Im heutigen Blogbeitrag befassen wir uns mit der Informationspflicht bei einer indirekten Datenerhebung und einem aktuellen Urteil des Europäischen Gerichtshofs (EuGH) dazu. Das EuGH-Urteil vom 28.11.2024 in der Rechtssache C-169/23 betrifft das Vorabentscheidungsersuchen des Obersten Gerichts in Ungarn. Im Mittelpunkt steht die Auslegung des Art. 14 Abs. 5 lit. c DSGVO in Bezug auf Ausnahmen […]
Verantwortlicher
Wann haftet mein Unternehmen für Auftragsverarbeiter?
Der Einsatz von externen Dienstleistern und die Auslagerung bestimmter Prozesse ist für fast alle Unternehmen selbstverständlich. Dies kann verschiedenste Gründe haben, beispielsweise nicht ausreichende personelle Kapazitäten, Verbesserung von Arbeitsprozessen oder Sicherstellung der Verfügbarkeiten (z. B. durch Backups in externen Rechenzentren). Sofern personenbezogene Daten des Verantwortlichen in dessen Auftrag (weisungsgebunden) durch Dienstleister verarbeitet werden, handelt es sich […]
Datenschutz in Vereinen in der Schweiz
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat im Juli 2024 weitere Informationen zur Bearbeitung von Personendaten im Rahmen der Vereinsarbeit herausgegeben. Hierbei geht der EDÖB insbesondere auf Neuerungen aufgrund des im vergangenen Jahr in Kraft getretenen neuen Schweizer Datenschutzgesetzes (DSG) ein (wir berichteten). Zum Verständnis des folgenden Textes sei darauf hingewiesen, dass, anders als in […]
Verweise auf (zu viele) Unterauftragsverarbeiter in AV-Verträgen
Vereinbarungen zu eingesetzten Unterauftragsverarbeitern innerhalb von Auftragsverarbeitungsverträgen (AV-Verträge oder auch AVV) führen immer wieder zu Rückfragen. Dies gilt insbesondere in Bezug auf Dienstleister aus Drittstaaten, d. h. aus Ländern außerhalb der EU bzw. des EWR. Nicht immer fallen diese unter einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO). In diesem Fall sind andere (geeignete) Garantien […]
Wie weit geht die Weisungsgebundenheit von Auftragsverarbeitern?
In Art. 4 Nr. 8 DSGVO wird ein Auftragsverarbeiter definiert als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Dabei ist sicherzustellen, dass der zwischen einem datenschutzrechtlich Verantwortlichen und einem Auftragsverarbeiter zu schließende Auftragsverarbeitungsvertrag (AVV) Regelungen zur Weisungsgebundenheit enthält: Nach Art. 28 Abs. 3 S. […]
EuGH-Urteil zum Löschverlangen von Aufsichtsbehörden
Im März hat sich der Europäische Gerichtshof (EuGH, Urteil vom 14.03.2024 – C-46/23) zu der Frage geäußert, ob Datenschutzaufsichtsbehörden die Löschung personenbezogener Daten anordnen können. Ausgangspunkt war ein Meinungsstreit in Ungarn. Dieser basierte auf der Ansicht einer Verwaltungsbehörde, dass ein Löschantrag i. S. d. Art. 17 DSGVO (nur) betroffenen Personen vorbehalten sei. Die ungarische Aufsichtsbehörde […]
Kann „Microsoft Copilot with commercial Data Protection“ datenschutzkonform eingesetzt werden?
