Aktuelles zum Datenschutz

Die Seite „Aktuelles zum Datenschutz“ gibt Hinweise auf aktuelle Entscheidungen und sonstige Entwicklungen auf dem Gebiet des Datenschutzrechts. Sie richtet sich insbesondere an die Studierenden des universitären Schwerpunktbereichs 8.

Für Hinweise per Mail sind wir dankbar.

Viel Vergnügen bei der Lektüre,

Antje von Ungern-Sternberg und das Team das Instituts für Recht und Digitalisierung Trier (IRDT).

Guidelines für den Datenschutz by Design and by Default

November 2019

Das European Data Protection Board (edpb) hat einen Leitfaden zum Umgang mit Art. 25 DSGVO und den darin verankerten Prinzipien der Privacy by Design and Default erstellt und zur öffentlichen Anhörung veröffentlicht. Unter anderem soll der Leitfaden Systemerstellern Hinweise zu den datenschutzrechtlich erforderlichen Maßnahmen liefern. Noch bis zum 16. Januar 2020 können Interessierte zu den hierin aufgeführten Punkten Feedback geben.

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, adopted on 13 November 2019 ; Feedback

Gutachten der Datenethikkommission

Oktober 2019

Die Datenethikkommission, die im Juli 2018 von der Bundesregierung eingesetzt wurde, hat nun erste Ergebnisse veröffentlicht. In einem Gutachten geht sie auf die Anforderungen an einen sicheren Umgang mit Daten in Hinblick auf ethische und rechtliche Grundsätze ein und spricht hierzu Empfehlungen aus. Außerdem widmet sie sich den ethischen Ansprüchen an algorithmische Systeme und empfiehlt u.a. einen risikoadaptiven Regulierungsansatz. Geleitet ist das Projekt von dem Gedanken einer menschenzentrierten und wertorientierten Gestaltung von Technologie.

Gutachten der Datenethikkommission, 23.10.2019

EuGH: Einwilligungen in Cookies müssen aktiv erfolgen

Oktober 2019

Ist eine Einwilligung in die Verwendung von Cookies wirksam, wenn sie über ein schon zu Beginn angekreuztes Kästchen erfolgt? Nach dem Opt-in-Prinzip der DSGVO ist hierfür maßgebend, ob der Betroffene aktiv in deren Verwendung eingewilligt hat oder nicht. Muss ein Betroffener zu deren Ablehnung jedoch erst ein voreingestelltes Häkchen entfernen, so der EuGH, wäre die Einwilligung nicht aktiv erfolgt und mithin unwirksam. Darüber hinaus müssten dem Betroffenen auch Informationen zu den Verwendungsmöglichkeiten und der Speicherdauer der Cookies gegeben werden.

Urteil des Gerichtshofs (Große Kammer) 1.10.2019 in der Rechtssache C‑673/17

EuGH: Räumliche Reichweite des Rechts auf Auslistung beschränkt sich auf EU

September 2019

Durch die Auslistung von Suchergebnissen einer Internetsuchmaschine wird das Recht auf Löschung personenbezogener Daten verwirklicht. Der EuGH entschied nun, dass Suchmaschinenbetreiber diesem Begehren nicht in allen weltweit vorhandenen Versionen der Suchmaschine nachkommen müssen. In der Folge bleibt nach diesem Urteil die Auslistungspflicht damit auf das Hoheitsgebiet der Union beschränkt.

Urteil des Gerichtshofs (Große Kammer) 24.09.2019 in der Rechtssache C-507/17

EuGH: Verarbeitung bestimmter personenbezogener Daten verboten

September 2019

Welche Daten dürfen Betreiber von Suchmaschinen verarbeiten? Besonders sensible Datenkategorien, wie Informationen über Religionszugehörigkeit oder Sexualleben, sind durch die DSGVO grundsätzlich von der Verarbeitung ausgenommen. Dass dies auch für Suchmaschinenbetreiber gilt, stellt der EuGH nun noch einmal fest, und mahnt, dass auch bei allen anderen Verarbeitungen im Falle eines Auslistungsgesuchs eine umfangreiche Abwägung der Interessen und der Erforderlichkeit stattzufinden habe.

Urteil des Gerichtshofs (Große Kammer) 24.09.2019 in der Rechtssache C-136/17

Bundestag und Bundesrat: Anpassung nationaler Gesetze an die DSGVO beschlossen

September 2019

Durch einen nun nach der Zustimmung des Bundestages auch vom Bundesrat bewilligten Gesetzesbeschluss werden weitere Anpassungen nationaler Gesetze an die DSGVO vorgenommen. Ziel der beschlossenen Änderungen bereichsspezifischer Datenschutznormen in 154 Fachgesetzen ist neben der Anpassung an unionsrechtliche Vorgaben, Bürokratie abzubauen und kleineren Unternehmen sowie Vereinen die Datenschutz-Compliance zu vereinfachen.

Gesetzesentwurf der Bundesregierung, Drucksache 19/4674

LfD Niedersachsen: Fragenkatalog zur DSGVO Prüfung

August 2019

Welche Datenschutzmaßnahmen muss ein Verantwortlicher konkret ergreifen? Zur besseren Orientierung in dieser Frage hat die Landesbeauftragte für Datenschutz in Niedersachsen einen 200 Einzelkriterien umfassenden Fragenkatalog veröffentlicht. An dieser Vorlage können Unternehmen ihre Datenschutzbemühungen messen und sich so auf eine Prüfung durch die Aufsichtsbehörde vorbereiten.

Fragenkatalog der LfD Niedersachsen

USA: Gesichtserkennungstechnologie im Konflikt mit Datenschutz

August 2019

Darf Facebook mit seiner Gesichtserkennungstechnologie Nutzer auf ihren hochgeladenen Bildern identifizieren? Verschärft durch die Problematik, dass der Verwendung einer solchen Technik keine Einwilligung oder Kenntnis der Nutzer zugrunde lag, sah das U.S. Court of Appeals in dieser Praxis nun einen Verstoß gegen den Datenschutz von biometrischen Informationen. Diese seien als Teil der Privatsphäre vor den einzigartigen Gefahren zu schützen, die sich aus der ermöglichten Identifizierung und Überwachung von Personen über Gesichtserkennungstechniken ergäben.

