Kategorien
Datenschutzrecht

Privacy-by-Default von Rechenschaftspflicht erfasst

Immer noch ein wenig im Schatten steht die Vorgabe des „Privacy-by-Default“ des Art. 25 II DSGVO. Nun hat der EUGH die Bedeutung dieses Prinzips hervorgehoben, indem klargestellt wurde, dass die Rechenschaftspflicht nach Art. 5 II DSGVO sich eben hierauf bezieht: In diesem Zusammenhang ist darauf hinzuweisen, dass der für die Verarbeitung Verantwortliche nach dem in…

Kategorien
Arbeitsrecht Datenschutzrecht

Kündigung des Datenschutzbeauftragten nach Pflichtverletzung

Das Arbeitsgericht Heilbronn (8 Ca 135/22) macht deutlich, dass eine fristlose Kündigung des Arbeitsverhältnisses eines Datenschutzbeauftragten aufgrund reiner Amtspflichtverletzungen nach Systematik und Sinn/Zweck von § 6 Abs. 4 BDSG unwirksam ist. Die schlichte Verletzung der Pflichten als Datenschutzbeauftragter kann aus dessen Sicht vielmehr im Grundsatz lediglich seine Abberufung als DSB entsprechend § 6 Abs. 4…

Kategorien
Softwarerecht Datenschutzrecht

Datenschutzkonforme Nutzung von Echtdaten zu Testzwecken im IT-System

Ungetestete Software ist nichts wert – soweit die Binsenweisheit. Gerade bei Weiterentwicklungen oder Fehlerbehebungen in Produktivumgebunden ist dabei nicht nur der Test nicht wegzudenken, sondern insbesondere muss man mit Echtdaten arbeiten. Der Klassiker ist ein weiterentwickeltes Kundensupport-System, auf das umgestellt werden soll. Hier wird man im Regelfall mit bereits vorhandenen Kundendatensätzen (auszugsweise) erste Testläufe vornehmen.…

Kategorien
Datenschutzrecht

Transatlantischer Datenschutzrahmen: US-Datentransfer mit der DSGVO (2022)

Der Transatlantische Datenschutzrahmen soll kommen: Der DSGVO-konforme Datentransfer in die USA ist ein stetes Problem und findet aktuell wohl eher in einer unregulierten Grauzone statt, seitdem der letzte Versuch des „Privacy Shield“ glamourös gescheitert ist (siehe unsere Beiträge zu dem Thema). Inzwischen zeigt sich ein wenig Licht – aber auch Schatten.

Kategorien
Datenschutzrecht

DSGVO: Verarbeiter von personenbezogenen Daten muss über Löschantrag informieren

Dass der für die Verarbeitung personenbezogener Daten Verantwortliche verpflichtet ist, angemessene Maßnahmen zu ergreifen, um Suchmaschinenanbieter über einen Löschungsantrag der betroffenen Person zu informieren, hat der EUGH klargestellt (EUGH, C-129/21). Anmerkung: Die Entscheidung macht deutlich, wie gefährlich automatisierte Verfahren zum Abgleich personenbezogener Daten sein können. Auf den ersten Blick harmlos, steckt hier erhebliches Potenzial, das…

Kategorien
Arbeitsrecht Arbeitsstrafrecht Datenschutzrecht IT-Arbeitsrecht

Verwertungsverbot bei Beweisen aus DSGVO-Verstoß

Beim Arbeitsgericht Mannheim (14 Ca 135/20) ging es um die Frage, ob ein Verwertungsverbot – hier hinsichtlich Sachvortrags – daraus folgt, dass eine Prozesspartei unter Verstoß gegen DSGVO-Grundsätze an einen Beweis gelangt ist. Nun ist dem deutschen Zivilprozessrecht ein „Sachvortragsverwertungsverbot“ fremd. Ein Verwendungs- und Verwertungsverbot kann mit dem Bundesarbeitsgericht aber dann in Betracht kommen, wenn…

Kategorien
Datenschutzrecht

Befugnisse datenschutzrechtlicher Aufsichtsbehörde bei unzulässiger Verbreitung von Videos

