Auskunftsanspruch nach DSGVO kann Rechtsmissbrauch sein

Gemäß Art. 15 DSGVO haben betroffene Personen gegen Unternehmen einen Anspruch auf Auskunft über die sie betreffenden personenbezogenen Daten. Dies soll den Bürgern ermöglichen, sich „der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können“ (Erwägungsgrund 63 zur DSGVO). In der Praxis kommt es jedoch immer wieder vor, dass betroffene Personen den Auskunftsanspruch „zweckentfremden“, um Unternehmen zu gängeln und um Aufwand zu produzieren, beispielsweise wenn sich über unbezahlte Rechnungen gestritten wird. Dem haben mehrere Gerichte zuletzt einen Riegel vorgeschoben.

Continue reading

Bußgeld EUR 75.000,00 wegen Interessenskonflikt des internen Datenschutzbeauftragten

Ein Gastbeitrag unserer Praktikantin Mariya Popova

Die belgische Datenschutzbehörde hat in einem Bescheid gegen eine Bank eine Geldbuße in Höhe von EUR 75.000,00 verhängt. Der interne Datenschutzbeauftragte der Bank war nach Ansicht der Behörde aufgrund seiner anderen Tätigkeiten im Unternehmen in einen Interessenskonflikt nach Art. 38 Abs. 6 S. 2 DSGVO geraten.

Was macht ein Datenschutzbeauftragter überhaupt und wer braucht einen? Wer kann Datenschutzbeauftragter werden und wer ist verantwortlich bei Verstößen? Wie wird ein Interessenskonflikt verhindert und warum ist es sicherer, einen externen Datenschutzbeauftragten zu benennen? Diese Fragen sollen nachfolgend beantwortet werden.

Continue reading

LG München I: Verwendung von Google Fonts unzulässig

In letzter Zeit rücken vermehrt Anwendungen in den datenschutzrechtlichen Fokus, die personenbezogene Daten – insbesondere IP-Adressen von Website-Besuchern – an Unternehmen wie Google oder Facebook übermitteln (etwa zuletzt in Bezug auf Google Analytics). Hier reiht sich nun ein aktuelles Urteil des Landgerichts München I ein, wonach die Nutzung der Online-Schriftarten von Google Fonts auf einer Website jedenfalls in einer bestimmten Variante unzulässig sein kann.

Continue reading

Dringender Handlungsbedarf beim Einsatz von Mailchimp

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat einem in München ansässigen Unternehmen untersagt, für den Versand von Newslettern den US-amerikanischen Dienstleister „Mailchimp“ zu nutzen. Dem Verbot vorausgegangen war eine Beschwerde durch einen Newsletter-Empfänger. Die Entscheidung hat für Unternehmen, welche Mailchimp oder einen anderen US-Mailingdienst nutzen, weitreichende Folgen.

Mailchimp gehört zu den populärsten Anbietern von Newsletter-Diensten, da die Software eine einfache Bedienung, sowie ein umfangreiches Funktionsspektrum verspricht. Es handelt sich bei Mailchimp um eine Software-as-a-Service-Lösung (SaaS), sodass die Software nicht auf den Servern nutzenden Unternehmens installiert wird. Die E-Mail-Adressen der Empfänger werden stattdessen auf die US-amerikanischen Server von Mailchimp übermittelt und dort verarbeitet.

Continue reading

Cookie Consent Tools: LG Rostock schiebt „Nudging“ einen Riegel vor

Der Europäische Gerichtshof (EuGH) und der Bundesgerichtshof (BGH) hatten zuletzt entschieden, dass für das Setzen von Cookies zu Tracking- und Marketingzwecken eine aktive Einwilligung des Website-Nutzers erforderlich ist. In Detailfragen ließen die Urteile jedoch einigen Gestaltungsspielraum. Das Landgericht Rostock setzt diese Rechtsprechung nun in einem aktuellen Urteil fort, schließt jedoch einige Lücken und macht Website-Betreibern das Leben dadurch ein bisschen schwerer.

Continue reading

Schwerwiegender Datenschutzverstoß: 35,3 Mio. Euro Bußgeld gegen H&M

Aufgrund massiver Datenschutzverstöße gegenüber den eigenen Mitarbeitern durch die H&M Hennes & Mauritz Online Shop A.B. & Co. KG, hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ein Bußgeld von über EUR 35.000.000.00 erlassen. Das Unternehmen sammelte über Jahre Informationen zu den privaten Lebensumständen von über hundert Angestellten. In sogenannten „Welcome-Back-Talks“, sowie in Einzel- und Flurgesprächen wurden unter anderem Informationen zu Krankheitssymptomen und Diagnosen der Mitarbeiter erlangt und teilweise aufgezeichnet.

Ein Gastbeitrag unseres studentischen Mitarbeiters Benjamin Diez.

Continue reading

AG Schwetzingen: Anwaltskosten für DGSVO-Auskunft auch ohne Verzug zu erstatten

Im Zuge eines Verfahrens wegen der unerlaubten Zusendung von Werbemails hat das Amtsgericht Schwetzingen der Klägerin den Ersatz von Rechtsanwaltskosten für die Geltendmachung des datenschutzrechtlichen Auskunftsersuchens nach Artikel 15 DSGVO zugesprochen (Urteil vom 19.08.2019, Az 4C 44/19). Ein derartiger Kostenersatz wird im Allgemeinen nur bei Verzug oder aufgrund einer Rechtsverletzung gewährt.

Continue reading

EuGH kippt Privacy Shield

Am 16. Juli 2020 hat das höchste europäische Gericht in der Rechtssache Maximilian Schrems gegen Facebook und die irische Datenschutzbehörde (C-311/18) sein Urteil gesprochen. Das dem Rechtsstreit zugrunde liegende US-EU-Datenschutzabkommen wurde für unwirksam erklärt und die Anforderungen an Unternehmen, die sich der Standarddatenschutzklauseln (SCC) bedienen, wurden verschärft.

Continue reading

Pflicht zur Benennung eines Datenschutzbeauftragten

Im November 2019 wurden die deutschen Datenschutzregelungen an die Vorgaben der europäischen Datenschutzgrundverordnung (DS-GVO) angepasst. Eine der wichtigsten Änderungen betraf das Bundesdatenschutzgesetz (BDSG): Erst ab 20 Mitarbeitern, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, sind Unternehmen verpflichtet, einen Datenschutzbeauftragten zu bestellen.

Continue reading