Data Protection

Subscribe to Data Protection via RSS

von Tim Wybitul, Dr. Wolf-Tassilo Böhm

Deutsche Datenschutzbehörden und Aktivisten ermitteln wegen Cookie-Einsatz. Unternehmen sollten die Entwicklungen genau verfolgen. Drohen Webseitenbetreibern neben Bußgeldern und Nachteilen für das Geschäftsmodell „amerikanische Verhältnisse“ hinsichtlich Massenklagen auf Schadensersatz?

Die deutschen Aufsichtsbehörden für den Datenschutz gehen gegen Unternehmen vor, die Daten über das Surf-Verhalten ihrer Nutzer in unzulässiger Weise verarbeiten. Viele Unternehmen verwenden Tracking-Technologien, um die Besucher ihrer (und anderer) Websites zu identifizieren und Nutzerprofile zu bilden. Aussagekräftige Informationen über besuchte Websites sowie angesehene oder gekaufte Produkte sind zum Bespiel oft bares Geld wert. Allerdings stellt das Datenschutzrecht hohe Anforderungen an das Sammeln und Auswerten solcher Nutzerdaten. Erst kürzlich hatten Europäischer Gerichtshof (EuGH) und Bundesgerichtshof gleich mehrere Urteile gefällt, die Online-Tracking und vor allem auch die grenzüberschreitende Nutzung oder Übermittlung personenbezogener Daten vor hohe Hürden stellen. Der vorliegende Beitrag beschreibt, welche Risiken drohen und mit welchen konkreten Schritten Unternehmen sie vermeiden oder reduzieren können.

von Tim Wybitul

Im Gespräch mit der ZD diskutieren Michael Will, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht in Ansbach, und unser Partner und Datenschutzexperte Tim Wybitul die Nutzung der RKI-App – zur anhaltenden Datenschutz-Diskussion, zum Konzept der Freiwilligkeit und zum Handlungsspielraum der Arbeitgeber.

Lesen Sie den vollständigen Beitrag hier.

by Tim Wybitul, Dr. Wolf-Tassilo Böhm, Isabelle Brams, Dr. Tarik Arabi, Joachim Grittmann, Valentino Halim

Effective measures to combat data risks resulting from COVID-19 include processing personal data, but companies must balance privacy rights and employee health.

German data protection authorities have published initial guidance to companies that process personal data, outlining how they should protect their employees and their businesses from risks resulting from COVID-19. Under the EU General Data Protection Regulation (GDPR), health data or other information about virus infections is treated as sensitive data according to Art. 9(1) GDPR. Such sensitive data may only be processed if the controller meets strict requirements with regard to such processing. Such data processing may be lawful if the processing is necessary for carrying out the controller’s obligations in the field of employment law. Obviously, employers have a fiduciary duty to protect their employees from exposure to COVID-19, however, the respective use cases and the potentially applicable provisions of the GDPR are complex and challenging. Moreover, employers in Germany need to observe additional requirements stipulated in the German Federal Data Protection Act (Bundesdatenschutzgesetz – BDSG). Companies should also observe respective guiding principles deriving from well-established German case law with regard to employee data privacy.

Künftig drohen nach Datenschutzverstößen deutlich höhere Bußgelder als bislang

Von Tim Wybitul

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich am 25.06.2019 auf ein neues Modell zur Berechnung von Bußgeldern verständigt. Damit hat die DSK ein Bußgeldmodell festgelegt, das im Ergebnis zu sehr hohen Sanktionen führen kann. Die Datenschutzbehörden wenden dieses Modell bereits in der Praxis an. Der vorliegende Beitrag beschreibt die Hintergründe und die Einzelheiten des neuen Modells zur Berechnung von Bußgeldern durch deutsche Datenschutzbehörden. Zudem fasst er erste Erfahrungen mit dem neuen Bußgeldmodell aus der Praxis zusammen.

  1. Datenschutzbehörden einigen sich auf Modell zur Berechnung von Bußgeldern

Nach intensiven Vorarbeiten des Arbeitskreises Sanktionen der DSK haben sich die deutschen Datenschutzbehörden im Juni 2019 auf ein einheitliches Konzept zur Berechnung von Bußgeldern nach Art. 83 DSGVO verständigt. Laut einer aktuellen Meldung der JUVE zählten die Datenschutzbehörden der Länder Berlin, Niedersachsen und Baden-Württemberg zu den Treibern des neuen Bußgeldmodells. Das Ergebnis der Verständigung zwischen den deutschen Datenschutzbehörden ist in dem kürzlich veröffentlichten Protokoll der 2. Zwischenkonferenz 2019 der DSK in Mainz zusammengefasst. Das neue Bußgeldmodell wurde dort Tagesordnungspunkt 16 besprochen. Das Protokoll ist hier abrufbar und liefert einige ausgesprochen interessante Hintergrundinformationen.

Auskunftsrecht nach Art. 15 DSGVO: Update und Empfehlungen für Unternehmen

Von Tim Wybitul

Art. 15 Abs. 1 DSGVO gibt betroffenen Personen gegenüber dem Verantwortlichen ein Auskunftsrecht über die Verarbeitung ihrer personenbezogenen Daten. Weiterhin muss der Verantwortliche nach Art. 15 Abs. 3 DSGVO eine „Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“ stellen. Datenschutzexperten sind sich bislang nicht einig, wie weit diese Rechte betroffener Personen genau reichen. In einem ersten Urteil legte das Landesarbeitsgericht (LAG) Baden-Württemberg das Recht auf Auskunft und Kopie weit aus. Dies führte zu einiger Verunsicherung. Unternehmen fürchten, dass sie betroffenen Personen im Rahmen von Auskunftsverlangen zukünftig umfangreiche Datenbestände wie E-Mails und andere sie betreffende Dokumente herausgeben müssen. Unsere Analyse dieses Urteils finden Sie hier.

