Am 1. Oktober hat der Europäische Gerichtshof ein Urteil gefällt, das große Auswirkungen auf die Gestaltung der im Internet weit verbreiteten „Cookie-Banner“ haben könnte. Zwar lag dem EuGH eigentlich nicht das klassische „Cookie-Banner“ zur Entscheidung vor, gleichwohl trifft das Urteil Aussagen, die in der Praxis auch hierfür bedeutsam sind. Wie ausdrücklich muss eine Einwilligung sein? Konkret ging […]
Datenschutz-Grundverordnung
Erstellen von Führerscheinkopien
Jeder Arbeitgeber, der seinen Angestellten ein Kfz zur Verfügung stellt, ist verpflichtet zu überprüfen, ob der Mitarbeiter die dazu erforderliche Fahrerlaubnis hat und ihm das Führen des Fahrzeugs gestattet ist. Kommen Arbeitgeber dieser Prüfung nicht nach, können sie sich nach § 21 Abs. 1 Nr. 2 StVG strafbar machen. Darf der Arbeitgeber im Rahmen der […]
Bußgeld i.H.v. 2.830.410 PLN – Polen legt nach
Die polnische Datenschutzaufsicht UODO (Urząd Ochrony Danych Osobowych) hat wegen Verletzung der Umsetzung angemessener technischer und organisatorischer Maßnahmen sowie fehlender Nachweisbarkeit von einzuholenden Einwilligungen zur Datenverarbeitung ein Bußgeld in Höhe von umgerechnet EUR 660.000,00 gegen das Unternehmen Morele.net Sp. z o. o. verhängt. Das Unternehmen mit Hauptsitz in Krakau betreibt diverse Online-Shops und speichert die […]
Neues Berechnungsmodell für Bußgelder?
Nachdem unsere europäischen Nachbar-(Aufsichtsbehörde)n in den letzten Monaten mit diversen sehr hohen Bußgeldern – zum Teil im zweistelligen Millionenbereich – auf sich bzw. auf eklatante Datenschutz-Verstöße aufmerksam gemacht haben, wollen jetzt offensichtlich auch die deutschen Aufsichtsbehörden nicht mehr dahinter zurückstehen. Auf der letzten Datenschutzkonferenz (DSK- im Juni 2019) stellte die Aufsichtsbehörde Berlin ein Berechnungsmodell vor, […]
Datenschutzrecht meets Compliance
Welche Auswirkungen wird das Gesetz zur Bekämpfung von Unternehmenskriminalität auf den Datenschutz haben? In den letzten Tagen hat die derzeitige Bundesjustizministerin, Frau Christine Lamprecht, für Furore gesorgt, als sie den ersten Referentenentwurf zum “Gesetz zur Bekämpfung von Unternehmenskriminalität“ vorgelegt und damit eine Vereinbarung der Großen Koalition (Zeile 5895-5920) eingelöst hat. Schwerpunkte dieses Gesetzesentwurfs sind die […]
Hellenic DPA Fines PWC for Unlawful Processing of Employee Data
The Hellenic Data Protection Authority has fined PriceWaterhouseCoopers Business Solutions SA 150,000.00 € for unlawful processing of employee data, after the Authority had conducted an ex officio investigation in response to a complaint. The Authority also ordered a series of corrective measures and gave PWC three months’ time for their implementation. Reportedly, the company had […]
Fehlendes Berechtigungskonzept im Krankenhaus, ein bußgeldbewehrtes Risiko!
