Navigation öffnen
Startseite » News » Internetrecht » Datenschutzrecht » Immer aktuell ✅: Alle Neuigkeiten zur DSGVO
Immer aktuell ✅ :

Alle Neuigkeiten zur DSGVO

Seit dem 25. Mai 2018 ist die DSGVO anwendbar – und fast täglich erhalten wir hier intern neue Nachrichten zu den vielen Fragen, wie die Verordnung zu verstehen ist. Diese Informationen möchten wir gerne mit Ihnen teilen, sodass Sie mit uns in DSGVO-Fragen immer „up to date“ sind. Auf dieser stets aktualisierten Seite erfahren Sie alles über wichtige Entwicklungen in Sachen DSGVO.

Neuigkeiten aus 2019: 

Neuigkeiten aus 2018:

  • 27. November: Uber muss in Großbritannien und den Niederlanden Millionenstrafe zahlen. Uber hatte seine seine Kunden über ein Jahr lang nicht von einem Hackerangriff unterrichtet. Von der Attacke im Herbst 2016 waren insgesamt 57 Millionen Nutzer und Fahrer betroffen.
  • 20. November: Facebook Custom Audience verstößt gegen Datenschutzrecht. Bereits im Jahr 2017 untersagte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) einem Online-Shop den Einsatz von „Facebook Custom Audience“, einem Marketing-Werkzeug von Facebook. Der Bayerische Verwaltungsgerichtshof hat nun entschieden, dass der Einsatz von „Facebook Custom Audience“ ohne Einwilligung des Nutzers gegen das Datenschutzrecht verstößt.
  • 19. November: Facebook-Fanpages nach EuGH-Urteil: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit führt seit Anfang November Anhörungsverfahren bei Stellen der Berliner Landesverwaltung, bei den politischen Parteien sowie einer Reihe von Unternehmen und Organisationen u. a. aus der Handels-, Verlags- und Finanzbranche in Sachen Facebook-Fanpages durch.
  • 19. November: Wann sind Datenpannen nach Art. 33 DSGVO meldepflichtig? Der Hamburgische Datenschutzbeauftragte hat eine Orientierungshilfe veröffentlicht: https://datenschutz-hamburg.de/assets/pdf/2018.11.15_Data%20Breach_Vermerk_extern.pdf
  • 19. November: Die Liste der Verarbeitungstätigkeiten, für die eine Datenschutzfolgenabschätzung durchzuführen ist, wurde aktualisiert: https://www.datenschutzkonferenz-online.de/media/ah/20181017_ah_DSK_DSFA_Muss-Liste_Version_1.1_Deutsch.pdf
  • 19. November: Es ist umstritten, ob die Tätigkeit als Datenschutzbeauftragter eine gewerbliche oder eine freiberufliche Tätigkeit ist. Nun hat der BGH entschieden, dass die Tätigkeit, wenn sie durch einen Rechtsanwalt ausgeübt wird, nach den Umständen des Einzelfalles eine Anwaltstätigkeit sein kann und dann nicht gewerblich ist (Urt.v. 15.10.2018, Az. AnwZ (Brfg) 20/18). Der Grund: Die DSGVO sei so komplex, dass der Anwalt seine rechtlichen Kenntnisse einbringen müsse.
  • 19. November: Brexit No-Deal-Szenario: Die EU-Kommission plant, das Vereinigte Königreich ab dem 30. März 2019 als datenschutzrechtliches Drittland einzuordnen. Sollte es keinen Deal für den Austritt geben, gelten für Datenübermittlungen dann die Vorgaben der Art. 44 ff DSGVO. Ein sog. Angemessenheitsbeschluss nach Art. 45 DSGVO sei nicht in Planung.
  • 15. November: Landesbeauftragte Niedersachsen prüft 150 Kommunen. Es geht darum, wie gut die Städte und Gemeinden ihre Arbeit an die neuen Anforderungen angepasst haben und wo sie noch nachbessern müssen. Dafür sollen die Kommunen Fragen zu vier Bereichen des Datenschutzes beantworten: Organisation, datenschutzkonforme Verarbeitung, Umgang mit Betroffenenrechten sowie mit Datenschutzverletzungen.