Inzwischen gibt es eine weitere Entscheidung, welche sich mit der Reichweite von Art. 15 DSGVO beschäftigt. In einem aktuellen Teilurteil (Teilurt. v. 18. März 2019 – 26 O 25/18) hat das Landgericht (LG) Köln das Recht auf Auskunft und Kopie deutlich enger ausgelegt als das LAG-Baden-Württemberg.

Bußgeldpraxis der deutschen Datenschutzbehörden

Von Tim Wybitul

Vor Inkrafttreten der DSGVO haben viele Unternehmen befürchtet, bei Datenschutzverstößen zukünftig mit Bußgeldern in Millionen- oder gar Milliardenhöhe rechnen zu müssen. Zumindest in Deutschland scheint sich diese Befürchtung auf den ersten Blick jedenfalls bislang noch nicht bewahrheitet zu haben. Grund zur Entwarnung besteht allerdings dennoch nicht.

Wie hoch waren die bisher von Deutschen Behörden verhängten Bußgelder?

Bislang vertreten die deutschen Datenschutzbehörden bei der Verhängung von Bußgeldern wegen Datenschutzverstößen noch keinen einheitlichen Ansatz. So sind von manchen Datenschutzbehörden – wie etwa dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) – bisher noch keine verhängten Bußgelder bekannt geworden. Insgesamt überwiegen bislang eher niedrige Bußgelder. Beispielsweise hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) kürzlich gegen eine Online-Bank ein Bußgeld von EUR 50.000 verhängt. Die Bank hatte unberechtigt eine „schwarze Liste“ mit Daten ehemaliger Kunden geführt.

Müssen Verantwortliche betroffenen Personen auf Anfrage umfangreiche Datensätze zur Verfügung stellen?

Von Tim Wybitul

Art. 15 Abs. 1 DSGVO gibt natürlichen Personen ein Auskunftsrecht über die Verarbeitung ihrer personenbezogenen Daten. Das für eine Datenverarbeitung verantwortliche Unternehmen muss betroffene Personen auf deren Antrag hin umfassend über die verarbeiteten Daten informieren. Dieses Auskunftsrecht betrifft beispielsweise die Zwecke und Empfänger sowie weitere Einzelheiten der Verarbeitung. Weiterhin muss der Verantwortliche nach Art. 15 Abs. 3 DSGVO auch eine „Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“ stellen. Das Landesarbeitsgericht (LAG) Baden-Württemberg hat dieses Recht auf Auskunft und Kopie in einer aktuellen Entscheidung (Urt. v. 20.12.2018 – 17 Sa 11/18) weit ausgelegt. Dies kann Unternehmen vor große Herausforderungen stellen. Allerdings können Unternehmen bei der Erteilung von Auskünften durchaus auch eine andere Rechtsauffassung vertreten. Denn zum einen ist das Urteil des LAG Baden-Württemberg nicht rechtskräftig und wird gegebenenfalls noch vom Bundesarbeitsgericht korrigiert. Zum anderen  hat das Landgericht (LG) Köln in einer hier abrufbaren aktuellen Entscheidung das Recht auf Auskunft und Kopie deutlich restriktiver – und damit unternehmensfreundlicher – ausgelegt als ihre Baden-Württemberger Kollegen. Der vorliegende Überblick zeigt, wie Unternehmen auf Auskunftsansprüche reagieren können – und mit welchen Argumenten sie exzessiven Informationsersuchen entgegen treten können.

DSGVO für Manager: Wie vermeidet man hohe Datenschutz-Bußgelder?

Von Tim Wybitul

Datenschutz und Cyber-Risiken zählen zu den wichtigsten Themen für Unternehmen (WiWo). Das liegt nicht zuletzt an den hohen Bußgeldern und der drohenden persönlichen Haftung der Manager. Erst kürzlich verhängte die französische Datenschutzbehörde CNIL ( WiWo) gegen ein IT-Unternehmen ein hohes Bußgeld. Dieser Blog beschreibt das Vorgehen der Datenschutzbehörden bei der Ermittlung möglicher DSGVO-Verstöße. Und er zeigt, wie sich Manager effektiv gegen hohe Bußgelder verteidigen können.

Welche

EU data protection authorities are imposing increased penalties under the GDPR, with more proceedings forecast for 2019.

By Tim Wybitul, Prof. Dr. Thomas Grützner, Dr. Wolf-Tassilo Böhm, and Dr. Isabelle Brams

The General Data Protection Regulation (GDPR) has been in effect since May 2018. Although the French data protection authority (CNIL) has imposed the highest fine to date — €50 million on 21 January 2019 — German federal data protection authorities have already imposed fines for GDPR infringements in 41 cases nationwide and say that they have “very many” additional fine proceedings in progress. This first wave of fines has come from five German authorities, with 11 authorities having not yet imposed any fines under the GDPR.

Under the former German data protection law, companies faced a maximum penalty of €300,000 for violations. However, the GDPR provides authorities with different disciplinary options and they can now impose fines of up to €20 million or more. The maximum fine may amount to up to 4% of the worldwide annual turnover. Hence, corporates with an annual revenue of more than €500 million may face fines exceeding the €20 million threshold.