Zu den wohl größten datenschutzrechtlichen Risiken im Krankenhaus zählt freilich ein fehlerhaftes oder gänzlich nicht vorhandenes Berechtigungskonzept. Über dieses wird definiert, wer wann welche Informationen über Patienten einsehen und verarbeiten darf. Erst kürzlich wurde das größte Krankenhaus in Den Haag, das Haga Hospital, wegen eines Verstoßes gegen die DSGVO mit einem Bußgeld in Höhe von […]
Teilnahme am Gewinnspiel darf mit Werbeeinwilligung gekoppelt werden
Das OLG Frankfurt a.M. überrascht mit einer Aussage im Urteil vom 27.06.2019 (Az.: 6 U 6/19). Danach sei es für die Wirksamkeit einer Einwilligung nicht schädlich, wenn diese mit der Teilnahme an einem Gewinnspiel verknüpft sei. Wird diese Entscheidung künftig dazu führen, dass Anbieter von Gewinnspielen völlige Narrenfreiheit haben? Sachverhalt Der Sachverhalt, der diesem Urteil […]
Der Bußgeldkatalog der DSGVO
Das Bußgeld ist (und bleibt wohl) eins der Themen, das die meisten Personen mit der Novellierung des Datenschutzrechts in Verbindung bringen. Wofür ein Bußgeld verhängt werden kann, darüber sind sich die meisten Unternehmen nicht im Klaren. Und so haben zwar viele Chefs und Angestellte Angst davor, ein Bußgeld in exorbitanter Höhe zu erhalten – das […]
Anschluss unter 27701
Diese Nummer sollte man sich merken: ISO 27701. Und nein, kein Tippfehler – gemeint ist nicht ISO 27001, sondern ISO/IEC 27701. Dies ist die neue Ergänzungsnorm für ein Datenschutz-Managementsystem. Nanu, darüber wurde doch schon am 04. März 2019 hier berichtet. Was ist neu? Neu ist, dass die vormals im Draft ISO/IEC 27552 genannte Norm final […]
Wann ist eine Datenschutz-Folgenabschätzung erforderlich? Zur Stellungnahme des Europäischen Datenschutzbeauftragten
Der Europäische Datenschutzbeauftragte (EDPS) hat sich am 16.07.2019 zu den Kriterien für die Erforderlichkeit einer Datenschutz-Folgenabschätzung geäußert. Zur Erinnerung: Eine Datenschutz-Folgenabschätzung ist gem. Art. 35 DSGVO für den Verantwortlichen insbesondere dann erforderlich, wenn „[…]eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich […]
Forum shopping between data protection authorities?
The data protection authority (DPA) of the German federal state of Hamburg recently opened administrative proceedings against Google. It relates to Google’s “Google Assistant” System, the natural language assistant behind the “Google Home” speaker, and transcripts from it. The Belgian public broadcaster VRT NWS recently revealed that recordings from “Google Assistant” were systematically listened to […]
“Forum shopping” zwischen Aufsichtsbehörden?
Die Datenschutzbehörde des Landes Hamburg hat kürzlich ein Verwaltungsverfahren gegen Google eröffnet. Es bezieht sich auf das Google-System “Google Assistant”, den Sprachassistenten hinter dem “Google Home” -Lautsprecher, und Abschriften daraus. Der belgische öffentlich-rechtliche Sender VRT NWS hat kürzlich veröffentlicht, dass Aufzeichnungen von „Google Assistant“ systematisch von Menschen abgehört und transkribiert wurden: von freiberuflichen Google-Vertragspartnern. In […]
Europaweit einheitliche Fristberechnung bei der Meldung von Datenpannen?
In Anbetracht der hohen Sanktionsmöglichkeiten der DSGVO kommt der Einhaltung von Fristen eine besondere Bedeutung zu. In der Praxis spielt insbesondere die korrekte Bemessung der 72-Stundenfrist zur Meldung von Datenpannen für Unternehmen eine wichtige Rolle. Die Pflicht zur Meldung nach Art. 33 DSGVO setzt in dem Zeitpunkt ein, in dem die Verletzung dem Verantwortlichen bekannt […]
Datenschutzmanagement-System – Alles im Griff?
Die Datenschutzgrundverordnung (DSGVO) mit ihrer Umsetzung stellt für viele Unternehmen eine große Aufgabe dar. Sie verpflichtet Unternehmen ein Datenschutzmanagement einzuführen, das den Schutz der personenbezogenen Daten im Unternehmen sicherstellen soll. Doch welche Gründe sprechen für die Einführung eines Datenschutzmanagement-Systems (DSMS) bzw. welche Ziele können durch den Einsatz erreicht werden? Exemplarisch haben wir die folgenden drei […]