In Art. 4 Nr. 8 DSGVO wird ein Auftragsverarbeiter definiert als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Dabei ist sicherzustellen, dass der zwischen einem datenschutzrechtlich Verantwortlichen und einem Auftragsverarbeiter zu schließende Auftragsverarbeitungsvertrag (AVV) Regelungen zur Weisungsgebundenheit enthält: Nach Art. 28 Abs. 3 S. […]
Elena Folkerts
Posts by Elena Folkerts:
Dürfen E-Mail-Adressen an Paketdienstleister übermittelt werden?
Mit dieser Frage befasste sich die Datenschutzaufsichtsbehörde in Schleswig-Holstein (ULD) anlässlich einer Beschwerde (Tätigkeitsbericht 2024 des ULD, S. 72): Ein Kunde hatte nach einer Onlinebestellung eine E-Mail mit Informationen zu deren Lieferstatus von einem Paketdienstleister erhalten, ohne zuvor in die Übermittlung seiner E-Mail-Adresse eingewilligt zu haben. Fehlende Rechtsgrundlage für die Weitergabe Das ULD reagierte im […]
EuGH-Urteil zum Löschverlangen von Aufsichtsbehörden
Im März hat sich der Europäische Gerichtshof (EuGH, Urteil vom 14.03.2024 – C-46/23) zu der Frage geäußert, ob Datenschutzaufsichtsbehörden die Löschung personenbezogener Daten anordnen können. Ausgangspunkt war ein Meinungsstreit in Ungarn. Dieser basierte auf der Ansicht einer Verwaltungsbehörde, dass ein Löschantrag i. S. d. Art. 17 DSGVO (nur) betroffenen Personen vorbehalten sei. Die ungarische Aufsichtsbehörde […]
Websitebetreiber aufgepasst: Ablösung des TMG und TTDSG
Jahrelang war das Telemediengesetz (TMG) maßgeblich in Bezug auf die Impressumspflicht „für geschäftsmäßige, in der Regel gegen Entgelt angebotene Telemedien“. Seit dem 14. Mai 2024 wird diese Verpflichtung nun im neuen Digitale-Dienste-Gesetz (DDG) geregelt, das die rechtlichen Bestimmungen aus dem Telemediengesetz abgelöst hat (wir berichteten). Gemäß § 5 Abs. 1 DDG gilt die Pflicht eines […]
Haben Sie während der Corona-Pandemie Pizza bestellt?
Im Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg) für das Jahr 2023 wird von folgendem skurrilen Fall berichtet (vgl. 39. Datenschutz-Tätigkeitsbericht, S. 75-76): Der Ordnungsdienst einer namentlich nicht benannten Großstadt entdeckte neben einem Container für Altglas zwei große Müllsäcke voller Kassenbelege eines Pizzalieferservices. Diese enthielten Kundendaten wie Vor- und Nachnamen, […]
Der Google Consent Mode V2 – datenschutzkonform einsetzbar?
Websitebetreibende, die Google-Dienste nutzen, wurden von Google informiert, dass ab heute, dem 06.03.2024, der Google Consent Mode V2 verpflichtend ist, sofern Tools wie Google Analytics, Google Ads & Co. weiterhin auf dem entsprechenden Internetauftritt eingesetzt werden sollen. Im Google Consent Mode („Einwilligungsmodus“) können Websitebetreibende Google über den Einwilligungsstatus ihrer Nutzer*innen informieren, sodass das Verhalten der […]
Verantwortliche haften für Auftragsverarbeiter – EuGH schließt sich Generalanwalt an
Der Europäische Gerichtshof (EuGH) hat sich in seinem Urteil vom 05.12.2023 (C-683/21) nicht nur mit der gemeinsamen datenschutzrechtlichen Verantwortlichkeit beschäftigt (wir berichteten). In der sechsten und letzten Vorlagefrage, die das litauische Verwaltungsgericht dem EuGH vorlegte, ging es um die Bußgeldhaftung eines Verantwortlichen für Datenverarbeitungen seines Auftragsverarbeiters. So wurde gefragt, ob … … von Art. 83 […]
Kann nach einer unwirksamen Einwilligung die Rechtsgrundlage gewechselt werden?
