Schadensersatz bei einem möglichen Missbrauch von persönlicher Daten

DS-GVO Nachrichten

Bereits die Befürchtung eines Datenmissbrauchs kann einen immateriellen Schaden darstellen und zu Schadenersatzforderungen führen. (EuGH C-340/21 – 14.12.2023)   Der Europäische Gerichtshof (EuGH) hat festgestellt das bereits bei einem möglichen Missbrauch von persönlichen Daten einen Schadenersatz durch den/die betroffene eingefordert werden kann. Für Verantwortliche (Unternehmen) bedeutet dieses: Um einen Schadenersatzanspruch abzuwehren, muss das Unternehmen welches Opfer eines Cyberangriffs wurde nachweisen können, dass die getroffenen Schutzmaßnahmen geeignet waren, um einen solchen Angriff zu verhindern. Der Verantwortliche muss nachweisen können das er "in keinerlei Hinsicht für den Schaden verantwortlich" ist. Für Betroffenen bedeutet dieses: Betroffenen können nicht einfach behaupten, dass sie einen immateriellen Schaden erlitten haben. Sie müssen nachweisen das sie bereits durch eine mögliche zukünftige missbrauchs ihrer personenbezogenen Daten geschädigt wurden....

Weiterlesen

Hinweisgeberschutzgesetz (HinSchG)

DS-GVO Nachrichten

Datenschutz-Folgenabschätzung (DSFA) erforderlich! Die EU-Whistleblower-Richtlinie wurde am 2. Juli 2023 mit den Hinweisgeberschutzgesetz (HinSchG) in nationales Recht umgesetzt. Das Hinweisgeberschutzgesetz (HinSchG), auch als Whistleblower-Gesetz bekannt, soll Hinweisgeber vor Repressalien schützen, wenn sie schwerwiegende Verstöße gegen das öffentliche Auftragswesen, den Verbraucherschutz, den Datenschutz, den Umweltschutz, Steuerbetrug usw. melden. Die Meldung solcher Verstöße setzt die Verarbeitung nicht nur personenbezogener Daten des Hinweisgebers, sondern auch der Person voraus, die die Verstöße begangen hat (die "betroffene Person"). Da viele Bereiche dem Strafrecht unterliegen, bedeutet dies, dass auch Daten über die betroffene Person verarbeitet werden, die sich auf Straftaten beziehen. Infolgedessen muss eine Organisation, welche Daten nach dem Hinweisgeberschutzgesetz verarbeitet, auch eine Datenschutz-Folgenabschätzung (DSFA) durchführen, um der DSGVO gerecht zu werden.   Fazit: Es ist...

Weiterlesen

Regelungen zur Telearbeit

DS-GVO Nachrichten

Neue Regelungen zur Telearbeit (Remote IT-gestützte Arbeit) aus dem Ausland 01.07.2023 In einem neuen multilateralen Rahmenübereinkommen haben sich die Staaten;  Belgien, Deutschland, Finnland, Kroatien, Lichtenstein, Luxemburg, Malta, die Niederlande, Norwegen, Österreich, Polen, Portugal, Schweden, die Schweiz, die Slowakei, Spanien und Tschechien auf ein vereinfachtes Verfahren zur Erteilung der Ausnahmevereinbarungen bei grenzüberschreitender Telearbeit geeinigt. Das Rahmenübereinkommen Voraussetzung für die Erteilung der Ausnahmevereinbarung ist, dass die Telearbeit, wie z.B. Homeoffice, remote Arbeiten im Wohnsitzstaat des Beschäftigten zwischen 25 % und weniger als 50% der gesamten Beschäftigung ausmacht. Wenn also ein Mitarbeiter 2 Tage pro Woche an seinem Wohnsitz in Deutschland im Homeoffice arbeitet und der Arbeitgeber seinen Sitz hat in der Schweiz, dann kann damit die Sozialversicherungspflicht in Deutschland bleiben. Der Antrag...