Im Kontext der Verbreitung identifizierender Videos (hier: über die Videoplattform YouTube) konnte sich das Verwaltungsgericht Bremen (4 K 1338/21) in einer Entscheidung vom 10.10.22 zu den Befugnissen einer datenschutzrechtlichen Aufsichtsbehörde äußern und klarstellen, dass eine DSGVO-Behörde das Werkzeug hat, um folgende Anordnungen zu treffen: Sowohl Videos als auch ein Screenshot, bereitgehalten auf einer Internetseite, sind…

Kategorien
Datenschutzrecht

DSGVO: Auslegung der Begriffe „besondere Kategorien personenbezogener Daten“ und „sensible Daten“

Der EUGH (C‑184/20) konnte zur Auslegung der Begriffe „besondere Kategorien personenbezogener Daten“ und „sensible Daten“ hervorheben, dass diese weit zu verstehen sind: Für eine weite Auslegung der Begriffe „besondere Kategorien personenbezogener Daten“ und „sensible Daten“ spricht auch das in Rn. 61 des vorliegenden Urteils genannte Ziel der Richtlinie 95/46 und der DSGVO, das darin besteht, ein…

Kategorien
Datenschutzrecht

Wettbewerbsbehörde darf Vereinbarkeit von Geschäftspraxis mit DSGVO prüfen

Schlussanträge des Generalanwalts in der Rechtssache EUGH, C-252/21: Generalanwalt Rantos ist der Auffassung, dass eine Wettbewerbsbehörde in Ausübung ihrer Zuständigkeiten die Vereinbarkeit einer Geschäftspraxis mit der Datenschutzgrundverordnung prüfen kann – sie muss jedoch jede Entscheidung oder Untersuchung der nach dieser Verordnung zuständigen Aufsichtsbehörde berücksichtigen.

Kategorien
Datenschutzrecht

EUGH-Generalanwalt zum DSGVO-Schadenersatz

Mit Artikel 82 DSGVO steht jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter zu. Doch was ist zu ersetzen, reicht schon die abstrakte Rechtsverletzung oder das schlichte „Ärger haben“? Der Generalanwalt beim EUGH konnte hierzu nun im…

Kategorien
Datenschutzrecht Strafprozessrecht

Vorratsdatenspeicherung: nur bei ernster Bedrohung für die nationale Sicherheit?

Der Gerichtshof der europäischen Union (C-793/19 und C-794/19) konnte nochmals deutlich hervorheben, dass das Unionsrecht einer allgemeinen und unterschiedslosen Vorratsspeicherung von Verkehrs- und Standortdaten entgegensteht – es sei denn, es liegt eine ernste Bedrohung für die nationale Sicherheit vor. Damit hat der EUGH dem bisherigen Modell der Umsetzung der Vorratsdatenspeicherung in Deutschland erneut eine Absage…

Kategorien
Datenschutzrecht Compliance

Daten ohne Einwilligung an Abrechnungszentrum

Die Weitergabe von Namen und Adresse eines Patienten ohne dessen Einwilligung an ein Abrechnungszentrum verstößt gegen die Datenschutz-Grundverordnung (hier: Art. 6 Abs. 1 und Art. 14 Abs. 1 DS-GVO). Infolgedessen ist ein Schadenersatzanspruch nach der DS-GVO in Höhe von 1.500 Euro angemessen und ausreichend, sagt das Amtsgericht Pforzheim (2 C 381/21). Die Entscheidung ist ein…

Kategorien
Datenschutzrecht

DSGVO: Löschung vs. Aufbewahrungspflichten

Immer wieder schwierig ist im DSGVO-Alltag der Umgang mit gesetzlichen Aufbewahrungspflichten und der vorgeschriebenen Löschung personenbezogener Daten. Mit Art. 6 1c) DSGVO ist eine Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Dabei muss es sich um eine gesetzliche Pflicht handeln. Die Datenverarbeitung kann erforderlich sein, um Dokumentationspflichten…