Neues Datenschutzgesetz vom Bundestag verabschiedet

Nachdem die neue Datenschutzgrundverordnung (DS-GVO) bereits im Jahr 2016 in Kraft getreten ist, wird diese im Mai 2018 nach 2-jähriger Übergangszeit auch wirksam. Die DS-GVO löst dadurch das bisher in Deutschland gültige Bundesdatenschutzgesetz (BDSG) im Wesentlichen ab und ist im Gegensatz zur alten Datenschutz-Richtlinie auch unmittelbar anwendbar. Nur solche Bereiche, die von der DS-GVO nicht geregelt werden oder bei denen Öffnungsklauseln vorgesehen sind, können noch durch den nationalen Gesetzgeber geregelt werden. Hierzu veröffentlichte die Bundesregierung bereits Ende 2016 einen entsprechenden Gesetzesentwurf. Dieser stieß jedoch unmittelbar auf heftige Kritik, deren Kern die starke Einschränkung der Betroffenenrechte und die damit einhergehende Aushöhlung der DS-GVO war.

Weiterlesen

Streit um Verhältnis von ePrivacy-Richtlinie und DS-GVO

Durch die im Mai 2018 wirksam werdende Datenschutz-Grundverordnung (DS-GVO) könnten zukünftig die Anforderungen an die Zulässigkeit von E-Mail-Werbung sinken. Aktuell gibt es einen Meinungsstreit in Bezug auf die Geltung der ePrivacy-Richtlinie im Zusammenspiel mit der DS-GVO. Da die DS-GVO erst im Mai 2018 wirksam wird, beurteilt sich die Zulässigkeit von E-Mail-Werbung neben den Vorschriften des Bundesdatenschutzgesetzes (BDSG) derzeit insbesondere noch nach § 7 UWG. Nach Abs. 1 und Abs. 2 Nr. 3 dieser Vorschrift gilt E-Mail-Werbung, die ohne die vorherige Einwilligung des Empfängers versendet wird, als unzumutbare Belästigung und ist damit unzulässig.

Weiterlesen

Möglichkeit von Binding Corporate Rules in DS-GVO geregelt

Mit Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) im Mai 2018 können auch Binding Corporate Rules (BCR) als Nachweis für ein angemessenes Datenschutzniveau bei Datentransfers in Drittländer verwendet werden. Nach § 4b Abs. 2, 3 BDSG bedarf es für die Übermittlung von personenbezogenen Daten in Länder außerhalb der EU und des EWR neben einer Einwilligung oder Ermächtigungsgrundlage immer auch des Nachweises eines angemessenen Datenschutzniveaus im jeweiligen Drittland. Dieses Datenschutzniveau wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind.

Weiterlesen

Umsetzung der PNR-Richtlinie

Nachdem die sogenannte Passenger-Name-Record-Richtline (PNR-Richtlinie) bereits im April 2016 vom europäischen Parlament verabschiedet wurde, hat sich die Bundesregierung nun auf ein neues Fluggastdatengesetz geeignet. Die Umsetzung der Richtlinie in nationales Recht innerhalb der dafür zur Verfügung stehenden 2-jährigen Frist soll nun vorangetrieben werden. Der sogenannte „Passenger Name Record“ umfasst eine Reihe von Fluggastdaten, genauer gesagt über 60 verschiedene. Fluggesellschaften nutzen diese Daten, um den reibungslosen Ablauf des internationalen Flugverkehrs organisieren zu können. Auch die internationalen Sicherheitsbehörden haben aufgrund der mittlerweile länderübergreifenden Terrorismusbekämpfung großes Interesse an diesen Daten. Die Überwachung des Flugverkehrs ist hier von zentraler Bedeutung.

Weiterlesen

Neue Informationspflichten für Unternehmer

Nachdem zum 09.01.2016 bereits die Informationspflicht nach der ODR-Verordnung mit der Verpflichtung zum Hinweis auf die OS-Plattform in Kraft getreten ist, gibt es nun noch weitere Informationspflichten für Unternehmer zu beachten. Am 01.02.2017 sind § 36 und § 37 des Gesetzes über die alternative Streitbeilegung in Verbrauchersachen (VSBG) in Kraft getreten, welche zwischen allgemeinen und besonderen Informationspflichten unterscheiden. Die Vorschriften sind insbesondere für Onlinehändler relevant, aber auch im Offlinegeschäft gibt es einige Dinge zu beachten. Für Angebote im B2B-Bereich gelten die neuen Informationspflichten hingegen nicht.

