Privacy

Berlin data protection authority imposes EUR 14.5 million fine for “data cemetery”

On 30 October 2019, the Berlin Commissioner for Data Protection and Freedom of Information (Berliner Beauftragte für Datenschutz und Informationsfreiheit – “Berlin DPA”) imposed an administrative fine of about EUR 14.5 million against Deutsche Wohnen SE for infringements of the General Data Protection Regulation (GDPR).

Read more »

Datenschutzbehörden veröffentlichen Bußgeldmodell

Nachdem die Gerüchteküche in den letzten Wochen kräftig am Brodeln war, haben die deutschen Datenschutzaufsichtsbehörden am 16. Oktober 2019 offiziell ihr Modell zur Berechnung der Bußgelder bei Verstößen gegen die DSGVO veröffentlicht. Wir möchten dies zum Anlass nehmen und einige Aufsätze, die sich mit dem Thema DSGVO-Bußgelder befassen, in unserem Blog kostenlos zum Download zur Verfügung zu stellen. Eine ausführliche Übersicht zum neuen Bußgeldmodell finden Sie hier. After weeks of rumors and speculations, the German data protection authorities have published their model for calculating fines for GDPR infringements on 16 October 2019. We would like to take this as an …

Datenschutzbehörden veröffentlichen Bußgeldmodell Read More »

Webinar: DSGVO in der Praxis

Don’t Panic – Gute Verteidigung lohnt sich

Bußgelder in Millionenhöhe, abmontierte Klingelschilder und Unternehmen im Datenschutzstress – was ist daraus geworden? Darüber haben wir in unserem Webinar am 19. Februar 2019 berichtet.

Die Aufzeichnung des Webinars können Sie sich hier ansehen. Sie hören darin erste Erfahrungen zum Umgang mit der Datenschutzgrundverordnung (DSGVO) durch Behörden und Gerichte, lernen typische Gefahren und Fallstricke kennen und sind damit den erforderlichen Schritt voraus.

Read more »

Erstes Millionenbußgeld wegen DSGVO-Verstößen verhängt

Die fränzösische Datenschutzaufsichtsbehörde, die CNIL (Commission Nationale de l’Informatique et des Libertés), hat am 21. Januar 2019 gegen die Google LLC in den USA ein Bußgeld in Höhe von € 50 Millionen wegen mehrer mutmaßlicher Verstöße gegen die EU-Datenschutz-Grundverordnung (DSGVO) verhängt. Die CNIL wirft Google Verstöße gegen Transparenz- und Informationspflichten sowie Verarbeitung personenbezogener ohne Rechtgrundlage vor. Es handelt sich hierbei nicht nur um das erste bislang bekanntgewordene Bußgeld in Millionenhöhe, sondern auch das erste klar umsatzbasierte Bußgeld, da auch die Schwelle von € 20 Million in Artikel 83 Abs. 5 DSGVO überschritten wurde (Informationen zu bisherigen Bußgeldern finden Sie hier). Lesen Sie hier eine Einschätzung unserer französischen Kollegen: FRANCE: A NEW PHASE IN EUROPEAN PRIVACY LAW ENFORCEMENT – CNIL FINED GOOGLE LLC 50 MILLION EUROS!

Read more »

Webinar: DSGVO in der Praxis

Don’t Panic – Gute Verteidigung lohnt sich

Bußgelder in Millionenhöhe, abmontierte Klingelschilder und Unternehmen im Datenschutzstress – was ist daraus geworden? Darüber wollen wir mit Ihnen in unserem Webinar am 19. Februar 2019 sprechen. Sie hören erste Erfahrungen zum Umgang mit der Datenschutzgrundverordnung (DSGVO) durch Behörden und Gerichte, lernen typische Gefahren und Fallstricke kennen und sind damit den erforderlichen Schritt voraus.

Ein besonderer Schwerpunkt werden die Regelungen zu Ordnungswidrigkeiten sein, die Bußgelder in Höhe von bis zu 20 Millionen Euro oder 4 % des Vorjahresumsatzes vorsehen. Dabei lassen wir Experten aus den Bereichen Datenschutz, Wettbewerbsrecht sowie Regulierung und Prozessführung zur Sprache kommen, um einen umfassenden Überblick über die Möglichkeiten der Verteidigung gegen den Vorwurf von Datenschutzverstößen zu ermöglichen.