US Court of Appeals, Urteil vom 8.8.2019, No. 18-15982

UK: Polizei testet Gesichtserkennungs-App

August 2019

Gesichtserkennungstechnologie wird von der South Wales Police schon seit einiger Zeit zur Identifizierung von Personen und zum Abgleich mit Beobachtungslisten verwendet. Im Rahmen einer dreimonatigen Studie soll dieser Ansatz nun im Einsatz mit Smartphones über eine App unter anderem bei Routinekontrollen erprobt werden. Zur Identifizierung genügt der App dabei ein einziges Foto des Betroffenen, so dass dieser Prozess beschleunigt und präzisiert wird. Eine Aushändigung an 50 Offiziere ist, trotz eines gegen den Einsatz der App laufenden datenschutzrechtlichen Gerichtsverfahrens, vorgesehen.

Bekanntgabe der South Wales Police

VerfGH Saarland: Nur transparente Softwaredaten als Beweismittel zulässig

Juli 2019

Wird ein Bußgeld wegen Geschwindigkeitsübertretung auf Grundlage eines automatisch erstellten Blitzer-Fotos verhängt, müssen die Messdaten des Geräts für den Fahrer einsehbar und nachvollziehbar sein, andernfalls besteht nicht die Möglichkeit zu einer effektiven Verteidigung und damit kein hinreichend faires Verfahren. Dies urteilte das Verfassungsgericht des Saarlandes in einer richtungsweisenden Entscheidung. Trotz der eingeschränkten Gültigkeit des Urteils für die saarländische Justiz äußerte sich das Verfassungsgericht auch sehr grundsätzlich zu dem Thema und führte aus: „Staatliches Handeln darf in einem freiheitlichen Rechtsstaat für die Bürgerin und den Bürger nicht undurchschaubar sein.“ Insbesondere bei Massenverfahren stellt eine solche Transparenzpflicht eine neue Dimension im spannungsvollen Verhältnis von Technik und Staat dar.

Verfassungsgericht des Saarlandes, Urteil vom 05.07.2019, Az. Lv7/17

EuGH: Mitverantwortung durch die Einbindung eines Facebook „Gefällt mir“-Buttons

Juli 2019

Sind Websitebetreiber bei Einbindung des „Gefällt mir“-Buttons von Facebook mitverantwortlich für eine durch Facebook stattfindende Datenverarbeitung? Der EuGH beschäftigte sich in einem jüngst ergangenen Urteil mit dem Online-Händler Fashion ID, der eben diesen Button verwendete, was zur Folge hatte, dass die Daten von Websitebesuchern erhoben, an Facebook übermittelt und letztendlich auch dort weiterverarbeitet wurden. Eine Interaktion des Benutzers mit dem Button war dafür nicht erforderlich. Für die Erhebung und Übermittlung der Daten sah der EuGH nun Fashion ID als mitverantwortlich an. Er begründete dies hauptsächlich mit den werbeoptimierenden Vorteilen der Einbindung des Buttons für Fashion ID und schloss daraus auf ein stillschweigendes Einverständnis in die Datenverarbeitung. Hingegen sei der Online-Händler für danach stattfindende Verarbeitungen durch Facebook nicht verantwortlich.

EuGH, Urteil vom 29.07.2019, Az.: C-40/17

Indien: Aadhaar-Anwendungsbereich vergrößert

Juli 2019

Im September 2018 hat der Supreme Court of India das Aadhaar-Programm der indischen Regierung, eine beispiellose biometrische Datenbank mit ca. 1,2 Mrd. registrierten Personen, gebilligt. Bedingung war unter anderem, dass die Aadhaar-Nummer nicht von privaten Dritten verlangt werden könne und keine notwendige Voraussetzung für wichtige Behördenkommunikation würde. Trotz des Urteils ermöglich ein Zusatz zum Aadhaar Act 2016 nun Unternehmen, ihre Vertragspartner mittels der Aadhaar-Datenbank zu identifizieren. Auch für Behördengänge lässt das Gesetz zu, die Bürger zur Identifizierung per Aadhaar-Nummer zu verpflichten. Der indische Finanzminister schlug daraufhin vor, die Identifikations-Nummer für die Einkommensteuererklärung mit der Aadhaar-Nummer zu ersetzen. Eine Klage gegen die Regelungen wurde beim Indischen Supreme Court bereits eingereicht.

Zusatz zum Aadhaar Act 2016

OVG Lüneburg: Kein Auskunftsanspruch des Insolvenzverwalters aus DSGVO

Juni 2019

Im Insolvenzverfahrens kann sich der Insolvenzverwalter wegen benötigter steuerlicher Informationen über den Insolvenzschuldner gegenüber dem Finanzamt nicht auf das Auskunftsrecht aus Art. 15 Absatz 1 DSGVO berufen. Zu diesem Ergebnis kam das OVG Lüneburg in seinem Beschluss vom 26.06.2019. Der Insolvenzverwalter sei nicht unter den Begriff der „betroffenen Person“, welcher durch Art. 4 Nr. 1 DSGVO konkretisiert wird, zu fassen. Gehe es um das Steuerkonto des Insolvenzschuldners, so handle es sich um dessen eigene personenbezogene Daten, nicht um die des Insolvenzverwalters. Das Auskunftsrecht sei auch nicht dahingehend auszulegen, dass möglich Dritte iSd. Art. 4 Nr. 10 DSGVO Informationen über die bei staatlichen Stellen vorhandenen Daten verlangen könnten. Letztlich handle es sich bei dem Auskunftsanspruch um ein höchstpersönliches Recht des Schuldners, welches nicht zur Insolvenzmasse gehöre. Eine Geltendmachung durch den Insolvenzverwalter aufgrund der ihm durch die Insolvenzordnung verliehenen Befugnisse sei damit ausgeschlossen.