Weiterlesen

Informationen zum EU-US-Datenschutzabkommen

DSGVO News

Informationen zum EU-US-Datenschutzabkommen Unternehmen, die zukünftig Daten aus der EU an US-Unternehmen übertragen wollen, müssen vorab prüfen, ob der Empfänger der personenbezogenen Daten eine entsprechende Zertifizierung vorweisen kann. Der Verantwortlicher muss mindesten jährlich prüfen, ob die Zertifizierung noch vorliegt. Wenn man sich diesen Angemessenheitsbeschluss mal näher ansieht und mit vorhergehenden Beschlüssen vergleicht, fällt auf das dieser nicht generell für ein gesamtes Gebiet, wie z.B. den USA, getroffen würde. In diesem besonderen Fall ist der Angemessenheitsbeschluss nur dann gültig, wenn ein in den USA ansässiges Unternehmen sich selbst zertifiziert hat und dieses vorweisen kann. Dabei reicht es nicht aus, dass das Unternehmen dieses nur mal ebenso auf Ihre Unternehmenswebsite erklären kann, laut dem Datenschutzabkommen / Angemessenheitsbeschluss muss das Unternehmen zwingend gelistet...

Weiterlesen

Angemessenheitsbeschluss für die USA

DSGVO News

Das Datenschutzabkommen zwischen der EU und der USA Update 17.07.2023 Die Website https://www.dataprivacyframework.gov/s/ ist jetzt aktiv und es sind unter URL https://www.dataprivacyframework.gov/s/participant-search Unternehmen auffindbar. Verantwortliche müssen prüfen, ob das in den USA ansässige Unternehmen auf dieser Liste auffindbar ist. Erst wenn dies der Fall ist, ist der Angemessenheitsbeschluss eine rechtliche Grundlage für eine Übertragung von personenbezogenen Daten in den USA. Warum das so ist, möchte ich nachstehend erläutern. Wenn man sich diesen Angemessenheitsbeschluss mal näher ansieht und mit vorhergehenden Beschlüssen vergleicht, fällt auf das dieser nicht generell für ein gesamtes Gebiet, wie z.B. den USA, getroffen würde. In diesem besonderen Fall ist der Angemessenheitsbeschluss nur dann gültig, wenn ein in den USA ansässiges Unternehmen sich selbst zertifiziert hat und dieses...

Weiterlesen

Neues Datenschutzabkommen zwischen der EU und der USA

DSGVO News

Neues EU-US-Datenschutzabkommen am 10. Juli 2023 in Kraft getreten Drei Jahren wurde um ein neues Datenschutzabkommen zwischen der EU und den USA gerungen. Wie die EU-Kommission am Montag, den 10. Juli 2023, in Brüssel mitteilte ist jetzt eine neue Regelung in Kraft getreten. Diese führt demnach verbindliche Garantien ein, um die zuvor vom Europäischen Gerichtshof (EuGH) geäußerten Bedenken auszuräumen. Die USA gewährleisteten nun ein „angemessenes Schutzniveau“ für personenbezogene Daten, die aus der EU an Unternehmen in Amerika übermittelt werden. Somit ist für viele Unternehmer*innen, Verantwortlichen und Datenschutzbeauftragten endlich ein Ende gekommen an eine lange Zeit von Rechtunsicherheit und das Damoklesschwert eines saftigen Bußgelds. Mein Fazit vorab Gut gemeint – schlecht gemacht! warum das so ist, erkläre ich nachstehend    ...

Weiterlesen

Das Pflegeunterstützungs- und -entlastungsgesetz – PUEG

DSGVO News

Warum braucht der Arbeitgeber eigentlich die Geburtsurkunden der Kinder? Viele Arbeitgeber verlangen wegen das PUEG von Ihren Mitarbeitern die Abgabe der Geburtsurkunden deren Kinder. Oftmals auch wenn diese bereits vorliegen, sowie die von den bereits volljährigen Kindern. Begründet wird dieses mit einer durch die Behörden aufgelegter Beweisführung bei Prüfungen. Vor allem durch zusätzlichen bürokratischen Aufwand sorgt die Pflegereform für große finanzielle und bürokratische Belastungen bei Arbeitgebern. Dabei ist es fraglich, ob dieser Aufwand überhaupt vom Gesetzgeber gefordert wird, unbedingt notwendig ist und ob es nach den Datenschutzgesetzen zulässig ist.   Was dürfen Arbeitgeber für die Behörden speichern? Arbeitgeber dürfen laut Bundesdatenschutzgesetz (BDSG) nur Mitarbeiterdaten speichern und verarbeiten, die zur Durchführung des Beschäftigungsverhältnisses erforderlich sind. Dazu gehören vor allem die Stammdaten...

