DatenschutzWoche vom 03. 07. 2023

Data Act: Poltische Einigung zum neuen Datengesetz der EU erreicht

EU-Mitgliedstaaten und Parlament haben sich auf den „Data Act“ geeinigt. Dieser soll die Rechte von Verbrauchern und Unternehmen in Bezug auf die Daten stärken, die bei der Nutzung digitaler Geräte entstehen. Künftig sollen Nutzer auch nicht personenbezogene Daten abrufen können, die von vernetzen Geräten wie beispielsweise Fitnessuhren oder E-Bikes erzeugt werden. Die EU erhofft sich davon einen verbesserten Rechtsrahmen für die Verwendung vernetzter Produkte, der den Datenaustausch und einen innovativen Datenmarkt fördert. Außerdem sollen Behörden im Katastrophenfall auf Daten von Unternehmen zugreifen können. Schwer abzusehen sind die Folgen auf das Datenschutzrecht. Formell soll der Data Act keine Auswirkungen auf die DSGVO haben. Es ist aber davon auszugehen, dass der Data Act die Auslegung der DSGVO beeinflussen wird. So könnte unter anderem das Zusammenspiel zwischen dem Data Act und der DSGVO mit Blick auf die gemeinsame Datennutzung oder auf gemischte Datensätze mit personenbezogenen und nicht-personenbezogenen Daten eine Rolle spielen. Der Data Act muss noch formal bestätigt werden und wird voraussichtlich 2025 in Kraft treten.

Datenschutzaufsicht Mecklenburg-Vorpommern: Fragebogen zum Drittlandstransfer von Gesundheitsdaten bei nicht-invasiven Pränataltests

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern hat mittels einer Umfrage die Einhaltung datenschutzrechtlicher Vorgaben bei der Verarbeitung von Daten, die bei einem nicht-invasivem Pränataltest erhoben werden, geprüft und analysiert. Dieser Test umfasst eine Probe genetischer Daten von Schwangeren im ersten Trimester mit dem Ziel, mögliche Anomalien abzuklären. Praxen und Kliniken, die diese Tests durchführen und die weitere Verarbeitung der Daten in Auftrag geben, sind dabei als Verantwortliche anzusehen. Dabei kam es mutmaßlich vereinzelt zu Transfers dieser Daten in Drittstaaten. Problematisch ist dabei nicht nur, dass es sich um besonders sensible personenbezogene Daten handelt, sondern auch, dass die Einhaltung datenschutzrechtlicher Standards in Drittstaaten möglicherweise nicht gewährleistet werden kann. Die Beantwortung des Fragenkatalogs ist für die stichprobenartig ausgewählten Praxen und Kliniken verpflichtend.

Internationale Nachrichten

• Europa: Das European Data Protection Board hat seine finalen Empfehlungen zur Genehmigung von Binding Corporate Rules verabschiedet und veröffentlicht.

Aktuelle Gerichtsentscheidungen

• OLG Karlsruhe, Urteil vom 28.03.2023, Az. 25 U 348/22 (juris): Kein Anspruch auf Auskunft über die Höhe der auslösenden Faktoren im Rahmen der Beitragsanpassung der privaten Krankenversicherung, weder aus Art. 15 Abs. 1 DSGVO noch aus § 242 BGB.
• OLG Hamm, Urteil vom 03.05.2023, Az. 20 U 146/22 (Volltext): Ein Antrag auf Auskunft nach Art. 15 DSGVO ist rechtsmissbräuchlich, wenn er nicht der Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung dient.
• OLG Brandenburg, Urteil vom 04.05.2023, Az. 1 U 11/22 (BeckRS 2023, 9327): Die Speicherung einer Restschuldbefreiung durch eine Auskunftei ist auch über sechs Monate hinaus zulässig. Rechtsgrundlage ist ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO.
• OLG Brandenburg, Urteil vom 16.06.2023, Az. 11 U 9/23 (juris): Kein Anspruch auf Auskunft über die auslösenden Faktoren für Prämienanpassungen einer privaten Krankenversicherung, da es sich nicht um personenbezogene Daten handelt.
• VG Magdeburg, Beschluss vom 27.06.2023, Az. 5 B 218/23 MD (Volltext): Abgelehnter Antrag auf Erlass einer einstweiligen Anordnung gegen die Wahl des Landesbeauftragten für den Datenschutz Sachsen-Anhalt

Weitere Entscheidungen zu Schadensersatz wegen Scraping bei Facebook:

• Ablehnend:
  • LG Saarbrücken, Urteil vom 20.06.2023, Az. 4 O 168/22 (GRUR-RS 2023, 14642)
  • LG Kaiserslautern, Urteil vom 09.03.2023, Az. 2 O 352/22 (GRUR-RS 2023, 14639)

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Bayern (BayLfD): „Privacy in Bavaria“ –Ausgabe 5/2023 des Newsletters
• Datenschutzaufsicht Hamburg: „Gerichtsverfahren zu Videmo 360 vom OVG Hamburg eingestellt“ – Meldung vom 30.06.2023
• Datenschutzaufsicht Mecklenburg-Vorpommern: „Kontrolle im Callcenter zum Datenschutz der Beschäftigten“ – Aktuelle Meldung ohne Veröffentlichungsdatum