Read more »

Europäischer Datenschutzausschuss veröffentlicht Orientierungshilfe zum räumlichen Anwendungsbereich der DSGVO

Der Europäische Datenschutzausschuß (EDSA), das Koordinations-Gremium der Datenschutzaufsichtsbehörden der EU-Mitgliedsstaaten, hat endlich die lange erwartete Orientierungshilfe zum räumlichen Anwendungsbereich der EU-Datenschutz-Grundverordnung (DSGVO) zur öffentlichen Konsultation veröffentlicht.  Der EDSA befasst sich mit der Auslegung des Art. 3 DSGVO, insbesondere in Fällen der Verarbeitung außerhalb der EU/EWR-Mitgliedstaaten (sog. Drittstaaten). Lesen Sie hier eine erste Einschätzung durch das DLA Piper EU Data Protection Team. The European Data Protection Board (EDPB), the coordination body for the data protection authorities of the EU member states, finally released the long expected Guidelines on the territorial scope of the EU General Data Protection Regulation (GDPR) for public consultation. The EDPB …

Europäischer Datenschutzausschuss veröffentlicht Orientierungshilfe zum räumlichen Anwendungsbereich der DSGVO Read More »

Erstes Urteil zur Verbandsklagebefugnis bei Datenschutzverstößen

Von Prof. Dr. Stefan Engels und Christoph Engelmann Mit Urteil vom 3. November 2017 hat das Landgericht Leipzig in einem von der Verbraucherzentrale Sachsen betriebenen Verfahren dem dort beklagten Unternehmen u.a. die Nutzung und Verarbeitung von Kundendaten zu Werbezwecken auf Grundlage einer für rechtswidrig befundenen Einwilligungsklausel untersagt. Die Möglichkeit von Verbraucherschutzverbänden gegen Datenschutzverstöße vorzugehen ist zuvor im Februar 2016 neu in § 2 Abs. 2 Satz 1 Nr. 11 des Unterlassungsklagengesetzes (UKlaG) aufgenommen worden. Nach eigenen Angaben war die Verbraucherzentrale Sachsen die erste Verbraucherzentrale, die diese neue Klagebefugnis für sich geltend gemacht hat. Es ist damit zu rechnen, dass in Zukunft …

Erstes Urteil zur Verbandsklagebefugnis bei Datenschutzverstößen Read More »

Datenzugriff im transatlantischen Rechtsraum: Neuigkeiten zum Microsoft-Verfahren – Neuer Fall in Sachen Google

von Dr. Martin Metz und Jan Spittka Konflikte zwischen IT-Konzernen und Regierungen bezüglich des Zugriffs auf Kundendaten sorgen verstärkt für Schlagzeilen. Beispielhaft zeigt dies das Microsoft-Verfahren, in dem die US- Regierung für strafrechtliche Ermittlungszwecke die Durchsuchung eines Email-Accounts anordnete. Microsoft wiedersetzte sich dieser Aufforderung mit dem Argument, dass die Daten sich auf einem Server befinden, der außerhalb der USA belegen ist. Im Januar 2017 ist zu diesem Verfahren eine weitere Entscheidung des Berufungsgerichts des Second Circuit ergangen, mit der die Anordnung der Herausgabe der Daten für rechtswidrig erklärt wird. Demgegenüber hat der US District Court E.D. of Pennsylvania in einem …

Datenzugriff im transatlantischen Rechtsraum: Neuigkeiten zum Microsoft-Verfahren – Neuer Fall in Sachen Google Read More »

Datenschutz-Grundverordnung – Datenschutzbehörden veröffentlichen Hinweise zum Datenschutzbeauftragten

Die Artikel-29-Datenschutzgruppe (das Koordinationsgremium der Datenschutzbehörden der Mitgliedsstaaten auf EU-Ebene) hat am 13. Dezember 2016 Leitlinien und FAQs veröffentlicht, die sich mit den Regelungen der Datenschutz-Grundverordnung (DS-GVO) zum Datenschutzbeauftragten (Art. 37-39 DS-GVO) befassen. Zwar sind diese Leitlinien rechtlich nicht verbindlich. Sie geben aber einen Eindruck davon, wie die europäischen Datenschutzbehörden die Bestimmungen interpretieren und dienen so als Orientierungshilfe für die Praxis. English Summary On 13 December 2016, the Article 29 Data Protection Working Party (the coordination group of the member states’ data protection authorities on EU level) published guidelines and FAQs regarding the provisions of the General Data Protection Regulation …

Datenschutz-Grundverordnung – Datenschutzbehörden veröffentlichen Hinweise zum Datenschutzbeauftragten Read More »

EU-Datenschutz – Entwurf für neue ePrivacy-Verordnung geleakt

von Jan Spittka und Verena Grentzenberg Nachdem der EU-Gesetzgeber bereits die allgemeine Datenschutzrichtlinie (Richtlinie 95/46/EG) durch die Datenschutz-Grundverordnung (DS-GVO) ersetzt hat, welche ab dem 25. Mai 2018 gelten wird, soll nunmehr auch die Datenschutzrichtlinie für elektronische Kommunikation oder ePrivacy-Richtlinie (Richtlinie 2002/58/EG in der Fassung durch Richtlinie 2009/136/EG) reformiert werden. Wie bereits bei der DS-GVO wählt der EU-Gesetzgeber hierfür das Instrument einer unmittelbar in allen Mitgliedsstaaten geltenden Verordnung (ePrivacy-VO). Auch wenn der Gesetzgebungsprozess gerade erst begonnen hat, zeichnet sich bereits ab, dass die ePrivacy-VO ähnlich gravierende Änderungen wie die DS-GVO bringen wird. English Summary After the EU legislator has replaced the …