  • 15. November: OLG München: „Berechtigte Interessen“ i.S.d. Art. 6 Abs. 1 lit. f) DSGVO sind weit auszulegen. Im Rahmen der Frage, ob es gegen die DSGVO verstößt, eine rechtlich geforderte Auskunft zu erteilen, sagte das Oberlandesgericht (OLG) folgendes: „Eine möglichst weite Interpretation des berechtigten Interesses ist zudem (unions-)grundrechtlich geboten (…)“ In diesem Fall stand daher die DSGVO einer Auskunftserteilung nicht im Wege, weil der zur Auskunft Verpflichtete sich auf seine berechtigten Interessen stützen konnte (Teilurteil v. 24.10.2018, Az. 3 U 1551/17).
  • 15. November: LG Ffm zu Fotorecht – KUG und DSGVO kommen zu gleichem Ergebnis: Das Landgericht (LG) Frankfurt a.M. hätte die Gelegenheit gehabt, als erstes Gericht darüber zu entscheiden, ob ein ohne Einwilligung veröffentlichtes Fotos aus dem gewerblichen Bereich nach dem Kunsturhebergesetz (KUG) oder der Datenschutzgrundverordnung (DSGVO) zu beurteilen ist. Leider hat es diese Möglichkeit nicht genutzt, sondern den Fall einfach unter beiden Normen entschieden – sie kämen ohnehin zu dem gleichen Ergebnis. Das zeigt ein nun bekannt gewordenes Urteil von September (Urt. v. 13.09.2018, Az. 2-03 O 283/18). Jemand hatte in einem Frisörsalon eine Kundin ohne deren Einwilligung gefilmt, fotografiert und auf der Facebook Fanpage des Frisörsalons online gestellt. Der Frisörsalon wollte die Fotos aber nicht löschen. Dies verstoße sowohl gegen das KUG als auch gegen die DSGVO, so die Frankfurter Richter.  http://www.lareda.hessenrecht.hessen.de/lexsoft/default/hessenrecht_lareda.html#docid:8136994
  • 15. November: Nun hat auch das Landgericht (LG) Wiesbaden abgelehnt, dass Wettbewerber Verstöße gegen DSGVO über das UWG abmahnen können (Urt. v. 05.11.2018, Az. 5 O 214/18). Die DSGVO sei abschließend.
  • 9. November: Schwerwiegende Schwachstelle in DSGVO-Plugin für WordPress. Es berichtet: https://www.heise.de/security/meldung/Schwerwiegendes-Schwachstelle-in-DSGVO-Plugin-fuer-WordPress-4217962.html
  • 7. November: Facebook ist nicht kostenlos –  Zehn Millionen Euro Datenschutzstrafe in Italien: Die italienische Wettbewerbsbehörde AGCM hat Facebook zu zwei Datenschutz-Strafen in Höhe von zusammen 10 Millionen Euro verurteilt. Ein Vorwurf lautet, dass das Netzwerk Internetnutzer in die Irre führe, wenn es vor der Kontoeröffnung vor allem darauf hinweist, dass die Nutzung kostenlos ist. Dass Nutzerdaten für kommerzielle Zwecke gesammelt werden, sei dagegen nicht so klar ersichtlich.
  • 7. November: Orientierungshilfe für Direktwerbung: Die Aufsichtsbehörden haben eine Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung veröffentlicht.
  • 7. November: Die Bayerische Aufsichtsbehörde kündigt Datenschutzprüfungen an. So lautet es in der Pressemitteilung: „Knapp ein halbes Jahr nach Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) seine Prüfaktivitäten wieder verstärkt aufgenommen und neue flächendeckende Datenschutzkontrollen in Bayern angestoßen. Im Fokus der aktuellen Prüfungen steht der sichere Betrieb von Online-Shops, der Schutz vor Verschlüsselungstrojanern in Arztpraxen, die Erfüllung der Rechenschaftspflicht bei Großkonzernen und mittelständischen Unternehmen sowie die Umsetzung der Informationspflichten in Bewerbungsverfahren. Pressemitteilung: https://www.lda.bayern.de/media/pm2018_17_de.pdf
  • 7. November: Offenbar bestreitet die irische „Data Protection Commission“ (DPC). Irlands unabhängige Aufsichtsbehörde für den Datenschutz, ihre Zuständigkeit für Google: https://twitter.com/lfdi_bw/status/1060102656138584065
