Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Search Results

DSGVO teil 7

In diesem Blog haben wir uns in jüngerer Zeit schon viel mit der DSGVO und der Frage, worauf sich Unternehmen jetzt im Hinblick auf Mai 2018 einstellen müssen, befasst. Daneben ist natürlich das Datenschutzrecht in verschiedensten Konstellationen immer wieder Gegenstand unserer Beiträge. Mindestens genaus so häufig sind Social Media bzw. IT-Richtlinien in diesem Blog ein Thema. Von dort ist es dann natürlich nicht weit zu all den arbeitsrechtlichen Aspekten, die sich aus der Nutzung digitaler Arbeitsprozesse ergeben.

Wer sich nun die Mühe gemacht und vielleicht auf die vorstehenden Links geklickt hat, wird erkennen, dass in den verschiedenen Blogkategorien (EU-DSGVO, Datenschutzrecht, Social Media Guidelines, Arbeitsrecht) durchaus dieselben Artikel auftauchen. Es gibt also Überschneidungen. Das ist zumindest in Teilen schon auf praktischer Ebene logisch. Schließlich drängt es sich auf, dass (verbindliche) IT-Richtlinien einen Einfluss auf das Arbeitsverhältnis haben. Und wenn wir die IT-Sicherheit als die Kehrseite der Medaille zum Datenschutz begreifen, wird auch deutlich, dass es hier eine Verbindung geben muss. Und Compliance… tja, Compliance könnte ich auf jeden meiner Blogposts als Kategorie kleben – schließlich geht es bei dem Thema „Compliance“ um nichts anderes als die Einhaltung von Regeln. An sich eine Selbstverständlichkeit. Aber so ganz eben doch nicht – wie die zunehmende Anzahl an Compliance-Officers und Compliance-Abteilungen in den Unternehmen anzeigt.

Heute will ich einmal erläutern, was schon immer irgendwie an der einen oder anderen Stelle in meinen Artikeln durchschimmerte, ich aber doch noch nicht so klar erklärt habe: Nämlich, dass es zwischen den genannten Bereichen, also vom Datenschutzrecht über die IT-Richtlinien und Compliance bis hin zum Arbeitsrecht nicht nur eine ideelle, sondern auch eine juristische Klammer gibt. Diese juristische Klammer nennt sich „technisch und organisatorische Maßnahmen“, kurz TOM und ist schon lange im Bundesdatenschutzgesetz verankert. Doch wie so vieles, was dort steht und bereits „State of the Art“ im Unternehmen sein sollte, bekommt auch diese Vorschrift und alles, was damit zu tun hat, mit der EU-Datenschutzgrundverordnung „Feuer unter dem Hintern“ – um es mal ganz nonchalant auszudrücken.

Den ganzen Artikel lesen.

Der EuGH hatte sich in dem Urteil C-667/21  mit ebenso spannenden wie wichtigen Fragen rund um die Verarbeitung von Gesundheitsdaten durch einen Arbeitgeber, das Verhältnis von Artikel 6 zu Artikel 9 DSGVO und zur Höhe eines Schadensersatzes im Sinne von Art. 82 DSGVO zu befassen.

Insbesondere zu den letzten beiden Fragen wird sich regelmäßig unter Juristen wie bei den Kesselflickern gestritten. (Hat eigentlich schon mal jemand Kesselflicker streiten sehen!?). Das heißt, dieses zunächst so unscheinbare Urteil hat es doch ganz schön in sich.

Genau genommen ging es – vereinfacht ausgedrückt – um folgende Fragen (EuGH, C-667/21 v. 21.12.2023, Rz. 35):

  1. Darf ein ein Medizinischer Dienst als Arbeitgeber die Daten seines Beschäftigten zur Erstellung im Rahmen seiner Funktion als Medizinischer Dienst der Krankenkassen nach Art. 9 Abs. 2 h DSGVO verarbeiten?
  2. Wenn ja, muss der Arbeitgeber dann besondere Maßnahmen ergreifen und wenn ja welche?
  3. Wenn ja, muss dann auch ein Rechtsgrund zur Verarbeitung im Sinne des Art. 6 DSGVO vorhanden sein?
  4. Kommt es bei der Bemessung des immateriellen Schadensersatzes darauf an, ob Art. 82 DSGVO eine reine Ausgleichsfunktion oder aber auch eine abschreckende und strafende Funktion hat? Und welche Funktion hat Art. 82 DSGVO?
  5. Kommt es bei der Bemessung des immateriellen Schadensersatzes nach Art. 82 DSGVO auf den Grad des Verschuldens des Verantwortlichen Datenverarbeiters an?

Doch der Reihe nach. Zunächst der Sachverhalt und dann – wie immer – rechtslaienverständliche Erläuterungen.

Den ganzen Artikel lesen.

Gestern erschütterte, so schien es jedenfalls, kurz die Welt. Schließlich urteilte der EuGH in Sachen Meta Platforms (aka Facebook). Zusammenfassen ließe sich die Entscheidung (EuGH, Urteil vom 04.07.2023, C-252/21) wie folgt: Einerseits nichts Neues vom Kirchberg-Plateau in Luxemburg (dem Sitz des Europäischen Gerichtshofs). Andererseits klare Worte vom EuGH zur Auslegung der Rechtsgrundlagen der DSGVO im Bereich des personalisierten Online-Marketings. Und das macht das Urteil auch so spannend.

Hier nun im Einzelnen. Für Nichtjuristen. Schnell erklärt.