OVG Lüneburg, Beschluss vom 26.06.2019, Az.: 11 LA 274/18

BVerwG: Private Videoüberwachung beim Zahnarzt

Juni 2019

Rechtfertigen Sicherheitserwägungen eine private Videoüberwachung beim Zahnarzt? Eine Zahnärztin hatte den – nicht durch Empfangspersonal überwachten – Eingangsbereich der Praxis mittels Videokamera filmen und in den Behandlungsbereich übertragen lassen, wobei die Bilder nicht aufgezeichnet wurden. Das Bundesverwaltungsgericht hielt diese Datenverarbeitung für nicht erforderlich, weil im konkreten Fall eine erheblich über das allgemeine Lebensrisiko hinausgehende Gefahr von Straftaten nicht dargetan war.
BVerwG, Urteil vom 27.03.2019, Az.: 6 C 2.18

Frankreich: Big-Data Analyse richterlicher Entscheidungen verboten

Juni 2019

Wird es bald möglich sein, Gerichtsentscheidungen mittels Daten-Analyse für jeden Richter prognostizieren zu können? Der französische Gesetzgeber schiebt einem solchen Ansatz den Riegel vor: Gerichtliche Entscheidungen dürfen in Verbindung mit den persönlichen Daten der Richter nicht mehr zum Gegenstand statistischer Auswertungen gemacht werden. Mit bis zu fünf Jahren Gefängnis soll nach Art. 33 des Gesetzes zur Reform der Justiz künftig bestraft werden, wer richterliche Entscheidungsmuster öffentlich analysiert, vergleicht oder hierdurch vorherzusagen versucht. Das Gesetz folgt auf eine Entwicklung in der französischen Justiz, alle Urteile der Öffentlichkeit zugänglich zu machen. Betroffen sind vor allem Legal Tech Unternehmen, deren Geschäftsmodel auf der Analyse der Daten basiert.

Art. 33 des Gesetzes zur Reform der Justiz

USA: Angaben zu Social-Media-Profilen nun verpflichtend

Juni 2019

Wie das US-amerikanische Außenministerium (Department of State) mitgeteilt hat, ist bei Visaanträgen für die USA fortan auch die Angabe sämtlicher Social-Media-Profile der letzten fünf Jahre verpflichtend. Schon seit 2017 war die Angabe auf freiwilliger Basis möglich. Eine Ausnahme besteht jedoch weiterhin für Urlaubsreisende, für die die Angabe auch zukünftig freiwillig bleibt.

Travel.State.Gov,U.S. Department of State

Frankreich: Interesse der Bürger am Schutz personenbezogener Daten nimmt zu

Mai 2019

Die französische Datenschutzbehörde, die Commission Nationale de l’Informatique et des Libertés (CNIL, deutsch Nationale Kommission für Datenverarbeitung und Freiheitsrechte), verzeichnet eine hohe Anzahl von Beschwerden. In ihrem am 15. April 2019 veröffentlichen Jahresbericht für 2018 offenbart sie das genaue Ausmaß: Nachdem die CNIL bereits im Jahre 2017 eine Rekordzahl verzeichnete, wuchs die Zahl der im Jahre 2018 bei 11.177 eingereichten Beschwerden um weitere 32%. Zurückzuführen ist dieser Anstieg einerseits auf eine verstärkte mediale Präsenz der Vorschriften der Datenschutzgrundverordnung, andererseits darauf, dass Unternehmen neue Auskunftspflichten treffen. Infolgedessen machen Staatsbürger ihre Rechte zunehmend geltend. Gegenstand der eingereichten Beschwerden sind insbesondere der Schutz personenbezogener Daten sowie Fragen zur Videoüberwachung.

Issu de Petites affiches, n °097, page 4, 15.05.2019 – Rédaction Lextenso

OVG Münster: Alter von Richtern unterfällt dem Datenschutz

Mai 2019

Sind Dienst- und Lebensalter sowie Verhinderungszeiten verschiedener Richter eines bestimmten Senats auf Antrag nach dem nordrhein-westfälischen Informationsfreiheitsgesetz (IFG) zu offenbaren? Das OVG Nordrhein-Westfalen hat jüngst entschieden, dass die beantragten Informationen als personenbezogene Daten im Sinne des IFG NRW wie der Datenschutzgrundverordnung geschützt seien, da sich aus ihnen weiterführende Schlüsse über die persönlichen Verhältnisse der Richter ziehen ließen. Daher müssten für eine Offenbarung besondere Rechtfertigungsgründe vorliegen, die ihm konkreten Fall bei summarischer Prüfung nicht gegeben seien. Das Gericht betont, der Begriff der personenbezogenen Daten sei „außerordentlich weit“ zu verstehen.

OVG Nordrhein-Westfalen, Beschluss vom 06.02.2019, Az.: 15 E 1026/18

VGH Mannheim: Aktenherausgabe vs. Datenschutz

Mai 2019

Kann eine Behörde einem gerichtlichen Aktenvorlageverlangen die DSGVO entgegensetzen? Der VGH Baden-Württemberg entschied hierzu, dass die Behörde nicht befugt sei, Akten wegen datenschutzrechtlicher Bedenken zurückzuhalten. Zwar gelte die DSGVO ausweislich der Erwägungsgründe auch für gerichtliche Tätigkeiten. Die in der Verordnung statuierten Rechtfertigungsgründe für die Verarbeitung geschützter Daten seien jedoch erfüllt, wenn ein Gericht zu Zwecken der Rechtspflege Daten von Prozessbeteiligten erhebe und verwende. Entsprechendes gelte für die Übermittlung der Daten durch die Behörde.

VGH Baden-Württemberg, Beschluss vom 15.2.2018, Az.: 1 S 188/19

USA: Automatische Kennzeichenerfassung rechtswidrig

April 2019

Ist die automatisierte Erfassung von Autokennzeichen – hierzulande vom BVerfG teilweise für verfassungswidrig erklärt – in den USA zulässig? Mit mehreren automatisierten Kennzeichenerkennungssystemen hatte das Fairfax County Police Department in Virginia verdachtslos die Kennzeichen vorbeifahrender Autos erfasst und diese über einen Zeitraum von einem Jahr gespeichert, um eine Lokalisierung zu ermöglichen. Auf die Klage eines betroffenen Einwohners hat das zuständige Gericht nun festgestellt, dass diese Praxis nicht mit dem Government Data Collection & Dissemination Practices Act des Bundestaates Virginia vereinbar und zu unterlassen sei.

US Circuit Court, Nineteenth Judicial Circuit of Virginia (Fairfax County), Case No. CL-2015-5902

Kammergericht Berlin: Verbraucherzentrale klagt erfolgreich gegen Google

März 2019

Nutzungsbedingungen und Datenschutzerklärung von Google, die das Unternehmen 2012 von allen Nutzern in Deutschland bestätigen ließ, sind nach einer Entscheidung des Kammergerichts rechtswidrig. Google hatte sich umfangreiche Rechte zur Nutzung und Erhebung personenbezogener Daten vorbehalten, wobei es einige der Klauseln bis heute verwendet. Das Kammergericht unterzog auch die datenschutzrechtlich relevanten Geschäftsbedingungen einer zivilrechtlichen AGB-Kontrolle und stellte fest, dass diese gegen zentrale Normen des Datenschutzrechts verstießen – namentlich gegen das Erfordernis einer Grundlage für die Datenverarbeitung und gegen das Löschungsrecht der Betroffenen. Google hat Nichtzulassungsbeschwerde beim Bundesgerichtshof eingelegt.

