After the personal data of thousands of patients was hacked from a privately-run psychotherapy centre in Finland, blackmailers are threatening to publish the data unless they receive a ransom. Because of the seriousness of this data breach, the case is likely to become a landmark in Finnish data protection law and a Europe-wide reference point for the application of GDPR rules in data breach situations.
Die SPD und die Union haben sich diese Woche auf die Einführung eines Bundestrojaners für Geheimdienste geeinigt. Der Europäische Gerichtshof hat Anfang des Monats einmal mehr die Vorratsdatenspeicherung für unvereinbar mit europäischen Grundrechten erklärt und seit Mitte des Jahres ist das Privacy Shield, die Rechtsgrundlage für den transnationalen Datenverkehr, gekippt. Erik Tuchtfeld bespricht mit RALF POSCHER, Direktor des Max-Planck-Instituts zur Erforschung von Kriminalität, Sicherheit und Recht, das Ziel und die Funktion des Datenschutzes und die Gefahren durch Massenüberwachung.
How many times did you search google today? Few of us know the answer. It’s not just the queries entered into the ubiquitous google search bars, but the countless other apps in the Google ecosystem, constantly harvesting our every question to refine their picture of even the most intimate spheres of our life. In the hands of advertisers, this technology is creepy. But when it is fully exploited by law enforcement agencies, it can be a profound danger to civil society and human rights.
Vor Kurzem wurde bekannt, dass Auskunfteien wie die Schufa erwägen, Daten zur Vertragslaufzeit der Kunden von Strom- und Gasversorgern zu erheben und auf deren „Wechselfreudigkeit“ hin auszuwerten. Verbraucher- und Datenschützer befürchten, Strom- und Gasversorger könnten die Abfrage von Daten zur Vertragsdauer dazu nutzen, Vertragsschlüsse mit solchen wechselfreudigen Kunden zu verhindern. Ohne Maßnahmen des nationalen Gesetzgebers verstößt ein solches Kündigungsscoring jedoch gegen das (europäische) Datenschutzrecht.
Die Europäische Kommission hat am 10. September 2020 einen Verordnungsentwurf vorgelegt, der es ermöglichen soll, den sexuellen Missbrauch von Kindern im Netz effektiv zu bekämpfen. Zusammen mit der bereits angekündigten Folgeregelung zeichnet sich in den Plänen der Kommission jedoch ein fundamentaler Angriff auf den europäischen Datenschutz ab. Sie ermöglichen eine weitreichende Überwachung von Nutzer:innen durch die Provider und eine potenziell ausufernde Speicherung von Daten. Die geplanten Maßnahmen werden so die Vertraulichkeit digitaler Kommunikation aushöhlen, indem sie private Verschlüsselungsmaßnahmen beschränken.
Die Kritik ist Jahrzehnte alt, ihre Wirkung gering: Schon früh haben Bürgerrechtler erkannt, dass die Einführung einer allgemeinen Bürgernummer für Verwaltungszwecke verfassungsrechtlich bedenklich wäre. Nun unternimmt die Bundesregierung wieder einen Versuch, die ganz umfassende Vernetzung der öffentlichen Register zu bewerkstelligen, und weckt damit die alten Ängste vor dem Überwachungsstaat. Der durchorganisierte Verwaltungsstaat, der den Reformern vorschwebt, ist aber nicht nur deswegen so problematisch, weil er die Bürger effektiver kontrollieren könnte, sondern weil die angestrebte perfekte Verwaltung auch ohne eine solche Überwachungsabsicht die Freiheitlichkeit der Gesellschaft gefährden würde.
The Court of Justice of the EU’s judgment in Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (“Schrems II”) of 16 July has already received significant attention. Now that the dust has somewhat settled, however, it deserves re-examination in light of its significant implications for the regulation of international data transfers under the EU General Data Protection Regulation.
Die Gesetzeslage lässt aktuell keine Verwendung der Corona-Gästelisten zur Strafverfolgung zu. Dazu bedürfte es einer bereichsspezifischen Norm, die datenschutzrechtliche Grundsätze beachtet. Die Nachverfolgung von Infektionen sollte bereits im IfSG genauer geregelt werden.
This post unpacks the implications of Schrems II for this new, unstable, and in many instances, illiberal political landscape. A number of excellent posts on this blog have already examined the impact of Schrems II on the corporate actors that transfer EU data globally. My focus here is on how Schrems II and the CJEU’s evolving jurisprudence on the right to privacy can be read as targeting the political developments of recent years.
On July 16, 2020, the European Court of Justice (ECJ) invalidated the EU-US Privacy Shield – a framework that regulated Trans-Atlantic data transfers. Further, even though the court upheld the validity of Standard Contractual Clauses (SCC) - an EU-approved template to safeguard EU citizens’ data-transfer, it put forth important qualifications for data controllers to adhere to when using such SCCs. This article analyses the ECJ’s ruling, now known as Schrems II, in three parts. The first section sets the stage for the analysis by providing a brief history of EU-US data-flow arrangements and the developments leading up to Schrems II. The second section analyses the ECJ’s decision in Schrems II and finally, the third section concludes by exploring the implications of the ruling and evaluating the way forward.
13. September 2025
Giovanni Capoccia
12. September 2025
Anne Peters
12. September 2025
Anne Peters
BLOG