  • 25. Oktober: Neues von der ePrivacy-Verordnung: Der aktuelle Zeitplan: Eine Entscheidung zum weiteren Vorgehen – also eine Verabschiedung der Verordnung noch 2018 oder eine Vertagung bis nach der Europawahl im Mai 2019 – fällt in der zuständigen Arbeitsgruppe des Rats schon in den nächsten Tagen. Wir gehen derzeit eher vom zweiten Szenario aus. Zu bemerken ist dabei auch, dass der aktuell vorliegende Entwurf der österreichischen Ratspräsidentschaft eine zweijährige Übergangsfrist vorsieht, was die deutsche Bundesregierung auch unterstützt.“ Es berichtet: http://www.onlinemarketingrecht.de/2018/10/neues-von-der-eprivacy-verordnung/
  • 23. Oktober: Die Verbraucherzentrale Sachsen verklagt Facebook. Das Unternehmen erfülle seine Pflichten im Hinblick auf die gemeinsame Verantwortlichkeit bei Facebook-Fanpages nicht, so die Verbraucherschützer. Eine ausreichende Vereinbarung mit dem Verbraucher müsse klarstellen, wer die Verantwortung für die Einhaltung des Datenschutzrechts auf den Profilen trägt. Pressemitteilung: https://www.verbraucherzentrale-sachsen.de/pressemeldungen/digitale-welt/verbraucherzentrale-sachsen-verklagt-facebook-30961
  • 9. Oktober: Das OLG Nürnberg weist noch einmal darauf hin, dass die DSGVO nicht auf Daten verstorbener Personen Anwendung findet (Beschl. v. 09.10.2018, Az. 11 W 717/18): http://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2018-N-24655?hl=true
  • 8. Oktober: Die Bundesregierung sieht in ihrem Vorschlag, die Nutzung werbefinanzierter Online-Dienste von der Einwilligung des Nutzers in das Setzen von Cookies für Werbezwecke abhängig machen zu können, keinen Widerspruch zu Art. 7 Abs. 4 DSGVO („Bedingungen für die Einwilligung“) http://dipbt.bundestag.de/dip21/btd/19/049/1904946.pdf (dort S. 31)
  • 5. Oktober: Deutschland meldet Vorschriften an die Europäische Kommission – das KUG ist nicht dabei! „Die DSGVO enthält an vielen Stellen Öffnungs- oder Spezifizierungsmöglichkeiten für die Mitgliedstaaten, über die es den Ländern zum Teil gestattet ist, weiterhin nationale Datenschutzgesetze zu erlassen. Zum Teil sind die Mitgliedstaaten auch zu nationalen Regelungen verpflichtet. Wenn Mitgliedstaaten entsprechende Regelungen erlassen, sind sie nach der DSGVO dazu verpflichtet, diese nationalen Vorgaben der EU Kommission mitzuteilen (zu notifizieren).“ Nicht notifiziert wurden aber §§ 22, 23 Kunsturhebergesetz (KUG). Unklar ist, ob dies nun bedeutet, dass die Normen des KUG nach dem Willen des Gesetzgebers nun nicht mehr neben der DSGVO anwendbar sein sollen. Dies schreibt Delegelata. Hier erhalten Sie eine Übersicht der notifizierten Vorschriften (PDF).
  • 3. Oktober: EU-Kommission: DSGVO-Betroffenenrechte sind abschließend. Nach einer Stellungnahme der EU-Kommission haben (zumindest) die Rechtsbehelfe für die Betroffenen aus den Art. 77ff DSGVO abschließende Wirkung. Die Aussage der Kommission könnte nun dahingehend verstanden werden, dass jedwede Geltendmachung von DSGVO-Verstößen außerhalb des Regelungssystems der Verordnung selbst nicht vorgesehen ist. Auf der anderen Seite bezieht sich die Kommission in ihrer Antwort explizit nur auf die Rechte der Betroffenen – von dem spezifischen wettbewerbsrechtlichen System ist in der Antwort nicht die Rede. Somit ist diese Frage zwar nicht eindeutig beantwortet, wohl aber deutet die Stellungnahme in eine Richtung, die so manchem abmahnfreudigen Unternehmer nicht gefallen dürfte. Hier die Antwort der Kommission.

