10.000 Euro DSGVO-Schadensersatz für unberechtigte Veröffentlichung von Gesundheitsdaten
10.000 Euro DSGVO-Schadensersatz für unberechtigte Veröffentlichung von Gesundheitsdaten
DSGVO
Kategorie DSGVO
Muss Auskunft erteilt werden, selbst wenn dafür 5.000 Seiten Akten geprüft werden müssen?
Sachverhalt In einem vor dem Verwaltungsgericht Berlin (Urt. v. 06.02.2024 – Az.: 1 K 187/21) verhandelten Fall ging es um ein Auskunftsersuchen gemäß Art. 15 DSGVO. Der Beklagte argumentierte, dass das Auskunftsersuchen des Klägers im konkreten Fall für ihn bedeuten würde, dass er über 100 Verfahren aus den letzten 20 Jahren mit über 5.000 Seiten … Weiterlesen
79 Millionnen Euro Bußgeld für ENEL ENERGIA
Sachverhalt Die italienische Polizei hatte umfangreiche Ermittlungen zu vier Unter-nehmen durchgeführt, die mit betrügerischen Mitteln über Telefonanrufe Verbraucher und Unternehmen zu Vertragsabschlüssen für diverse Produkte gedrängt hatten, um entsprechende Provisionen zu kassieren. Unter den abgeschlossenen Verträgen waren auch Verträge über Gas und Strom mit Enel Energia. Die betrügerisch agierenden Unternehmen gehörten nicht zum Vertriebsnetz von … Weiterlesen
Kein DSGVO-Schadensersatz für pauschale Behauptungen von Ärger und Stress
Sachverhalt In einem aktuellen Fall, der vor dem OLG Brandenburg (Beschl. v. 05.03.2023 – Az.: 12 U 132/23) verhandelt wurde, forderte der Kläger Schadensersatz aufgrund einer verspäteten Auskunft der DSGVO. Durch diese Verspätung habe der Kläger angeblich einen immateriellen Schaden durch „Ärger, Unwohlsein und Stress“ erlitten, weswegen er Entschädigung Höhe von 8.000 Euro forderte. Entscheidung … Weiterlesen
Fehlerhafter Versand von Gehaltsabrechnungen kostet die Modemarke Uniqlo 270.000 Euro Bußgeld
Die spanische Datenschutzbehörde (AEPD) hat ein Bußgeld erlassen, dass für viele Unternehmen ein Weckruf sein sollte. Der Fall dreht sich um nicht ausreichende technisch-organisatorische Maßnahmen bei der bekannten Modemarke Uniqlo, die zu einer erheblichen Verletzung des Datenschutzes führte. Alles begann, als ein ehemaliger Dienstleister von Uniqlo in Spanien um seine Gehaltsabrechnungen bat. Uniqlo kam dieser … Weiterlesen
Controller-Controller-Vertrag
Ist ein Vertrag zwischen Verantwortlichen, die nicht gemeinsame Verantwortliche sind, notwendig? Werden zwischen Unternehmen personenbezogene Daten ausgetauscht oder nutzen zwei oder mehrere Unternehmen einen gemeinsamen Datenpool, das findet sich häufig in Konzernkonstellationen, regelt die DSGVO zwei Fallkonstellationen: Die Auftragsverarbeitung (Art. 28 DSGVO) und die gemeinsame Verantwortlichkeit (Art. 26 DSGVO). Ein Unternehmen ist dann Auftragsverarbeiter (Begriffsbestimmung … Weiterlesen
Outlook E-Mails verschlüsseln
Immer wieder geht es beim Thema DSGVO und Datenschutz um das Problem, wie unsicher der Versand von E-Mail ist. Zumindest immer dann, wenn sensible personenbezogene Daten (sog. besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO) oder eine große Anzahl personenbezogener Daten übermittelt werden sollen, sind dem risiko-basierten Ansatz der DSGVO folgend weitere Sicherheitsmaßnahmen erforderlich. Bei … Weiterlesen
Berliner Aufsichtsbehörde kämpft weiter gegen Deutsche Wohnen
Im Oktober 2019 hatte die Berliner Aufsichtsbehörde (BlnBDI) ein Bußgeld in Höhe von 14,5 Millionen EUR gegen die Deutsche Wohnen SE erlassen. Sie warf der Deutschen Wohnen vor, ein Archivsystem für Mieterdaten nicht DSGVO-konform geführt zu haben. Die Gesellschaft, die mit einem Bestand von rund 165.700 Einheiten zu den größten Vermietern der Hauptstadt zählt, habe darin … Weiterlesen
Datenschutz und Brexit – Besteht Handlungsbedarf?
