1. Home
  2. News
  3. Entwicklungen im Datenschutzrecht
  • Datenschutz

Entwicklungen im Datenschutzrecht

I Gerichtsentscheidungen

  1. Personenbezogene Daten: Der Europäische Gerichtshof (EuGH) hat klargestellt, dass nicht alle Daten automatisch personenbezogen sind. Im Fall GVA/Scania wurde entschieden, dass eine Fahrzeugidentifikationsnummer nicht zwangsläufig personenbezogene Daten darstellt. Ob Daten personenbezogen sind, hängt also davon ab, ob das jeweilige Unternehmen die Möglichkeit hat, die Person, zu der die Daten gehören, vernünftigerweise zu identifizieren. Die datenschutzrechtlichen Regelungen greifen demnach erst, wenn eine Identifizierung ohne unverhältnismäßigen Aufwand möglich und wahrscheinlich ist.
  2. Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO:
    • Verantwortlichkeit durch Mitwirkung: Der EuGH hat in einem Fall zur litauischen Corona-Warn-App die Rolle des nationalen Zentrums für öffentliche Gesundheit Litauen als Verantwortlichen bestätigt, obwohl die App ohne dessen Genehmigung veröffentlicht wurde. Das Zentrum wurde als verantwortlich eingestuft, weil es aktiv die Datenverarbeitungsparameter mitbestimmt hatte. Eine Verantwortlichkeit kann sich daher auch lediglich aus dem Gesetz ergeben.
  3. Rechtmäßigkeit der Datenverarbeitung:
    • Speicherdauer bei Restschuldbefreiungen: Der EuGH hat die Speicherpraxis der SCHUFA kritisiert, die Daten länger als gesetzlich vorgesehen speicherte, und betonte die Schwere des Eingriffs in die EU-Grundrechte der betroffenen Personen. Eine Speicherung für einen längeren Zeitraum als die gesetzlich vorgegebenen 6 Monate sei nicht rechtfertigbar.
  4. Auskunftsrecht nach Art. 15 DSGVO: Der EuGH hat entschieden, dass Auskünfte nach dieser Vorschrift grundsätzlich kostenfrei zu erteilen sind, auch wenn nationales Recht eventuell Kosten vorsieht. Das EU-Recht verdrängt hier nationales Recht.
  5. Datenschutzverletzungen und Schadenersatz:
    1. Verletzung der Datensicherheitspflicht: Nicht jeder Datenverstoß stellt automatisch eine Verletzung der Datensicherheitspflichten dar. Der Verantwortliche muss jedoch den Nachweis ausreichender Sicherheitsmaßnahmen erbringen.
    2. Schadensersatz: Der EuGH hat bestätigt, dass Schadensersatzansprüche das Vorliegen von tatsächlichen negativen Folgen für den Betroffenen erfordern. Der Schaden kann auch geringfügig sein, muss allerdings auch bezifferbar sein.
  6. Bußgelder
    Der EuGH hat präzisiert, dass für die Zuweisung eines Datenschutzverstoßes zur juristischen Person das Handeln einer natürlichen Person ausreicht, die im Rahmen ihrer beruflichen Tätigkeit agiert. Für die Zurechnung eines DSGVO-Verstoßes zu einer juristischen Person reicht es laut dem EuGH aus, wenn der Verstoß von einer „natürlichen Person“ begangen wurde, die im Rahmen der unternehmerischen Tätigkeit und im „Namen“ des Verantwortlichen handelt.

II Gesetzgebung

  1. Data Governance Act: Seit dem 24.09.2023 ist der EU Data Governance Act bindend und regelt unter anderem die Weiterverwendung von Daten durch öffentliche Stellen.
  2. Data Act: Der Data Act, in Kraft seit dem 11.01.2024, regelt den Umgang mit Daten von vernetzten Geräten und den dazugehörigen Diensten, mit einer Übergangsfrist bis zum 12.09.2025.
  3. EU AI Act: Am 09.12.2023 wurde im Trilog eine Einigung zum EU AI Act erzielt, die vom EU-Parlament am 13.03.2024 so übernommen wurde. Der neue AI Act sieht eine Regulierung der Anbieter und Betreiber von KI Systemen anhand von Risikoklassen vor, die sich am Einsatzzweck orientieren. Hinzu gekommen ist im Laufe des Gesetzgebungsverfahrens eine Regulierung von „General Purpose AI“. Der AI Act sieht unter anderem Transparenzpflichten und Meldepflichten sowie ein Verbot bestimmter Hochrisiko-KI-Anwendungen vor.
  4. Verbraucherrechtedurchsetzungsgesetz (VDuG): Das am 13.10.2023 in Deutschland in Kraft getretene VDuG ermöglicht es Verbraucherschutzverbänden, Verbraucherrechte gerichtlich durchzusetzen und Schadensersatzansprüche für Verbraucher geltend zu machen. Dazu zählen nun auch Ansprüche die sich aus dem Datenschutzrecht ableiten lassen.

About Cookies

This website uses cookies. Those have two functions: On the one hand they are providing basic functionality for this website. On the other hand they allow us to improve our content for you by saving and analyzing anonymized user data. You can redraw your consent to to using these cookies at any time. Find more information regarding cookies on our Data Protection Declaration and regarding us on the Imprint.
Mandatory

These cookies are needed for a smooth operation of our website.

Name Purpose Lifetime Type Provider
CookieConsent Saves your consent to using cookies. 1 year HTML Website
fe_typo_user Assigns your browser to a session on the server. session HTTP Website
PHPSESSID Temporary cookies which is required by PHP to temporarily store data. session HTTP Website
__cfduid missing translation: trackingobject.__cfduid.desc 30 missing translation: duration.days-session HTTP Cloudflare/ report-uri.com
Statistics

With the help of these statistics cookies we check how visitors interact with our website. The information is collected anonymously.

Name Purpose Lifetime Type Provider
_pk_id Used to store a few details about the user such as the unique visitor ID. 13 months HTML Matomo
_pk_ref Used to store the attribution information, the referrer initially used to visit the website. 6 months HTML Matomo
_pk_ses Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
_pk_cvar Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
MATOMO_SESSID Temporary cookies which is set when the Matomo Out-out is used. session HTTP Matomo
_pk_testcookie missing translation: trackingobject._pk_testcookie.desc session HTML Matomo