Inhalt der Ausgabe 06/2019
Editorial
Inhalt
Privacy News
♦ EuGH, Urt. v. 29.07.2019 – C-40/17 – Gemeinsame Verantwortlichkeit bei Einbindung von Facebook Like-Button
♦ OLG Frankfurt, Urt. v. 27.06.2019 – Az. 6 U 6/19 – Zulässigkeit der Kopplung einer Gewinnspielteilnahme an die Einwilligung in Telefonwerbung
♦ AG München, Urt. v. 25.07.2019 – Az. 155 C 1510/18 – Zu Voraussetzungen, Umfang und Einschränkungen des Auskunftsanspruchs sowie zu den diesbezüglichen Rechtsverfolgungskosten
♦ F – Neue Empfehlungen der OECD zum Umgang mit künstlicher Intelligenz
Man blättere zurück in die PinG 01.14. Dort findet sich meine Rezension der 3. Auflage von „IT-Outsourcing und Cloud-Computing“, herausgegeben von meinem Freund Peter Bräutigam und im dem Verlag erschienen, in der auch die PinG erscheint. Die damalige Auflage war rund 1.350 Seiten dick, in der jetzt erschienen 4. Auflage sind 100 weitere Seiten hinzugekommen (wobei man vielleicht auf ein langes Glossar mit Begriffen wie „Server“ hätte verzichten können).
Wenn die üblichen Wege von Regulierung und Steuerung zu ausgetreten erscheinen, um die gewünschte Wirkung zu erzielen, dann ist man offen für neue Ideen. Sind wir im Datenschutz an einem solchen Punkt? Brauchen wir neue Instrumente, um den Schutz personenbezogener Daten im Verbraucherbereich voranzubringen? Manchmal mag es auch schlicht der Reiz des Neuen sein, der den Einsatz neuer Regulierungsinstrumente nahelegt.
Die europäische Datenwirtschaft ist weltweit vernetzt. Die Übermittlung und der Austausch von Daten sind notwendige Grundlage für eine funktionierende Datenökonomie. Für personenbezogene Daten, die an Server außerhalb des datenschutzrechtlich privilegierten EU-Wirtschaftsraumes übermittelt werden, sieht das Datenschutzrecht – nicht erst seit Inkrafttreten der DSGVO – besondere Voraussetzungen vor, die eingehalten werden müssen, um ein angemessenes Datenschutzniveau sicherzustellen.
Privacy Topics
Art. 15 Abs. 3 DSGVO regelt die Herausgabe einer Kopie personenbezogener Daten. Was ist dieses „Recht auf Kopie“? Ein neues, nicht zu unterschätzendes Recht, neu erfunden von der DSGVO – oder nur alter Wein in neuen Schläuchen?
Die Sozialgesetzbücher (SGB) I, V und X sehen besondere datenschutzrechtliche Regelungen vor – das sogenannte Sozialdatenschutzrecht. Während das Sozialdatenschutzrecht vor der Geltung der Datenschutz-Grundverordnung (DSGVO) ein bereichsspezifisches, abgeschlossenes System darstellte, hat sich durch die unmittelbare und vorrangig anwendbare DSGVO das Gefüge verschoben. Für öffentliche Stellen, die sich im Anwendungsbereich des SGB bewegen, lohnt sich bei der Frage nach der passenden Rechtsgrundlage der Datenverarbeitung auch ein Blick in die DSGVO.
In Kalifornien haben nicht nur Google & Co., sondern auch zahlreiche datenschutzrechtliche Errungenschaften ihren Ursprung. Jüngstes Beispiel hierfür ist der California Consumer Privacy Act (CCPA), der ab dem 01.01.2020 gilt. Seine zeitliche Nähe zur DSGVO befeuerte nicht wenige Vergleiche zwischen den beiden Gesetzen. Davon ausgehend untersucht der nachfolgende Beitrag, ob es sich tatsächlich um gleichwertige Regelungsregime handelt und welche Auswirkungen dies auf das datenschutzrechtliche Fundament des transatlantischen Datenverkehrs haben könnte.
Der folgende Beitrag befasst sich mit einem Teilbereich der Frage, welche rechtlichen Bedingungen für die konkrete technische Umsetzung von Big-Data-Anwendungen gelten. Im Mittelpunkt steht die Ausbildung von Korrelationen und der Abgleich selbiger mit neuen Datensätzen. Bezüglich dieser werden zum einen die de lege lata datenrechtlich relevanten Regelungsbereiche und zum anderen angedachte neue Rechtsformen im Datenrecht dargestellt und einer kritischen Würdigung unterzogen.
Die Möglichkeit, eigene Daten freiwillig für die Forschung zur Verfügung zu stellen, ist gerade im Gesundheitskontext von großer Bedeutung. Soweit Gesundheitsdaten durch die betroffene Person bewusst einem unbestimmten Personenkreis zugänglich gemacht, also veröffentlicht wurden, bedarf es keines besonderen Zulässigkeitstatbestandes und auch keiner Einwilligung, wie sich aus Art. 9 Abs. 2 lit. e) DSGVO ergibt. An einer so weitreichenden Verarbeitung dürfte der Betroffene aber regelmäßig angesichts der Sensibilität der Gesundheitsdaten kein Interesse haben.
Privacy Compliance
Wie kann ein betroffenes Unternehmen in Spanien richtig auf eine Datenpanne reagieren? Insbesondere wenn Daten verloren gehen oder Kundendaten durch einen Hacker-Angriff zerstört, gestohlen, unautorisiert verändert oder weitergegeben werden? Im europäischen Vergleich stellt sich insbesondere die Frage: Welche Konsequenzen hat ein solcher Vorfall in Spanien? Welche Pflichten hat das datenverarbeitende Unternehmen und wie reagiert die spanische Datenschutzbehörde darauf?
Das Gesetzgebungsverfahren zur Revision des schweizerischen Datenschutzgesetzes (DSG) durchläuft derzeit das parlamentarische Verfahren. Die Vorberatung des neuen schweizerischen Datenschutzgesetzes wurde Mitte August seitens der Staatspolitischen Kommission des Nationalrats (SPK-NR) abgeschlossen.
Jetzt bestellen – für den gesamten Campus.
