Zu den wesentlichen Neuerungen der DSGVO gehört der Auskunftsanspruch betroffener Personen gemäß Art. 15 DSGVO. Unternehmen, die zur Auskunft verpflichtet sind, versuchen immer wieder, die Auskunft zu begrenzen. Der Bundesgerichtshof (BGH) will davon allerdings nichts wissen.
Facebook hat seinen Hauptsitz in Irland. Die belgische Datenschutzaufsicht ist der Auffassung, dass Facebook DSGVO-Vorschriften verletzt. Sie informiert die irische Aufsichtsbehörde. Die tut nichts. Kann die belgische Aufsichtsbehörde gewissermaßen ersatzweise gegen Facebook vorgehen? Die Antwort des EuGH ist für alle Unternehmen wichtig, die in mehr als einem Mitgliedstaat der EU Daten verarbeiten, nicht etwa nur für große Konzerne.
Nachdem wir in der letzten Ausgabe Schadenersatzansprüchen nach DSGVO generell auf den Grund gegangen sind, schauen wir uns in diesem Zusammenhang einmal das Thema „Auskunftspflicht“ genauer an.
Unternehmen, die am Markt die Dienstleistung „externer Datenschutzbeauftragter“ anbieten, brauchen typischerweise Juristen. Ist es erlaubt, dass diese Juristen einerseits in einem Arbeitsverhältnis stehen, andererseits als Rechtsanwalt zugelassen sind? Das ist nur scheinbar eine ganz spezielle Frage. Letzten Endes geht es darum, wer den Markt „externer Datenschutzbeauftragter“ unter sich aufteilen darf.
Jeden Monat gibt es derzeit neue Urteile deutscher Gerichte zum Schadenersatz nach DSGVO. Und sie fallen immer häufiger zugunsten der betroffenen Person aus. Wie verteidigen sich Verantwortliche gegen Schadenersatzansprüche, welche Fallstricke gilt es zu vermeiden?
Ein Arbeitgeber plant, für die Verarbeitung der Personaldaten von SAP auf Workday wechseln. Für den Testbetrieb möchte er Echtdaten aus dem SAP-System verwenden. Das Landesarbeitsgericht Baden-Württemberg macht klare Vorgaben, welche Rechtsgrundlage dafür nötig ist.
Sehr öffentlichkeitswirksam hatte der Bundesbeauftragte für den Datenschutz gegen 1&1 eine Geldbuße von 9.550.000 Euro verhängt. Anlass waren Datenschutzverstöße im Callcenter. Beim Amtsgericht Bonn blieben davon weniger als 10 % übrig. Zum Bußgeldkonzept der Datenschutzkonferenz äußert es sich dabei wenig freundlich.
Manchmal bestätigt ein Urteil schlicht das, was man „eigentlich“ schon wusste. Aber gerade darin kann sein besonderer Wert liegen – vor allem, wenn der Europäische Gerichtshof (EuGH) entschieden hat. Der Fall, um den es geht, stammt aus Rumänien. Er könnte sich aber überall in der EU abspielen. Der EuGH nimmt ihn zum Anlass, das Thema „Einwilligung“ genau unter die Lupe zu nehmen.
Jeder hat das Recht, sich bei der Datenschutzaufsicht zu beschweren. Aber was muss man dabei alles darlegen? Und wann kann die Datenschutzaufsicht eine Beschwerde zurückweisen, weil sie zu allgemein gehalten ist?
Gibt die DSGVO jedem Krankenhaus-Patienten einen Anspruch auf eine kostenlose Kopie der Behandlungs-Dokumentation? Spielt es eine Rolle, wenn es ihm nicht um Fragen des Datenschutzes geht, sondern um mögliche Behandlungs-Fehler? Das Landgericht Dresden beantwortet beide Fragen kurz und knapp.