Heute beschäftigen wir uns mit der bereits im Titel dieses Blogbeitrags gestellten Frage. Die Frage ist dabei bewusst ziemlich speziell formuliert, denn wir wollen uns heute mit nur einer Ausprägung der verschiedenen Lizenzen beschäftigen, die Microsoft im Rahmen seines KI-gestützten Assistenztools „Copilot“ anbietet. Die Lizenz, um die es heute geht, nennt sich „Microsoft Copilot with […]
Verantwortliche haften für Auftragsverarbeiter – EuGH schließt sich Generalanwalt an
Der Europäische Gerichtshof (EuGH) hat sich in seinem Urteil vom 05.12.2023 (C-683/21) nicht nur mit der gemeinsamen datenschutzrechtlichen Verantwortlichkeit beschäftigt (wir berichteten). In der sechsten und letzten Vorlagefrage, die das litauische Verwaltungsgericht dem EuGH vorlegte, ging es um die Bußgeldhaftung eines Verantwortlichen für Datenverarbeitungen seines Auftragsverarbeiters. So wurde gefragt, ob … … von Art. 83 […]
Datenschutzrechtliche Betrachtung von Dienstleistern und deren Zuverlässigkeit
Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO sind ein wichtiger Standard und gehören datenschutzrechtlich gewissermaßen zum guten Ton, wenn ein Verantwortlicher einen Dienstleister für seine Zwecke einspannen möchte. Im Informationszeitalter sind sie angesichts „cloud-technischer“ Omnipräsenz Massenware und in mannigfaltiger Form anzutreffen. Es gibt zahlreiche Vorlagen und Muster, sowohl aus der Feder verschiedener Interessenverbände als auch […]
Hamburger Datenschutzaufsichtsbehörde zur Reichweite von Auskunftsansprüchen bei Identitätsdiebstählen
Im aktuellen „Tätigkeitsbericht Datenschutz 2022“ des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) werden die in der Praxis vermehrt auftretenden Auskunftsansprüche bei Identitätsdiebstählen datenschutzrechtlich analysiert und bewertet. In vielen Fällen begehren die betroffenen (geschädigten) Personen von den Onlineshops oder Dienstleistern Auskunft über die Datenverarbeitung nach Art. 15 Abs. 1 DSGVO bzw. eine Kopie nach Art. […]
Art. 15 DSGVO: Sind Subunternehmen auch Empfänger – was gilt im Auftragsverhältnis innerhalb eines Konzerns?
Mit dem Urteil vom 12.01.2023 hat der EuGH klargestellt, was Datenschützer schon lange vermuteten: Verantwortliche haben bei der Bearbeitung eines Auskunftsersuchens nach Art. 15 DSGVO primär die konkreten Empfänger zu benennen und es ist ihnen nur im Ausnahmefall gestattet, auf die Kategorien von Empfängern zu verweisen (siehe auch Urteil des EuGH, 12.01.2023, C‑154/21). Im Anschluss […]
Hilfe, mein Auftragsverarbeiter will keinen Vertrag schließen!
Auch fast fünf Jahre nach Inkrafttreten der DSGVO kommt es in einigen Fällen nach wie vor zu folgender Situation: Dienstleister, die mit der Verarbeitung von personenbezogenen Daten beauftragt wurden bzw. werden sollen, zeigen keine Reaktion auf Anfragen zum Abschluss, zur Überarbeitung oder zur Aktualisierung eines Auftragsverarbeitungsvertrags. Datenschutzrechtlich Verantwortliche stellt dies wiederum vor große Herausforderungen. Auf […]
Keine fristlose Kündigung, wenn der Chef keine Ahnung vom Datenschutz hat
Datenschutzbeauftragte genießen nach deutschem Recht einen Sonderkündigungsschutz (wir berichteten). Für eine (fristlose) Kündigung muss schon ein wichtiger Grund vorliegen. Klage eines Datenschutzbeauftragten gegen fristlose Kündigung Mit dem Fall der fristlosen Kündigung eines internen Datenschutzbeauftragten hatte sich vor Kurzem das Arbeitsgericht Heilbronn (ArbG Heilbronn, Urteil vom 29.09.2022, Az. 8 Ca 135/22) zu befassen. Das ArbG Heilbronn […]
Verarbeitung personenbezogener Daten – gemeinsame Verantwortung oder Übermittlung an eigenständigen Dritten
Bei der Beteiligung mehrerer Parteien an einer Verarbeitung personenbezogener Daten ist die richtige Einordnung der datenschutzrechtlichen Verantwortlichkeit von entscheidender Bedeutung. Je nach Art der Beteiligung sind unterschiedliche Vereinbarungen und Rechtsgrundlagen erforderlich. In den meisten Fällen wird ein Unternehmen ein anderes mit einer Dienstleistung beauftragen, so dass ein Auftragnehmer – Auftraggeber-Verhältnis vorliegt. In Teil 1 dieser […]
Wer ist Verantwortlicher für die Verarbeitung personenbezogener Daten?
Sobald unterschiedliche Stellen an einer Verarbeitung personenbezogener Daten beteiligt sind, stellt sich die Frage der datenschutzrechtlichen Verantwortlichkeit. Diese Beitragsreihe soll einen verständlichen Überblick zu den häufigsten Situationen geben, um die eigene datenschutzrechtliche Verantwortlichkeit mit den sich daraus ableitenden Rechten und Pflichten besser einordnen zu können. Auf eine Wiedergabe der gesetzlichen Definitionen wird nach Möglichkeit verzichtet. […]