Wie bereits in einem früheren Artikel in unserem Blog besprochen wird sich vor Gericht weiterhin mit der Frage auseinandergesetzt, ob bei Verdacht auf oder Vorliegen einer unwirksamen Einwilligung in eine Datenverarbeitung ein Wechsel der Rechtsgrundlage möglich ist – und somit die Datenverarbeitung über diesen Kunstgriff weiterhin rechtmäßig sein könne. Diese Situation kann für einen datenschutzrechtlich […]
Ist eine Anschrift ein personenbezogenes Datum?
Mit dieser Frage beschäftigte sich das Landgericht (LG) Berlin im Januar 2022. Auslöser war das Vorgehen einer Richterin des Amtsgerichts (AG) Berlin. Diese hatte im Rahmen eines Verfahrens, in dem eine Frau Trennungs- und Kindesunterhalt gegen ihren Mann geltend machte, die Wohnadresse bzw. Anschrift der Frau in den Onlinedienst „Google Maps“ eingegeben, um deren Wohnfläche […]
Das „Schufa“-Urteil des EuGH – Auswirkungen auf den Onlinehandel
Am 7. Dezember 2023 hat sich der Europäische Gerichtshof (EuGH) in einem medial viel beachteten Urteil mit dem Scoring durch die deutsche SCHUFA Holding AG (Schufa) auseinandergesetzt (wir berichteten). Hierbei ging es auch um die Frage, ob und wann bei der automatisierten Erstellung von Scorewerten über die Kreditwürdigkeit einer Person eine „automatisierte Entscheidung im Einzelfall“ […]
Datenschutzrechtliche Implikationen der Verbraucherschutzvorschriften über digitale Produkte
Seit dem 01.01.2022 sind in Deutschland neue zivilrechtliche Verbraucherschutzvorschriften über digitale Produkte in Kraft: § 312 Abs. 1a BGB gibt vor, dass die Vorschriften zum Anwendungsbereich und den Grundsätzen bei Verbraucherverträgen (§§ 312, 312a BGB) sowie für außerhalb von Geschäftsräumen geschlossenen Verträgen und Fernabsatzverträgen (§§ 312b-312h BGB) auch auf Verbraucherverträge anwendbar sind, „bei denen der […]
Datenübermittlung an einen getäuschten Erwerber
Unter welchen Umständen darf ein Schriftverkehr nach einem Kaufvertrag an einen Dritten herausgegeben werden? Mit dieser Frage befasste sich die Landesbeauftragte für Datenschutz und Informationsfreiheit Saarland (LfDI Saarland) in ihrem aktuellen Tätigkeitsbericht 2022 (ab S. 99). Dabei untersuchte sie – anlässlich der Beschwerde des Betroffenen – einen Fall, bei dem dessen Korrespondenz mit einem Onlineshop-Betreiber […]
Die Rolle der Rechenschaftspflicht im Rechtsstreit
Nach Art. 5 Abs. 2 DSGVO ist jeder datenschutzrechtlich Verantwortliche (Art. 4 Nr. 7 DSGVO) zur Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 DSGVO verpflichtet und muss deren Einhaltung nachweisen können. Die Tragweite dieser als „Rechenschaftspflicht“ bekannten Obliegenheit wird oftmals unterschätzt (wir berichteten). Sie führt grundsätzlich zu hohem Dokumentationsaufwand, […]
Generalanwalt des EuGH bejaht: Verantwortliche trifft Bußgeldhaftung für Auftragsverarbeiter
Im Zuge des EuGH-Rundumschlags zum Datenschutz am 4. Mai 2023 (wir berichteten) kam es zu einer für die Praxis hoch relevanten, wenn auch nicht überraschenden Stellungnahme: Der Generalanwalt Emiliou äußerte sich in der Rechtssache C-683/21 zu der Frage, ob Bußgelder gemäß Art. 83 DSGVO gegen Verantwortliche (Art. 4 Nr. 7 DSGVO) verhängt werden können, wenn […]
Bewerberdatenbank per Google Suche – Der HBDI äußert sich zur Zulässigkeit
Geeignetes Personal für freie Stellen in Unternehmen ist heutzutage einfach aufzuspüren. Mithilfe des Internets können potenzielle Kandidatinnen und Kandidaten mit den passenden Qualifikationen schnell gefunden und in eine eigene Datenbank aufgenommen werden. Doch gibt es bei diesem Vorgehen datenschutzrechtliche Anforderungen zu beachten. Dazu hat sich der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) in seinem […]