Kammergericht Berlin, Urteil vom 21.03.2019, Az. 23 U 268/13

EuGH: Medienprivileg auch für „Bürgerjournalisten“

Februar 2019

Kann sich ein Bürger auf journalistische Privilegierungen im Datenschutzrecht berufen, wenn er in einem Ordnungswidrigkeitenverfahren vernommen wird, er seine Aussage filmt und sie anschließend auf Youtube veröffentlicht? Der EuGH hat dies jüngst bejaht. Er entschied zugunsten eines Letten (und noch auf Grundlage der früheren Datenschutzrichtlinie), dass auch das Verhalten einer nicht im Pressebereich tätigen Privatperson eine journalistische Tätigkeit darstellen kann, wenn sie darauf gerichtet ist, „Informationen, Meinungen und Ideen […] in der Öffentlichkeit zu verbreiten“. Wie die Datenschutzrichtlinie ermöglicht auch die Datenschutzgrundverordnung dem nationalen Gesetzgeber, für diesen Bereich Ausnahmen zu gestalten, um journalistische Tätigkeiten von bestimmten datenschutzrechtlichen Vorgaben freizustellen.

EuGH, Urteil vom 14.2.2019, Az.: C-345/17

Bundeskartellamt: Datenerhebung durch Facebook beschränkt

Februar 2019

In den Streit um die Erhebung von Daten durch Facebook hat sich nach dem Datenschutz nun auch das Wettbewerbsrecht eingeschaltet. Das Bundeskartellamt sieht Facebook auf dem nationalen Markt für soziale Netzwerke für private Nutzer als marktbeherrschend an. Es stufte die Facebook-Nutzungsbedingungen als Missbrauch dieser Stellung zu Lasten der Verbraucher ein („Ausbeutungsmissbrauch“), wobei das Verfahren in Abstimmung mit den Datenschutzbehörden geführt und das Datenschutzrecht als Maßstab herangezogen worden war. Der Missbrauch bestehe darin, dass sich Facebook den Zugriff auf Drittdaten einräumen lasse, was nicht nur konzerninterne Daten wie WhatsApp-Nutzerdaten umfasse, sondern auch die massenhafte Datensammlung durch Schnittstellen auf fremden Websites, die zB. durch den „Like“-Button mit den Facebook-Datenbanken verknüpft seien. Das Bundeskartellamt hat diese Praxis nun untersagt. Künftig dürfe diese Form der Datensammlung nur noch auf der Grundlage einer freiwilligen Einwilligung erfolgen, was bedeute, dass Facebook die Nutzer bei fehlender Einwilligung nicht von seinen Diensten ausschließen dürfe.

Fallbericht B6-22/16 des Bundeskartellamtes vom 15.2.2019, FAQ der Behörde zum Verfahren

BVerfG: Test-Daten für Zensus 2021 dürfen weiter gesammelt werden

Februar 2019

In Vorbereitung auf die für 2021 geplante europaweite Volkszählung werden derzeit testweise personenbezogene Daten verschiedener Melderegister an das Statistische Bundesamt geschickt. Einige Personen beantragten vor dem Bundesverfassungsgericht, das entsprechende Gesetz einstweilen nicht anzuwenden, und trugen vor, die Nutzung echter, nicht anonymisierter Daten für den Test sei unverhältnismäßig und verletze sie in ihrem Recht auf informationelle Selbstbestimmung. Das Bundesverfassungsgericht lehnte den Antrag auf einstweilige Anordnung ab. Es kommt in seiner Folgenabwägung zum Ergebnis, dass die etwaigen grundrechtlichen Bedenken in Anbetracht der limitierten Verwendungszwecke eine Außerkraftsetzung des Gesetzes hier nicht geböten.

BVerfG, Beschluss vom 6.2.2019, Az.: 1 BvQ 4/19

BVerfG: Automatisierte Kennzeichenkontrolle teilweise verfassungswidrig

Februar 2019

Entgegen seiner früheren Rechtsprechung entschied das BVerfG jüngst, dass die automatisierte Erfassung von Nummernschildern und der Abgleich mit Fahndungsdatenbanken auch im Falle einer sofortigen Löschung der personenbezogenen Daten einen Eingriff in das Recht auf informationelle Selbstbestimmung darstelle. Eine Rechtsgrundlage für solche massenhaften Eingriffe müsse daher in besonderem Maße das Erfordernis der Verhältnismäßigkeit wahren. Diese Voraussetzung sah es hinsichtlich der bayerischen, baden-württembergischen und hessischen Regelungen in Teilen nicht erfüllt.

Beschlüsse vom 18.12.2018, Az.: 1 BvR 142/15 (Bayern), Az.: 1 BvR 3187/10 (Baden-Württemberg und Hessen)

BVerfG: Telekommunikationsunternehmen zwischen Datensparsamkeit und Datenvorhaltepflichten

Januar 2019

Kann sich ein privater E-Mail-Dienstleister für ein datensparsames Geschäftsmodell entscheiden und dadurch den Zugriff der Ermittlungsbehörden auf Daten erschweren? Im konkreten Fall hatte ein Anbieter die IP-Adressen seiner Kunden aus Datenschutzgründen nicht protokolliert und konnte sie daher auch den Ermittlungsbehörden im Rahmen einer ordnungsgemäß angeordneten Telekommunikationsüberwachung nicht übermitteln. Dass Staatsanwaltschaft und Fachgerichte hier von einer Pflicht des Unternehmens zum Vorhalten und Übermitteln der entsprechenden IP-Daten gemäß § 100a Strafprozessordnung und § 110 Telekommunikationsgesetz ausgingen, hat auch das Bundesverfassungsgericht gebilligt, da die Daten bei der Telekommunikation anfielen und die Berufsfreiheit hier hinter dem Erfordernis einer funktionstüchtigen Strafrechtspflege zurücktrete.

