M&A Transaktionen und Datenschutz

Integraler Bestandteil jeder Unternehmenstransaktion ist die sorgfältige Prüfung des zu erwerbenden Unternehmens im Hinblick auf seine wirtschaftliche, rechtliche, steuerliche und finanzielle Situation. Im Allgemeinen haben potenzielle Erwerber ein erhebliches Interesse daran, das Zielunternehmen mit all seinen Informationen möglichst umfassend zu analysieren. Beziehen sich die übermittelten Informationen auf Lieferanten, Kunden oder die Beschäftigten der Zielgesellschaft werden regelmäßig personenbezogene Daten verarbeitet, mit der Folge, dass die Regelungen des Datenschutzrechts zu beachten sind.  Die am 25.05.2018 wirksam gewordene Datenschutz-Grundverordnung (DS-GVO) stellt bewährte M&A-Prozesse...

Cookies & Einwilligung – Höchstrichterliche Stellungnahme des EUGH

Am 1. Oktober 2019 hat der Europäische Gerichtshof (EuGH) in einem sog. Vorabentscheidungsverfahren (Az.: C-673/17) hinsichtlich des Setzens von Cookies entschieden, dass eine aktive Einwilligung des Internetnutzers erforderlich ist. Ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, genüge diesen Anforderungen nicht. Das Betätigen einer Schaltfläche für die Teilnahme am Gewinnspiel stelle deshalb noch keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies dar. D. h., notwendig ist ein aktives Verhalten des Nutzers. Er muss...

Anpassung des § 38 BDSG durch das zweite Datenschutzanpassungsgesetz – Was bringt die Absenkung der Anforderungen an die Bestellung eines Datenschutzbeauftragten?

Nachdem nun der Bundesrat dem zweiten Datenschutzanpassungsgesetz (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU –  2. DSAnpUG-EU) zugestimmt hat, ist die von Wirtschaft, Verbänden und Vereinen geforderte Absenkung der Anforderungen an die Bestellungen eines Datenschutzbeauftragten (DSB) in greifbare Nähe gerückt. Sobald das Gesetz in Kraft tritt, wirkt die Anpassung des § 38 Abs. 1 BDSG. Danach muss dann ein Datenschutzbeauftragter erst bestellt werden, wenn in der Regel 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bisher lag die Grenze bei zehn Personen. Leider...

Zulässigkeit von Videoüberwachung zu privaten Zwecken – obiter dictum schafft Klarheit für die Praxis

Das BVerwG hat mit seinem Urteil vom 27.03.2019 klargestellt, dass sich die Zulässigkeit von Videoüberwachungen zu privaten Zwecken direkt nach Art. 6 Abs. 1 Unterabs. 1 Buchstabe f DSGVO richte. Die Öffnungsklauseln des Art. 6 Abs. 2 und 3 DSGVO für eine Verarbeitung von Daten nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO erfasse nicht die Videoüberwachung durch private Verantwortliche. Für die zukünftige Anwendung des § 4 Abs. 1 Satz 1 BDSG n.F. gebe es für diese...

Schonfrist abgelaufen (Update)

Die französische Datenschutzbehörde hat gegen Google aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) ein Bußgeld in Höhe von 50 Millionen Euro verhängt. Die britische Datenschutzbehörde Information Commissioner's Office (ICO) hat angekündigt gegen die Hotelkette Marriott ein Bußgeld von 99,2 Millionen britischen Pfund, umgerechnet rund 110 Millionen Euro, zu verhängen. Gegen die Fluggesellschaft British Airways hat die ICO bereits ein Bußgeld in Höhe von 183,39 Millionen Britische Pfund, umgerechnet etwa 204 Millionen Euro, verhängt. Auch hierzulande sind die ersten Sanktionen der Datenschutzbehörden...

Consent Management Database: Verwaltung von Einwilligungserklärungen

Auch mit der Datenschutz-Grundverordnung (DSGVO) bleibt es beim bisher in Deutschland bestehenden grundlegenden Prinzip des Datenschutzrechts: Grundsätzlich ist jede Verarbeitung personenbezogener Daten verboten; nur wenn es im Gesetz eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten gibt, dürfen diese Daten verarbeitet werden. Neben den unter anderem in Art. 6 DSGVO Abs. 1 b bis f geregelten Rechtsgrundlagen gibt es weiterhin die äußerst praxis-relevante Rechtsgrundlage der Einwilligung. Die Einwilligung wird als Rechtsgrundlage in Art. 6 Abs. 1 a DSGVO explizit erwähnt und ist...

DSGVO: Datenschutz-Folgenabschätzung

Unternehmen sollten sich im Zuge der Vorbereitung auf die Datenschutzgrundverordnung (DSGVO) rechtzeitig mit der Datenschutz-Folgenabschätzung vertraut machen. Diese ist immer dann durchzuführen, wenn eine Verarbeitung personenbezogener Daten ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 Abs. 1 DSGVO). Im Rahmen der Datenschutz-Folgenabschätzung sind Unternehmen gehalten, vor Einführung eines Datenverarbeitungsverfahrens eine Risikoeinschätzung vorzunehmen und zu dokumentieren 1). Es handelt sich insofern um eine Pflicht zur vorherigen Analyse der Folgen, welche die Verarbeitung für den Schutz...