Verwertbarkeit unrechtmĂ€ĂŸig erlangter Daten im Gerichtsprozess

Das Landesarbeitsgericht (LAG) Niedersachsen hat den EuropĂ€ischen Gerichtshof angerufen, um die Frage zu klĂ€ren, unter welchen UmstĂ€nden unrechtmĂ€ĂŸig erlangte Daten in einem Gerichtsverfahren verwendet werden dĂŒrfen. Eine eindeutige gesetzliche Regelung gibt es bisher nicht. Diese Entscheidung könnte die Beweismittelverwertung deutscher Gerichte erheblich beeinflussen. 

Read more

Zwingende Angabe des Geburtsdatums in Webshops rechtswidrig

Die Datenschutzaufsicht Niedersachsen hatte dem Betreiber einer Online-Apotheke untersagt, im Rahmen des Bestellprozesses das Geburtsdatum der Kundin oder des Kunden als zwingende Angabe abzufragen. Gegen diese Anordnung hatte der Shop-Betreiber geklagt, nun aber vor dem NiedersĂ€chsischen Oberverwaltungsgericht auch in zweiter Instanz verloren. Das Gericht in Hannover bestĂ€tigte, dass die Abfrage des Geburtsdatums als Pflichtfeld in aller Regel gegen den Grundsatz der Datenminimierung verstoße.

Read more

Das Datenschutzdilemma des FaxgerÀtes

Die Nutzung von FaxgerĂ€ten geht im Zeitalter der Digitalisierung immer weiter zurĂŒck. Grund dafĂŒr ist nicht nur, dass es technisch neuere Alternativen gibt, sondern auch dass es mit der Ausweitung des Datenschutzes zu rechtlichen Problemen kommt. Daher will unter anderen der bayerische Staatsminister fĂŒr Digitales keine interne Kommunikation mehr ĂŒber das Fax laufen lassen. 

Read more

DSGVO-Auskunft: Was ist eigentlich eine Kopie?

Im Rahmen der Verarbeitung personenbezogener Daten hat der Betroffene gemĂ€ĂŸ Art. 15 DSGVO ein Auskunftsrecht gegen den Verantwortlichen. Dabei hat er einen Anspruch darauf, zu erfahren, welche Daten in welchem Umfang verarbeitet werden. Um seiner Pflicht nachzukommen, muss der Verantwortliche dem Betroffenen gemĂ€ĂŸ Art. 15 Abs. 3 DSGVO eine “Kopie der verarbeiteten Daten” zur VerfĂŒgung stellen. Jedoch war bisher umstritten, was genau unter einer solchen Kopie zu verstehen ist. In einem aktuellen Urteil stellte der EuGH nun klar, wie der Begriff der “Kopie” in Art. 15 Abs. 3 DSGVO auszulegen ist. 

Read more

EU-Kommission: Datentransfer in die USA und Einsatz von US-Diensten wieder einfacher

Nachdem europĂ€ische Unternehmen und Website-Betreiber lange darauf gewartet haben, ging es plötzlich doch ganz schnell: Am 10.07.2023 hat die EU-Kommission den lange angekĂŒndigten Angemessenheitsbeschluss fĂŒr das EU-US Data Privacy Framework erlassen. Damit ist der Nachfolger des Privacy Shields offiziell in Kraft und kann ab sofort als Grundlage fĂŒr Datentransfers an zertifizierte US-Unternehmen herangezogen. Hierdurch wird der Einsatz zahlreicher Software-Produkte wie beispielsweise Cloud-Dienste, Newsletter-Services oder auch Analysetools wieder deutlich einfacher – zumindest vorlĂ€ufig.

Hintergrund: Seit der EuropĂ€ische Gerichtshof im am 16.07.2020 in seinem Schrems II – Urteil das “Privacy Shield” Abkommen fĂŒr unwirksam erklĂ€rt hatte, waren transatlantische Datentransfers immer mit einem erheblichen Risiko verbunden. EuropĂ€ische Unternehmen, welche Dienste von US-Services wie Google, Microsoft, Facebook & Co. einsetzen wollten, mussten sicherstellen, dass diese durch “besondere Maßnahmen” ein angemessenes Schutzniveau gewĂ€hrleisten. In der Praxis war dies kaum möglich. In der Folge erging eine ganze Reihe von Entscheidungen, in denen Tools wie Google Analytics oder MailChimp durch Datenschutzbehörden faktisch untersagt wurden.

KĂŒnftig können sich US-Unternehmen unter dem Data Privacy Framework zertifizieren lassen. HierfĂŒr mĂŒssen sie bestimmte DatenschutzgrundsĂ€tze einhalten. Hierzu zĂ€hlt beispielsweise die Pflicht, personenbezogene Daten zu löschen, wenn sie fĂŒr den Zweck, fĂŒr den sie erhoben wurden, nicht mehr erforderlich sind. Außerdem ist der Fortbestand des Schutzes zu gewĂ€hrleisten, wenn personenbezogene Daten an Dritte weitergegeben werden. DarĂŒber hinaus sieht der neue Rechtsrahmen BeschrĂ€nkungen fĂŒr den Zugriff von US-Geheimdiensten auf DatenbestĂ€nde vor. Dieses Zugriffsrecht war einer der HauptgrĂŒnde, der zur UngĂŒltigkeit des Privacy Shields gefĂŒhrt hatte. KĂŒnftig sind solche Zugriffe auf das zum Schutz der nationalen Sicherheit notwendige und verhĂ€ltnismĂ€ĂŸige Maß zu beschrĂ€nken.

Durch den Angemessenheitsbeschluss wird die Verwendung US-amerikanische Softwareprodukte und Tools erheblich erleichtert. Übergangslösungen – wie beispielsweise den Datentransfer auf eine informierte Einwilligung gemĂ€ĂŸ Art. 49 Abs. 1 lit. a DSGVO zu stĂŒtzen – werden vorlĂ€ufig obsolet. Verbraucher- und DatenschĂŒtzer, allen voran der Österreicher Max Schrems, haben allerdings bereits angekĂŒndigt, auch das Data Privacy Framework gerichtlich prĂŒfen zu lassen. Aus ihrer Sicht bestehen die Bedenken, die zur UngĂŒltigkeit des Pricacy Shields gefĂŒhrt hatten, auch beim neuen Abkommen fort. Die Entwicklung bleibt abzuwarten. Unternehmen ist zu empfehlen, die in den letzten Jahren erarbeiteten Konzepte und zusĂ€tzlichen Schutzmaßnahmen nicht von heute auf morgen ĂŒber den Haufen zu werfen.

 

Bild: Midjourney

10.000 Euro Schadensersatz wegen Verletzung der Auskunftspflicht

In einem aktuellen Urteil hat das Arbeitsgericht Oldenburg ein Unternehmen zur Zahlung eines Schadensersatzes in Höhe von EUR 10.000,00 verurteil. BegrĂŒndet wurde es mit einem immateriellen Schaden den der KlĂ€ger durch die Verletzung des datenschutzrechtlichen Auskunftsanspruchs erlitten haben soll.

Read more