• Winfried Veil

• Dr. Kristina Schreiber
• Pauline Brinke

Die Verordnung für einen EU-Gesundheitsdatenraum ist auf die Zielgerade eingebogen: Nach der politischen Einigung und letzten Erörterungen im Rat im Juni 2024 wird die EU-Verordnung derzeit inalisiert. Es ist mit einer Veröffentlichung noch in diesem Jahr zu rechnen. Datenschutzrechtlich bringt der EU-Gesundheitsraum eine kleine Revolution: Anders, als die meisten Digitalrechtsakte der letzten Monate, lässt diese Verordnung die DSGVO nicht unberührt.

• Dr. Maximilian Wagner

Im März 2024 ist das Gesetz zur verbesserten Nutzung von Gesundheitsdaten in Kraft getreten. Das Gesetz leitet einen Paradigmenwechsel ein und soll die Nutzung versorgungsnaher Gesundheitsdaten außerhalb ihres Erhebungskontextes im Sinne eines „ermöglichenden Datenschutz“ verbessern. Der Beitrag bietet einen Überblick über die neuen Möglichkeiten und setzt sie in Beziehung zu datenschutzrechtlichen Vorgaben.

• Philipp Quiel

Seit dem Wirksamwerden der DSGVO ist das Verhältnis der datenschutzrechtlichen Bestimmungen aus den Sozialgesetzbüchern und den allgemeinen unionalen Datenschutzvorgaben ungeklärt. Trotz des Wortlauts von § 35 Abs. 2 Satz 1 SGB I, ist der deutsche Gesetzgeber offenbar der Ansicht, nationale Vorgaben würden Bestimmungen der DSGVO verdrängen, wenn auf Basis einer Öffnungsklausel aus Art. 9 Abs. 2 DSGVO eine Rechtsgrundlage normiert ist.

• Karina Filusch
• Frank Fünfstück
• Dr. Aleksandra Sowa

Die Meldepflichten bei sicherheitsrelevanten Inzidenten sind in verschiedenen Rechtsgrundlagen geregelt. Wie, wann und an wen eine Meldung erfolgen muss, regeln u. a. die DORA-VO, das NIS-2-Umsetzungsgesetz, das KRITIS-Dachgesetz und die DSGVO.

• Juliane Messner
• Dr. Max Mosing

Verfahrensregeln sind eine unverzichtbare Grundlage für faire Verfahren – auch im (österreichischen) Datenschutzrecht. Die DSGVO und das konkretisierende österreichische Datenschutzgesetz („DSG“) räumen der österreichischen Datenschutzbehörde („öDSB“) umfangreiche Befugnisse insbesondere zur Untersuchung, zur Abhilfe und zur Bestrafung ein.

• Johannes Nehlsen
• Tilmann Fleck

Der Beitrag deckt auf, dass allein mit dem Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 noch keine ausreichende Rechtssicherheit für Datenexporteure besteht. Soweit diese Daten exportieren, die einen Kontext zu Beschäftigten aufweisen, bleibt unklar, ob die Selbstzertifizierungen unter dem Data Privacy Framework ausreichend als Garantie für den internationalen Datentransfer sind.

• Stefan Brink

Mit der menschlichen Intelligenz ist das so eine Sache. Jeder von uns hat zwar den Eindruck, ein Stückchen davon abbekommen zu haben – und schon Thomas Hobbes amüsierte sich in seinem „Leviathan“ darüber, dass kaum einer sich in Sachen Intelligenz als zu kurz gekommen betrachtet.

• Maximilian Funke-Kaiser
• Thomas Fuchs

PinG: Seit dem 1.8.2024 befinden wir uns in der Startphase des AI Acts. Noch ist offen, welche Behörden in Deutschland für die Überwachung und Durchsetzung des AI Acts zuständig sein werden. Was wäre Ihre Präferenz, wenn es um die behördliche Zuständigkeit geht?

• Frederick Richter

Was haben der amtierende Bundeskanzler und der nicht mehr amtierende Bundesdatenschutzbeauftragte gemeinsam? Nun ja, sie sind in derselben Partei – doch haben sie gewiss keine gemeinsame Haltung zu TikTok.
Die von Ulrich Kelber ist kritisch. Er schrieb im Juli: „Grundübel ist die Möglichkeit, mehr Daten zu sammeln, als für den Service eigentlich notwendig ist.

• Prof. Dr. Louisa Specht-Riemenschneider
• Niko Härting

Louisa, auch im Namen der PinG, herzlichen Glückwunsch zu dem neuen Amt! Aus Deinen ersten öffentlichen Äußerungen im neuen Amt sind mir vor allem zwei Schlagworte in Erinnerung geblieben: „Rote Linien“ und „Datennutzung ermöglichen“. Was liegt Dir mehr am Herzen, das „Ermöglichen“ oder die „roten Linien“?

• Philipp Müller-Peltzer
• Ilan Leonard Selz
• Yakin Surjadi

Internationale Datentransfers müssen immer durch geeignete Garantien abgesichert werden, auch wenn der Empfänger im Drittstaat bereits dem Anwendungsbereich der DSGVO unterliegt.
Die Nichtanwendbarkeit der SCC befreit Unternehmen nicht von der Pflicht alternative Mechanismen zur Absicherung des Datentransfers zu prüfen und zu implementieren.

• Philipp Müller-Peltzer
• Ilan Leonard Selz
• Yakin Surjadi

Das hessische Verfassungsschutzgesetz (HVSG) ist in Teilen verfassungswidrig, das entschied das BVerfG mit Beschluss vom 17.07.2024 (Az. 1 BvR 2133/22). Erst im Sommer 2023 wurde das HVSG als Reaktion auf das zum Bayerischen Verfassungsschutzgesetz ergangene Urteil des BVerfG (Urt. v. 26.04.2022, Az. 1 BvR 1619/17) geändert. Mit dem Urteil aus 2022 setzte das BVerfG Maßstäbe für alle weiteren in der Bundesrepublik geltenden Verfassungsschutzgesetze.

• Philipp Müller-Peltzer
• Ilan Leonard Selz
• Yakin Surjadi

Das AG Arnsberg hat dem EuGH mehrere zentrale Fragen zur Auslegung der DSGVO vorgelegt. Es soll geklärt werden, unter welchen Umständen ein Verantwortlicher ein Auskunftsersuchen nach Art. 15 DSGVO als rechtsmissbräuchlich ablehnen kann. Laut dem AG Arnsberg ist unklar, ob eine exzessive Anfrage im Sinne des Art. 12 Abs. 5 S. 2 DSGVO bereits bei einer erstmaligen Anfrage gegenüber dem Verantwortlichen vorliegen kann, wenn diese dazu dient, später DSGVOSchadensersatzansprüche zu provozieren.