Weiterlesen

Schadensersatz und Schmerzensgeld wegen Datenschutzrechtsverletzung

Das Oberlandesgericht Köln hat festgestellt, dass eine Versicherung ihrem Kunden Schadensersatz und Schmerzensgeld zahlen muss, weil sie ein Urteil mit Gesundheitsdaten des Kunden an dessen Arbeitgeber weitergeben hat und dieser daraufhin entlassen wurde (OLG Köln Urteil vom 30.09.2016, Az.: 20 U 83/16). In einem vorherigen Verfahren stritten der Versicherungsnehmer einer Berufsunfähigkeitsversicherung und die Versicherung um Zahlungen durch die Versicherung, da der Versicherungsnehmer angeblich berufsunfähig geworden war. Die Versicherung verweigerte die Zahlung aufgrund einer angeblich arglistigen Täuschung durch den Versicherungsnehmer. In 1. Instanz wurde die Klage des Versicherungsnehmers abgewiesen. Im Berufungsverfahren verglichen sich die Parteien auf eine Zahlung von 90.000,00 EUR.

Weiterlesen

Artikel-29-Datenschutzgruppe kündigt weitere Veröffentlichungen an

In einer Ankündigung teilte die Artikel-29-Datenschutzgruppe mit, dass sie in Kürze zusätzlich zu den bereits veröffentlichen Texten weitere Stellungnahmen und Leitlinien zur Datenschutzgrundverordnung (DS-GVO) veröffentlichen wird. Diese Leitlinien dienen zusammen mit den Erwägungsgründen der Auslegung der DS-GVO und sind daher angesichts schon auftretender Meinungsstreitigkeiten in der Wissenschaft hoch interessant. Die Artikel-29-Datenschutzgruppe ist das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes. Die Gruppe wurde durch Artikel 29 der Richtlinie 95/46/EG (Datenschutzrichtlinie) vom 24.10.1995 eingesetzt. Ihre amtliche Bezeichnung lautet Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten.

Weiterlesen

Entwurf zur neuen E-Privacy-Verordnung

Am 10.01.2017 hat die EU-Kommission einen ersten offiziellen Entwurf zur neuen E-Privacy-Richtlinie veröffentlicht. Aus diesem geht hervor, dass insbesondere der Anwendungsbereich der bisher schon gültigen Vorschriften deutlich erweitert und auch auf sogenannte Over-The-Top-Dienste ausgeweitet werden soll. Die Kommission plant, die E-Privacy-Verordnung bis spätestens zum 25.05.2018 zu verabschieden und auf den Weg zu bringen. Sie will so zeitgleich mit dem Wirksamwerden der DS-GVO ein deutliches Zeichen setzen. Am 25.05.2018 wird die bereits in Kraft getretene Datenschutzgrundverordnung (DS-GVO) gültig. Sie soll für ein europaweit einheitliches Datenschutzniveau sorgen und Betroffene nachhaltig in ihrem Recht auf informationelle Selbstbestimmung stärken.

Weiterlesen

Risiken beim Cloud-Computing

Immer häufiger lagern Unternehmen ihre Daten in eine Cloud aus. Dies bietet einige offensichtliche Vorteile wie Kostenersparnis und ständige weltweite Verfügbarkeit. Zu beachten sind angesichts häufiger Lücken und Cyberattacken aber auch Datenschutz und Datensicherheit. Cloud-Dienste bieten unter anderem Speicherplatz an, auf dem Unternehmen oder auch Privatpersonen Daten speichern und weltweit mobil abrufen können. Unternehmen ersparen sich so den Betrieb eines eigenen Rechenzentrums mit den damit verbundenen Kosten und können flexibel auf steigenden oder fallenden Speicherbedarf reagieren. Dies macht die Arbeit gerade in internationalen Unternehmen um einiges einfacher. Bekannte Anbieter von Cloud-Diensten sind etwa Microsoft Azure, Amazon Web Service, Salesforce oder auch die iCloud von Apple und Dropbox.

Weiterlesen

EuGH stellt strenge Anforderungen an Vorratsdatenspeicherung

Der Europäische Gerichtshof hat die auf einer für ungültig erklärten EU-Richtlinie beruhende Vorratsdatenspeicherung (die europaweit aber durch nationale Regelungen zulässig ist) im Wesentlichen für unzulässig erklärt und damit wohl die noch ausstehende Entscheidung des Bundesverfassungsgerichts zur gleichen Frage vorweg genommen (EuGH Urteil vom 21.12.2016, Az.:C-203/15; C-698/15). Schon seit Jahren befassen sich Gerichte in Deutschland und Europa mit der Frage nach der Zulässigkeit der Vorratsdatenspeicherung. Sowohl der Europäische Gerichtshof als auch das Bundesverfassungsgericht haben die früher zugrundeliegenden Richtlinien und Gesetze für unzulässig erachtet und damit die nationalen Gesetzgeber gezwungen, die rechtlichen Rahmenbedingungen fortwährend zu überarbeiten.

Weiterlesen