Inhalt der aktuellen Ausgabe 05/2019

• Niko Härting

• Heiko Dünkel

Irgendwann in der zweiten Jahreshälfte wird der Europäische Gerichtshof mit einiger Wahrscheinlichkeit seine Entscheidung in der Rechtssache Planet49 (C-673/17) verkünden. Bei diesem Verfahren geht es um eine bereits voreingestellte „Einwilligung“ in das Setzen von Tracking-Cookies des Werbedienstleisters Remintrex im Rahmen eines Gewinnspiels. Es geht damit aber auch um die Frage, ob der deutsche Gesetzgeber die entsprechende Richtlinie richtig umgesetzt hat. Nur wer sich angesichts der überwältigenden Argumente seit Jahren im Keller des Bundeswirtschaftsministeriums versteckt, wird diese Frage noch mit ja beantworten.

• Philipp Müller-Peltzer
• Ilan Leonard Selz

♦ LG Frankfurt, Urt. v. 28.06.2019 – Az. 2-03 O 315/17, Unterlassungsanspruch aus Art. 17 DSGVO
♦ OLG Dresden, Beschl. v. 11.06.2019, Az. 4 U 760/19 – vorrübergehende Sperrung eines Nutzeraccounts ist Bagatellverstoß und rechtfertigt keinen Schadensersatz
♦ FR: Französische Datenschutzaufsichtsbehörde veröffentlicht neue Richtlinien zum Einsatz von Cookies und anderen Trackingmethoden
♦ UK: Britische Aufsichtsbehörde äußert sich zu bevorstehenden Bußgeldern in Millionenhöhe
♦ USA: FTC und Facebook einigen sich auf eine Rekordstrafe in Höhe von fünf Milliarden US-Dollar für Cambridge Analytica Skandal
♦ EU: Neuer Leitfaden zur Videoüberwachung des Europäischen Datenschutzausschusses
♦ EU: EuGH – Mündliche Verhandlung im Fall Maximilian Schrems gegen Facebook Ireland und (Rechtssache C-311/18)

• Frederick Richter

In manchen Datenschutzkreisen scheint es mittlerweile als Sakrileg zu gelten, die EU-Datenschutz-Grundverordnung in ihrer konkreten, Gesetz gewordenen Form zu kritisieren. Wir bei der Stiftung Datenschutz wollen auch zukünftig ein Forum für die Debatte bieten, auf dem auch Stimmen der Minderheit zu Wort kommen. Da DSGVO-Kritiker durchaus interessante Argumente haben können, sollte man sie nicht wie Klimawandel-Leugner behandeln, sondern durchaus einmal zu Wort kommen lassen. Nichts ist besser, als das eigene Argument – von dessen Güte und Schlagkraft man überzeugt ist – anhand des Gegenarguments abzuklopfen.

• Anna Kobylańska
• Krzysztof Muciak

Although the provisions of the GDPR (Regulation [EU] 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC [General Data Protection Regulation]) became effective on 25 May 2018, entrepreneurs in Poland have had to wait quite a while for additional provisions to facilitate the application of the GDPR under Polish legal regime. Only recently a new law entered into force (on 4 May 2019) amending more than 160 laws.

• Stefanos Tsimikalis

With a little more than one year having passed since the GDPR came into effect throughout the EU, timing justifies providing an update and making an account of all that transpired ever since in Greece.

• Anne Riechert

Wer kennt diese Situation nicht: Man ruft eine Webseite mit aktiviertem Adblocker auf und wird freundlich darauf hingewiesen, dass das dortige Angebot selbstverständlich nicht kostenlos sein könne. So hat man als Nutzer die Wahl, auf das Informationsangebot zu verzichten oder dafür mit seinen Nutzungsdaten zu bezahlen. Unabhängig von der Frage der rechtlichen Zulässigkeit bleibt unklar, in welchem Umfang die bereitgestellten Daten genutzt werden und welcher Wert sich daraus ergibt.

• Martin Fokken

Das Bundeskartellamt hat Facebook bestimmte Verarbeitungen personenbezogener Daten untersagt. Der Beschluss betritt rechtliches Neuland, da er einen Verstoß gegen materielles Datenschutzrecht durch Facebook als einen Missbrauch der marktbeherrschenden Stellung auf dem nationalen Markt für soziale Netzwerke bewertet. Die Entscheidung zwingt sowohl Kartell- als auch Datenschutzrechtler, sich mit dem Verhältnis der beiden Rechtsgebiete auseinanderzusetzen. Die Einbeziehung datenschutzrechtlicher Wertungen in die wettbewerbsrechtliche Missbrauchskontrolle über die Schnittstelle des § 19 Abs. 1 GWB erweist sich zudem als komplex.

• Dr. Jeroen de Jong

Due to its many opening clauses and its dependency on national law, most notably national constitutional and administrative law, the implementation of the General Data Protection Regulation (hereafter: GDPR) gives rise to many choices and difficulties. The article highlights some of those problems the Netherlands encountered while implementing the GDPR in national legislation. The article examines the general structure of the implementation legislation and its underlying policy-neutral approach. The consequences of policy-neutrality are illustrated by some examples, linked to the use of some of the opening clauses of the GDPR.

• Dr. Aleksandra Sowa

Während das Bewusstsein für aus der DSGVO resultierende Meldepflichten für Datenschutzvorfälle inzwischen relativ hoch ist, unterschätzen Unternehmen regelmäßig die Gefahren von Cyberangriffen und erfüllen ihre Pflichten zur Meldung von Sicherheitsvorfällen nach BSIG bzw. ITSiG oft nur zögerlich. Die Ursachen hierfür sind einerseits die Unsicherheit darüber, was oder wann gemeldet werden sollte. Andererseits sind die Anreize, nicht zu melden, u. a. aufgrund relativ niedriger Bußgelder, stark. Zumindest Letzteres dürfte sich mit dem neuen IT-Sicherheitsgesetz 2.0 ändern.

• Alexander Kropp

Ein im Zusammenhang mit der DSGVO ständig aufkommendes und auch außerhalb der Fachpresse diskutiertes Thema sind die von den Aufsichtsbehörden verhängten Bußgelder. Man möchte schließlich wissen, ob das Datenschutzrecht seine angekündigten „Zähne“, die vielerorts behauptet ja erst mit dem neuen Datenschutzrecht zu wachsen begannen, auch wirklich bekommen hat und die durch die DSGVO möglichen Geldbußen tatsächlich verhängt werden. Dabei interessiert neben Höhe und Anzahl der verhängten Bußgelder auch, gegen wen die Bußgelder verhängt wurden.

• Sebastian Schulz

Der richtige Umgang mit den Datenschutzrechten betroffener Personen bleibt eine Herausforderung. In keinem vergleichbar praxisrelevanten Teilbereich des neuen Datenschutzrechts sind weiterhin so viele Punkte unklar. Gründe hierfür sind v. a. handwerkliche Schwächen des Verordnungstexts, unzureichende Korrektive und widersprüchliche Aussagen von Behörden und Gerichten. Schon nach altem Recht galt der Umgang mit Betroffenenrechten, etwa den Rechten auf Auskunft oder Löschung, dann als besonders problematisch, wenn hiervon auch pseudonyme bzw. pseudonymisierte Daten betroffen waren.