• Iris Phan

• Karina Filusch
• Dr. Aleksandra Sowa

Pflichten zur Meldung von Datenpannen gemäß der DSGVO bestehen grundsätzlich für alle Organisationen. Meldepflichten für Sicherheitsvorfälle betreffen dagegen ausgewählte Zielgruppen, die sowohl im BSI-Gesetz, in der konkretisierenden BSI-KritisV als auch in einer Reihe weiterer Vorschriften definiert werden und inzwischen weit über die ursprünglichen Adressaten, die Betreiber Kritischer Infrastrukturen, hinaus reichen.

• Selma Nabulsi

Der Schutz besonders sensibler Daten stellt ein Kernanliegen der DSGVO dar. Der Ausgestaltung dieses Schutzes dient insbesondere Art. 9 Abs. 1 DSGVO, der die Verarbeitung bestimmter, gesetzlich festgelegter Datenkategorien grundsätzlich untersagt. Die Vorschrift wirft infolge ihrer interpretationsbedürftigen Reichweite erhebliche Probleme bei der Rechtsanwendung auf, die sich in einer wachsenden Zahl von Vorlagefragen zum EuGH widerspiegeln. Der folgende Beitrag beleuchtet die aktuelle Rechtsprechung des EuGH zum Anwendungsbereich des Art. 9 Abs. 1 DSGVO und zeigt auf, welche Folgefragen sich aus der Auslegung durch den Gerichtshof ergeben.

• Christoph Nießen

Der Datenschutz bekommt eine immer bedeutendere Rolle im digitalen Zeitalter. Nicht umsonst ringen die Vereinigten Staaten und die Europäische Union um eine nachhaltige Lösung im Balanceakt zwischen dem Schutz personenbezogener Daten und innovativem Wirtschaftswachstum. Gänzlich außer Acht gelassen werden hierbei jedoch regelmäßig die Aktivitäten von Datenhändlern (engl. Data-Broker), die das Ausmaß an globaler Datenverfügbarkeit gezielt monetarisieren.

• Niklas Vogt
• Kristina Gutzke

Im Mai 2023 traf der EuGH seine erste Grundsatzentscheidung zum immateriellen Schadensersatz nach Art. 82 DSGVO (Rs. C-300/21). Einige wesentliche Fragen wurden geklärt, die Handhabung des Anspruchs in der Praxis aber nicht maßgeblich vereinfacht. Dass noch weitere Rechtsprechung aus Luxemburg und vom BGH erforderlich ist, wird bei einem systematischen Blick auf die bisherige (sehr uneinheitliche) deutsche Rechtsprechung zur „Facebook-Scraping“-Klagewelle deutlich.

• Dr. Erion Murati

Ein Datenschutzvorfall ist nach § 34 DSGVO unverzüglich den Betroffenen zu melden, wenn „voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten“ besteht. Da die DSGVO jedoch nicht definiert, was „hohes Risiko“ bedeutet, zielt dieser Artikel darauf ab, einen risikobasierten Ansatz zu entwickeln, der Verantwortlichen wie Aufsichtsbehörden Orientierung bieten soll, ob im konkreten Fall eine Benachrichtigung der betroffenen Personen erforderlich ist oder nicht.

• John Eastwood
• Wendy Chu
• Nathan Snyder

The Taiwan legislature passed amendments to the Personal Data Protection Act (PDPA) on May 16, 2023, that will establish a new independent data protection agency, the Personal Data Protection Commission, and greatly increase the penalties for data breaches for non-government entities (i.e., companies and private individuals). Creation of a new data protection agency was mandated by a ruling from the Constitutional Court’s in August 2022 that it was unconstitutional to have no competent authority overseeing the enforcement of the PDPA. In particular, the major problems seemed to stem from the inability of the government to enforce upon itself – the case before the Constitutional Court involved the National Health Insurance Administration (NHIA) allowing select third parties to have access to its databases without appropriate consent.

• Frederick Richter

In einem Rechtsgebiet, in dem viele nach einer real existierenden „informationellen Selbstbestimmung“ streben und auf die wahrhaft „informierte Einwilligung“ hoffen, dort muss es in hohem Maße auf Kenntnis und Erkenntnis der Handelnden ankommen. Diese Menschen nennen wir in deutscher Datenschutztradition ziemlich defensiv „Betroffene“. Wenn wir sie, wie im europäischen Jargon, zielorientierter „Datensubjekte“ nennen, dann wird noch klarer, dass deren möglichst souveränes Entscheiden in Bezug auf die sie betreffenden Daten nicht möglich ist ohne eine gewisse Data Literacy. Aber wie stellen wir sie her, diese Datenbildung? Kommen wir mit einem klassischen Anspruch nach „Belesenheit“ im Datenzeitalter wirklich weiter?

