Philipp Quiel Schriftleitung Datenschutz-Berater Sehr geehrte Leserinnen und Leser, viele von Ihnen würden sicherlich der Aussage zustimmen, dass Fragen zur missbräuchlichen Ausübung des Rechts auf Auskunft und Kopie aktuell sehr praxisrelevant und umstritten sind. Ich möchte mit Ihnen in diesem Editorial einige meiner Gedanken hierzu teilen. Bei einer potenziell missbräuchlichen Ausübung von Art. 15 DSGVO geht es in den aktuell geführten Diskussionen um Konstellationen, in denen auch oder sogar ausschließlich "datenschutzfremde" Zwecke verfolgt werden. Um etwaige fremde Zwecke identifizieren zu können, steht zunächst in Frage, welche Motive dem Datenschutzrecht zuzuordnen sind. Laut ErwGr. 63 Satz 1 zur DSGVO ...217
Joerg Heidrich Disruption des Rechts Disruption Das Lexikon definiert Disruption als das Auflösen oder Zerstören von etwas Bestehendem. Die digitale Disruption hat sich im letzten Jahrzehnt durch eine Vielzahl von Industrien gefressen und dort Spuren der Verwüstung hinterlassen. Betroffen waren zum Beispiel die Reise-, Finanz- oder Bankenbranche. Für diese Entwicklung stehen Unternehmen wie Amazon, Airbnb oder Uber. Auch Juristen und Datenschützer werden sich über kurz oder lang mit großen Veränderungen in ihren Prozessen vertraut machen müssen, die durch neue Entwicklungen etwa in den Bereichen Legaltech und Smart Contracts entstehen werden. Allerdings war hier, zumindest in Deutschland, die ...218
Dr. Markus Lang Zeit für ein Datenschutz-Audit? - Notwendigkeit, Verantwortlichkeit und Umfang Pflicht oder Kür? "Audit" in der DSGVO Die DSGVO enthält weder eine Vorschrift mit dem Begriff "Audit" noch eine explizite Verpflichtung im Sinne einer systematischen Untersuchung und Bewertung der Verarbeitung personenbezogener Daten sowie der Maßnahmen, die zur Gewährleistung des Datenschutzes getroffen wurden. Allerdings müssen die nach der DSGVO zu ergreifenden technischen und organisatorischen Maßnahmen (TOM) überprüft und aktualisiert werden. Diese Regelung in Art. 24 Abs. 1 Satz 2 DSGVO hat zwar genau genommen lediglich eine fest- und klarstellende Wirkung. Die zwingende Notwendigkeit, einmal getroffene Maßnahmen ...222
Andreas Schmidt Einsichtsrecht des Vorgesetzten in Personalakten Einführung Betriebliche Personalakten tragen als wesentliche Grundlage zur Entscheidungsfindung von Personalangelegenheiten bei, weil sie sämtliche Vorgänge des Arbeitsverhältnisses abbilden. Unternehmen haben daher ein Interesse an einer möglichst lückenlosen Dokumentation. Umgekehrt bergen derartige Informationssammlungen gerade bei ausufernden Zugriffsmöglichkeiten Gefahren für die Rechte und Freiheiten des Arbeitnehmers. Aus diesem Grund besteht auch eine besondere Schutzbedürftigkeit der Personalakte. Zwar ist in Unternehmen - je nach Größe und Organisation - regelmäßig die Personalabteilung oder ein zuständiger Sachbearbeiter mit den routinemäßigen Aufgaben beauftragt und entsprechenden Zugriffsberechtigungen ausgestattet. Doch hat daneben auch der Vorgesetzte ein ...227
Philipp Müller-Peltzer Künstliche Intelligenz und Datenschutzrecht: Ein Blick auf die neue KI-Verordnung Was ist Künstliche Intelligenz? Für den Begriff der Künstlichen Intelligenz (KI) existiert keine allgemeingültige Definition. Im Kern zeichnen sich KI-Systeme dadurch aus, dass sie in gewissem Rahmen autonom arbeiten und dass sich die Verarbeitungsprozesse "selbstlernend" anpassen. Der Entwurf zur KI-VO (KI-VO-E) definiert in Art. 3 Nr. 1 den rechtlichen KI-Begriff: Nach der aktuellen Fassung des Rates umfasst der Begriff Algorithmen, die mit einem gewissen Grad an Autonomie ermitteln, wie bestimmte von Menschen festgelegte Ziele zu erreichen sind. Dafür können die Systeme verschiedene Techniken nutzen, so ...230
Dr. Olaf Koglin und Jessica Preiß Folgen der Vergabekammer-Entscheidung zu Microsoft 365: Klausel 14 der SCC und Wege zum Einsatz in der Praxis Hintergrund: Das "latente Risiko eines Zugriffs" durch US-Behörden Nach der Entscheidung der Vergabekammer Baden-Württemberg zu Microsoft 365 (siehe dazu in diesem Heft S. 250) steht erneut die Frage im Fokus, unter welchen Voraussetzungen US-Cloud-Dienstleistungen datenschutzkonform eingesetzt werden können. Die Entscheidung der Vergabekammer postuliert - wohl grundsätzlich für Anbieter mit Sitz in den USA - das "latente Risiko eines Zugriffs" durch staatliche Stellen und darauf basierend eine grundsätzliche "datenschutzrechtliche Unzulässigkeit" (Rn. 80). Ähnlich urteilte die Aufsichtsbehörde aus ...234
