Geldbuße nur bei schuldhafter Ordnungswidrigkeit
Am 05.12.2023 entschied der EuGH in zwei Fällen darüber, unter welchen Voraussetzungen nationale Aufsichtsbehörden Geldbußen gegen einen oder mehrere für die Datenverarbeitung Verantwortliche wegen Verstößen gegen die DSGVO verhängen können. Anlass für das Urteil in der Sache C-683/21 war ein Bußgeld, welches die litauische Aufsichtsbehörde gegen das Nationale Zentrum für öffentliche Gesundheit beim Gesundheitsministerium erlassen hatte. Das NZ sollte 12.000 EUR zahlen im Zusammenhang mit der Entwicklungeiner mobilen Anwendung, die der Erfassung und Überwachung der Daten von dem Covid-19-Virus ausgesetzten Personen dienen sollte. In der zweiten Rechtssache (C-807/21) wehrte sich das Immobilienunternehmen Deutsche Wohnen u.a. gegen eine Geldbuße in Höhe von 14. Mio. EUR im Zusammenhang mit personenbezogenen Daten von Mietern, welche länger als erforderlich gespeichert wurden.
In der Entscheidung legte der EuGH fest, dass nur in den Fällen eine Geldbuße wegen eines Verstoßes gegen die DSGVO verhängt werden kann, in denen der für die Datenverarbeitung Verantwortliche diesen Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen hat. Dies sei dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, unabhängig davon, ob ihm bewusst war, dass es gegen die Bestimmungen der DSGVO verstoße. Sofern der Verantwortliche eine juristische Person ist, sei es nicht erforderlich, dass eine Leitungsperson den Verstoß begangen hat oder vom Verstoß Kenntnis hatte. Die juristische Person hafte nicht nur für Verstöße von Leitungspersonen oder Gesellschaftern, sondern auch für Verstöße von jeder sonstigen Person, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Ebenso sei es nicht erforderlich, dass festgestellt werden müsse, dass der Verstoß von einer identifizierten natürlichen Person begangen worden sei.
Für den Anwendungsbereich der KDR-OG bzw. des KDG sei darauf hingewiesen, dass beide Gesetze ein schuldhaftes Verhalten des Verantwortlichen selbst voraussetzen (§ 51 Abs.1: a. A. IDSG v. 16.7.2021 IDSG 21/2020).
Recht auf unentgeltliche Kopie der Patientenakte
Ein Patient hat das Recht, unentgeltlich eine erste Kopie seiner Patientenakte zu erhalten. Dies hat der Europäische Gerichtshof (EuGH) auf Vorlage des Bundesgerichtshofs (BGH) entschieden (Urt. v. 26.10.2023, Az. C-307/22).
Hinweise zum Downloadbereich
Auf der Seite "Erklärungsmuster" wurde die "Benennung eines betrieblichen Datenschutzbeauftragten" an die besonderen Anforderungen in den Ordensgemeinschaften angepasst. Dies dient der Rationalisierung und Zeitersparnis bei der Verarbeitung dieser wichtigen Komponente.
Datenverkehr mit den USA
Am 10. Juli 2023 erließ die Europäische Kommission einen Angemessenheitsbeschluss gemäß § 40 Abs. 1 KDR-OG für die Datenübermittlung an oder in ein Drittland im Hinblick auf den Datenverkehr mit den USA („EU-U.S. Data Privacy Framework“ )
Dies bedeutet für Ordenseinrichtungen, die personenbezogene Daten in die USA oder von dort in die EU übermitteln möchten, dass nach dem Wegfall des Privacy Shields durch EuGH-Urteil im Juli 2020 eine Datenübermittlung gemäß § 40 Abs. 1 KDR-OG wieder zulässig ist. Voraussetzung ist allerdings, dass das jeweilige US-amerikanische Unternehmen an dem o.g. Vertragswerk teilnimmt; dies lässt sich hier prüfen.
Auftragsdatenverarbeitungsverträge mit Auftragnehmern in den USA müssen wie andere insbesondere die Regelungen des § 29 Abs.3 und 4 KDR-OG einhalten.