Bisher verhängte Bußgelder:

  • 2019: Britische Datenschutz-Behörde ICO beabsichtigt, Marriott International wegen Verstößen gegen die DSGVO mit einem Bußgeld in Höhe von 99 Mio Pfund (ca 110 Mio €) zu belegen. Grund: Sicherheit der Verarbeitung
  • 2019: „notice of intent“ der britischen Datenschutz-Behörde gegen British Airways. ICO beabsichtigt wegen Verstößen gegen #DSGVO ein Bußgeld in Höhe von 183.39 Mio Pfund (ca. 204 Mio EUR) gegen British Airways zu verhängen.
  • 2019: Rumänische Aufsichtsbehörde verhängt ein Bußgeld von ca. 15.000 € gegen ein Hotel wegen einem Verstoß gegen Art. 32 Abs. 4 DSGVO. Grund: Ein Dritter fotografierte die Frühstücksliste mit Daten von 46 Gästen & veröffentlichte diese im Internet.
  • 2019: Die italienische Datenschutzaufsichtsbehörde verhängt ein 1 Mio. Euro #Bußgeld gegen Facebook im Fall Cambridge Analytica. Nur 57 italienische Nutzer hatten die Persönlichkeitstest-App heruntergeladen. Über diese wurden Daten von weiteren 214.077 Nutzern gesammelt.
  • 2019: Frankreich verhängt eine Geldbuße von „nur“ 20.000 Euro, u.a. wegen illegaler Mitarbeiterüberwachung per Videokamera sowie weiterer Verstöße. Die Summe fiel niedrig aus, weil das Unternehmen sehr klein ist und nur 9 Mitarbeiter beschäftigt.
  • 2019: Italienische Datenschutzbehörde verhängt 2 Millionen Euro Bußgeld für Telemarketing ohne Einwilligung.
  • 25. Januar: Google legt Einspruch gegen 50-Mio.-DSVGO-Bußgeld ein. Das Unternehmen bestreitet, gegen die DSGVO verstoßen zu haben. Das Unternehmen möchte nicht nur für sich kämpfen. Man sei auch besorgt über die Auswirkungen dieser Entscheidung auf Verlage, Autoren von Originalinhalten und Technologieunternehmen in Europa und darüber hinaus.
  • 21. Januar: 50 Millionen DSGVO-Bußgeld gegen Google in Frankreich verhängt! Gründe: Informationen zur Verwendung der erhobenen Daten und dem Speicher-Zeitraum seien für die Nutzer nicht einfach genug zugänglich und unklar formuliert, außerdem sei die von Google eingeholte Zustimmung zur Anzeige personalisierter Werbung nicht gültig, weil die Nutzer nicht ausreichend informiert würden.
  • 21. Januar: DSGVO-Bußgelder: Nun trifft es auch kleine Unternehmen: Das Versandunternehmen Kolibri Image hatte es versäumt, einen sog. Auftragsverarbeitungsvertrag zu schließen. Dafür muss es nun 5000 Euro zuzüglich 250 Euro Gebühren zahlen. Das Unternehmen will dagegen Widerspruch einlegen.
  • 18. Januar: Behörden verhängten bereits 41 Bußgelder wegen Verstößen gegen DSGVO! Vor allem kleine Unternehmen waren auf die neuen Regeln offenbar nicht vorbereitet. Handelsblatt.de schreibt: „Die meisten Bußgelder verhängte Nordrhein-Westfalen (33), gefolgt von Hamburg (3) und Baden-Württemberg und Berlin (jeweils 2) und dem Saarland (1). Allein beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), das die Einhaltung des Datenschutzrechts in privaten Wirtschaftsunternehmen, bei Freiberuflern, in Vereinen und Verbänden sowie im Internet überwacht, laufen derzeit 85 Bußgeldverfahren nach der DSGVO“.
  • 15. Januar: Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg‏ hat deutschlandweit das zweite DSGVO-Bußgeld verhängt: 80.000 Euro müssen wegen versehentlich im Internet gelandeter Gesundheitsdaten gezahlt werden. Auch das erste in Deutschland verhängte Bußgeld gegen das soziale Netzwerk Knuddels.de war von dem Baden-Württembergischen Datenschutzbeauftragten verhängt worden.

Unsere bisherigen Beiträge zu aktuellen Entwicklungen in Sachen DSGVO