IPT Germany
A DLA Piper blog focusing on IPT in Germany

Tag: Datenschutz

Erstes Urteil zur Verbandsklagebefugnis bei Datenschutzverstößen

Von Prof. Dr. Stefan Engels und Christoph Engelmann Mit Urteil vom 3. November 2017 hat das Landgericht Leipzig in einem von der Verbraucherzentrale Sachsen betriebenen Verfahren dem dort beklagten Unternehmen u.a. die Nutzung und Verarbeitung von Kundendaten zu Werbezwecken auf Grundlage einer für rechtswidrig befundenen Einwilligungsklausel untersagt. Die Möglichkeit von Verbraucherschutzverbänden gegen Datenschutzverstöße vorzugehen ist zuvor […]

Read More

Der Datenschutzbeauftragte unter der DS-GVO – LDI NRW veröffentlicht FAQ

von Jan Spittka und Julia Hellmann

Nach der Artikel 29-Datenschutzgruppe hat nunmehr auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) als erste deutsche Aufsichtsbehörde Hinweise zu Stellung und Aufgaben des betrieblichen Datenschutzbeauftragten unter der EU-Datenschutz-Grundverordnung (DS-GVO) veröffentlicht. FAQ ergänzen die Hinweise der Artikel-29-Gruppe und gehen auf deutsche Besonderheiten ein. In bestimmten Punkten kommen jedoch auch Abweichungen von der Interpretation der Art. 37 – 39 DS-GVO durch die Artikel-29-Gruppe zum Vorschein.

English Summary

Following the Article 29 Data Protection Working Party, the Commissioner for Data Protection and Freedom of Information of North Rhine-Westphalia (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen – LDI NRW) is the first German supervisory authority to publish guidelines regarding the position and tasks of the data protection officer under the EU General Data Protection Regulation (GDPR). The FAQ complement the guidelines by the Article 29 WP and also deal with specific German law characteristics. However, in certain points the LDI NRW deviates from the Article 29 WP’s interpretation of the Article 37 to 39 GDPR.  

avatar
Jan Spittka

Jan Spittka advises domestic and foreign clients on all aspects of German and European law relating to privacy and data protection, cybersecurity and information technology.

http://www.dlapiper.com/people/s/spittka-jan
Read More

Datenzugriff im transatlantischen Rechtsraum: Neuigkeiten zum Microsoft-Verfahren – Neuer Fall in Sachen Google

von Dr. Martin Metz und Jan Spittka

Konflikte zwischen IT-Konzernen und Regierungen bezüglich des Zugriffs auf Kundendaten sorgen verstärkt für Schlagzeilen. Beispielhaft zeigt dies das Microsoft-Verfahren, in dem die US- Regierung für strafrechtliche Ermittlungszwecke die Durchsuchung eines Email-Accounts anordnete. Microsoft wiedersetzte sich dieser Aufforderung mit dem Argument, dass die Daten sich auf einem Server befinden, der außerhalb der USA belegen ist. Im Januar 2017 ist zu diesem Verfahren eine weitere Entscheidung des Berufungsgerichts des Second Circuit ergangen, mit der die Anordnung der Herausgabe der Daten für rechtswidrig erklärt wird. Demgegenüber hat der US District Court E.D. of Pennsylvania in einem Verfahren gegen Google die Herausgabe von im Ausland gespeicherter Daten für rechtmäßig erklärt.

English Summary:

Recent conflicts between IT companies and government authorities relating to the access to customer data are in the new more and more often. For instance, in the Microsoft case, the U.S. government ordered to search an email account for law enforcement purposes. In this matter, the United States Court of Appeals for the Second Circuit ruled in January 2017 that the warrant to disclosure data is unlawful. On the contrary, U.S. district court E.D. of Pennsylvania ruled in a case concerning Google that the disclosure of data stored abroad is lawful.

avatar
Jan Spittka

Jan Spittka advises domestic and foreign clients on all aspects of German and European law relating to privacy and data protection, cybersecurity and information technology.