Dr. Johanna M. Kirschnick und Dominik Hoidn B2B-Leads rechtskonform benutzen Der Handel mit Leads Leads sind zu Werbezwecken generierte Kontaktprofile von Personen, die wahrscheinlich Interesse an den Dienstleistungen oder Produkten eines Unternehmens haben. Je wahrscheinlicher ein solches Interesse, desto wertvoller der Lead. Weltweit floriert das Geschäft mit Leads. Große Player sitzen auch hierbei in den USA, wo sämtliche Regulierungsversuche als gescheitert angesehen werden können (etwa 2020 der "Data Broker Accountability and Transparency Act"). Nicht so im EWR: Hierzulande wird das Thema weitestgehend einheitlich geregelt. Da die DSGVO Betroffenen weitgehende Rechte einräumt und ein am Datenhandel beteiligtes Unternehmen sich ...238
Sehr geehrter Herr Dr. Brink, zum Ende dieses Jahres läuft Ihre Amtszeit als Landesbeauftragter ab und Sie werden, wie man der Presse in den vergangenen Wochen entnehmen konnte, nicht erneut antreten. Wenn Sie zurückblicken: wie hat sich der Datenschutz in Deutschland und in der EU in den letzten knapp 6 Jahren Ihrer Amtszeit entwickelt bzw. gewandelt? Der Datenschutz hat einen enormen Wandel vollzogen: Mit der Datenschutz-Grundverordnung ist 2018 ein echter game changer wirksam geworden, der - wegen der exorbitanten Bußgelder, aber auch wegen der effektiven Stärkung der Betroffenenrechte - in der EU und weit darüber hinaus Beachtung findet. W ...242
Pia Schirmer und Laura Braun Irisches Berufungsgericht zur Zweckänderung bei Videoüberwachungsmaßnahmen Der Fall Ausgangspunkt des Verfahrens war die Beschwerde des Betroffenen, Cormac Doolin, bei der irischen Datenschutzbeauftragten im Jahr 2016. Sein Arbeitgeber, ein Hospiz- und Pflegeheim, betrieb ein Videoüberwachungssystem, das gemäß der vorhandenen Datenschutzinformationen zu Zwecken der Verbrechensprävention, der Mitarbeiter- sowie der öffentlichen Sicherheit installiert wurde. Neben jeder Kamera befand sich darüber hinaus ein Hinweisschild, dass auf die Aufzeichnung zu Zwecken der Gesundheit, Sicherheit und Verbrechensprävention hinwies. Der Verantwortliche sichtete das Videomaterial der am Pausenraum angebrachten Kamera im Jahr 2015 auf Grund von Sicherheitsbedenken. Ausgelöst wurden diese durch ...244
Gerhard Deiters EuGH zu Art. 9 Abs. 1 DSGVO: Sind nun "alle" Daten besondere Kategorien personenbezogener Daten? Der Fall Der EU-Mitgliedsstaat Litauen hat ein Gesetz verabschiedet, das zum Zwecke der Bekämpfung von Korruption und Vetternwirtschaft u.a. Leiter von Einrichtungen, die öffentliche Fördermittel erhalten, verpflichtet, eine "Erklärung über private Interessen" abzugeben. In der Erklärung enthaltene Informationen werden auf einer staatlichen Website frei zugänglich veröffentlicht. Das Gesetz sieht u.a. die namentliche Nennung und Veröffentlichung von Ehegatten, Lebensgefährten, Partnern oder engen Verwandten oder andere bekannte Personen, die einen Interessenkonflikt begründen könnten, vor. In dieser Verpflichtung und den ...247
Heiko Markus Roth Das "latente Risiko" eines externen Datenzugriffs als Ausschlusskriterium im Vergabeverfahren Der Fall In einem öffentlichen Vergabeverfahren wird von der Antragsgegnerin (kurz: AG) die Leistung "Software für Digitales Entlassmanagement" ausgeschrieben. Es bewerben sich mindestens zwei Konkurrenten. Die hiesige Antragstellerin (kurz: ASt) unterliegt mit ihrem Angebot. Die AG weist die Rüge zurück, die ASt stellt einen Antrag auf Nachprüfung bei der zuständigen Vergabekammer BW (VK). Die ASt trägt insbesondere vor, dass die den Zuschlag erhaltene Konkurrentin (, kurz: B), mit ihrem Angebot, speziell mit der Sub-Beauftragung eines Cloud-Anbieters (kurz: C), gegen Nr. 2.8 des ...250
Corinna Bernauer "Stress und Sorge" als Schaden - das OLG Köln zum Schmerzensgeldanspruch aus Art. 82 Abs. 1 DSGVO Der Fall Ausgangspunkt dieses Verfahrens ist ein gescheiterter Anwaltsvertrag: Der Beklagte ist ein Rechtsanwalt, der seit 2016 mit der Regulierung eines Verkehrsunfalls betraut war. Die Klägerin ist seine ehemalige Mandantin. Da der Rechtsanwalt jedoch bei der Regulierung längere Zeit untätig war, kündigte die Mandantin den Vertrag Anfang des Jahres 2020 schließlich. Im Verfahren waren auch noch Vergütungsansprüche zu klären, die jedoch hier nicht weiter relevant sind. Interessant aus datenschutzrechtlicher Sicht war, dass die Mandantin auch wissen wollte, w ...253