Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hat am 21. November 2018 gegen den Betreiber einer Chat Community („Unternehmen“) eine Geldbuße in Höhe von 20.000 Euro wegen einer Verletzung der Pflichten bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Datenschutz-Grundverordnung („DS-GVO“) verhängt. Ein höheres Bußgeld konnte vor allem durch eine sehr gute
Archiv nach Tag: Datenschutz
Beschäftigtendatenschutzrechtliche Anforderungen an Matrix-Strukturen im Konzern
Matrix-Strukturen sind ein in der Praxis häufig genutztes Organisationsmodell für erfolgreiche und effiziente personelle Zusammenarbeit in Unternehmensgruppen und Konzernen. Um diese Strukturen effektiv nutzen zu können, ist der Austausch von personenbezogenen Daten zwischen einzelnen Gesellschaften des Konzerns erforderlich. Hierbei müssen Unternehmen im Konzern die Anforderungen des Beschäftigtendatenschutzes beachten. Der vorliegende dritte Beitrag aus unserer Reihe zu rechtlichen Besonderheiten bei Matrix-Strukturen in Konzernen gibt einen Überblick über wesentliche datenschutzrechtliche Fragen zu diesem Thema.
Website Compliance: Haftung für Social Plugins – Vorlagefragen an EuGH
Das von der Verbraucherzentrale NRW gegen die direkte Einbindung des Facebook „Like-Buttons“ geführte Klageverfahren geht in die nächste Runde: Mittlerweile beschäftigt sich das Oberlandesgericht (OLG) Düsseldorf im Berufungsverfahren mit der Rechtmäßigkeit der direkten Einbindung von Social Plugins wie des „Like-Buttons“. Durch Beschluss vom 19. Januar 2017 (Az. I-20 U 40/16) hat das Gericht das Verfahren
Hebelt US-Präsident Trump’s Executive Order den EU-US Privacy Shield aus?
Die jüngsten Amtshandlungen von US-Präsident Trump bestimmen momentan nicht nur die täglichen Nachrichten, sondern sind auch Gegenstand aktueller Diskussionen der Europäischen Datenschützer: Konkret geht es um eine von US-Präsident Trump am 25. Januar 2017 unterzeichnete präsidiale Anordnung „zur Verbesserung der öffentlichen Sicherheit“. Einigen Stimmen zufolge unterlaufe diese Anordnung die Zusicherungen der Obama-Administration, auf denen der
Beschäftigtendatenschutz: BAG zur Verwertbarkeit von Zufallsfunden aus heimlicher Überwachung
Tim Wybitul & Dr. Wolf-Tassilo Böhm
Das BAG präzisiert in einer aktuellen Entscheidung, welche Vorgaben Unternehmen bei der Aufklärung von Straftaten, Compliance-Verstößen und sonstigen schwerwiegenden Pflichtverletzungen beachten müssen
Das Bundesarbeitsgericht (BAG) hat am 22. September 2016 ein wichtiges Urteil gefällt und kürzlich die Entscheidungsgründe veröffentlicht. Darin geben die Richter Antworten auf wesentliche Fragen des Beschäftigtendatenschutzes. Die Entscheidung (Az.: 2 AZR 848/15) können Sie hier abrufen. Sie zeigt, unter welchen Voraussetzungen Ermittlungs- oder Kontrollmaßnahmen des Arbeitgebers ohne Kenntnis der davon betroffenen Arbeitnehmer zulässig sind. Ebenso zeigt die Entscheidung, dass und unter welchen Voraussetzungen Arbeitsgerichte sogar unstreitige Tatsachen unbeachtet lassen, wenn der Arbeitgeber diese datenschutzrechtswidrig erhoben hat. Damit hat sie auch erhebliche Bedeutung für interne Ermittlungen und Compliance-Kontrollen. Viele der vom BAG aufgestellten Anforderungen lassen sich beispielsweise auch auf die Auswertung von Email-Korrespondenz zur Aufdeckung konkret vermuteter Pflichtverletzungen oder ähnliche Aufklärungsmaßnahmen übertragen. Der vorliegende Überblick zeigt die Anforderungen des BAG und gibt Arbeitgebern Empfehlungen, wie sie diese effektiv und rechtssicher umsetzen können.