BVerfG, Beschluss vom 20.12.2018, Az.: 2 BvR 2377/16

Frankreich: Geldbuße gegen Google nach der Datenschutzgrundverordnung

Januar 2019

Wegen Verstößen gegen die Datenschutzgrundverordnung hat die französische Datenschutzbehörde CNIL gegen Google eine Geldbuße von 50 Millionen Euro verhängt. Der Internetkonzern erfülle seine Pflicht, die Nutzer über die Verwendung ihrer Daten zu informieren, nicht ausreichend und habe zudem hinsichtlich einiger Werbefunktionen keine wirksame Einwilligung eingeholt. Das Bußgeld wurde einen Tag vor dem Wechsel der Zuständigkeit der Datenschutzbehörden verhängt. Ab dem 22. Januar fällt Google aufgrund konzerninterner Umstrukturierungen in den Zuständigkeitsbereich der irischen Datenschutzbehörde. Noch ist unklar, ob Google gegen die Entscheidung Beschwerde einlegen wird.

Mitteilung der CNIL

VG München: Airbnb muss Gastgeber-Daten herausgeben

Dezember 2018

Das Geschäftsmodell der Plattform Airbnb, Übernachtungsmöglichkeiten zu vermitteln, kann zugleich dem angespannten Wohnmarkt Wohnraum für dauerhaftes Wohnnutzung entziehen. Das Bayerische Zweckentfremdungsgesetz ermöglicht es Kommunen daher, die Vermittlung von Wohnraum auf acht Wochen im Jahr zu beschränken. Die Stadt München hat diese Möglichkeit genutzt und von Airbnb Auskunft über diejenigen Gastgeber verlangt, die ihre Wohnungen für länger als acht Wochen zur Verfügung gestellt hatten. Airbnb weigerte sich jedoch mit der Begründung, seinen Sitz in Irland und nicht in Deutschland zu haben, entsprechende Auskünfte zu erteilen. Das Verwaltungsgericht München bekräftige jedoch das Auskunftsverlangen der Stadt München. Das Zweckentfremdungsrecht verstoße weder gegen höherrangigeres Recht noch gegen Datenschutzrecht und sei auf im Bundesgebiet operierende Unternehmen unabhängig von deren Firmensitz anwendbar.

VG München, Urteil vom 12.12.2018 - M 9 K 18.4553

Bundestag: Überwachung von Fahrverboten durch Kennzeichen-Scanner

Dezember 2018

Können Diesel-Fahrverbote per Kennzeichen-Scanner überwacht werden, wie es ein entsprechender Gesetzesentwurf vorsieht? Der Wissenschaftliche Dienst des Bundestages meldet Zweifel an, ob dieser Eingriff in das Grundrecht auf informationelle Selbstbestimmung verhältnismäßig sei.

Ausarbeitung des Wissenschaftlichen Dienstes

Finnland: Scoreformel für Kreditwürdigkeit und Diskriminierungsverbote

Dezember 2018

Darf ein Unternehmen bei seinen Vertragsbeziehungen statistische Aussagen über die Kreditwürdigkeit von Personengruppen mit bestimmten Merkmalen (Geschlecht, Alter, Sprache, Wohnort) zugrunde legen? In Finnland berief sich ein Kreditunternehmen darauf, dass das Kreditausfallrisiko statistisch unter anderem mit diesen Merkmalen korreliere – und dass insbesondere Finnlandschweden einen besseren Scorewert erzielten als die übrigen Finnen. Auf die Beschwerde eines Finnen, dem nach dieser Berechnungsmethode ein Kredit versagt worden war, stellte das finnische Tribunal für Nicht-Diskriminierung und Gleichstellung eine verbotene Diskriminierung fest.

Entscheidung der Behörde

Bundesrat: Kennzeichnungspflicht für Social Bots

November 2018

In einem Ende November ergangenen Beschluss fordert der Bundesrat eine Kennzeichnungspflicht für Social Bots, um es den Nutzerinnen und Nutzern der verschiedenen Social-Media-Plattformen zu ermöglichen, Beiträge von Maschinen zu erkennen. Im Hinblick auf die Datenschutz-Skandale der vergangenen Jahre regt der Beschluss weiter an, die Daten-Politik der marktbeherrschenden Sozialen Netzwerke durch die Daten-Ethikkommission des Bundes auf den Prüfstand zu stellen.

Beschluss vom 23.11.2018

VG Gelsenkirchen: Polizei darf keine Fotos von Demonstranten twittern

Oktober 2018

Wie lässt sich bei Demonstrationen die Öffentlichkeitsarbeit der Polizei mit den Rechten der Versammlungsteilnehmer in Einklang bringen? Diese Frage stellte sich in seinem Verfahren vor dem Verwaltungsgericht Gelsenkirchen. Die Kläger hatten an einer Demonstration teilgenommen und sich dann auf Fotos eines polizeilichen Twitter-Accounts wiedererkannt. Das Verwaltungsgericht qualifizierte bereits das Fotografieren der Demonstranten als ungerechtfertigten Eingriff in die Versammlungsfreiheit, da der Eindruck staatlicher Überwachung erst gar nicht entstehen dürfe.

VG Gelsenkirchen, Urteil vom 23.10.2018 , Az.:  14 K 3543/18

Innenministerium: Gesichtserkennungssoftware funktioniert

Oktober 2018

Nach einem Jahr der Überwachung des Bahnhofs Berlin-Südkreuz durch Gesichtserkennungssoftware zeigt sich das Innenministerium zufrieden. Überzeugt von dem wesentlichen Mehrwert, den man für die polizeiliche Arbeit erwarten könne, schlägt es die Schaffung einer „klarstellenden Rechtsgrundlage“ zugunsten der Überwachungssysteme im Bundespolizeigesetz vor. Bei der möglichen Umsetzung müssten noch datenschutzrechtliche Belange und das Recht auf informationelle Selbstbestimmung beachten werden, so das Ministerium. Datenschützer stuften die Art und Weise der Überwachung zum Start des Projekts Anfang 2017 als problematisch ein.

Abschlussbericht und Pressemitteilung des BMI, Erklärung der Datenschutzbehörden

Supreme Court of India: Biometrische Datenbank zulässig

September 2018

Darf der Staat eine weitreichende Erfassung biometrischer Daten zur Grundlage staatlicher Leistungen und für die Kommunikation mit den Behörden machen? Unter dem Aadhaar-Programm werden dafür in Indien seit 2009 Iris-Scans, Fingerabdrücke und andere biometrische Daten gespeichert und mit einer Personalausweisnummer verknüpft. Das von der Weltbank als das „anspruchsvollste Ausweisprogramm der Welt“ bezeichnete Aadhaar-Programm wurde nun vom Obersten Gericht Indiens gebilligt. Unter der Bedingung, dass die Aadhaar-Nummer nicht mit dem Bankkonto oder der Handynummer verknüpft wird und die Offenbarung nicht für private Vertragszwecke verlangt werden muss, sah das Gericht das Recht der Betroffenen auf Privatsphäre als nicht verletzt und die dem Programm zugrundeliegenden Regelungen als verfassungskonform an.

