Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Tag

EU

Liebe Leser*innen,

herzlich willkommen zum ersten richtigen Rechtsüberblick des Jahres 2021. Im März zwar, aber untätig geblieben sind wir bis dahin nicht. Denn wenn auch die Entwurfsfassung unserer Blogreihe zum transatlantischen Datenverkehr einige Zeit in Anspruch genommen hat, so haben wir die anderen Datenschutzthemen der vergangenen Wochen nicht aus den Augen verloren.

Deshalb laden wir Sie ein, sich heute mit uns diese Themenbereiche anzuschauen und zu diskutieren:

  • Betriebsrat als Verantwortlicher? Kommt eine gesetzliche Klarstellung?
  • Wann darf ich eine fremde Person fotografieren? Aus dem Tätigkeitsbericht des HmbBfDI
  • Datenschutzverstoß bei der HPI-Schulcloud – was man daraus mitnehmen kann
  • Datenschutzaufsicht Rheinland-Pfalz: Nutzung von US-Videokonferenzsystemen in Schulen vertretbar
  • US Bundesstaaten nehmen sich die DSGVO zum Vorbild
  • Google will auf individuelles Tracking zukünftig verzichten – Das Ende einer Ära?
  • Irische Datenschutzbehörde steht in der Kritik des Eu-Parlaments
  • App „Clubhouse“ auf dem Prüfstand

Wir wünschen viel Freude beim Lesen und wollen Sie nicht länger auf die Folter spannen. Legen wir los!

Den ganzen Artikel lesen.

Mitautoren: Tobias Hinderks*, Nina Diercks*

2020/2021. Die ganze EU diskutierte, wie nach dem EuGH Urteil C-311/18 (Schrems II) noch legal personenbezogene Daten in die USA übermittelt werden können. Die ganze EU? Nein, eine (kleine) Staatskanzlei in Düsseldorf sieht in einer Übertragung überhaupt kein Problem.

Ok, ein wenig Kontext? Die Landesregierung NRW hat eine kleine Anfrage der Grünen-Fraktion im Landtag NRW beantwortet, die sich um den Einsatz eines von Amazon Web Services gehosteten Messengers für Schüler*innen dreht. Die Grünen hatten unter anderem gefragt, ob die Landesregierung bei der Umsetzung auch Subunternehmen in Betracht gezogen hat, die nicht dem US CLOUD Act unterliegen. Hierauf antwortete die Landesregierung:

„Darüber hinaus ist darauf hinzuweisen, dass der CLOUD Act nur dann einen Zugriff auf Daten zulässt, wenn eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts vorausgegangen ist. Insofern unterscheidet sich die Rechtslage nicht von der Rechtslage in anderen Staaten, einschließlich Deutschlands.

[…]

Aber selbst bei einer theoretischen Herausgabe der Daten durch [Amazon Web Services] an amerikanische Ermittlungsbehörde wäre der übermittelte Datensatz aufgrund der durch den Dienstleister SVA eingerichteten Verschlüsselung nach sehr hohem Industriestandard von in der Cloud abgelegten Daten für amerikanische Behörden nicht verwertbar.“ (Drs. 17/11271, S. 3)

Das ist ein interessantes Statement der Regierung des bevölkerungsreichsten Bundeslandes. Inhaltlich dazu später. Für uns soll es zunächst der Aufhänger sein, uns mit der Zeit nach Schrems II zu befassen.

  • Wo ist eigentlich das Problem mit der Datenübertragung in die USA?
  • Was sagt denn die US-Regierung zum Urteil?
  • Was haben die Aufsichtsbehörden zu Schrems II veröffentlicht?
  • Wie könnten Lösungen aussehen? Gibt es überhaupt Lösungen?

Fragen über Fragen und die dringende Suche nach einer Antwort.

An dieser Stelle müssen wir kurz durchatmen. Denn auf uns kommt viel Arbeit zu. Die Übermittlung von Daten in die USA war bereits vor Schrems II sehr intensiv diskutiert worden. Und nach der tiefgreifenden Änderung durch Schrems II ist man sich eigentlich nur noch in einem sicher: Es ist kompliziert.

Um ein verständliches Bild zu schaffen und dieses facettenreiche Thema abzuhandeln, braucht es mehr als einen Blog-Artikel. Deshalb ist dieser Blog-Beitrag der Beginn einer kleineren Serie rund um das Thema: Reaktionen auf Schrems II – Rechtslage im transatlantischen Datenverkehr, bestehend aus vier Beiträgen.

Wir beginnen mit Teil 1: Was hat der EuGH entschieden und wie beurteilen die USA die Auswirkungen. In Teil 2 sehen wir uns an, wie Datentransfer auf Basis von geeigneter Garantien gelingen könnten. Dabei setzen wir uns mit dem Schutzniveau und den Ansichten der Aufsichtsbehörden auseinander. Teil 3 wird sich um den CLOUD Act drehen und in Teil 4 nutzen wir die gewonnen Erkenntnisse um uns ein eigenes Bild der Ausführungen des EuGH zu machen  (Spoiler: Man muss nicht in allem einer Meinung mit dem EuGH sein) und ziehen ein Fazit zum Thema Datenübermittlungen in die USA.

