I Gerichtsentscheidungen
- Personenbezogene Daten: Der Europäische Gerichtshof (EuGH) hat klargestellt, dass nicht alle Daten automatisch personenbezogen sind. Im Fall GVA/Scania wurde entschieden, dass eine Fahrzeugidentifikationsnummer nicht zwangsläufig personenbezogene Daten darstellt. Ob Daten personenbezogen sind, hängt also davon ab, ob das jeweilige Unternehmen die Möglichkeit hat, die Person, zu der die Daten gehören, vernünftigerweise zu identifizieren. Die datenschutzrechtlichen Regelungen greifen demnach erst, wenn eine Identifizierung ohne unverhältnismäßigen Aufwand möglich und wahrscheinlich ist.
- Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO:
- Verantwortlichkeit durch Mitwirkung: Der EuGH hat in einem Fall zur litauischen Corona-Warn-App die Rolle des nationalen Zentrums für öffentliche Gesundheit Litauen als Verantwortlichen bestätigt, obwohl die App ohne dessen Genehmigung veröffentlicht wurde. Das Zentrum wurde als verantwortlich eingestuft, weil es aktiv die Datenverarbeitungsparameter mitbestimmt hatte. Eine Verantwortlichkeit kann sich daher auch lediglich aus dem Gesetz ergeben.
- Rechtmäßigkeit der Datenverarbeitung:
- Speicherdauer bei Restschuldbefreiungen: Der EuGH hat die Speicherpraxis der SCHUFA kritisiert, die Daten länger als gesetzlich vorgesehen speicherte, und betonte die Schwere des Eingriffs in die EU-Grundrechte der betroffenen Personen. Eine Speicherung für einen längeren Zeitraum als die gesetzlich vorgegebenen 6 Monate sei nicht rechtfertigbar.
- Auskunftsrecht nach Art. 15 DSGVO: Der EuGH hat entschieden, dass Auskünfte nach dieser Vorschrift grundsätzlich kostenfrei zu erteilen sind, auch wenn nationales Recht eventuell Kosten vorsieht. Das EU-Recht verdrängt hier nationales Recht.
- Datenschutzverletzungen und Schadenersatz:
- Verletzung der Datensicherheitspflicht: Nicht jeder Datenverstoß stellt automatisch eine Verletzung der Datensicherheitspflichten dar. Der Verantwortliche muss jedoch den Nachweis ausreichender Sicherheitsmaßnahmen erbringen.
- Schadensersatz: Der EuGH hat bestätigt, dass Schadensersatzansprüche das Vorliegen von tatsächlichen negativen Folgen für den Betroffenen erfordern. Der Schaden kann auch geringfügig sein, muss allerdings auch bezifferbar sein.
- Bußgelder
Der EuGH hat präzisiert, dass für die Zuweisung eines Datenschutzverstoßes zur juristischen Person das Handeln einer natürlichen Person ausreicht, die im Rahmen ihrer beruflichen Tätigkeit agiert. Für die Zurechnung eines DSGVO-Verstoßes zu einer juristischen Person reicht es laut dem EuGH aus, wenn der Verstoß von einer „natürlichen Person“ begangen wurde, die im Rahmen der unternehmerischen Tätigkeit und im „Namen“ des Verantwortlichen handelt.
II Gesetzgebung
- Data Governance Act: Seit dem 24.09.2023 ist der EU Data Governance Act bindend und regelt unter anderem die Weiterverwendung von Daten durch öffentliche Stellen.
- Data Act: Der Data Act, in Kraft seit dem 11.01.2024, regelt den Umgang mit Daten von vernetzten Geräten und den dazugehörigen Diensten, mit einer Übergangsfrist bis zum 12.09.2025.
- EU AI Act: Am 09.12.2023 wurde im Trilog eine Einigung zum EU AI Act erzielt, die vom EU-Parlament am 13.03.2024 so übernommen wurde. Der neue AI Act sieht eine Regulierung der Anbieter und Betreiber von KI Systemen anhand von Risikoklassen vor, die sich am Einsatzzweck orientieren. Hinzu gekommen ist im Laufe des Gesetzgebungsverfahrens eine Regulierung von „General Purpose AI“. Der AI Act sieht unter anderem Transparenzpflichten und Meldepflichten sowie ein Verbot bestimmter Hochrisiko-KI-Anwendungen vor.
- Verbraucherrechtedurchsetzungsgesetz (VDuG): Das am 13.10.2023 in Deutschland in Kraft getretene VDuG ermöglicht es Verbraucherschutzverbänden, Verbraucherrechte gerichtlich durchzusetzen und Schadensersatzansprüche für Verbraucher geltend zu machen. Dazu zählen nun auch Ansprüche die sich aus dem Datenschutzrecht ableiten lassen.