DSGVO-Auskunft: Was ist eigentlich eine Kopie?

Im Rahmen der Verarbeitung personenbezogener Daten hat der Betroffene gem√§√ü Art. 15 DSGVO ein Auskunftsrecht gegen den Verantwortlichen. Dabei hat er einen Anspruch darauf, zu erfahren, welche Daten in welchem Umfang verarbeitet werden. Um seiner Pflicht nachzukommen, muss der Verantwortliche dem Betroffenen gem√§√ü Art. 15 Abs. 3 DSGVO eine “Kopie der verarbeiteten Daten” zur Verf√ľgung stellen. Jedoch war bisher umstritten, was genau unter einer solchen Kopie zu verstehen ist. In einem aktuellen Urteil stellte der EuGH nun klar, wie der Begriff der “Kopie” in Art. 15 Abs. 3 DSGVO auszulegen ist.¬†

Read more

EU-Kommission: Datentransfer in die USA und Einsatz von US-Diensten wieder einfacher

Nachdem europ√§ische Unternehmen und Website-Betreiber lange darauf gewartet haben, ging es pl√∂tzlich doch ganz schnell: Am 10.07.2023 hat die EU-Kommission den lange angek√ľndigten Angemessenheitsbeschluss f√ľr das EU-US Data Privacy Framework erlassen. Damit ist der Nachfolger des Privacy Shields offiziell in Kraft und kann ab sofort als Grundlage f√ľr Datentransfers an zertifizierte US-Unternehmen herangezogen. Hierdurch wird der Einsatz zahlreicher Software-Produkte wie beispielsweise Cloud-Dienste, Newsletter-Services oder auch Analysetools wieder deutlich einfacher – zumindest vorl√§ufig.

Hintergrund: Seit der Europ√§ische Gerichtshof im am 16.07.2020 in seinem Schrems II – Urteil das “Privacy Shield” Abkommen f√ľr unwirksam erkl√§rt hatte, waren transatlantische Datentransfers immer mit einem erheblichen Risiko verbunden. Europ√§ische Unternehmen, welche Dienste von US-Services wie Google, Microsoft, Facebook & Co. einsetzen wollten, mussten sicherstellen, dass diese durch “besondere Ma√ünahmen” ein angemessenes Schutzniveau gew√§hrleisten. In der Praxis war dies kaum m√∂glich. In der Folge erging eine ganze Reihe von Entscheidungen, in denen Tools wie Google Analytics oder MailChimp durch Datenschutzbeh√∂rden faktisch untersagt wurden.

K√ľnftig k√∂nnen sich US-Unternehmen unter dem Data Privacy Framework zertifizieren lassen. Hierf√ľr m√ľssen sie bestimmte Datenschutzgrunds√§tze einhalten. Hierzu z√§hlt beispielsweise die Pflicht, personenbezogene Daten zu l√∂schen, wenn sie f√ľr den Zweck, f√ľr den sie erhoben wurden, nicht mehr erforderlich sind. Au√üerdem ist der Fortbestand des Schutzes zu gew√§hrleisten, wenn personenbezogene Daten an Dritte weitergegeben werden. Dar√ľber hinaus sieht der neue Rechtsrahmen Beschr√§nkungen f√ľr den Zugriff von US-Geheimdiensten auf Datenbest√§nde vor. Dieses Zugriffsrecht war einer der Hauptgr√ľnde, der zur Ung√ľltigkeit des Privacy Shields gef√ľhrt hatte. K√ľnftig sind solche Zugriffe auf das zum Schutz der nationalen Sicherheit notwendige und verh√§ltnism√§√üige Ma√ü zu beschr√§nken.

Durch den Angemessenheitsbeschluss wird die Verwendung US-amerikanische Softwareprodukte und Tools erheblich erleichtert. √úbergangsl√∂sungen – wie beispielsweise den Datentransfer auf eine informierte Einwilligung gem√§√ü Art. 49 Abs. 1 lit. a DSGVO zu st√ľtzen – werden vorl√§ufig obsolet. Verbraucher- und Datensch√ľtzer, allen voran der √Ėsterreicher Max Schrems, haben allerdings bereits angek√ľndigt, auch das Data Privacy Framework gerichtlich pr√ľfen zu lassen. Aus ihrer Sicht bestehen die Bedenken, die zur Ung√ľltigkeit des Pricacy Shields gef√ľhrt hatten, auch beim neuen Abkommen fort. Die Entwicklung bleibt abzuwarten. Unternehmen ist zu empfehlen, die in den letzten Jahren erarbeiteten Konzepte und zus√§tzlichen Schutzma√ünahmen nicht von heute auf morgen √ľber den Haufen zu werfen.

 

Bild: Midjourney

10.000 Euro Schadensersatz wegen Verletzung der Auskunftspflicht

In einem aktuellen Urteil hat das Arbeitsgericht Oldenburg ein Unternehmen zur Zahlung eines Schadensersatzes in H√∂he von EUR 10.000,00 verurteil. Begr√ľndet wurde es mit einem immateriellen Schaden den der Kl√§ger durch die Verletzung des datenschutzrechtlichen Auskunftsanspruchs erlitten haben soll.

Read more