Die Übergangsregelung für das Datenschutzrecht bezüglich des Brexits verschafft erneut Zeit für alle betroffenen Unternehmen, um sich für einen etwaigen Datenverkehr ins Vereinigte Königreich abzusichern. Es ist dabei nicht ratsam, dass sich betroffene Unternehmen auf den fristgerechten Abschluss eines Angemessenheitsbeschlusses der EU-Kommission verlassen. Unternehmen sollten sich vielmehr auf die Situation vorbereiten, dass das Vereinigte Königreich zumindest vorübergehend zu einem Drittland wird.
Homeoffice und Datenschutz – Was ist zu beachten?
Homeoffice und mobiles Arbeiten manifestieren sich als Arbeitsform in Unternehmen. Der Lockdown und die seit dem 27.01.2021 geltende SARS-CoV-2-Arbeitsschutzverordnung (Corona-ArbSchV) befördern das. Unternehmen müssen neben den organisatorischen und arbeitsrechtlichen Voraussetzungen auch die Datenschutzaspekte beachten und umsetzen. Schwerpunkt ist der technische Datenschutz.
Erste Cookie Banner Abmahnung
Sie sind unsicher, welche Anforderungen bei der Gestaltung eines Cookie Banner zu beachten sind? Erste Abmahnungen sind bereits erfolgt, um so dringender ist es, die Gestaltung von Cookie-Bannern genau unter die Lupe zu nehmen. Lesen Sie unseren Blog-Beitrag, was es zu beachten gilt!
„EU-US Privacy Shield“ – EuGH kippt Datendeal
Der EuGH hat die Vereinbarung zwischen der EU und den USA über den Transfer personenbezogener Daten, das sogenannte „Privacy Shield“, für ungültig erklärt. In seinem Urteil stellt der EuGH fest, dass die Zugriffsmöglichkeiten der US-Behörden und insbesondere das Fehlen geeigneter Garantien, durchsetzbarer Rechte und wirksamer Rechtsbehelfe den Anforderungen an den Datenschutz der EU widersprechen. Eine weitere Möglichkeit den Transfer von personenbezogenen Daten in die USA zu rechtfertigen, die sog. Standardvertragsklauseln, hat das Gericht jedoch grundsätzlich bestätigt. Im Ergebnis helfen die Standardvertragsklauseln den Unternehmen jedoch in den meisten Fällen nicht weiter, denn der EuGH hat Einschränkungen formuliert. Es ist laut EuGH zu prüfen, ob im Zielland ein Schutzniveau gewährleistet ist, das im Wesentlichen dem in der EU garantierten Schutzniveau entspricht. Dies ist für die USA mit den bereits gegen das Privacy Shield angeführten Argumenten als problematisch zu bewerten. Über die Frage, wie dieses Problem zu lösen ist, ist eine Debatte entbrannt.
BGH Urteil zu Cookies – Verschärfte Anforderungen an die Einwilligung
Der BGH hat entschieden, dass Cookies nur mit expliziter Einwilligung des Webseitenbesuchers gesetzt werden dürfen. Entsprechende Cookie-Banner sind damit nun unumgänglich. Vorausgewählte Checkboxen für eine Einwilligung sind nicht zulässig.