Supreme Court of India, Urteil vom 26.9.2018, Writ Petition (Civil) No. 494 of 2012 & connected matters

EGMR: Britische Internetüberwachung verstößt gegen Menschenrechte

September 2018

Nach einem Urteil des EGMR hat der britische Geheimdienst GCHQ durch sein System der massenhaften Internet-Überwachung das Recht auf Privatleben der Betroffenen verletzt. Denn der Dienst habe nicht sichergestellt, dass nur sicherheitsrelevante Personen überwacht werden. Ferner habe er das erhaltene vertrauliche Material nicht hinreichend geschützt. Die Weitergabe der Daten an US-Geheimdienste wertete der EGMR hingegen nicht als Menschenrechtsverstoß.

EGMR, Urteil vom 13.9.2018, Az.: 58170/13, 62322/14 und 24960/15

OLG München: Grenzen des „virtuellen Hausrechts“

August 2018

Welchen Spielraum haben soziale Netzwerke bei der Löschung unerwünschter Inhalte? Das OLG München hat in einer einstweiligen Verfügung gegen Facebook die Meinungsfreiheit der Nutzer bekräftigt. Die mittelbare Drittwirkung der Grundrechte beeinflusse die privatrechtlichen Nutzungsvereinbarungen, so dass das „virtuelle Hausrecht“ der sozialen Netzwerke mit dem Recht auf freie Meinungsäußerung der Nutzer in Einklang zu bringen sei. Daher dürfe Facebook keine Beträge löschen, welche die Grenzen zulässiger Meinungsäußerung wahrten. Nach Ansicht der Richter würde eine freie Würdigung der fraglichen Inhalte anhand der Richtlinien von Facebook dazu führen, dass für die Frage der Löschung nur das Urteil des Betreibers maßgeblich sei, was den Nutzer unangemessen benachteilige.

OLG München, Beschluss vom 24.08.2018, Az.: 18 W 1294/18

EuGH: Datenschutzrecht gilt auch für Missionierende

Juni 2018

Wie zuvor der Generalanwalt hält auch der Europäische Gerichtshof die datenschutzrechtlichen Regeln der EU auf Missionierungsbesuche der Zeugen Jehovas (ungeachtet des Schutzes durch die Religionsfreiheit) für anwendbar. Die Sammlung personenbezogener Daten, die im Rahmen der Verkündigungstätigkeit von Tür zu Tür erhoben werde, sei als „Datei“ zu qualifizieren. Eine Ausnahme für ausschließlich persönliche oder familiäre Tätigkeiten greife nicht. Verantwortlich im datenschutzrechtlichen Sinne sei die Religionsgemeinschaft gemeinsam mit ihren als Verkündigern tätigen Mitgliedern.

EuGH, Urteil vom 10.7.2018, Az.: C‑25/17

BGH: Bei Dashcams trotz Datenschutzverstoß kein Verwertungsverbot

Mai 2018

Der BGH hatte zu entscheiden, ob Aufnahmen von Dashcams in einem Gerichtsprozess verwertet werden dürfen. Nachdem die Vorinstanzen sowohl ein Betriebsverbot für Dashcams als auch ein hieraus folgendes Verwertungsverbot angenommen hatten, bekräftigte der BGH zunächst, dass die permanente und anlasslose Aufzeichnung des Verkehrsgeschehens nicht mit den Bundesdatenschutzgesetz vereinbar sei. Er bejahte sodann aber dennoch die Verwertbarkeit einer Aufzeichnung, die ein Unfallbeteiligter vom Unfallgeschehen gefertigt hatte, als Beweismittel im Unfallhaftpflichtprozess. Dies ergab eine Einzelfallabwägung, die zu Lasten des Persönlichkeitsrechts der aufgenommen Person und zugunsten des Interesses an der Durchsetzung zivilrechtlicher Ansprüche und einer funktionierenden Zivilrechtpflege ausfiel. Ferner finden sich in dem Urteil Ausführungen des BGH dazu, wie Dashcams datenschutzkonform zu betreiben seien.

BGH, Urteil vom 15. Mai 2018, Az.: VI ZR 233/17

LG Bonn: ICANN Datensparsamkeit

Juni 2018

In einer der ersten Entscheidungen zur kürzlich in Kraft getretenen EU-Datenschutzgrundverordnung wies das Landgericht Bonn unlängst einen Antrag der zentralen US-amerikanischen Vergabestelle für Internetadressen (ICANN) zurück. Die US-Organisation wollte neben den Betreibern der Websites auch die Daten aller Administratoren sowie aller technischen Verantwortlichen speichern und stieß damit auf Einwände der Domain-Händler. Das Landgericht entsprach den Bedenken der Händler: Es sah eine Verletzung von Art. 5 Abs. 1 lit. b und c der Datenschutzgrundverordnung gegeben, wonach personenbezogene Daten nur im notwendigen Umfang („Datenminimierung“) und nur für festgelegte, eindeutige und legitime Zwecke („Zweckbindung“) erhoben werden dürfen.

LG Bonn, Beschluss vom 29.5.2018, Az.: 10 O 171/18

EGMR: Massenüberwachung in Schweden rechtmäßig

Juni 2018

Der EGMR hat die Befugnis des schwedischen Geheimdienstes zum massenhaften Abfangen elektronischer Kommunikation nicht als Verstoß gegen das Recht auf Privatleben aus Art. 8 EMRK eingestuft. Insbesondere enthalte die gesetzliche Ermächtigungsgrundlage hinreichend Maßnahmen zur Vorbeugung von Missbrauch und sei daher konventionsrechtlich nicht zu beanstanden.

Fundstelle

US Supreme Court: Standortdatenerhebung bedarf richterlicher Anordnung

Juni 2018

Fällt die Erhebung der Handy-Standortdaten Verdächtiger durch die Strafverfolgungsbehörden unter den Vierten Verfassungszusatz der U.S.-Verfassung und bedarf daher einer richterlichen Anordnung? Der höchste Gerichtshof der USA urteilte in der Entscheidung Carpenter jüngst in diesem Sinne. Die immer genauere Ortung der Mobilfunkgeräte, die es ermögliche, sämtliche Bewegungen eines Individuums längere Zeit im Nachhinein noch detailgetreu zu rekonstruieren, könne nicht vorbehaltslos durch Behörden eingesetzt werden.

