Datenschutz-Compliance ist ein ungebrochen wichtiges Thema. Die Datenschutzbehörden haben ihre Zurückhaltung bei der Durchsetzung der DSGVO längst verloren. Dies belegt die steigende Zahl von Untersuchungen sowie rekordverdächtigen Bußgeldern aus 2021. In Sachen Datenschutz sollte man daher aktuell bleiben.
Wir empfehlen, zumindest die folgenden fünf Themen 2022 nicht aus den Augen zu verlieren:
Drittlandtransfers bleiben ein wichtiges Thema
Das Schrems-II-Urteil hat 2020 die Anforderungen an die Rechtfertigung von Datenübermittlungen in Drittländer erheblich steigen lassen. Unternehmen sind seitdem angehalten ihre internationalen Datenflüsse einer Risikobewertung im Hinblick auf staatliche Datenzugriffsmöglichkeiten zu unterziehen, ggf. zusätzliche Schutzmaßnahmen zu treffen und hochriskante Datenflüsse einzustellen. 2021 haben die neuen Standardvertragsklauseln der Europäischen Kommission erneut Bewegung in das Thema gebracht und diese Anforderungen verfestigt. Auch in diesem Jahr wird deren Umsetzung viele Unternehmen beschäftigen. Bestandsverträge müssen bis zum 27.12.2022 auf die neuen Klauseln umgestellt werden. Dies bedeutet viel Arbeit: Die „alten“ Standardvertragsklauseln unterschieden nur zwischen zwei Transferkonstellationen, die neuen zwischen vier. Unternehmen müssen hier ganz genau hinschauen und ihre Datenflüsse viel differenzierter absichern. Die Komplexität dieser Aufgabe dürfte jedoch weiter steigen: Die Europäische Kommission hat bereits in Aussicht gestellt, dass sie ein weiteres Set von Standardvertragsklauseln für Unternehmen im Anwendungsbereich der DSGVO ohne Sitz in der EU veröffentlichen wird.
Datenschutzrechtliche Neuerungen in verschiedenen Rechtsordnungen
Vereinigtes Königreich
Viele Unternehmen pflegen Beziehungen zum britischen Markt. Seit dem Brexit gilt dort UK-eigenes Datenschutzrecht, welches bisher inhaltlich der DSGVO weitestgehend entspricht. Die britische Regierung plant jedoch bereits eine Reform des UK-Datenschutzrechts. Abweichungen zur DSGVO sind wahrscheinlich. Für 2022 werden zudem UK-eigene Standardvertragsklauseln erwartet, die Unternehmen für die Absicherung von Datenflüssen von und nach UK verwenden können.
China
Nicht nur in Großbritannien tut sich etwas. In China ist zum November 2021 ein neues Datenschutzgesetz (das PIPL) in Kraft getreten. Unternehmen mit Beziehungen zum Global Player China sollten sich spätestens 2022 intensiv damit beschäftigen. Unsere chinesischen Kolleg:innen haben zu den Neuerungen bereits eine Zusammenfassung veröffentlicht. Kurz gesagt: Das PIPL spielt nicht nur für Unternehmen mit Sitz in China eine Rolle, sondern kann – vergleichbar mit der DSGVO – auch auf Unternehmen außerhalb Chinas Anwendung finden. Eine praktisch sehr relevante Folge davon wäre, dass rechtliche Einschränkungen im Hinblick auf Datentransfers aus China heraus bestehen. Data Mapping und erforderlichenfalls die Anpassung interner Prozesse stehen dann auf der Hausaufgabenliste.
Post von der Datenschutzbehörde zu Cookies & Paywalls?
Das ein oder andere Unternehmen hatte im Jahr 2021 bereits Post von noyb, der Datenschutz-Non-Profit von Max Schrems, im Briefkasten. Die Organisation hatte Beschwerden zu aus ihrer Sicht nicht-rechtskonformen Cookie-Bannern formuliert und diese an mehr als 500 Anbieter in der EU verschickt. Die Beschwerden wurden bei den zuständigen Datenschutzbehörden eingereicht, sofern die Unternehmen nicht innerhalb eines Monats die Beschwerdepunkte bei ihren Cookie-Bannern vollständig umsetzten. noyb verfolgt die Aktion weiter. Bis Ende 2021 wollte noyb die Cookie-Banner der 10.000 meistbesuchten Websites in der EU untersuchen. Auch 2022 dürfte daher bei dem ein oder anderen Unternehmen Post von noyb und/oder der Datenschutzbehörde im Briekasten landen. Etwas Ähnliches gilt auch für Unternehmen, die Paywalls einsetzen. Noyb hat bereits eine vergleichbare Aktion für entsprechende Angebote gestartet.