http://www.dlapiper.com/people/s/spittka-jan
Read More

EU-Datenschutz – Entwurf für neue ePrivacy-Verordnung geleakt

von Jan Spittka und Verena Grentzenberg

Nachdem der EU-Gesetzgeber bereits die allgemeine Datenschutzrichtlinie (Richtlinie 95/46/EG) durch die Datenschutz-Grundverordnung (DS-GVO) ersetzt hat, welche ab dem 25. Mai 2018 gelten wird, soll nunmehr auch die Datenschutzrichtlinie für elektronische Kommunikation oder ePrivacy-Richtlinie (Richtlinie 2002/58/EG in der Fassung durch Richtlinie 2009/136/EG) reformiert werden. Wie bereits bei der DS-GVO wählt der EU-Gesetzgeber hierfür das Instrument einer unmittelbar in allen Mitgliedsstaaten geltenden Verordnung (ePrivacy-VO). Auch wenn der Gesetzgebungsprozess gerade erst begonnen hat, zeichnet sich bereits ab, dass die ePrivacy-VO ähnlich gravierende Änderungen wie die DS-GVO bringen wird.

English Summary

After the EU legislator has replaced the general Data Protection Directive (Directive 95/46/EC) by the General Data Protection Regulation (GDPR) which will become enforceable on 25 Mai 2018, the Directive on Privacy and Electronic Communications or ePrivacy Directive (Directive 2002/58/EC as modified by Directive 2009/136/EC) shall be reformed as well. As previously done for the GDPR, the EU legislator’s instrument of choice is a Regulation (ePrivacy Regulation) which is directly enforceable in all member states. Although the legislative process has only started, it becomes apparent that the ePrivacy Regulation will bring similar significant changes as the GDPR.

avatar
Jan Spittka

Jan Spittka advises domestic and foreign clients on all aspects of German and European law relating to privacy and data protection, cybersecurity and information technology.

http://www.dlapiper.com/people/s/spittka-jan
Read More

EuGH – Dynamische IP-Adressen sind personenbezogene Daten und deutsches Recht verstößt gegen Datenschutz-Richtlinie

von Jan Spittka und Jan Pohle

In der wegweisenden Entscheidung im Fall Breyer gegen Bundesrepublic Deutschland (Urteil vom 19. Oktober 2016, Aktenzeichen C-582/14) hat der Europäische Gerichtshof (EuGH) nicht nur die langandauernde und komplizierte Diskussion darüber beendet, ob dynamische IP-Adressen auch dann personenbezogene  Daten sind, wenn die verantwortliche Stelle, welche die IP-Adressen verarbeitet nicht über die Mittel verfügt, um die IP-Adressen dem jeweiligen Betroffenen zuzuordnen. Das Gericht kam darüber hinaus zu dem Ergebnis, dass die Regelungen im deutschen Recht, welche die Verarbeitung personenbezogener Daten im Online-Kontext regeln gegen die EU-Datenschutz-Richtlinie (Richtlinie 95/46/EG) verstoßen, da sie keine Verarbeitung personenbezogener Daten aufgrund einer Interessenabwägung im Einzelfall zwischen berechtigten Interessen der verantwortlichen Stelle und den Interessen der Betroffenen vorsehen.

English Summary

ECJ – Dynamic IP addresses constitute personal data and German law not compliant with Data Protection Directive

In its landmark decision in the case Breyer v. Federal Republic of Germany (decision dated 19 October 2016, case number C-582/14), the European Court of Justice (ECJ) not only ended the long and tricky debate whether dynamic IP addresses constitute personal data even if the data controller processing the IP addresses does not hold the means to link it to the respective data subject. The court also came to the conclusion the provisions of German law dealing with the processing of personal data in the online environment do not comply with the EU Data Protection Directive (Directive 95/46/EC) as these provision do not provide for a statutory permission to process personal data based on a balancing of interest between legitimate interest of the data controller and the interest of the data subjects.

avatar
Jan Spittka

Jan Spittka advises domestic and foreign clients on all aspects of German and European law relating to privacy and data protection, cybersecurity and information technology.

http://www.dlapiper.com/people/s/spittka-jan
Read More