Fundstelle

EU-Innenausschuss: Kritik an Privacy Shield

Juni 2018

Schützt das neue Datentransfer-Abkommen Privacy Shield – der Nachfolger des vom EuGH gekippten Safe Harbor-Abkommens – die Rechte europäischer Bürger in hinreichendem Umfang? Mit knapper Mehrheit meldete unlängst der EU-Innenausschuss Zweifel an und fordert das EU-Parlament auf, die Kommission dazu zu bewegen, das Abkommen zu überarbeiten.

Resolution des EU-Innenausschusses

EuGH: Gemeinsame Haftung von Fanpage-Betreiber und Facebook

Juni 2018

Wen trifft die datenschutzrechtliche Verantwortung, wenn ein Unternehmen auf Facebook eine Fanpage betreibt? Der EuGH sieht sowohl Facebook als auch den Betreiber der konkreten Seite in der datenschutzrechtlichen Pflicht – Facebook aufgrund seiner Kontrolle über die Mittel der Datenverarbeitung und den Seitenbetreiber aufgrund der Möglichkeit, die Daten den eigenen Interessen entsprechend mit nicht abdingbaren Tools auszuwerten. Außerdem sieht der Gerichtshof die beteiligte schleswig-holsteinischen Datenschutzbehörde als befugt an, die Datenschutzgrundverordnung auch gegenüber der irischen Facebook-Niederlassung auszuüben, ohne die irischen Kontrollbehörden zu ersuchen.

EuGH, Urteil vom 5.6.2018, Az.: C‑210/16

New York City setzt Task-Force zur Algorithmen-Kontrolle ein

Januar 2018

Die Stadt New York will den Einsatz von Algorithmen bei der automatisierten Entscheidungsfindung durch Behörden überprüfen lassen und hat hierzu per Satzung eine Task-Force mit der Erarbeitung von Vorschlägen beauftragt. Inhaltlich geht es hierbei insbesondere um das Recht der betroffenen Person auf eine Erklärung der Entscheidung, um die Verhinderung diskriminierender Entscheidungen und um die mögliche Offenlegung der Algorithmen.

Satzungstext und Anhörungsprotokolle

US District Court N.D. Cal.: Sammelklage gegen Facebook-Gesichtserkennung zulässig

April 2018

Die jüngste Entscheidung eines US-Bundesrichters aus San Francisco könnte den Internetkonzern teuer zu stehen kommen. In einer Sammelklage rügen Facebook-Nutzer des Bundesstaates Illinois eine Verletzung ihrer Privatsphäre durch ein Programm, das aus ihren Bildern auf Facebook biometrische Daten zusammenstellt. Die Voraussetzungen für eine Sammelklage hat der Richter nun bejaht. Falls die Kläger Erfolg haben, könnte dies zu Strafzahlungen in Milliardenhöhe führen. Mit einem ähnlichen Fall hat Google zurzeit vor einem Bundesgericht in Chicago zu kämpfen.

Beschluss des Bundesrichters

BGH: Jameda

März 2018

Kann ein Arzt verlangen, dass ein gegen seinen Willen geführtes Profil auf einem Internet-Bewertungsportal gelöscht wird? Ein datenschutzrechtlicher Löschungsanspruch setzt voraus, dass das Recht auf informationelle Selbstbestimmung des Arztes gegenüber den Kommunikationsgrundrechten des Portalbetreibers und seiner Nutzer überwiegt. Der Bundesgerichtshof hatte dies für ein einfaches Bewertungsportal 2014 verneint. Vorliegend bejahte der BGH einen Löschungsanspruch jedoch, weil der Portalbetreiber nicht nur Bewertungen aufführt, sondern Ärzten gegen Entgelt eine besondere Werbeplattform einräumt. Durch dieses Geschäftsmodell verliere der Portalbetreiber seine grundrechtlich besonders geschützte Stellung als „neutraler“ Informationsvermittler. 

BGH, Urteil vom 20. Februar 2018, Az.: VI ZR 30/17

Irish High Court: EuGH soll erneut transatlantischen Datentransfer in die USA prüfen

März 2018

Nachdem der Europäische Gerichtshof 2015 den Datentransfer in die USA auf Grundlage des „Safe-Harbor-Abkommens“ gekippt hat, wird er sich auf die Vorlage des irischen High Court hin nun mit Nachfolgeregelungen – der Vereinbarung zum „Privacy Shield“ sowie mit Standardvertragsklauseln – beschäftigen. Im Ausgangsverfahren argumentiert der Datenschutzaktivist Maximilian Schrems, Facebook dürfe die Daten europäischer Nutzer nicht in die USA weiterleiten, weil dort kein angemessenes Datenschutzniveau gelte.

Vorlageentscheidung des Irish High Court

EU-Datenschutzbeauftragter zu Big Data und Künstlicher Intelligenz

März 2018

Der Europäische Datenschutzbeauftragte Giovanni Buttarelli warnt in einer kürzlich veröffentlichten Stellungnahme vor den Gefahren von Big Data und Künstlicher Intelligenz. Wenige multinationale Unternehmen hätten es in der Hand, etwa durch „Fake News“ auf demokratische Prozesse einzuwirken. Er plädiert daher nicht nur für Transparenzgebote und Inhaltskontrollen, sondern auch für die effektiven Durchsetzung des Datenschutzes und eine verstärkte Zusammenarbeit der Regulierungs-, Wahl- und Medienbehörden.

Stellungnahme des Europäischen Datenschutzbeauftragten

BGH: Google muss Persönlichkeitsverletzungen nicht im Vorhinein erkennen

Februar 2018

Sind Suchmaschinenbetreiber verpflichtet, Suchergebnisse mit Persönlichkeitsverletzungen vor der Anzeige herauszufiltern? Bei im Internet allgemein zugänglichen Daten ist besteht ein solcher Anspruch nur, wenn die schutzwürdigen Interessen des Betroffenen offensichtlich überwiegen. Der BGH hat nun entschieden, dass man von einem Suchmaschinenanbieter erwarten könne, dass er sich vergewissere, ob die von den Suchprogrammen aufgefundenen Inhalte rechtmäßig ins Internet eingestellt worden seien. Einer proaktiven Prüfungspflicht stünden Aufgabe und Funktionsweise der Suchmaschinen entgegen.