Den ganzen Artikel lesen.

Ein herzliches „Moin“ zum neuen Rechtsüberblick für den August 2019. (*der natürlich erst 30. September erscheint…*hüstel )

Wieder haben wir interessante Themen aus dem digitalen Raum und Recht für Sie zusammengestellt und wünschen viel Spaß bei der Lektüre.

Wir beginnen mit einem Nachtrag zu dem im letzten Rechtsüberblick erwähnten Verfahren eines Gastwirtes gegen Google vor dem Landgericht München I (Az. 25 O 13925/18), in dem es eine etwas überraschende Wendung gab (*Spoiler: Kein streitiges Urteil!).

Anschließend beschäftigen wir uns mit dem beim OLG Düsseldorf anhängigen Verfahren des Bundeskartellamts (BKartA) gegen Facebook (Az.:  VI-Kart 1/19 (V)), in dem kürzlich ein neuer Beschluss erging. Bei diesem Verfahren geht es um die in Facebooks Nutzungsbedingungen vorgesehene, produktübergreifende (WhatsApp, Instagram & Co.) Datenverarbeitung. Diese befand das BKartA als zu weitgehend und untersagte Facebook die Durchführung dieser Bedingungen.

Weiter geht es mit dem vom Hamburgischen Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) begonnenen formlosen Verwaltungsverfahren gegen Google wegen deren Sprachassistent „Google Home“. Dieser sendet die mitgeschnittenen Gesprächsabschnitte zur Analyse an Google, wobei dort auch sensible personenbezogene Informationen enthalten sind. Der HmbBfDI hat entsprechend Zweifel an der Konformität mit der DSGVO. Google hat die Praxis vorerst freiwillig eingestellt. War das nötig?

Außerdem wagen wir einen Blick über den Tellerrand hinaus nach Florida, USA, wo die dortige Landesschulbehörde eine fragwürdige Datenplattform aufbauen möchte, welche Social-Media-Daten mit Schuldaten verknüpfen soll – im Namen der Sicherheit.

Wir enden mit einem Schmankerl, das nicht nur für angehende Juristen interessant ist: Das Justizprüfungsamt (JPA) Düsseldorf meint nämlich, nordrhein-westfälisches Landesrecht beschränke die Anwendung der DSGVO (*Spoiler: …nein). Das nutzen wir aber, um einen kleinen Einblick in die Funktionsweise der Öffnungsklauseln und des rechtlichen Vorranggefüges zu geben.

Viel Spaß!

Den ganzen Artikel lesen.

Herzlich willkommen zum neuen Rechtsüberblick für den Juli 2019 (der hier mit kleiner Verspätung *hust) erscheint.

Erneut werden Themen aus medienrechtlicher und medienrechtspolitischer Perspektive zusammengestellt und kommentiert. Dabei werden auch gesellschaftliche und technische Entwicklungen dargestellt.

So beginnt der Rechtsüberblick mit der Frage „Is AI biased?“, also Defiziten in der KI-„Ausbildung“, die zu ungewollten Diskriminierungen führen könnten.

Danach wird der Blick auf eine Klage beim LG München I geworfen, in der sich ein bayerischer Gastwirt gegen Google und nach seiner Aussage unwahre Öffnungszeiten, die die Online-Suchmaschine ausgibt, wehrt. Leitfrage ist: Was könnte man gegen eine solche unrichtige Anzeige eigentlich machen, unterstellt sie sei unwahr.

Danach wird ein Bericht der EU-Kommission, das Zwischenfazit zur DSGVO, welches im Berliner Innenministerium für reichlich Hektik gesorgt haben wird, betrachtet: Wird der EuGH bald aufgrund eingeleiteter Vertragsverletzungsverfahren (Plural bewusst gewählt) gegen die Bundesrepublik den Rotstift an das deutsche BDSG anlegen?

Danach führt es uns nochmal vor das LG München I mit der Besprechung einer Entscheidung über unzulässige Sperrungen von Content auf Twitter – Nachwehen des Problems #twittersperrt.

Hingewiesen wird ferner auf das nun erfolgte Urteil des EuGH in Sachen „Fashion ID“.

Viel Spaß Ihnen beim Lesen.

Den ganzen Artikel lesen.

Mitautor: Christian Frerix*

Die Informationspflichten und Auskunftspflichten der Unternehmen

Das letzte Mal, dass die Datenschutzgrundverordnung, kurz DSGVO, hier Thema war, war Ende August. Mehr als ein Monat ist seit dem vergangen. Ein Monat weniger, der Ihnen als Unternehmen zur Verfügung steht, um sich auf die DSGVO mit allen Neuerungen vorzubereiten.

Im August hatten wir die Dokumentations-, Datensicherungs- und Meldepflichten der Unternehmen im Blick. Heute soll es vor allem um die Informationspflichten und Auskunftspflichten der Unternehmen gehen. Ergo, wann und wie sind die Betroffenen (also diejenigen, deren Daten erhoben werden) zu informieren und wie sieht es mit den Auskunftsrechten bzw. -pflichten aus. Auch hier gibt es einige Änderungen, die Sie als Unternehmen unbedingt kennen und bis 2018 umsetzen müssen.

Den ganzen Artikel lesen.

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.