Im Dezember 2023 entschied der EuGH in der Rechtssache „Deutsche Wohnen“ (C-807/21), dass juristische Personen im Sinne der DSGVO als Verantwortliche gelten können und somit grundsätzlich Bußgelder gegen sie zulässig sind, auch ohne Identifikation der natürlichen Person, die den Verstoß begangen hat (wir berichteten). Der EuGH betonte zudem, dass Vorsatz und Fahrlässigkeit bei der Verhängung […]
Konzern
Art. 15 DSGVO: Sind Subunternehmen auch Empfänger – was gilt im Auftragsverhältnis innerhalb eines Konzerns?
Mit dem Urteil vom 12.01.2023 hat der EuGH klargestellt, was Datenschützer schon lange vermuteten: Verantwortliche haben bei der Bearbeitung eines Auskunftsersuchens nach Art. 15 DSGVO primär die konkreten Empfänger zu benennen und es ist ihnen nur im Ausnahmefall gestattet, auf die Kategorien von Empfängern zu verweisen (siehe auch Urteil des EuGH, 12.01.2023, C‑154/21). Im Anschluss […]
Auf schmalem Grat
Die Datenschutzkonferenz (DSK) hat einen Beschluss vom 31.01.2023 veröffentlicht, in dem es um die datenschutzrechtliche Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten geht, die innerhalb der EU bzw. dem EWR verarbeitet werden. Ohne den Elefanten im Raum zu benennen, ist dieser Beschluss vor allem im Hinblick auf den CLOUD Act der USA […]
Die Auftragsverarbeitung im Konzerngebilde
Wenn Unternehmen, die wirtschaftlich miteinander verwoben sind, personenbezogene Daten untereinander austauschen, sind viele gedanklich wohl bei der Überschrift zu diesem Artikel: Auftragsverarbeitung im Konzerngebilde. Unser Mitarbeiter Stefan R. Seiter hat sich diesem Thema in der aktuellen Ausgabe der Zeitschrift Datenschutz und Datensicherheit (DuD) gewidmet. Doch ist immer Auftragsverarbeitung drin, wo Auftragsverarbeitung drauf steht? Vieles spricht […]
Konzerninterne Datenweitergabe nicht automatisch zulässig
Das Landesarbeitsgericht (LAG) Hamm hat eine Datenweitergabe innerhalb eines Unternehmensverbundes als unzulässig erachtet, da die Rechte einer Beschäftigten nicht hinreichend beachtet wurden (LAG Hamm, Urteil vom 14.12.2021 – 17 Sa 1185/20). Darüber hinaus gestand das LAG der Beschäftigten ein Schmerzensgeld in Höhe von 2.000 Euro zu. Konkret ging es um folgenden Fall: Die Arbeitgeberin der […]
Das konzernweite CRM-System – Wann ein Bußgeld droht
Bei der Kundendatenverarbeitung nutzen größere Unternehmen meistens ein elektronisches Datenbanksystem, das als „CRM-System“ (Customer Relation Management) der Verwaltung der gesamten Informationen zum Kunden dient. In diesem System kann dann der Vertrieb oder aber der Support die Stammdaten (Name, Tel, E-Mail, Adresse) des Kunden direkt anlegen bzw. einsehen und oftmals auch mit weiteren Angaben verknüpfen, z.B. […]