Weiterlesen

Betriebliche Datenschutzbeauftragte

DSGVO News

Interessenkonflikte und Selbstkontrolle Betriebliche Datenschutzbeauftragten haben unter anderem die die Aufgabe Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten zu beraten und die Einhaltung der Datenschutzvorschriften zu kontrollieren. Der Datenschutzbeauftragte*r mus dabei, neben nachweisbare Fachkunde im Datenschutzrecht und -Praxis, über folgenden Fähigkeiten verfügen; juristische Kenntnisse; IT-Kenntnisse; betriebswirtschaftliche Kenntnisse; zuverlässigkeit; unabhängigkeit. Die unabhängigkeit wird dabei oft falsch verstanden. Der Datenschutzbeauftragte*r kann selbstverständlich auch ein Mitarbeiter des Unternehmens sein. Dabei muss allerdings der Artikel 38 Abs.6 Satz 2 beachtet werden: [su_note note_color="#FFFF66" text_color="#333333" radius="3" class=""] „Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“ [/su_note] Der Datenschutzbeauftragte darf im Unternehmen also keine Aufgaben erfüllen, die zu einem Interessenkonflikt führen...

Weiterlesen

Abmahnung Google Fonts

DSGVO News

Nachdem bereits in Österreich eine Abmahnwelle im Zusammenhang mit Google Fonts stattgefunden hat, ist diese jetzt auch in Deutschland angekommen. Auffällig ist, dass diese Abmahnungen ausschließlich von Rechtsanwalt Kilian Lenard für seinen Mandanten Martin Ismail stammen. Eine kurze Überprüfung der im Schreiben genannte Rechtsurteile gibt erste Hinweise auf eine mögliche rechtswidrige Forderung. 16 Sa 761/20Betrifft: Die Parteien streiten um die Wirksamkeit einer außerordentlichen Kündigung wegen pflichtwidrigen Verhaltens des Klägers sowie daraus resultierende Schadensersatzansprüche der Beklagten, ferner um Freistellung von Rechtsanwaltskosten, restliche Bonusansprüche für das Jahr 2018 und Schadensersatzansprüche wegen behaupteten datenschutzwidrigen Verhaltens. Quelle https://openjur.de/u/2363401.html   31 O 16606/20Betrifft: Der Kläger ist Kunde der Beklagten. Vor dem Eingehen der Geschäftsbeziehung hat der Kläger der Beklagten, ein Finanzdienstleistungsunternehmen, zahlreiche personenbezogene Daten zur...

Weiterlesen

Sind öffentliche Daten immer frei nutzbar?

DSGVO News

Einsicht in das Grundbuch kann jeder erhalten, der ein berechtigtes Interesse hat. (DS-GVO Art. 6 Abs. 1 lit. f) Möglicherweise wird sich das der Bauträger im folgenden Fall gedacht haben. Ein Vermessungsingenieur hat von seiner Befugnis zur Einsichtnahme in das elektronische Grundbuch im automatisierten Abrufverfahren Gebrauch gemacht und Grundstückseigentümer ohne deren Kenntnis identifiziert und die entsprechenden Informationen an einen Bauträger weitergegeben. Der Bauträger unterbreitete die Grundstückseigentümer ein Angebot für deren Grundstücke, ohne dabei über die Herkunft der Daten (DS-GVO Art. 14) zu informieren. Auf Nachfrage beim Bauträger zur Herkunft der Daten nach DS-GVO Art. 15 wurde von Seiten des Bauträgers nicht reagiert. So kam es wie es kommen musste. Nach einer Beschwerde beim Landesbeauftragten wurde eine Ermittlung durchgeführt.  Der Sachverhalt...

Weiterlesen