EU-Datenschutz – Entwurf für neue ePrivacy-Verordnung geleakt Read More »

Cloud Computing im Visier der Datenschutzbehörden – Fragenkatalog zu grenzüberschreitenden Datentransfers vorgelegt

von Jan Spittka und Jan Pohle Die Übermittlung personenbezogener Daten ins Nicht-EU-Ausland ist keine Seltenheit und hat nach Auffassung der deutschen Datenschutzbehörden in den letzten Jahren massiv zugenommen. Besonders das Cloud Computing führt zu einer internationalen Vernetzung von Datenbeständen. Rechtsfragen auf diesem Gebiet rücken nun in den Fokus der Datenschutzbehörden. In einer Presserklärung vom 3. November 2016 wurde nun eine koordinierte Prüfung dieser Datentransfers durch 10 deutsche Aufsichtsbehörden angekündigt. Zu diesem Zweck verschicken die Datenschutzbehörden Fragebögen an 500 zufällig ausgewählte Unternehmen unterschiedlicher Größe und  aus verschiedenen Branchen. Gefragt wird nach der Inanspruchnahme externer Dienstleistungen, wobei die genutzten Produkte und Dienstleistungen …

Cloud Computing im Visier der Datenschutzbehörden – Fragenkatalog zu grenzüberschreitenden Datentransfers vorgelegt Read More »

EuGH – Dynamische IP-Adressen sind personenbezogene Daten und deutsches Recht verstößt gegen Datenschutz-Richtlinie

von Jan Spittka und Jan Pohle In der wegweisenden Entscheidung im Fall Breyer gegen Bundesrepublic Deutschland (Urteil vom 19. Oktober 2016, Aktenzeichen C-582/14) hat der Europäische Gerichtshof (EuGH) nicht nur die langandauernde und komplizierte Diskussion darüber beendet, ob dynamische IP-Adressen auch dann personenbezogene  Daten sind, wenn die verantwortliche Stelle, welche die IP-Adressen verarbeitet nicht über die Mittel verfügt, um die IP-Adressen dem jeweiligen Betroffenen zuzuordnen. Das Gericht kam darüber hinaus zu dem Ergebnis, dass die Regelungen im deutschen Recht, welche die Verarbeitung personenbezogener Daten im Online-Kontext regeln gegen die EU-Datenschutz-Richtlinie (Richtlinie 95/46/EG) verstoßen, da sie keine Verarbeitung personenbezogener Daten aufgrund …

EuGH – Dynamische IP-Adressen sind personenbezogene Daten und deutsches Recht verstößt gegen Datenschutz-Richtlinie Read More »

DPAs Call into Question ALL Methods of Data Transfer to United States

By Dr. Thomas Jansen and Dr. Jan Geert Meents Yesterday, October 26, 2015, the German Federal Data Protection Officer and the Data Protection Authorities (DPAs) of the German Federal States (together “Datenschutzkonferenz” – DSK) issued a position paper calling into question all methods of data transfer to the United States. Specifically, the European Court of Justice invalidated the U.S.-EU Safe Harbor Program on October 6, 2015 (20 ECLR 1420, 10/14/15), in which over 4,400 U.S. organizations had participated. Regarding the remaining possible methods of data transfer, the DSK yesterday stated that “[i]n light of the judgment of the ECJ, the …

DPAs Call into Question ALL Methods of Data Transfer to United States Read More »

German DPAs issue a Position Paper on Safe Harbor

By Dr. Jan Geert Meents and Dr. Thomas Jansen Today the German Federal Data Protection Officer and the Data Protection Authorities (DPAs) of the German Federal States (together “Datenschutzkonferenz” – DSK) issued a joint statement on the Safe Harbor decision: According to the Safe Harbor decision of 6 October 2015, a data transfer based on the Safe Harbor decision by the European Commission of 26 July 2000 (2000/520/EG) is not permitted.  In the light of the ECJ decision, the other instruments to provide for a permissible data transfer to the U.S., such as EU Model Clauses or binding corporate rules …

German DPAs issue a Position Paper on Safe Harbor Read More »

Synopsis of EU General Data Protection Regulation

Today the Bavarian Data Protection Supervisory Authority (Bayerisches Landesamt für Datenschutzaufsicht) has published a synopsis of the three most relevant versions of the planned EU General Data Protection Regulation. The synopsis provides a good overview of the changes to the drafts submitted by the EU Commission on 25 January 2012, the outcome of the first reading on 27 March 2014 and the agreement of the EU Council reached on 15 June 2015. The document can be downloaded here (document in German language only).