BGH, Urteil vom 27. Februar 2018, Az.: VI ZR 489/16

OVG Hamburg: Facebook darf weiterhin keine Daten von WhatsApp-Nutzern erheben

Februar 2018

Darf Facebook nach dem Kauf des Unternehmens WhatsApp 2014 auf dessen Nutzerdaten zugreifen? Der Hamburger Datenschutzbeauftragte hatte dies mit einer Anordnung im September 2016 für die deutschen WhatsApp-Nutzer untersagt. Das Verbot wurde nun vom OVG Hamburg bestätigt. Grund hierfür ist die fehlende Einwilligung der WhatsApp-Nutzer in die Weitergabe ihrer Daten nach dem Bundesdatenschutzgesetz. Die Frage der nationalen Zuständigkeit (irische oder deutsche Datenschutzbehörden) bleibt offen, ist im Verfahren des einstweiligen Rechtsschutzes aber nicht ausschlaggebend.

OVG Hamburg 5. Senat, Beschluss vom 26. Februar 2018 Az.: 5 Bs 93/17

Neueste Entwicklung: seit Mai erhebt Facebook entgegen der genannten Anordnung Daten von WhatsApp-Nutzern. Die Anordnung des Hamburger Datenschutzbeauftragten ist für Facebook nicht mehr maßgeblich, nachdem die Zuständigkeit durch die DS-GVO auf den irischen Datenschutzbeauftragten übergegangen ist.

Nr. 5 der Anschluss-Antworten Facebooks zur Befragung im Europäischen Parlament

Generalanwalt Mengozzi: Missionierung und Datenschutz

Februar 2018

Fallen Notizen, die sich Mitglieder der Zeugen Jehovas bei der Haustürmissionierung machen – etwa zu Gesprächen und zur Religionsangehörigkeit der Angesprochenen – unter das Datenschutzrecht? Generalanwalt Mengozzi folgte nicht der Argumentation, dass die Notizen rein persönlicher Art seien und aus dem Anwendungsbereich fielen, sondern sieht die einzelnen Mitglieder und die Religionsgemeinschaft als solche in der datenschutzrechtlichen Pflicht.

Schlussantrag des Generalanwalts

LG Berlin: Facebooks Voreinstellungen sind teilweise unwirksam

Januar 2018

Auf eine Klage des Verbraucherzentrale Bundesverbands hin hatte sich das Landgericht Berlin mit den Vorsteinstellungen und den Nutzungsbedingungen der Internetplattform Facebook auseinanderzusetzen. Das Gericht kam zu dem Ergebnis, dass alle angegriffenen Voreinstellungen unwirksam und die Nutzungsbedingungen wegen fehlerhafter Zustimmung und nach dem Telemediengesetz teilweise ebenfalls unwirksam seien.

LG Berlin, Urteil vom 16.01.2018, Az.: 16 O 341/15 / juris

OLG Frankfurt: Hürden für Adresshandel

Januar 2018

Das Datenschutzrecht errichtet hohe Hürden für den Adresshandel. Dies gilt auch dann, wenn der Insolvenzverwalter die Adressen einer insolventen Adresshandelsfirma weiterverkauft. Geschieht dies ohne Einwilligung der Betroffenen, so ist der Verkauf nichtig, stellte das OLG Frankfurt klar.

OLG Frankfurt, Urteil vom 24.1.2018, Az.: 13 U 165/16

AG Düsseldorf: Auskunftsanspruch bei automatisiertem Inkassoverfahren

Januar 2018

Wenn ein Inkassounternehmen seine Tätigkeit – d.h. die Verarbeitung von Schuldnerdaten und die Einleitung von Mahnverfahren – automatisiert, so haben die Betroffenen einen Anspruch auf Auskunft über den logischen Aufbau dieser automatisierten Datenverarbeitung. Dies hat jüngt das Amtsgericht Düsseldorf bekräftigt.

AG Düsseldorf, Urteil vom 18. Januar 2018, Az.: 22 C 136/17

EuGH (Schrems): Sammelklage gegen Facebook in Österreich?

Januar 2018

Der Datenschutz-Aktivist Max Schrems hatte mit seinem Anliegen nur teilweise Erfolg, eine Sammelklage gegen Facebook in Österreich anzustrengen. Zwar kann Schrems als Verbraucher in Österreich gegen das in Irland ansässige Unternehmen klagen. Doch eine Sammelklage, gestützt auf abgetretene Ansprüche, ist ihm nach bisheriger Rechtslage verwehrt.

EuGH, Urteil vom 25.1.2018, Az.: C‑498/16

BVerwG: Rechtsschutz gegen „Arbeitsdatei szenekundige Beamte“

Dezember 2017

In der Datenbank "Arbeitsdatei Szenekundige Beamte" sind Daten zu Problem-Fussballfans gespeichert. Diese heimliche Speicherung, die in Verbindung dem jeweiligen Fußballspiel sogar eine Profilbildung erlaubt, greift nach Ansicht des Bundesverwaltungsgerichts tief in das informationelle Selbstbestimmungsrecht der Betroffenen ein. Für eine gegen die Speicherung gerichtete Feststellungsklage besteht daher ein Feststellungsinteresse.

BVerwG, Beschluss vom 20.12.2017, Az.: 6 B 14.17

OVG Saarlouis: Videoüberwachung in Apotheke

Dezember 2017

Darf ein Apotheker den Verkaufsraum einer Apotheke per Video überwachen lassen, um Diebstählen durch Personal oder Kunden vorzubeugen? Das OVG Saarlouis erkannte die Diebstahlvermeidung als berechtigtes Interesse an und bejahte die Rechtmäßigkeit der Videoüberwachung.

OVG Saarlouis, Urteil vom 14.12.2017, Az.: 2 A 662/17

EuGH (Nowak): Datenschutz gewährt Anspruch auf Einsicht in eigene Prüfungsarbeiten

Dezember 2017

Gibt es einen datenschutzrechtlichen Anspruch auf Einsichtnahme in die eigenen Prüfungsarbeiten? Dies hängt davon ab, ob man Prüfungsarbeit und Korrekturen als persönliche Daten ansieht. Der EuGH hat dies im Fall Nowak unlängst bejaht – ein eindrucksvolles Beispiel für die Reichweite des Datenschutzrechts.

EuGH, Urteil vom 20.12.2017, Az.: C‑434/16