Datenschutz-Compliance ist ein ungebrochen wichtiges Thema. Die Datenschutzbehörden haben ihre Zurückhaltung bei der Durchsetzung der DSGVO längst verloren. Dies belegt die steigende Zahl von Untersuchungen sowie rekordverdächtigen Bußgeldern aus 2021. In Sachen Datenschutz sollte man daher aktuell bleiben.
Wir empfehlen, zumindest die folgenden fünf Themen 2022 nicht aus den Augen zu verlieren:
Das Schrems-II-Urteil hat 2020 die Anforderungen an die Rechtfertigung von Datenübermittlungen in Drittländer erheblich steigen lassen. Unternehmen sind seitdem angehalten ihre internationalen Datenflüsse einer Risikobewertung im Hinblick auf staatliche Datenzugriffsmöglichkeiten zu unterziehen, ggf. zusätzliche Schutzmaßnahmen zu treffen und hochriskante Datenflüsse einzustellen. 2021 haben die neuen Standardvertragsklauseln der Europäischen Kommission erneut Bewegung in das Thema gebracht und diese Anforderungen verfestigt. Auch in diesem Jahr wird deren Umsetzung viele Unternehmen beschäftigen. Bestandsverträge müssen bis zum 27.12.2022 auf die neuen Klauseln umgestellt werden. Dies bedeutet viel Arbeit: Die „alten“ Standardvertragsklauseln unterschieden nur zwischen zwei Transferkonstellationen, die neuen zwischen vier. Unternehmen müssen hier ganz genau hinschauen und ihre Datenflüsse viel differenzierter absichern. Die Komplexität dieser Aufgabe dürfte jedoch weiter steigen: Die Europäische Kommission hat bereits in Aussicht gestellt, dass sie ein weiteres Set von Standardvertragsklauseln für Unternehmen im Anwendungsbereich der DSGVO ohne Sitz in der EU veröffentlichen wird.
Viele Unternehmen pflegen Beziehungen zum britischen Markt. Seit dem Brexit gilt dort UK-eigenes Datenschutzrecht, welches bisher inhaltlich der DSGVO weitestgehend entspricht. Die britische Regierung plant jedoch bereits eine Reform des UK-Datenschutzrechts. Abweichungen zur DSGVO sind wahrscheinlich. Für 2022 werden zudem UK-eigene Standardvertragsklauseln erwartet, die Unternehmen für die Absicherung von Datenflüssen von und nach UK verwenden können.
Nicht nur in Großbritannien tut sich etwas. In China ist zum November 2021 ein neues Datenschutzgesetz (das PIPL) in Kraft getreten. Unternehmen mit Beziehungen zum Global Player China sollten sich spätestens 2022 intensiv damit beschäftigen. Unsere chinesischen Kolleg:innen haben zu den Neuerungen bereits eine Zusammenfassung veröffentlicht. Kurz gesagt: Das PIPL spielt nicht nur für Unternehmen mit Sitz in China eine Rolle, sondern kann – vergleichbar mit der DSGVO – auch auf Unternehmen außerhalb Chinas Anwendung finden. Eine praktisch sehr relevante Folge davon wäre, dass rechtliche Einschränkungen im Hinblick auf Datentransfers aus China heraus bestehen. Data Mapping und erforderlichenfalls die Anpassung interner Prozesse stehen dann auf der Hausaufgabenliste.
Das ein oder andere Unternehmen hatte im Jahr 2021 bereits Post von noyb, der Datenschutz-Non-Profit von Max Schrems, im Briefkasten. Die Organisation hatte Beschwerden zu aus ihrer Sicht nicht-rechtskonformen Cookie-Bannern formuliert und diese an mehr als 500 Anbieter in der EU verschickt. Die Beschwerden wurden bei den zuständigen Datenschutzbehörden eingereicht, sofern die Unternehmen nicht innerhalb eines Monats die Beschwerdepunkte bei ihren Cookie-Bannern vollständig umsetzten. noyb verfolgt die Aktion weiter. Bis Ende 2021 wollte noyb die Cookie-Banner der 10.000 meistbesuchten Websites in der EU untersuchen. Auch 2022 dürfte daher bei dem ein oder anderen Unternehmen Post von noyb und/oder der Datenschutzbehörde im Briekasten landen. Etwas Ähnliches gilt auch für Unternehmen, die Paywalls einsetzen. Noyb hat bereits eine vergleichbare Aktion für entsprechende Angebote gestartet.
Max Schrems bleibt auch vor Gericht aktiv. 2022 wird sich der EuGH mit einer Vorlage des Obersten Gerichtshofs der Republik Österreich, dem eine Klage von Max Schrems zugrunde liegt, beschäftigen. Ein „Schrems-III-Urteil“ dürfte daher nicht allzu lange auf sich warten lassen. Der EuGH wird sich u.a. mit den folgenden Fragen zu beschäftigen haben, deren Beantwortung von hoher praktischer Relevanz sein dürfte:
Die Datenschutzbehörden wirken bei der DSGVO-Durchsetzung augenscheinlich zunehmend aktiver. Sie sind jedoch längst nicht mehr die einzigen relevanten Player im Bereich Privacy-Litigation. Von einer Datenverarbeitung betroffene Personen mischen längst aktiv vor den Gerichten mit. Besonders häufig sind Klagen auf Schadensersatz wegen Nicht- oder Schlechtbeauskunftung zur Datenverarbeitung. Deutsche Gerichte sprechen bisher jedoch – wenn überhaupt – eher zurückhaltend Schadensersatz zu. Es fehlt bisher an Hilfestellung zur korrekten Interpretation der rechtlichen Voraussetzungen für DSGVO-Schadensersatz. Eine Reihe von EuGH-Urteilen, die für 2022 erwartet werden, könnte jedoch größere Klarheit bringen und das Risiko erfolgreicher Schadensersatzklagen für Unternehmen erhöhen.
Verbraucherinnen und Verbraucher müssen außerdem bald nicht mehr allein vor Gericht ziehen. Während Class Actions in den USA längst an der Tagesordnung sind, ist das Konzept „Sammelklage“ in der EU noch eher fremd. Allerdings steht die Umsetzung der EU-Richtlinie über Verbandsklagen für Ende 2022 an und wird dazu führen, dass Verbraucherinnen und Verbraucher vertreten durch Verbraucherverbände auch über Sammelklagen DSGVO-Schadensersatz fordern können. Durch die Umsetzungsfristen dürfte jedoch in der Praxis mit ersten Sammelklagen 2022 noch nicht zu rechnen sein.
Nach einem Richtlinienentwurf der Europäischen Kommission werden Software-Updates zu einem weiteren Baustein für die Produktsicherheit.
2 von 4 Insights
Die ePrivacy-Verordnung soll den Datenschutz im Online-Kontext neu regeln – Unsicherheiten bleiben.
3 von 4 Insights
Die EU-Whistleblower-Richtlinie ist in Deutschland noch nicht rechtsgültig – Handlungsempfehlungen zum aktuellen Stand.
4 von 4 Insights
Zurück zur