EuGH: Schrems I, Schrems II, … Schrems III
Max Schrems bleibt auch vor Gericht aktiv. 2022 wird sich der EuGH mit einer Vorlage des Obersten Gerichtshofs der Republik Österreich, dem eine Klage von Max Schrems zugrunde liegt, beschäftigen. Ein „Schrems-III-Urteil“ dürfte daher nicht allzu lange auf sich warten lassen. Der EuGH wird sich u.a. mit den folgenden Fragen zu beschäftigen haben, deren Beantwortung von hoher praktischer Relevanz sein dürfte:
- Der EuGH wird klären müssen, ob der kostenfreie Zugang zu einem Dienst von Betroffenen damit „bezahlt“ werden kann, dass sie ihre personenbezogenen Daten für Zwecke personalisierter Werbung zur Verfügung stellen („Bezahlen mit Daten“). Wäre dies der Fall, müsste für eine entsprechende Verarbeitung zu Werbezwecken grds. keine Einwilligung der Betroffenen eingeholt werden, sondern die Verarbeitung könnte mit der Erforderlichkeit für die Vertragsdurchführung begründet werden. Aus dem Urteil werden sich also praktisch relevante Konsequenzen für Unternehmen ergeben, die ihr Geschäft über die Verwertung von Daten für Werbung monetisieren.
- Der EuGH wird außerdem klären müssen, ob personenbezogene Daten, die eine gezielte Filterung von besonderen Kategorien personenbezogener Daten wie politische Überzeugung oder sexuelle Orientierung erlauben, selbst besondere Kategorien personenbezogener Daten S.d. Art. 9 DSGVO sind, auch wenn der Verantwortliche zwischen diesen Daten nicht differenziert. Die Grenzziehung, ob es sich bei bestimmten Daten ggf. um besonders streng geschützte besondere Kategorien personenbezogener Daten handelt, ist nicht immer leicht. Die deutschen Datenschutzbehörden erkennen an, dass nicht jede mittelbare Angabe zu sensiblen Daten die Anwendung der speziellen DSGVO-Vorschriften für entsprechende Daten nach sich ziehen soll. Unter welchen Voraussetzungen die Schwelle überschritten sein soll, ist jedoch nicht geklärt. Es könnte sich etwa anbieten darauf abzustellen, ob die Daten überhaupt im Hinblick auf ihren sensiblen Inhalt ausgewertet werden sollen. Eine entsprechende Konstellation liegt der Vorlagefrage zugrunde. Der EuGH könnte zur Abgrenzungsfrage endlich Licht ins Dunkel bringen.
Privacy-Litigation – Die Verbraucher klagen
Die Datenschutzbehörden wirken bei der DSGVO-Durchsetzung augenscheinlich zunehmend aktiver. Sie sind jedoch längst nicht mehr die einzigen relevanten Player im Bereich Privacy-Litigation. Von einer Datenverarbeitung betroffene Personen mischen längst aktiv vor den Gerichten mit. Besonders häufig sind Klagen auf Schadensersatz wegen Nicht- oder Schlechtbeauskunftung zur Datenverarbeitung. Deutsche Gerichte sprechen bisher jedoch – wenn überhaupt – eher zurückhaltend Schadensersatz zu. Es fehlt bisher an Hilfestellung zur korrekten Interpretation der rechtlichen Voraussetzungen für DSGVO-Schadensersatz. Eine Reihe von EuGH-Urteilen, die für 2022 erwartet werden, könnte jedoch größere Klarheit bringen und das Risiko erfolgreicher Schadensersatzklagen für Unternehmen erhöhen.
Verbraucherinnen und Verbraucher müssen außerdem bald nicht mehr allein vor Gericht ziehen. Während Class Actions in den USA längst an der Tagesordnung sind, ist das Konzept „Sammelklage“ in der EU noch eher fremd. Allerdings steht die Umsetzung der EU-Richtlinie über Verbandsklagen für Ende 2022 an und wird dazu führen, dass Verbraucherinnen und Verbraucher vertreten durch Verbraucherverbände auch über Sammelklagen DSGVO-Schadensersatz fordern können. Durch die Umsetzungsfristen dürfte jedoch in der Praxis mit ersten Sammelklagen 2022 noch nicht zu rechnen sein.
Aktualisierung von Software – von der Pflicht in 2022 zur Notwendigkeit in 2024?
Nach einem Richtlinienentwurf der Europäischen Kommission werden Software-Updates zu einem weiteren Baustein für die Produktsicherheit.
2 von 4 Insights
Cookies, TTDSG und ePrivacy-Verordnung: Was erwartet uns 2022 beim Datenschutz im Online-Bereich?
Die ePrivacy-Verordnung soll den Datenschutz im Online-Kontext neu regeln – Unsicherheiten bleiben.
3 von 4 Insights
(Nicht-)Umsetzung der EU-Whistleblower-Richtlinie
Die EU-Whistleblower-Richtlinie ist in Deutschland noch nicht rechtsgültig – Handlungsempfehlungen zum aktuellen Stand.
4 von 4 Insights
Zurück zur