Worum geht es beim Fall „Bundeskartellamt versus Meta Platforms Inc., MetaPlatforms Ireland Ltd. und Facebook Deutschland GmbH“?

Das Bundeskartellamt hatte Anfang 2019 Meta (Facebook) mittels eines Beschlusses untersagt, „[…] die Nutzung des sozialen Netzwerks Facebook von der Verarbeitung der Off-Facebook-Daten der User [d.h. all solchen Daten, die via Websites und Apps Dritter durch FB mittels APIs oder „Gefällt mir“ uä. Integrationen erhoben werden] abhängig zu machen und diese Daten ohne ihre Einwilligung auf der Grundlage der damals geltenden Allgemeinen Nutzungsbedingungen zu verarbeiten. Außerdem verpflichtete das Bundeskartellamt diese Unternehmen, die Allgemeinen Nutzungsbedingungen so anzupassen, dass aus ihnen eindeutig hervorgeht, dass die fraglichen Daten nicht ohne Einwilligung des betreffenden Nutzers erfasst, mit den Facebook-Nutzerkonten verknüpft und verwendet werden. Das Bundeskartellamt stellte klar, dass eine solche Einwilligung ungültig sei, wenn sie eine Bedingung für die Nutzung des sozialen Netzwerks darstelle.“ (Vorstehendes: EuGH, C 252/21, Rn. 151). Dagegen legte Meta Einspruch vor dem OLG Düsseldorf ein. Dieses war sich hinsichtlich etlicher Rechtsfragen des europäischen Rechts nicht sicher und ersuchte deswegen den EuGH – wie man das in diesen Fällen so macht – um eine sogenannte Vorabentscheidung. D.h. um die Klärung der folgenden Fragen:

  1. Haben nationale Wettbewerbsbehörden, wie das Kartellamt, überhaupt das Recht zu prüfen, ob eine Verarbeitung personenbezogener Daten den Anforderungen der DSGVO entspricht oder dürfen das nur die Datenschutzaufsichtsbehörden?
  2. Gelten sensible Daten im Sinne des Art. 9 1 DSGVO (politische Interessen, Religionszugehörigkeit, Gesundheit, sexuelle Vorlieben) als durch den Nutzer „öffentlich-zugänglich“ gemacht, wenn der Nutzer bspw. irgendwo auf „Gefällt mir“ drückt (bspw. bei einer Facebook-Seite zur Depressionsforschung) und darf der Betreiber von sozialen Online-Netzen diese Daten deswegen nutzen?
  3. Welche Rechtsgrundlagen können die Betreiber sozialer Online-Netze für die Verarbeitung personenbezogener Daten der Nutzer heranziehen?
  4. Können Nutzer, insbesondere bei sensiblen Daten, überhaupt wirksam eine Einwilligung erteilen, wenn das Unternehmen, dass die Einwilligung einholt, eine marktbeherrschende Stellung inne hat?

Dazu im Einzelnen, aber in aller Kürze wie folgt:

Den ganzen Artikel lesen.

Ich gewinne lieber als dass ich verliere. Bei Mensch-ärger-dich-nicht und bei Gerichtsverfahren. Es gibt Urteile, die gehen klar, auch wenn die eigene Mandantschaft dabei verliert. Da stimmt die Begründung, auch wenn ich es rechtlich anders sehe. Hin und wieder gibt es jedoch auch Urteile, die man liest und sich denkt: „Das darf doch wohl nicht wahr sein.“ Da geht es nicht darum, dass man verloren hat, sondern dass die Begründung grobe Schnitzer enthält. Genau so ein Urteil hielt ich kürzlich in der Hand. Als ich erfahren habe, dass dieses Urteil in der Zeitschrift für Datenschutz veröffentlicht werden soll, war mir wichtig, dass klar wird, dass dieses Urteil keines ist, auf das man sich einfach stützen kann. Denn rechtlich ist zum Teil fragwürdig, wie das Gericht die Entscheidung begründet. Wer nicht so versiert im Thema ist oder nur schnell mal nach etwas sucht, könnte sonst bei diesem Urteil landen und denken: „Ha, da gibt es was.“ Deshalb habe ich eine Anmerkung geschrieben, in der ich deutlich mache, dass und warum ich dieses Urteil für wenig hilfreich halte. Es ist soweit ersichtlich das erste Urteil zu dieser Frage und sollte nicht unkommentiert stehen bleiben, damit die unsaubere Begründung nicht wiederholt wird, sondern die vom Gericht aufgeführten Aspekte rechtsdogmatisch zukünftig besser behandelt werden.Den ganzen Artikel lesen.

Mitautoren: Tobias Hinderks*, Nina Diercks **

Ein herzliches Moin liebe Leserinnen und Leser,

willkommen zum dritten Teil der Blog-Reihe rund um den transatlantischen Datenverkehr und der Frage, was eigentlich nach dem weitreichenden Urteil des EuGH Schrems II Sache ist. Bereits in zwei Blog-Artikeln haben wir uns mit der Frage befasst, was nun gilt, da der Privacy Shield nicht mehr gilt.

Zur Erinnerung: Der Privacy Shield zwischen der EU und den USA war der Grund, weshalb recht einfach und legal personenbezogene Daten über den Atlantik ausgetauscht werden durften. Diesen Privacy Shield wollte der EuGH mit seiner Entscheidung Schrems II jedoch nicht als ausreichend akzeptieren; die europäischen Datenschutzvorstellungen würden in Angesicht der weitreichenden Befugnisse der Sicherheitsbehörden, auf Daten zuzugreifen, nicht erfüllt.Den ganzen Artikel lesen.

1 2 3 17

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.