Datenschutz­woche

#84

EDPB veröffentlicht Leitlinien zum Umgang mit Datenschutzverletzungen

Das European Data Protection Board (EDPB) hat am 4. April 2023 die endgültige Fassung seiner Leitlinien zum Umgang mit Datenschutzverletzungen mit den Anforderungen der Art. 33, 34 DSGVO an die Meldung, Benachrichtigung und Dokumentation von Datenschutzverletzungen veröffentlicht. Hinweise zur Umsetzung für Verantwortliche und Auftragsverarbeiter und Beispiele für verschiedene Arten von Datenschutzverletzungen bieten hilfreiche Orientierung.

Das EDPB stellt nun klar, dass nur Verantwortliche mit einer Niederlassung im Europäischen Wirtschaftsraum (EWR) von der zentralen Anlaufstelle für Meldungen profitieren. Unternehmen ohne Niederlassung im EWR müssen nach Auffassung der Behörden alle für sie zuständigen Aufsichtsbehörden informieren. Dies ist eine wesentliche Änderung gegenüber der Vorgängerversion.

Italienische Aufsichtsbehörde prüft weiterhin ChatGPT

Nach der Untersagung des Betriebs von ChatGPT in Italien (wir berichteten am 04. April 2023) dauert die Prüfung des KI-Chatbots durch die italienische Datenschutzaufsicht an. Nach ersten Gesprächen mit dem Betreiberunternehmen OpenAI hat die Behörde angekündigt, die Untersagungsverfügung aufzuheben, wenn OpenAI bis zum 30. April eine Reihe von Abhilfemaßnahmen umsetzt.

Mit Hessen und Nordrhein-Westfalen haben mindestens zwei deutsche Behörden eine Prüfung angekündigt, die von der Datenschutzkonferenz koordiniert werden soll. Die Prüfung dürfte in enger Abstimmung mit einer neu ins Leben gerufenen Taskforce des EDPB erfolgen.

Internationale Nachrichten

Aktuelle Gerichtsentscheidungen

  • FG Berlin-Brandenburg, Gerichtsbescheid vom 04.08.2022, Az. 16 K 5109/20 (BeckRS 2022, 43920): Art. 15 Abs. 3 DSGVO ist restriktiv auszulegen. Er verleiht weder einen Anspruch auf Kopien von ganzen Akten (Aktendoppel) noch auf Akteneinsicht.
  • KG Berlin, Beschluss vom 28.10.2021, Az. 20 U 88/21 (GRUR-RS 2021, 61339): Die DSGVO gibt einem Patienten nicht das Recht, die Löschung von Patientenunterlagen nach einem als peinlich empfundenen eigenen Patientenverhalten zu verlangen.
  • LG Bochum, Urteil vom 03.03.2023, Az. 1-4 O 190/22 (juris): Die Überprüfung von Prämienanpassungen einer privaten Krankenversicherung auf mögliche Mängel ist kein Zweck der Auskunft nach Art. 15 DSGVO. Es besteht ein Weigerungsrecht nach Art. 12 Abs. 5 DSGVO.
  • OLG Dresden, Urteil vom 14.03.2023, Az. 4 U 1377/22 (GRUR-RS 2023, 6302): Wegen der Verwendung von Daten aus Personalakten ihrer Mitarbeiter stehen einem Unternehmen keine datenschutzrechtlichen Ansprüche zu.
  • LG Hagen, Beschluss vom 31.08.2023, Az. 3 T 97/22 (Volltext): Einer Auskunft nach Art. 15 DSGVO zur Behandlungsdokumentation steht die ärztliche Berufsordnung entgegen (Einsicht nach Praxisaufgabe oder -übernahme nur nach Einwilligung).
  • LG Heidelberg, Urteil vom 31. 03.2023, Az. 6 S 1/22 (juris): Kein Anspruch auf Löschung nach Art. 17 Abs. 1 DSGVO bzw. Auslistung gegenüber Google, da der Kläger keine Nachweise für die offensichtliche Unrichtigkeit der beanstandeten Inhalte vorgelegt hat.
  • OLG Hamm, Beschluss vom 07.12.2022, Az. I-20 U 69/22 (juris): Kein Anspruch auf Auskunft nach Art. 15 DSGVO über die auslösenden Faktoren der Beitragserhöhung einer privaten Krankenkasse, da mathematische Rechnungsgrößen kein personenbezogenes Datum sind.
  • OLG Celle, Beschluss vom 24.02.2023, Az. 9 W 16/23 (juris): Aus den Art. 17, 18 und 21 DSGVO ergibt sich für den Geschäftsführer einer GmbH kein Anspruch auf Löschung persönlicher Daten aus Handelsregister.
  • OLG Düsseldorf, Urteil vom 09.03.2023, Az. I-16 U 154/21 (juris): Ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO setzt die Darlegung und den Nachweis eines konkreten Schadens voraus.

Neuigkeiten aus den Aufsichtsbehörden