Neues EuGH-Urteil setzt Meilenstein: Unternehmen, denen durch eine Cyberattacke Daten entwendet wurden, müssen nun beweisen, dass ihre Datenschutzmaßnahmen ausreichen, um Schadenersatzforderungen wegen der Angst vor Datenmissbrauch abzuwehren.

EuGH-Urteil: Angst vor Datenmissbrauch berechtigt zu Schadenersetz

Irisches Datentransferweltende: Schrems II, der EuGH und die (Un)Freiheiten der Aufsichtsbehörden

Wir haben uns gestern näher mit dem „Schrems II“-Fall vor dem EuGH beschäftigt. Hintergrund war die Anhörung in Luxemburg am 09.07.2019. Offizielles Ziel war, rauszufinden, ob das Verfahren unsere Kunden betrifft, inoffiziell wollten wir nur eine Bestätigung, dass das uns nicht betrifft. Hat leider nicht ganz geklappt. 


Kurz zum Fall: Die irische Aufsichtsbehörde lässt beim EuGH anfragen (nachdem der Datenschutzaktivist Max Schrems gegen Facebook in Irland vorgegangen ist und ein nationales Gericht den Fall an den EuGH verwiesen hat), wie sie die Übertragung von personenbezogene Daten an Facebook USA bewerten soll, wenn diese Übertragung auf dem Privacy Shield sowie Standardvertragsklauseln basiert. 

Aus Sicht des Datenschutzes ist die Irische See manchmal kleiner als gedacht

Manchmal wirken mehrere Unternehmen bei der Verarbeitung von personenbezogenen Daten zusammen. Klassisches Beispiel: Um einen Vertrag zu erfüllen, werden Subunternehmer eingeschaltet. Wer trägt dann datenschutzrechtlich gesehen die Verantwortung für die Daten? Neue Entscheidungen des Europäischen Gerichtshofs (EuGH) führen dazu, dass Unternehmen hier genauer hinschauen müssen. Dabei stellen sich Fragen, die auf den ersten Blick merkwürdig wirken. Sie richten sich an die Fachabteilungen in den Unternehmen. Deshalb sollten Sie darauf vorbereitet sein.

Eine absurde Ausgangslage?

Ein Unternehmen hat auf bestimmte personenbezogene Daten überhaupt keinen Zugriff. Dennoch soll es datenschutzrechtlich dafür verantwortlich sein, was ein anderes Unternehmen mit diesen Daten tut. Sie meinen, das könne überhaupt nicht sein? Dann unterschätzen Sie die Kreativität des EuGH im Hinblich auf Art. 26 EU-DSGVO "Gemeinsam Verantwortliche" oder auch "Joint Controllership".

Gemeinsame Verantwortung von Unternehmen im Datenschutz - Was Sie aus den EuGH-Fällen lernen können

Denn genau so hat er gleich in zwei Fällen entschieden. Beim ersten Fall ging es um Facebook, beim zweiten um die Zeugen Jehovas. Aus beiden Fällen lassen sich allgemeine Regeln ableiten, die in den Alltag zahlreicher Unternehmen hineinwirken.

Der Europäische Gerichtshof (EuGH) hat am 13.05.2014 entschieden (Rechtssache C-131/12), dass Einzelpersonen den Suchmaschinenkonzern Google unter bestimmten Voraussetzungen dazu auffordern können, Verweise auf Webseiten mit sensiblen persönlichen bzw. personenbezogenen Daten aus der Liste der Suchergebnisse zu streichen.

Interessante Entscheidung des EuGH

Weitere Infos unter  http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-05/cp140070de.pdf

Der Europäische Gerichtshof hat am 24. November 2011 bestätigt, dass es sich bei IP-Adressen um personenbezogene Daten handelt.

Bei diesem Urteil ging es in der Hauptsache zwar nicht direkt um diese Entscheidung, jedoch bemerkt das Gericht in Randnotiz 51 des Urteils zu den IP-Adressen: "... wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen."

Eine Unterscheidung von statischen und dynamischen IP-Adressen wurde bei diesem Urteil nicht vorgenommen. Auch wurden sonstige strittige Themen nicht behandelt.

Da es sich bei diesem Urteil aber um die erste höherinstanzliche gerichtliche Entscheidung handelt, kann man wohl davon ausgehen, dass die Richtung für künftige Urteile nun vorgegeben ist.

Zum Urteil des EuGH gelangen Sie hier: http://curia.europa.eu/juris/liste.jsf?language=de&num=C-70/10