Vor kurzem wurde Criteo, ein auf Retargeting und personalisierte Werbung spezialisiertes Unternehmen, von der französischen Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) eine Geldstrafe von 40 Millionen Euro auferlegt. Die Strafe wurde aufgrund mehrerer Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) verhängt. Dieser Blogbeitrag gibt einen Überblick über die von der CNIL festgestellten Verstöße. Hintergrund […]
DSGVO
Lohntransparenz im Lichte des Datenschutzes
Die Europäische Union hat im Mai 2023 eine Richtlinie zur Verbesserung der Lohntransparenz (Richtlinie (EU) 2023/970) verabschiedet, die im Juni in Kraft tritt. Die Mitgliedstaaten müssen die sog. Lohntransparenz-Richtlinie bis zum 7. Juni 2026 umsetzen. Es geht darum, geschlechtsspezifische Diskriminierung bei der Gehaltszahlung aufzudecken und dem entgegenzuwirken (weitere Informationen finden Sie hier). Dies ist auch […]
Regulierungsversuche beim Einsatz von ChatGPT
Künstliche Intelligenz (KI) ist schon seit vielen Jahren ein Teil unseres Lebens und sorgt durch stetig „klüger“ werdende Multitools immer wieder für Schlagzeilen. Zu den bekanntesten zählt derzeit ChatGPT von OpenAI. Mit mehr als 100 Millionen monatlichen Nutzern nur zwei Monate nach dem Start hält der Chatbot offiziell den Rekord für die am schnellsten wachsende […]
Hauptsache Checkbox!
Ob bei der Newsletteranmeldung, in Registrierungsbereichen oder unter Eingabemasken – die Checkbox ist ein gern genutztes Instrument von Websitebetreibern, um die Zustimmung zu einer Datenverarbeitung einzuholen. Leider kommt es jedoch nach wie vor häufig dazu, dass dieses Instrument auch dann eingesetzt wird, wenn es nicht erforderlich ist. Frei nach dem Motto: „Machen wir an dieser […]
Kreditscoring in Österreich: Fragwürdiger Datenbestand der Auskunftei CRIF
Aufgrund mehrerer Beschwerden erließ kürzlich die oberste Datenschutzbehörde Österreichs (DSB) gegen die Auskunftei CRIF GmbH (nachfolgend: CRIF) einen Bescheid, wonach die alleinige Verarbeitung der personenbezogenen Daten „Name, Adresse und Geburtsdatum“ zum Zwecke der Bonitätsbewertung nicht den Anforderungen der Datenschutz-Grundverordnung (DSGVO) genüge. Hinweis: Zum besseren Verständnis sei auf die thematische Einführung zum Scoring & Bonitätsmanagement in […]
Art. 15 DSGVO: Sind Subunternehmen auch Empfänger – was gilt im Auftragsverhältnis innerhalb eines Konzerns?
Mit dem Urteil vom 12.01.2023 hat der EuGH klargestellt, was Datenschützer schon lange vermuteten: Verantwortliche haben bei der Bearbeitung eines Auskunftsersuchens nach Art. 15 DSGVO primär die konkreten Empfänger zu benennen und es ist ihnen nur im Ausnahmefall gestattet, auf die Kategorien von Empfängern zu verweisen (siehe auch Urteil des EuGH, 12.01.2023, C‑154/21). Im Anschluss […]
EuGH zur Anwendbarkeit des nationalen Beschäftigtendatenschutzrechts
In seinem Urteil vom 30.03.2023 (Az. C-34/21) beschäftigt sich der EuGH mit der Datenverarbeitung im Beschäftigungskontext. Konkret ging es um die Frage, ob bzw. wann eine nationale Regelung mit der Öffnungsklausel im Art. 88 Abs. 1 DSGVO vereinbar ist. Auch wenn sich die Ausführungen des EuGH auf eine Vorschrift aus dem hessischen Datenschutzrecht beziehen, haben […]
Update: Stellt die Lohn- und Gehaltsabrechnung durch einen Steuerberater eine Auftragsverarbeitung dar?