EU-Datenschutz-Grundverordnung: Überblick über den neuen Gesetzentwurf zur DSGVO
Gesetzentwurf zum neuen Bundesdatenschutzgesetz (BDSG) abrufbar – Erster Überblick über geplante Regelungen Ab Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO). Das Bundesministerium des Inneren (BMI) hatte bereits im August einen Referentenentwurf für ein Ausführungsgesetz vorgelegt. Das Gesetz soll „Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ (DSAnpUG-EU) heißen. Kernstück des ersten vorgelegten Entwurfs war ein „Allgemeines Bundesdatenschutzgesetz“ (ABDSG). Das ABDSG
500 Unternehmen betroffen: Datenschutzbehörden überprüfen internationale Datentransfers
In den bevorstehenden Wochen werden zehn der deutschen Datenschutzbehörden in einer gemeinsam koordinierten Prüfaktion rund 500 verschiedene Unternehmen auffordern, Auskunft zu den von ihnen veranlassten internationalen Datentransfers zu erteilen. Den betroffenen Unternehmen werden dabei Fragebögen zugesendet, in denen detaillierte Angaben zu Übermittlungen von personenbezogenen Daten in Nicht-EU/EWR-Staaten abgefragt werden. Die Behörden gehen davon aus, dass
DSGVO: Deutsches Ausführungsgesetz zur EU-Datenschutz-Grundverordnung – Erste Eckdaten bekannt geworden
BMI legt ersten Referentenentwurf für ein deutsches Gesetz zur Ausführung der EU-Datenschutz-Grundverordnung vor Ab dem 25.05.2018 gilt die EU-Datenschutz-Grundverordnung (“DSGVO“). Das Bundesministerium des Inneren (“BMI“) hatte bereits seit geraumer Zeit angekündigt, einen Gesetzentwurf zur Ausführung der DSGVO in Deutschland vorzulegen. Zwar wirkt die DSGVO als EU-Verordnung nach Art. 288 AEUV direkt und unmittelbar in allen Mitgliedsstaaten. Allerdings
Erste Ergebnisse der Konsultation zur E-Privacy-Richtlinie
Im Rahmen ihrer Strategie für einen Digitalen Binnenmarkt hat sich die Europäische Kommission beginnend mit deren Veröffentlichung im Mai 2015 das große Ziel gesetzt, den europäischen Binnenmarkt auch im Internet zu verwirklichen. Die Strategie umfasst vielfältige Reformvorschläge, unter anderem im Verbraucherschutzrecht, Urheberrecht, Telekommunikationsrecht – und natürlich auch im Datenschutz. Angesichts der neuen Datenschutzgrundverordnung soll insbesondere
Genehmigungserfordernis für Datentransfers auf Grundlage von Binding Corporate Rules?
Binding Corporate Rules („BCR“) und EU-Standardvertragsklauseln („SCCs“) sind gegenwärtig die praktisch wichtigsten Instrumente, um internationale Datentransfers insbesondere in die USA zu rechtfertigen. Doch welche Anforderungen stellen die einzelnen deutschen Datenschutzbehörden an die Verwendung von BCR und SCCs? Insbesondere, wenn Datentransfers auf BCR gestützt werden sollen, gehen die Auffassungen der Behörden auseinander, ob die einzelnen Transfers der zuständigen Behörde
Checklisten zur EU-Datenschutz-Grundverordnung, Teil 2: Datenschutz-Folgenabschätzung
Praxis-Checklisten zur Datenschutz-Folgenabschätzung Unternehmen und andere für Datenverarbeitungen Verantwortliche müssen künftig eine Datenschutz-Folgenabschätzung durchführen, bevor sie Verarbeitungen vornehmen, die hohe Risiken für die Rechte und Freiheiten natürlicher Personen zur Folge haben können. Das Konzept der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO weicht erheblich von dem der Vorabkontrolle nach § 4d Abs. 5 BDSG ab. Bei einer
EU-Datenschutz-Grundverordnung heute veröffentlicht – finaler Text und Arbeitshilfen
