Empfänger genannt werden. Nur, wenn diese Angabe aus tatsächlichen Gründen unmöglich ist, soll es ausreichen, die Kategorien von Empfängern zu nennen. Derzeit liegen eine (…) Weiterlesen

Bußgelder: Neue Leitlinien des EDSA

Der Europäische Datenschutzausschuss (EDSA) veröffentlichte am 12.05.2022 eine gemeinsame Methodik zur Berechnung von Bußgeldern bei Verstößen gegen die DSGVO. Das Konzept des EDSA soll zu einer weitgehenden Harmonisierung und Transparenz bei der Sanktionierungspraxis führen. Die neuen Leitlinien sollen auch das umstrittene (nationale) Bußgeldbemessungskonzept der deutschen Datenschutzkonferenz (DSK) von Oktober 2019 ablösen. Drohen jetzt höhere Bußgelder oder verringern die Leitlinien das Risiko? Bußgeldberechnung Die Leitlinien des EDSA sehen eine fünfstufige Berechnungsmethodik für die Verhängung von Bußgeldern bei Verstößen nach der DSGVO (…) Weiterlesen

Der EuGH hat entschieden: Verbraucherschutzverbände dürfen Einhaltung der DSGVO durchsetzen

Der Europäische Gerichtshof hat am 28.04.2022 entscheieden, dass Verbraucherschutzverbände  Verstöße gegen die DSGVO geltend machen dürfen – und zwar ohne von einem Verbraucher beauftragt worden zu sein und ohne dass eine konkrete Rechtsverletzung nachgewiesen wird. Die Folgen dieser Entscheidung für die Praxis sind beachtlich. Auf Internetriesen wie Facebook, Google & Co., aber auch auf große E-Commerce-Akteure von Amazon bis Zalando können harte Zeiten zukommen.  Anlass des Urteils des Europäischen Gerichtshofs (EuGH, C-319/20) war ein Vorabentscheidungsersuchens des Bundesgerichtshofs (BGH). Dieser hatte (…) Weiterlesen

Neues zum Auskunftsrecht nach Art. 15 DSGVO: Rechtsmissbrauch und Geheimhaltungsinteressen

Das Auskunftsrecht nach Art. 15 DSGVO ist praxisrelevant und erscheint Unternehmen mitunter uferlos. Nicht erfüllt werden müssen allerdings missbräuchliche Auskunftsersuchen. Zudem sind Geheimhaltungsinteressen Dritter zu schützen. BGH und OLG Dresden konkretisieren in für die Praxis höchst relevanten, aktuellen Entscheidungen, wann eine Verweigerung der Beauskunftung wegen Rechtsmissbrauchs zulässig ist, allerdings mit gegenläufigen Positionen. Und der BGH konkretisiert, wie Informationen Dritte geheim zu halten sind. Rechtsmissbrauch Zwei Gerichtsentscheidungen – beide vom 29.03.2022 – zeigen, wie kontrovers die Diskussion um die Auskunftsverweigerung wegen (…) Weiterlesen

Keine Pflicht zur Löschung von Daten auf Arztbewertungsportal: Oder auch die Reichweite berechtigter Interessen

Im Februar 2022 hat der BGH erneut einen Fall mit Bezug zum Arztsuche- und -bewertungsportal „Jameda“ entschieden. Die klagende Augenärztin hatte keinen Erfolg mit ihrem Verlangen, dass ein ohne ihr Zutun erstelltes Profil zu ihrer Praxis auf der Plattform gelöscht wird. Die berechtigten Interessen von Portalbetreiber und Nutzern an einer möglichst vollständigen Übersicht rechtfertigten die Datenverarbeitung, der keine überwiegenden Interessen der Augenärztin entgegenstanden. Die Entscheidung ist aber nicht nur für Bewertungsportale von Relevanz: Das Gericht konkretisiert die Prüfung berechtigter Interessen (…) Weiterlesen

Jetzt entscheidet der EuGH: Wer zahlt das Bußgeld – Geschäftsführung oder Unternehmen? 

Das Kammergericht (KG) Berlin hat dem EuGH zwei hoch umstrittene Fragen zur Haftung von Unternehmen und Leitungsorganen für DSGVO-Verstöße vorgelegt: Der EuGH soll darüber entscheiden, ob sich ein Bußgeldverfahren wegen DSGVO-Verstößen unmittelbar gegen ein Unternehmen richten kann oder – so ist das im deutschen Ordnungswidrigkeitenrecht eigentlich vorgesehen – das Verfahren zunächst gegen ein Leitungsorgan und dann als Annexgegen das Unternehmen geführt wird. Entscheidet der EuGH, dass Unternehmen unmittelbar Betroffene („Angeklagte“) eines Bußgeldverfahrens sein können, fragt das Kammergericht weiter, ob für (…) Weiterlesen

Prozessstrategie optimieren – DSGVO-Auskunftsansprüche mitdenken

Der datenschutzrechtliche Auskunftsanspruch ist umfassend. Betroffene erhalten Einblick in alle sie betreffenden Unterlagen, die ein Unternehmen vorhält. Der Auskunftsanspruch wird daher zunehmend von (künftigen) Prozessgegnern genutzt, um die eigene Position in gerichtlichen Streitigkeiten zu verbessern: Kläger begehren etwa Auskunft gegen den (künftigen) Beklagten, um Unterlagen zur Untermauerung von Schadensersatzklagen zu erhalten. Auch an der Tagesordnung sind Ansprüche der Beklagtenseite, die mehr über die klägerische Prozesstaktik in Erfahrung bringen wollen. Aber welche Daten müssen in einem solchen Fall wirklich herausgegeben werden? (…) Weiterlesen

Zwingende Datensicherheit: Keine Einwilligung Betroffener in eine unsichere Datenverarbeitung?

Die Datenschutzkonferenz hat dem am 24.11.2021 mit einem neuen Beschluss eine recht klare Absage erteilt. Relevant ist dies z.B. für die Übermittlung sensibler Daten per Email stößt immer wieder auf datenschutzrechtliche Bedenken. Im Frühjahr 2021 hatte der der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit sich dazu noch abweichend positioniert  und die Möglichkeiten für eine Einwilligung in ein niedrigeres Datensicherheitsniveau dargelegt. Was gilt nun?    „Die vom Verantwortlichen nach Art. 32 DSGVO vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, (…) Weiterlesen