Bereits im Juli 2018 hatten wir uns mit diesem Thema in einem Blogbeitrag befasst und auf mehr Klarheit in der Zukunft gehofft. Die Zukunft ist mittlerweile eingetreten und mit ihr kam in der Tat auch mehr Klarheit. Hierzu also folgendes Update: Lange kam es darauf an Die datenschutzrechtliche Einordnung von Rechnungsprüfer*innen und Steuerberater*innen wurde in […]
Hilfe, mein Auftragsverarbeiter will keinen Vertrag schließen!
Auch fast fünf Jahre nach Inkrafttreten der DSGVO kommt es in einigen Fällen nach wie vor zu folgender Situation: Dienstleister, die mit der Verarbeitung von personenbezogenen Daten beauftragt wurden bzw. werden sollen, zeigen keine Reaktion auf Anfragen zum Abschluss, zur Überarbeitung oder zur Aktualisierung eines Auftragsverarbeitungsvertrags. Datenschutzrechtlich Verantwortliche stellt dies wiederum vor große Herausforderungen. Auf […]
Videosprechstundenanbieter, der Datenschutz und der Bericht des vzbv
Die Videosprechstunde hat in den letzten Jahren immer mehr an Bedeutung gewonnen, insbesondere während der Corona-Pandemie. Das digitale Gespräch zwischen Behandler und Patient bietet viele Vorteile, birgt aber auch Risiken im Hinblick auf den Datenschutz. Der Verbraucherzentrale Bundesverband e. V. (vzbv) hat sich kürzlich mit dem Thema Videosprechstunde und Datenschutz beschäftigt und Anfang Februar 2023 […]
DSGVO-Bußgelder gegen öffentliche Stellen: Hintergrund, Beschränkungen und Alternativen
Während Bußgelder für Datenschutzverstöße privatwirtschaftlicher Stellen in aller Munde sind, bleiben Bußgelder gegen öffentliche Stellen in Deutschland eher die Ausnahme. Die gesellschaftspolitischen Gründe hierfür erscheinen zunächst einleuchtend, da Bußgelder im öffentlichen Bereich oftmals nur zu einer „Umtopfung“ von Steuergeldern führen und insbesondere auf unterster Ebene der Verwaltungshierarchie spürbare Konsequenzen für die Bürger*innen haben können, wenn […]
Auf schmalem Grat
Die Datenschutzkonferenz (DSK) hat einen Beschluss vom 31.01.2023 veröffentlicht, in dem es um die datenschutzrechtliche Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten geht, die innerhalb der EU bzw. dem EWR verarbeitet werden. Ohne den Elefanten im Raum zu benennen, ist dieser Beschluss vor allem im Hinblick auf den CLOUD Act der USA […]
EuGH-Urteil zur systematischen Erhebung genetischer und biometrischer Daten durch die Polizei
„Die systematische Erhebung biometrischer und genetischer Daten aller beschuldigten Personen für die Zwecke ihrer polizeilichen Registrierung verstößt gegen die Anforderung, einen erhöhten Schutz gegen die Verarbeitung sensibler personenbezogener Daten zu gewährleisten“ – so lautet die Kernaussage des Urteils des EuGH in der Rechtssache C-205/21 vom 26.01.2023 (siehe Pressemitteilung des EuGH). Dem Urteil des EuGH ging […]
privacy port – Ein Datenschutz-Managementsystem das überzeugt
Unser branchenunabhängiges Datenschutz-Managementsystem privacy port erleichtert bereits vielen Unternehmen und Organisationen die Arbeit. Ab sofort ist privacy port auch mit Content verfügbar: Zum einen können Nutzende der Software auf Vertragsmuster, Verpflichtungserklärungen, Richtlinien und Info-Merkblätter zu Datenschutzthemen zugreifen. Zum anderen stehen Musterformulare für Verarbeitungstätigkeiten zur Verfügung, sodass ohne großen Anpassungsaufwand ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden […]
Clinical Trial Information System – CTIS
Mit der Verordnung (EU) Nr. 536/2014 wurden die Weichen für eine zentrale europäische Arbeitsplattform im Rahmen der klinischen Studien gestellt. Mit dem Clinical Trial Information System (CTIS) hat die European Medicines Agency (EMA) die Grundlage geschaffen, den Austausch von Informationen und Dokumenten über eine zentrale Online-Plattform zu ermöglichen. Die Nutzung der Online-Plattform war gemäß den […]