Meldefrist bei Datenschutz-Verletzung: (keine) Probleme bei der Berechnung?
Nach Artikel 33 Abs. 1 der Datenschutzgrundverordnung (DSGVO) hat der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, bei der zuständigen Aufsichtsbehörde nach deren Bekanntwerden zu melden. Aber wie wird die Meldefrist bei Datenschutz-Verletzung berechnet? 1. Anwendbare Normen Zunächst ist festzustellen, dass die aus dem deutschen Recht bekannten Normen zur … Weiterlesen
M&A Transaktionen und Datenschutz
Integraler Bestandteil jeder Unternehmenstransaktion (M&A Transaktionen) ist die sorgfältige Prüfung des zu erwerbenden Unternehmens im Hinblick auf seine wirtschaftliche, rechtliche, steuerliche und finanzielle Situation. Im Allgemeinen haben potenzielle Erwerber ein erhebliches Interesse daran, das Zielunternehmen mit all seinen Informationen möglichst umfassend zu analysieren. Beziehen sich die übermittelten Informationen auf Lieferanten, Kunden oder die Beschäftigten der … Weiterlesen
Cookies & Einwilligung – Höchstrichterliche Stellungnahme des EUGH
Am 1. Oktober 2019 hat der Europäische Gerichtshof (EuGH) in einem sog. Vorabentscheidungsverfahren (Az.: C-673/17) hinsichtlich des Setzens von Cookies entschieden, dass eine aktive Einwilligung des Internetnutzers erforderlich ist. Ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, genüge diesen Anforderungen nicht. Das Betätigen einer Schaltfläche für die Teilnahme am Gewinnspiel stelle … Weiterlesen
Anpassung des § 38 BDSG durch das zweite Datenschutzanpassungsgesetz
Was bringt die Absenkung der Anforderungen an die Bestellung eines Datenschutzbeauftragten? Nachdem nun der Bundesrat dem zweiten Datenschutzanpassungsgesetz (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU) zugestimmt hat, ist die von Wirtschaft, Verbänden und Vereinen geforderte Absenkung der Anforderungen an die Bestellungen eines Datenschutzbeauftragten (DSB) in greifbare Nähe gerückt. Sobald das Gesetz in Kraft tritt, … Weiterlesen
Zulässigkeit von Videoüberwachung zu privaten Zwecken – obiter dictum schafft Klarheit für die Praxis
Das BVerwG hat mit seinem Urteil vom 27.03.2019 klargestellt, dass sich die Zulässigkeit von Videoüberwachungen zu privaten Zwecken direkt nach Art. 6 Abs. 1 Unterabs. 1 Buchstabe f DSGVO richte. Die Öffnungsklauseln des Art. 6 Abs. 2 und 3 DSGVO für eine Verarbeitung von Daten nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO … Weiterlesen
Schonfrist abgelaufen (Update)
Die französische Datenschutzbehörde hat gegen Google aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) ein Bußgeld in Höhe von 50 Millionen Euro verhängt. Die britische Datenschutzbehörde Information Commissioner’s Office (ICO) hat angekündigt gegen die Hotelkette Marriott ein Bußgeld von 99,2 Millionen britischen Pfund, umgerechnet rund 110 Millionen Euro, zu verhängen. Gegen die Fluggesellschaft British Airways hat die … Weiterlesen
Consent Management Database: Verwaltung von Einwilligungserklärungen
Auch mit der Datenschutz-Grundverordnung (DSGVO) bleibt es beim bisher in Deutschland bestehenden grundlegenden Prinzip des Datenschutzrechts: Grundsätzlich ist jede Verarbeitung personenbezogener Daten verboten; nur wenn es im Gesetz eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten gibt, dürfen diese Daten verarbeitet werden. Neben den unter anderem in Art. 6 DSGVO Abs. 1 b bis f geregelten … Weiterlesen