Heute hat die Europäische Union die Endfassung der seit 2012 verhandelten EU-Datenschutz-Grundverordnung – DSGVO veröffentlicht. Sie tritt in 20 Tagen in Kraft und gilt dann nach einer zweijährigen Übergangsfrist ab dem 25. Mai 2018 in der gesamten Europäischen Union unmittelbar und direkt. Für Unternehmen hat die Verordnung gravierende Folgen: Neben Schadensersatzklagen drohen bei Fehlern Bußgelder
Website Compliance: Wettbewerbsrechtliche Haftung für Social-Plugins
Das Landgericht Düsseldorf hat auf eine Klage der Verbraucherzentrale NRW hin kürzlich entschieden, dass die unmittelbare Einbindung von Social Plugins wie insbesondere des Facebook „Like“-Buttons datenschutzrechtlich unzulässig ist und zudem einen Wettbewerbsverstoß darstellt (Urteil vom 9. März 2016, Az. 12 O 151/15). Damit steht das Urteil im Einklang mit der Auffassung der Datenschutzbehörden und der
Website Compliance: Fehlende Datenschutzerklärung ist wettbewerbswidrig
Das Landgericht Köln hat in einem jüngst bekannt gewordenen Beschluss über eine einstweilige Verfügung entschieden, dass eine fehlende Datenschutzerklärung auf einer Website einen abmahnfähigen Wettbewerbsverstoß begründet. Damit reiht es sich in die Rechtsprechung zahlreicher anderer Gerichte ein, wonach die Verletzung von datenschutzrechtlichen Informationspflichten über das Wettbewerbsrecht angegriffen werden können.
EU meldet Einigung beim Datenschutz – hier finden Sie die wichtigsten Neuerungen
Die EU verkündete am 15.12.2015 eine Einigung bei der EU-Datenschutz-Grundverordnung (“GVO“). Mit der GVO gilt ab 2018 in ganz Europa ein einheitliches Datenschutzrecht. Die GVO sieht viele Veränderungen gegenüber dem bisherigen Recht vor. Beispielsweise warden Verstöße sehr teuer. Die Bußgelder bei Verstößen steigen auf bis zu 20 Millionen Euro. Oder bis zu 4 Prozent des
LG Heilbronn: Dashcam-Aufnahmen dürfen nicht als Beweismittel im Zivilprozess verwertet werden
Das Landgericht Heilbronn hat in einem aktuellen Urteil vom 17. Februar 2015 entschieden, dass Aufzeichnungen, die mittels einer in einem Fahrzeug installierten Dashcam aufgenommen werden, kein zulässiges Beweismittel für den Unfallhergang sind. Entsprechende Aufnahmen stellen nach Ansicht der Richter einen Verstoß gegen das Recht der informationellen Selbstbestimmung sowie gegen das Bundesdatenschutzgesetz dar. Die Entscheidung führt
Auskunfteien müssen Score-Formel nicht offenlegen
Auskunfteien, deren Geschäftsmodell es ist, Informationen zur Kreditwürdigkeit potentieller Käufer und Geschäftspartner zur Verfügung zu stellen, müssen dem Betroffenen auf Verlangen mitteilen, welche personenbezogenen Daten sie über ihn gespeichert haben. Darüber hinaus schuldet die Auskunftei jedoch keine Informationen dazu, wie sie die einzelnen Daten gewichtet und den konkreten Score-Wert berechnet. Mit einem entsprechenden Verlangen scheiterte
BAG kippt Kündigung wegen Datenschutzverstoß
Beweisverwertungsverbot bei Datenschutzverstoß Eine aktuelle Entscheidung des Bundesarbeitsgerichts (BAG) vom Juni 2013 (Az. 2 AZR 546/12) stellt Arbeitgeber vor neue Herausforderungen. Das Gericht hatte über die Wirksamkeit einer Kündigung zu entscheiden. Zur Begründung der später ausgesprochenen Kündigung hatte der Arbeitgeber personenbezogene Daten unter Verstoß gegen § 32 BDSG erhoben. Die Richter urteilten, dass die Rechtmäßigkeit