• Anna Kubiessa
• Stephan Koloßa
• Selma Nabulsi

Im Oktober 2023 kamen in Berlin Promovierende, junge Berufsträgerinnen und Berufsträger, Referendarinnen und Referendare sowie Interessierte im Bereich des Datenrechts zum sechsten Nachwuchsworkshop der PinG zusammen. Die Tagung bot den Teilnehmenden Gelegenheit zum Austausch und ermöglichte Einblicke in die aufsichtsrechtliche Praxis und aktuelle wissenschaftliche Auseinandersetzung im Datenrecht. Der folgende Tagungsbericht fasst die behandelten Themenbereiche zusammen.

• Stefan Brink

Wer die Jahre nach 2016 aufmerksam verfolgt hat, der konnte sich des Eindrucks nicht erwehren, dass „der Datenschutz“ auf einer Erfolgswelle segelt: Die Datenschutz- Grundverordnung eroberte nicht nur den europäischen Rechtsraum im Sturm, ihre Ausstrahlungswirkung reichte trotz aller gegenteiligen Augurenrufe bis weit in den amerikanischen und asiatischen Raum hinein. Und wäre das nicht bereits genug an Aufmerksamkeit für und sogar Furcht vor diesem europäischen Wertebekenntnis, übertraf die auf der DS-GVO aufsetzende Rechtsprechung des Europäischen Gerichtshofs mit einer geradezu überwältigenden Abfolge höchst datenschutzfreundlicher Judikate – zu Datentransfers, Auskunftsrechten und aufsichtsbehördlichen Befugnissen – selbst die hohen Erwartungen der Datenschutzgemeinde.

• Philipp Müller-Peltzer
• Ilan Leonard Selz
• Yakin Surjadi

Der Einsatz von KI-Systemen im Gesundheitsbereich bringt eine Vielzahl von datenschutzrechtlichen Herausforderungen mit sich. Die italienische Datenschutzbehörde Garante per la protezione dei dati personali („Garante“) hat nun 10 Regeln für die Bereitstellung von nationalen Gesundheitsdienstleistungen durch KI-Systeme veröffentlicht. Die Regeln werden im Folgenden jeweils kurz vorgestellt und anschließend insgesamt datenschutzrechtlich eingeordnet.

Der EuGH entschied in einem vom Landgericht Köln vorgelegten Vorabentscheidungsverfahren über eine zentrale Frage zum Begriff des relativen Personenbezugs. Der inhaltliche Aufhänger des zugrundeliegenden Rechtsstreits vor dem LG Köln betrifft im Kern die Frage nach der Form, dem Inhalt und dem Umfang der Herstellerverpflichtung zur Bereitstellung von Fahrzeug-, On-Board-Diagnose- sowie Reparatur- und Wartungsinformationen gemäß der Typgenehmigungsverordnung (Verordnung (EU) 2018/858).

• Philipp Müller-Peltzer
• Ilan Leonard Selz
• Yakin Surjadi

Das Berliner Verwaltungsgericht hat sich in seinem Urteil vom 12.10.2023 mit dem omnipräsenten Thema Videoüberwachung beschäftigt. Im Fokus stand dabei auch die (Un-)Zumutbarkeit der Erfüllung eines Auskunftsersuchens. Die Erwägungen des Gerichtes zu dem Themenkomplex sind unter anderem deshalb so relevant, weil sie auch auf Auskunftsersuchen in anderem Kontext übertragbar sein können. Vorausgegangen war dem Urteil des Verwaltungsgerichtes eine Entscheidung des AG Pankow (Urt. v. 28.03.2022 – Az.: 4 C 199/21). In dem zugrunde liegenden Sachverhalt hatte ein Fahrgast der Berliner S-Bahn Auskunft nach Art. 15 DSGVO hinsichtlich der Videoaufzeichnungen gefordert, die das entsprechende Personenbeförderungsunternehmen von ihm gemacht und routinegemäß für 48 Stunden gespeichert hatte.