Inhalt der Ausgabe 06/2023
Editorial
Inhalt
Beiträge
Dieser Beitrag beleuchtet die praktische Relevanz einiger Vorschriften, die als Besonderheiten des Sozialdatenschutzrechts gegenüber dem sonstigen Datenschutzrecht gelten können. Ihre Bedeutung tritt im Vergleich zu den – zahlmäßig (derzeit noch) überwiegenden – Streitigkeiten datenschutzrechtlicher Art zwischen Privaten vor den Zivilgerichten eher seltener zu Tage. Die Auswahl der Themen beruht auf den subjektiven Eindrücken des Verfassers im Kontext der Beratung der Sozialleistungsträger, ihrer Dienstleister und der Führung von Prozessen über datenschutzrechtliche Fragen vor den Sozialgerichten. Der Ausblick auf aktuell anstehende Entscheidungen des EuGH legt es zumindest nahe, dass die hier betrachteten Fragen demnächst häufiger relevant werden.
Das Thema Datenschutz hat in den letzten Jahren nicht nur im staatlichen, sondern auch im kirchlichen Bereich an Bedeutung gewonnen. Im Mittelpunkt steht dabei gerade auch beim kirchlichen Datenschutz immer der Schutz des einzelnen Menschen mit seinen personenbezogenen Daten, um so das aus dem Grundgesetz abgeleitete Grundrecht auf informationelle Selbstbestimmung für jeden Einzelnen zu garantieren. Für die Kirchen hat der Schutz von personenbezogenen Daten vor dem Hintergrund des kirchlichen Auftrags und des christlichen Menschenbildes auch im Hinblick auf das Beicht- und Seelsorgegeheimnis von jeher eine besondere Bedeutung.
Der EuGH hat sich nach etwa fünf Jahren seit Geltung der DSGVO in den Rs. C-487/21 und C-579/21 erstmals zu grundlegenden Fragen rund um den datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DSGVO geäußert. Zudem liegen in der Rs. C-307/22 die Schlussanträge des Generalanwalts vor. Der Beitrag ordnet die Entscheidungen und Schlussanträge in die bis herige wissenschaftliche Debatte ein und betrachtet ihre praktischen Auswirkungen sowie das Schadensersatzrisiko bei Nichterfüllung des Auskunftsrechts.
Datenschutzerklärungen müssen zahlreichen normativen und behördlichen Anforderungen genügen. Eine einfache Lektüre der einschlägigen Normen reicht nicht aus, um diese Anforderungen auch nur zu erfassen. Der Beitrag bietet einen umfassenden Überblick über die vielfältigen Vorgaben, denen Datenschutzerklärungen mittlerweile genügen müssen, und bezieht dabei behördliche Trends und aktuelle Entwicklungen in der Rechtsprechung mit ein. Darüber hinaus wirft er ein Schlaglicht auf rechtliche Herausforderungen und praktische Risiken.
Schlaglichter
♦ BGH, Beschl. v. 26.09.2023 – Az. VI ZR 97/22 – BGH legt dem EuGH Fragen zum DSGVO-Unterlassungsanspruch sowie zum Begriff des immateriellen Schadens vor
♦ Selbst-Zertifizierung nach EU-US Data Privacy Framework – Alter Wein in neuen Schläuchen?
♦ Indien – Digital Personal Data Protection Act (DPDP-Act)
Wir beginnen dieses Gespräch Anfang September. Soeben ist das erste OLG-Urteil zum Facebook-Scraping bekannt geworden. Eine lange, sehr sorgfältige Entscheidung des OLG Hamm. Kein Schadensersatz, unter anderem damit begründet, dass sich ‚das individuelle Missbrauchsrisiko und damit auch die hiermit einhergehenden Empfindungen‘ dadurch relativieren, dass die Handynummer, um die es ging, eine von rund 500 Mio. war, die von dem Vorfall betroffen waren.
Der vorliegende Beitrag untersucht die datenschutzrechtlichen Anforderungen im Zusammenhang mit der Umsetzung des Gesetzes zum Schutz hinweisgebender Personen (Hinweisgeberschutzgesetz – HinSchG). Der Schwerpunkt dieses Beitrags liegt dabei auf der Pflicht zur Einrichtung interner Meldestellen bzw. interner Meldekanäle (§§ 12, 16 HinSchG) und beleuchtet die mit dem Einsatz von IT-gestützten Hinweisgebersystemen einhergehenden datenschutzrechtlichen Anforderungen.
Am 4. Mai 2023 hat der EuGH einer der streitträchtigsten Unbekannten im Datenschutzrecht Kontur verliehen: dem Anspruch auf immateriellen Schadenersatz nach Art. 82 DSGVO. Der Generalanwalt Sánchez-Bordona erteilte einem Begehren auf Schadenersatz ohne Darlegung eines konkreten Schadens in seinen Schlussanträgen eine deutliche Absage. Stattdessen gebiete die Einheit der Rechtsordnung eine Übertragung zivilrechtlicher Grundsätze. Die nationale Rechtsprechung zeichnete bis zur Entscheidung des EuGH ein uneinheitliches Bild. Das Urteil des EuGH zu der Frage, ob ein Anspruch auf immateriellen Schadenersatz die Darlegung eines konkreten Schadens erfordert, ist daher wegweisend.
Der Europäische Gerichtshof hat entschieden: Die Kartellbehörde eines Mitgliedstaats kann in ihrem Zuständigkeitsbereich selbständig gegen rechtswidrige Datenschutzpraktiken marktmächtiger Plattformen vorgehen. Sie muss sich dabei aber loyal mit der zuständigen Datenschutzbehörde abstimmen. Daneben gab das Gericht mit seiner Grundsatzentscheidung in Sachen Meta gegen Deutsches Bundeskartellamt verbraucherfreundliche Antworten auf umstrittene DSGVO-Grundsatzfragen. Mit möglicherweise tiefgreifenden Auswirkungen auf werbefinanzierte datengetriebene Geschäftsmodelle.
„Was heißt das nun für öffentliche und nicht-öffentliche Stellen, wenn diese ein Microsoft 365-Produkt erwerben und einsetzen wollen?“ Diese Frage stellen Datenschutzbehörden in der Vorbemerkung einer Handreichung zum Umgang mit dem bekannten Microsoft-Produkt, und viele der in dem Papier adressierten Organisationen werden sich ebenfalls fragen: „Ja, was soll ich denn nun tun?“.
Jetzt bestellen – für den gesamten Campus.
