• Niko Härting

• Dr. Jeroen de Jong

The GDPR lays down many requirements on data processors. Most of those requirements appear to be unconditional and not adaptive to the nature and context of the processing. Those requirements lead to considerable compliance costs for businesses. It is often claimed that the adverse effects of absoluteness and non-scalabiity are mitigated to a large extent by the risk-based approach in Chapter IV of the GDPR. In this article the claim of the mitigating effects of the risk-based approach is addressed by a textual analysis of the meaning of the risk-based approach in Chapter IV of the GDPR.

• Franck Dumortier

In Belgium, the management of the COVID-19 crisis quickly led to the setting up of a centralized and sensitive database, considered necessary to implement manual contact tracing. Nevertheless, the legal framework regulating this database is at the center of many controversies related both to the GDPR’s data minimization rule and to the Constitutional division of competences between the federal and the federated entities in the kingdom. Consequently, the road to a compliant solution has been – and still is – the subject of heated debates which, unfortunately, could not take place with all the required transparency.

• Dr. Jan-Philipp Günther

Mit Urteil vom 16. Juli 2020 (Rechtssache C‐311/18, Schrems II) äußerte sich der EuGH zu internationalen Datenübermittlungen, die auf den EU-US Privacy Shield sowie auf die Standarddatenschutzklauseln gestützt werden. Der EuGH erklärte den EU-US Privacy Shield für ungültig, was zur Rechtswidrigkeit von Datenübermittlungen führt, die den Angemessenheitsbeschluss als Transfermechanismus nutzen und traf Aussagen zur Feststellung eines angemessenen Datenschutzniveaus im Drittland, die insbesondere für die Standarddatenschutzklauseln höchste Relevanz haben. Der folgende Beitrag fasst das EuGH-Urteil in Hinblick auf den EU-US Privacy Shield sowie seine Auswirkungen auf die Standarddatenschutzklauseln zusammen.

• Olga Gkotsopoulou

This paper offers an outlook of the EU policy response in relation to the interoperability of contact tracing apps and the respective implications for data protection law. First, the paper reviews the relevant communications by the EU institutions, agencies and digital health networking platforms. Secondly, it explains how the use of the term ‘contact tracing’ is perceived in the contact tracing application context. The need for interoperability and the consequent complications for data protection law are further elaborated upon. Lastly, the paper studies cross-border interoperability in connection to already existing and deployed self-acclaimed contact tracing applications.

• Thomas Kienle

Die Datenschutz-Grundverordnung verbürgt Kindern besonderen Schutz. Dieser Beitrag stellt dem legitimen Schutzbedürfnis den Ansatz einer Datenmündigkeit gegenüber. Er betont mithin den aktiven Status des Kindes und dessen Bedeutung für eine selbstbestimmte Persönlichkeitsentwicklung. Unter Datenmündigkeit wird dabei der Grad an Einsichtsfähigkeit verstanden, ab dem ein Kind seine Datenschutzrechte selbstständig wahrnehmen kann. Gesetzlicher Anknüpfungspunkt ist die Einwilligungskonstellation des Art. 8 DSGVO sowie die kindespezifische Transparenzvorschrift zu den Betroffenenrechten.

• Frederick Richter

Juristinnen und Juristinnen lieben Grundsätze aus dem antiken Römischen Recht und nutzen gern die für sie griffigen lateinischen Bezeichnungen. Ihre Methodenlehre kennt verschiedene Formen des zulässigen Argumentierens, z. B. das argumentum e simile, den Gleichheitsschluss, oder das argumentum a fortiori, den Erst-recht-Schluss. Sogar ein eher exotisch anmutendes argumentum ad absurdum ist anzutreffen (bei dem das untragbare Ergebnis des alternativen Weges die Richtigkeit des gewählten Weges stützen soll). Ein Schluss, der in Bezug auf die EU-Datenschutz-Grundverordnung und auf das Thema der diesmaligen Kolumne eine wichtige Rolle spielt, ist das argumentum e contrario, die Darlegung aus dem Gegenteil.

• Nicole Beranek Zanon

Trotz der finalen Punkte, die das Schweizer Parlament in der Herbstsession behandeln muss, wagen wir hier einen Ausblick, was im neuen Schweizer Datenschutzgesetz zu erwarten ist. Das Beste vorweg: Das DSG wird zu 95 % identisch mit der DSGVO sein. Dieser Beitrag befasst sich mit den 5 % Abweichungen.

• Heiko Dünkel

Als großes soziales Netzwerk hat man es auch nicht leicht. Da soll die Einflussnahme auf Wahlen in den westlichen Demokratien über den Dienst wirksam unterbunden werden. Erst im vergangenen Jahr einigte man sich auf einen Vergleich über fünf Milliarden (!) Dollar mit der amerikanischen Federal Trade Commission (FTC). Anlass der Ermittlungen war der Cambridge-Analytica-Skandal. Hierzulande verlangt das Bundeskartellamt ein Ende der Zusammenführung von personenbezogenen Daten aus dem Dienst mit jenen aus diversen Drittquellen auf der Grundlage der aktuellen Vertragskonditionen. Und bekommt damit vor dem Bundesgerichtshof vorläufig Recht. Und dann ist da immer noch dieser Max Schrems.

• Philipp Müller-Peltzer
• Ilan Leonard Selz

Zu der Frage, ob Cookies für Werbezwecke einer Einwilligung bedürfen, zog sich ein über sechsjähriger Rechtsstreit hin, angefangen beim LG Frankfurt mit Stationen im Instanzenzug vor dem OLG Frankfurt, über den BGH, bis hin zum EuGH. Vom EuGH wurde die Rechtssache „Planet 49“ zuletzt an den BGH zurückverwiesen, der am 25. Mai 2020 sein abschließendes Urteil verkündete: Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung dürfen nur mit Einwilligung der Websitebesucher gesetzt werden, wobei keine voreingestellten Ankreuzkästchen zulässig seien. Der grundsätzliche Tenor entsprach damit dem des EuGH. So weit, so klar?

• Kristin Benedikt

Die Diskussion um die Frage, ob der deutsche Gesetzgeber die ePrivacy-Richtlinie, insbesondere Art. 5 Abs. 3, in nationales Recht umgesetzt hat, wäre beinahe in Vergessenheit geraten. Mit der Entscheidung des BGH im Verfahren „Planet 49“ werden Cookie-Banner auf Websites erneut zum Dauerbrenner. Der BGH setzt sich in seiner Entscheidung mit der Frage auseinander, ob und wie eine wirksame Einwilligung bei der Verarbeitung im Zusammenhang mit Cookies vom Nutzer einzuholen ist und vertritt überraschenderweise eine andere Auffassung als die deutschen Datenschutzaufsichtsbehörden. Dies wirft nicht nur neue Rechtsfragen auf, sondern führt nicht zuletzt zu Rechtsunsicherheit bei Website-Betreibern.