Inhalt der Ausgabe 01/2021
Editorial
Inhalt
Privacy News
In beiden Lagern der Datenschutzdebatte gibt es seit jeher Aussprüche und Phrasen, die immer wiederkehren und dann von vielen Beteiligten übernommen und wiederholt werden. Bei den Datenschutzkritikern sind das natürlich die bekannten Aussagen „Datenschutz ist Täterschutz“ und „Datenschutz verhindert Innovationen“. Bei den entschiedenen Datenschutzverfechtern stehen hoch im Kurs „Es gibt kein belangloses Datum“ und „Keine Datenverarbeitung ist ohne Risiko“.
Für materielle und immaterielle Schäden aufgrund eines Datenschutzverstoßes wird den betroffenen Personen in Art. 82 Abs. 1 DSGVO ein Schadensersatzanspruch eingeräumt. Die Anspruchsvoraussetzungen sind jedoch nach wie vor teilweise umstritten. Während die Zivilgerichte den DSGVO-Schadensersatzanspruch bisher zumeist relativ eng ausgelegt haben, lassen jüngere Urteile von Arbeitsgerichten aus diesem Jahr eine andere Tendenz erkennen. Die Entscheidungen geben Anlass für einen Überblick zu den Voraussetzungen für Schmerzensgeldansprüche.
Mit dem neuen California Privacy Rights Act (CPRA) wird das bestehende Datenschutzrecht des Bundesstaats Kalifornien signifikant ausgebaut und erweitert. Die Verbraucher werden durch die Einführung einer neuen Datenkategorie sowie neue oder erweiterte Rechte auf Zugang, und Berichtigung sowie „opt-out“ Rechte besser geschützt. Pflichten von Unternehmen z. B. im Hinblick auf Datenminimierung, Zweckbindung, Speicherbegrenzung sowie im Zusammenhang mit der Begründung von Auftragsverarbeitungsverhältnissen werden im Vergleich zum aktuell geltenden Recht präzisiert und erstmals wird in einem Bundesstaat der USA eine unabhängige Datenaufsichtsbehörde mit weitreichenden Befugnissen gegründet.
Die DSGVO verheißt Verbraucherinnen und Verbrauchern einen angemessenen und wirksamen Schadensersatz für den durch massenhafte Rechtsverletzungen im Internet erlittenen Kontrollverlust über ihre teils ausgesprochen sensiblen personenbezogenen Daten. Ob die Rechtsprechung sich künftig auf die europarechtlich gewollte Präventivwirkung einlässt, oder künstliche Bagatellgrenzen einzieht, wird vermutlich auch von ihrem digitalen Verständnis abhängen. Nennenswerte Schadenssummen werden derzeit vor allem im arbeitsrechtlichen Bereich zugesprochen. Bislang haben sich die Erwartungen an Art. 82 DSGVO als wirksames Durchsetzungsinstrument jedenfalls noch nicht erfüllt.
Privacy Topics
As technology becomes more heavily relied upon to carry out day to day tasks as a consequence of the COVID-19 crisis, the increased processing of personal data is inevitable. Yet, data protection policies are rarely read due to a variety of factors. The GDPR provides data subjects with rights to determine whether or not to consent to a processing of personal data. The paper argues that a mandatory introduction of standardised privacy icons could, in combination with privacy information, significantly foster data subject rights and counteract behavioral obstacles which are often deliberately used by data driven companies.
An on-going discussion at Member State level refers to whether thermal imaging and body temperature checks fall under the scope of the General Data Protection Regulation and its respective national implementing laws, as part of a number of containment measures adopted at the combat against COVID-19. Diverse conclusions appear to have emerged by national supervisory authorities, which reflect the national differences in the application scope of the data protection regime in conjunction with emergency legislations and the differences in the implemented tools and caseby-case contexts.
Die Auslegung der sogenannten „Haushaltsausnahme“, die rein private Verarbeitungstätigkeiten aus dem Anwendungsbereich der DSGVO ausnimmt, ist auch heute noch maßgeblich geprägt von der Lindqvist-Entscheidung des EuGH aus dem Jahr 2003. Der vorliegende Beitrag plädiert vor dem Hintergrund geänderter technischer Rahmenbedingungen und eines geänderten Nutzerverhaltens für eine Neubewertung der seinerzeit gefundenen Kriterien und im Ergebnis eine maßvolle Einschränkung des Anwendungsbereichs der DSGVO.
Influencer beschränken sich nicht nur auf die Bewerbung von Produkten innerhalb der eigenen vier Wände, sondern erstellen vermehrt auch in der Öffentlichkeit Content aller Art. Müssen sie sich dabei an sämtliche Vorgaben der DSGVO halten oder gilt für ihre Uploads lediglich das Persönlichkeitsrechtsregime des Kunsturhebergesetzes (KUG)? Eine weitgehende Freistellung von den Bestimmungen der DSGVO könnte über das Medienprivileg des Art. 85 DSGVO erfolgen.
Privacy Compliance
Nach einem mehrjährigen Gesetzgebungsverfahren ging am Ende doch alles ganz schnell. Am 25. September 2020 verabschiedete das Parlament in Bern das neue Schweizer Datenschutzgesetz (revDSG). Lediglich der exakte Zeitpunkt für das Inkrafttreten steht noch aus und wird für 2022 erwartet. Dieser wird vom Bundesrat bestimmt (Art. 74 Abs. 2 revDSG). Das neue DSG ersetzt nach der erfolgten Totalrevision das bisherige Datenschutzgesetz (DSG a. F.), welches aus dem Jahr 1992, und damit aus dem sog. Vor-Internet-Zeitalter, stammt. Die Totalrevision des Datenschutzgesetzes war daher unter anderem darauf gerichtet, das schweizerische Recht an die fortschreitende technologische Entwicklung anzupassen, da sich diese in erheblichem Umfang auch auf den Bereich des Datenschutzrechts auswirkt.
Jetzt bestellen – für den gesamten Campus.
