1. Home
  2. News
  3. Entwicklungen im Datenschutzrecht
  • Datenschutz

Entwicklungen im Datenschutzrecht

I Gerichtsentscheidungen

  1. Personenbezogene Daten: Der Europäische Gerichtshof (EuGH) hat klargestellt, dass nicht alle Daten automatisch personenbezogen sind. Im Fall GVA/Scania wurde entschieden, dass eine Fahrzeugidentifikationsnummer nicht zwangsläufig personenbezogene Daten darstellt. Ob Daten personenbezogen sind, hängt also davon ab, ob das jeweilige Unternehmen die Möglichkeit hat, die Person, zu der die Daten gehören, vernünftigerweise zu identifizieren. Die datenschutzrechtlichen Regelungen greifen demnach erst, wenn eine Identifizierung ohne unverhältnismäßigen Aufwand möglich und wahrscheinlich ist.
  2. Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO:
    • Verantwortlichkeit durch Mitwirkung: Der EuGH hat in einem Fall zur litauischen Corona-Warn-App die Rolle des nationalen Zentrums für öffentliche Gesundheit Litauen als Verantwortlichen bestätigt, obwohl die App ohne dessen Genehmigung veröffentlicht wurde. Das Zentrum wurde als verantwortlich eingestuft, weil es aktiv die Datenverarbeitungsparameter mitbestimmt hatte. Eine Verantwortlichkeit kann sich daher auch lediglich aus dem Gesetz ergeben.
  3. Rechtmäßigkeit der Datenverarbeitung:
    • Speicherdauer bei Restschuldbefreiungen: Der EuGH hat die Speicherpraxis der SCHUFA kritisiert, die Daten länger als gesetzlich vorgesehen speicherte, und betonte die Schwere des Eingriffs in die EU-Grundrechte der betroffenen Personen. Eine Speicherung für einen längeren Zeitraum als die gesetzlich vorgegebenen 6 Monate sei nicht rechtfertigbar.
  4. Auskunftsrecht nach Art. 15 DSGVO: Der EuGH hat entschieden, dass Auskünfte nach dieser Vorschrift grundsätzlich kostenfrei zu erteilen sind, auch wenn nationales Recht eventuell Kosten vorsieht. Das EU-Recht verdrängt hier nationales Recht.
  5. Datenschutzverletzungen und Schadenersatz:
    1. Verletzung der Datensicherheitspflicht: Nicht jeder Datenverstoß stellt automatisch eine Verletzung der Datensicherheitspflichten dar. Der Verantwortliche muss jedoch den Nachweis ausreichender Sicherheitsmaßnahmen erbringen.
    2. Schadensersatz: Der EuGH hat bestätigt, dass Schadensersatzansprüche das Vorliegen von tatsächlichen negativen Folgen für den Betroffenen erfordern. Der Schaden kann auch geringfügig sein, muss allerdings auch bezifferbar sein.
  6. Bußgelder
    Der EuGH hat präzisiert, dass für die Zuweisung eines Datenschutzverstoßes zur juristischen Person das Handeln einer natürlichen Person ausreicht, die im Rahmen ihrer beruflichen Tätigkeit agiert. Für die Zurechnung eines DSGVO-Verstoßes zu einer juristischen Person reicht es laut dem EuGH aus, wenn der Verstoß von einer „natürlichen Person“ begangen wurde, die im Rahmen der unternehmerischen Tätigkeit und im „Namen“ des Verantwortlichen handelt.

II Gesetzgebung

  1. Data Governance Act: Seit dem 24.09.2023 ist der EU Data Governance Act bindend und regelt unter anderem die Weiterverwendung von Daten durch öffentliche Stellen.
  2. Data Act: Der Data Act, in Kraft seit dem 11.01.2024, regelt den Umgang mit Daten von vernetzten Geräten und den dazugehörigen Diensten, mit einer Übergangsfrist bis zum 12.09.2025.
  3. EU AI Act: Am 09.12.2023 wurde im Trilog eine Einigung zum EU AI Act erzielt, die vom EU-Parlament am 13.03.2024 so übernommen wurde. Der neue AI Act sieht eine Regulierung der Anbieter und Betreiber von KI Systemen anhand von Risikoklassen vor, die sich am Einsatzzweck orientieren. Hinzu gekommen ist im Laufe des Gesetzgebungsverfahrens eine Regulierung von „General Purpose AI“. Der AI Act sieht unter anderem Transparenzpflichten und Meldepflichten sowie ein Verbot bestimmter Hochrisiko-KI-Anwendungen vor.
  4. Verbraucherrechtedurchsetzungsgesetz (VDuG): Das am 13.10.2023 in Deutschland in Kraft getretene VDuG ermöglicht es Verbraucherschutzverbänden, Verbraucherrechte gerichtlich durchzusetzen und Schadensersatzansprüche für Verbraucher geltend zu machen. Dazu zählen nun auch Ansprüche die sich aus dem Datenschutzrecht ableiten lassen.

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo