Datenschutz wird ein immer wichtigerer Erfolgsfaktor.

Dieser Sonderbericht soll Ihrem Unternehmen dabei helfen, über die jüngsten Änderungen im Datenschutz auf dem Laufenden zu bleiben und die Vorschriften in einem sich ständig wandelnden regulatorischen Umfeld einzuhalten.

Die Erkenntnisse aus dem Bericht verschaffen Ihnen eine Übersicht über die Grundlagen der bevorstehenden Datenschutz-Updates. Die Analysen und Standpunkte unserer Experten helfen Ihnen zudem bei der Navigation, Erstellung und Planung von Datenschutzmaßnahmen für das Jahr 2023.

Internationale Datenübermittlungen

Seit der EuGH in seiner berühmten „Schrems II“-Entscheidung am 16. Juli 2020 das damalige Privacy Shield gekippt hat, ist das Thema „internationaler Datentransfer“ ein Dauergast auf der Agenda der Datenschutzbeauftragten und in den Stellungnahmen der europäischen Aufsichtsbehörden. Im Jahr 2022 hat das Thema in mehrfacher Hinsicht besonders an Dynamik gewonnen.

Im März 2022 gaben die EU-Kommission und die Biden-Administration bekannt, dass sie eine „grundsätzliche Einigung“ über einen neuen Ersatz für das ungültige Privacy Shield erzielt haben.

Am 7. Oktober schließlich veröffentlichte das Weiße Haus Informationen über die entsprechende Exekutivverordnung, mit der die angekündigte Grundsatzvereinbarung über Datenübertragungen zwischen den USA und der EU in US-Recht umgesetzt werden soll.

Die Executive Order greift die Anforderungen von Schrems II auf, indem sie unter anderem den weitreichenden Zugang zu Daten im Kontext der nationalen Sicherheit und das Beschwerde- und Rechtsbehelfsverfahren anpasst.

Die rechtskonforme Gestaltung von Datenübermittlungen aus Europa in die USA war eines der häufigsten, komplexesten und zeitaufwändigsten Themen, mit denen sich Datenschutzbeauftragte in Unternehmen in den letzten zwei Jahren beschäftigen mussten.

Die rechtskonforme Gestaltung von Datenüber- mittlungen aus Europa in die USA war eines der häufigsten, komplexesten und zeitaufwändigsten Themen, mit denen sich Datenschutzbeauftragte in Unternehmen in den letzten zwei Jahren beschäftigen mussten.

Nun kommt Bewegung in die Sache, denn die Kommission hat Mitte Dezember 2022 als vorgezogenes Weihnachtsgeschenk ihren Entwurf für den anstehenden Angemessenheitsbeschluss veröffentlicht, und die Arbeiten am neuen EU-US Data Privacy Framework laufen auf Hochtouren. Aus datenschutzrechtlicher Sicht ist dieser Beschluss also zunächst zu begrüßen.

Bis zum Erlass eines Angemessenheitsbeschlusses durch die EU- Kommission, der in der ersten Jahreshälfte 2023 erwartet wird, bleibt es jedoch bei der derzeitigen Rechtslage.

Bis dahin werden die anderen möglichen Übermittlungs- instrumente des Art. 46 DSGVO (insbesondere Standardvertragsklauseln (SCC) und Binding Corporate Rules (BCR)) sowie die Ausnahmetatbestände des Art. 49 DSGVO (ins- besondere die Einwilligung der betroffenen Personen) genutzt werden - mit allen bekannten Herausforderungen und Nachteilen.

Umstellung auf neue Standardvertragsklauseln (SCC)

Im Juni 2021 erließ die Europäische Kommission neue Standardvertragsklauseln, die seit dem 27. September 2021 für alle neuen Verträge verbindlich sind.

Diese neuen SCC sind modular aufgebaut und decken nun alle praktisch relevanten Varianten des Datentransfers ab, ohne wie bisher auf komplizierte und teilweise unpraktische Vertragskonstellationen zurückzugreifen.

In diesem Zusammenhang mussten Unternehmen bis zum 27. Dezember 2022 alle Altverträge auf die neuen Standardvertragsklauseln umstellen. In persönlichen Gesprächen haben uns die Leiter verschiedener deutscher Datenschutzbehörden unabhängig voneinander ver sichert, dass es keine weitere Fristverlängerung oder ein „Auge zudrücken“ ihrerseits geben 
wird.

Vielmehr müssen Unternehmen, die bis Ende Dezember 2022 alte Verträge nicht auf die neuen SCCs angepasst haben, mit Sanktionen der Aufsichtsbehörden rechnen – immerhin hatten sie mit eineinhalb Jahren ausreichend Zeit für die Umstellung.

Regulierungs- und Aufsichtsinitiativen

Auch im Jahr 2022 gab es wieder eine Vielzahl von Regulierungs- und Aufsichtsmaßnahmen. Nachdem Ende 2021 das Personal Information Protection Law (PIPL) und das Data Security Law (DSL) in China in Kraft getreten sind, gibt es nun erste Erfahrungswerte zur praktischen Umsetzung, insbesondere zur Datenlokalisierung und zur Einschränkung bestimmter Datentransfers.

Große Wirtschaftsmächte wie die USA oder Indien diskutieren über neue landesweite, umfassende Datenschutzbestimmungen, während Großbritannien über wesentliche Änderungen des derzeitigen Rechtsrahmens debattiert. Zum anderen waren die europäischen Aufsichtsbehörden auch im Jahr 2022 wieder sehr aktiv, was Bußgelder angeht.

Von Januar bis Oktober verhängten sie Bußgelder in Höhe von mehr als 550 Millionen Euro, wobei die irische Datenschutzbehörde mit ihrer 405-Millionen-Euro-Geldbuße gegen Meta im September den Spitzenplatz 2022 einnahm – die zweithöchste Geldbuße, die seit der Einführung der DSGVO verhängt wurde.

Darüber hinaus sorgten große Datenskandale wie die massive Datenpanne bei Uber weltweit für Schlagzeilen und erschütterten das Vertrauen der Verbraucher in den sicheren und rechtmäßigen Umgang mit ihren Daten.

Mit dem Vormarsch der sozialen Medien und Online-Plattformen können Unternehmen nun mit Kunden und Nutzern auf der ganzen Welt in Kontakt treten. Dadurch wurden sie aber auch anfälliger für Datenschutzverletzungen, die ihre Marke, ihren Ruf und ihre Einnahmen gefährden können.

Datenskandale können dein Unternehmen auf verschiedene Weise nachhaltig schädigen – übrigens ganz unabhängig von seiner Größe. Denn sie können…

• den Ruf Ihrer Marke schädigen,
  
  
• Ihre Mitarbeiter gefährden,
  
  
• und viel Geld kosten – in Form von Anwaltskosten, geplatzten Geschäften und potenziellen Bußgeldern und Schadenersatzforderungen.

Vertrauen als hohes Gut – Datenschutz als Menschenrecht

Apropos Vertrauen – verschiedene Studien haben im Jahr 2022 einmal mehr gezeigt, was auch wir bei DataGuard in unserer täglichen Arbeit seit langem beobachten: Transparenz ist ein wesentliches vertrauensbildendes Element und wird von Verbrauchern besonders geschätzt.

Laut dem Consumer Privacy Survey 2022 von Cisco halten 89% der Verbraucher den Datenschutz für wichtig, sie wollen andere schützen und wünschen sich mehr Kontrolle. Darüber hinaus gaben 82 % an, dass dieser Aspekt für sie ein Kaufkriterium darstellt.

In dieser Hinsicht können Tools für das Einwilligungs- und Präferenzmanagement eine entscheidende Rolle bei der Vertrauensbildung spielen, da sie den Nutzern die Möglichkeit geben selbst zu entscheiden, welche Art der Datenverarbeitung sie zulassen wollen – mehr Transparenz und Kontrolle über die eigenen Daten ist kaum möglich.

Auf den ersten Blick sieht es so aus, als ob die Verwaltung von Einwilligungen und Präferenzen nicht viel bewirken würde, aber sie kann einen großen Effekt auf die Geschäftsentwicklung eines Unternehmens haben.

„Wir haben die Plattform implementiert und innerhalb von sechs Wochen die Einwilligungen von mehr als 100.000 Fahrgästen mit einer 68%igen Opt-in-Rate per E-Mail erfasst.“                 Duncan Waugh, Leiter der IT-Abteilung für Schienenverkehr bei FirstGroup

Unsere Erfahrung zeigt, dass viele Unternehmen einen großer Teil des IT- oder Software- budgets ausschließlich in ihre internen Strukturen stecken, z. B. in ein elegantes und starkes CRM-Tool. Zwar sind dies stets relevante Investitionen, es ist jedoch ebenfalls zu empfehlen, einen Teil dieser wertvollen Ressourcen in Innovationen zu investieren, z. B. in eine gute Lösung für das Einwilligungs- und Präferenzmanagement. Dieses hat schließlich direkten Ein- fluss auf das Kundenerlebnis und die Kundenbindung.

Nicht zuletzt hoben die Vereinten Nationen die Bedeutung des Datenschutzes als Menschenrecht in einem Bericht an die Generalversammlung im Oktober hervor.
Privatsphäre und Datenschutz werden als „zunehmend hohes Gut im digitalen Zeitalter“ beschrieben [Übersetzung durch die Redaktion]… ein weiterer Grund dafür, dass Unternehmen in Datenschutz- und Compliance Lösungen investieren sollten.

EU-Datenschutzinitiativen – eine neue Ära für das Geschäft mit Daten

Elektronische Transaktionen und Daten, die von Endge- räten und anderen Quellen gesammelt werden, sind die Grundlage für die Geschäftsmodelle einiger der größten Unternehmen der Welt (BigTech). Jahrzehntelanger Wildwuchs in der Datenspeicherung läutete die Ära des Misstrauens der Verbraucher sowie gesetzgeberischer
und regulatorischer Maßnahmen ein. Wie in einem HBR-Bericht Anfang letzten Jahres richtig festgestellt wurde, versteckt sich die Datenwirtschaft hauptsächlich hinter einem „digitalen Vorhang“, der die Praktiken der Branche vor Gesetzgebern und der Öffentlichkeit verbergen soll. Daten werden als Unternehmenseigentum und vertrauliche Informationen betrachtet, selbst wenn sie aus den Händen der Kunden stammen.

Doch die EU-Dateninitiativen (insbesondere der Data Act, der Digital Services Act, der Artificial Intelligence Act und der Europäische Raum für Gesundheitsdaten) werden im Jahr 2023 verabschiedet oder in Kraft treten. Sie werden sich darauf auswirken, wie Daten mit anderen geteilt werden dürfen, und Organisationen, die einen Wert aus personenbezogenen Daten ziehen, dazu zwingen, die Modalitäten für die Weitergabe, den Schutz und den Zugriff auf diese Daten zu ändern. Doch was kommt auf uns zu?

Der Digital Services Act (DSA) wird die veraltete E-Commerce-Richtlinie aus dem Jahr 2000 novellieren. Sein extraterritorialer Geltungsbereich betrifft die derzeitigen Geschäftsmodelle vieler datengesteuerter Organisationen, darunter Internetdienst- und Cloud-Anbieter, soziale Medien und Online-Plattformen, Marktplätze und Suchmaschinen. So werden unter anderem zusätzliche Transparenzanforderungen für Online-Werbung, ein Verbot von Dark Patterns und Einschränkungen für Werbung auf der Grundlage sensibler Daten erlassen.

Auf der anderen Seite zielt der Data Act auf harmonisierte Regeln für den fairen Zugang zu und die Nutzung von Daten ab. Wie genau? Indem sichergestellt wird, dass ein breiteres Spektrum von Akteuren die Kontrolle über ihre Daten erhält und mehr Daten für innovative Zwecke zur Verfügung stehen, während gleichzeitig Anreize für Investitionen in die Datengenerierung erhalten bleiben. Das soll schließlich zu einem maximalen Wert der Daten für Wirtschaft und Gesellschaft führen.

Der Europäische Raum für Gesundheitsdaten ist die erste vertikale Datenverordnung und ergänzt den Data Act. Er befasst sich mit den gesundheitsspezifischen Schwierigkeiten beim Zugang zu elektronischen Gesundheitsdaten, der gemeinsamen Nutzung und der Gestaltung eines gemeinsamen Raums, in dem natürliche Personen ihre elektronischen Gesundheitsdaten leicht kontrollieren können. Er wird es auch Forschern, Innovatoren und politischen Entscheidungsträgern ermöglichen, diese elektronischen Gesundheitsdaten in einer vertrauenswürdigen und sicheren Weise zu nutzen, bei der der Datenschutz gewahrt bleibt.

Viele Umfragen haben gezeigt, dass Verbraucher über die Verwendung ihrer personenbezogenen Daten in KI-Anwendungen sehr besorgt sind. Der Vorschlag für eine Verordnung mit harmonisierten Regeln für künstliche Intelligenz - der Artificial Intelligence Act - soll diese Bedenken ausräumen und die ethische Nutzung von KI gewährleisten. Flankiert wird er von den Vorschriften über außervertragliche zivilrechtliche Haftung an künstliche Intelligenz, die dafür sorgen, dass Betroffene die gleichen Schutzstandards genießen, wenn sie unter anderen Umständen durch KI-Produkte oder -Dienste geschädigt werden.

Ja, es gibt noch viele Ungewissheiten darüber, wo die jeweiligen neu vorgeschlagenen und bereits vereinbarten Initiativen letztendlich hinführen werden. Aber eine Schlussfolgerung drängt sich schon jetzt auf: Unabhängig von der konkreten Ausgestaltung und den Details werden sich diese neuen Regeln auf die globale Datenwirtschaft auswirken, wie damals schon die Datenschutz -Grundverordnung.

EU-US Data Privacy Framework und Schrems III – eine unendliche Geschichte

Das leidige Thema „internationaler Datentransfer“ hat wieder an Fahrt aufgenommen. Voraussichtlich wird es in der ersten Hälfte des Jahres 2023 eine Nachfolgeregelung zum Privacy Shield geben.

Nachdem die US-Seite nun ihre Pläne zur Umsetzung der Schrems-II- Entscheidung im Detail offengelegt hat, hat die EU-Kommission dem jetzt Tribut gezollt und mit Hochdruck an einem Entwurf für einen An- gemessenheitsbeschluss gearbeitet und diesen dem Europäischen Datenschutzausschuss (EDSA) vorgelegt.

Der EDSA wird hierzu eine für die Kommission nicht bindende Stellungnahme abgeben. Darüber hinaus können das EU-Parlament und der Rat jederzeit unverbindliche Beschlüsse erlassen. In jedem Fall haben die Stellungnahme des EDSA und die Beschlüsse des Parlaments und des Rates nur deklaratorischen Charakter, d. h. die EU-Kommission kann das Feedback zum Anlass nehmen, ihren Entwurf zu überarbeiten.

Angesichts der Dauer der fachlichen und politischen Verhandlungen sind wesentliche Überarbeitungen in diesem Stadium jedoch unwahrscheinlich. Die Mehrheit der Vertreter der EU- Mitgliedstaaten sollte dann den endgültigen Entwurf der Kommission genehmigen. Sobald die Mitgliedstaaten grünes Licht geben, was zu erwarten ist, wird die Kommission ihren Angemessenheitsbeschluss förmlich annehmen. Er tritt dann unmittelbar nach der Veröffentlichung im Amtsblatt der EU in Kraft. Ein solches Verfahren hat in der Vergangenheit 4-5 Monate gedauert.

Doch ist das jetzt die langersehnte Rettung? Ja und nein.

Sobald der neue Angemessenheitsbeschluss in Kraft tritt, kann er gemäß Artikel 45 DSGVO als wirksames Rechtsinstrument für die Übermittlung genutzt werden. Aber: Wie in der Vergangenheit dürfte es sich dabei nur um ein Innehalten und eine vorübergehende Rechtssicherheit handeln. Verschiedene Experten, darunter auch die Leiter deutscher Aufsichtsbehörden, haben die von der US-Regierung angekündigten Maßnahmen als unzureichend und nicht den vom EuGH in seiner Schrems-II-Entscheidung geforderten Kriterien entsprechend kritisiert.

Hauptkritikpunkte sind unter anderem, dass es sich bei dem neu zu schaffenden „Data Protection Review Court” nicht um ein ordentliches Gericht handelt, sondern es beim Justizministerium angesiedelt sein wird. Das impliziert, dass es nicht völlig unabhängig sein wird, und dass die Beschwerdeführer nicht ausdrücklich darüber informiert werden, ob sie Gegenstand nachrichtendienstlicher Aktivitäten der US-Behörden waren.

Darüber hinaus hat der EuGH nicht nur Rechtsmittel gegen die Überwachung durch Behörden gefordert, sondern auch die Beendigung der Überwachung ohne richterliche Anordnung selbst.

Davon kann derzeit jedoch nicht ausgegangen werden, sodass der vom Gericht geforderte Systemwechsel im Grunde nicht stattfindet. Auch wenn viele Argumente der Kritiker plausibel erscheinen, nennen andere glaubwürdige Experten durchaus auch gute Gründe, warum die neuen Maßnahmen den Anforderungen des EuGH doch entsprechen. Ob es sich also nur um alten Wein in neuen Schläuchen handelt, wird letztlich wieder der EuGH entscheiden.

Max Schrems und seine Organisation NYOB gehören zu den Kritikern der neuen Regelungen. Sie haben bereits angekündigt, nach sorgfältiger Prüfung eventuell wieder gegen eine neue Angemessenheitsentscheidung klagen zu wollen. Wahrscheinlich wird es eine Schrems-III- Entscheidung geben. Die dringend benötigte Rechtssicherheit sieht also anders aus.

Interessant wird auch die Reaktion Großbritanniens sein - es ist davon auszugehen, dass es dem Beispiel folgen und eine ähnliche Regelung erlassen wird.

2023 – Vormarsch neuer Instrumente der Rechtsdurchsetzung

Im neuen Jahr wird es wieder viele Bußgeldverfahren geben, darunter 8- und 9-stellige Einzelbußgelder. Darüber hinaus werden voraussichtlich die ersten Gerichtsentscheidungen zu Rekordbußgeldern aus den Jahren 2020 und 2021 (z. B. gegen Amazon oder Facebook) getroffen werden. Auch Datenschutzbehörden, wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), haben in ihrem jüngsten Tätigkeitsbericht angekündigt, dass sie in Zukunft mehr kontrollierende und steuernde Maßnahmen ergreifen müssen.

Unserer Meinung nach wird sich auch die Durchsetzung der DSGVO schrittweise weiterentwickeln. Wir haben bereits 2022 im Fall von Google Analytics gesehen, dass Aufsichtsbehörden in ganz Europa bestimmte Tools und Verarbeitungstätigkeiten als datenschutzwidrig einstufen und ihren Einsatz untersagen.

Es ist nur eine Frage der Zeit, bis die Aufsichtsbehörden zunehmend die ihnen nach Artikel 58 DSGVO zur Verfügung stehenden Instrumente nutzen, um die Datenverarbeitung (vorübergehend) zu untersagen und die Löschung von Daten anzuordnen. Da diese Art von Maßnahmen eine sofortige Wirkung haben, sind die Auswirkungen und die Intensität der Intervention am größten. Aufgrund der rechtlichen Brisanz solcher Entscheidungen haben die Behörden bisher nur selten von ihnen Gebrauch gemacht. Dies wird sich jedoch ändern.

2023 wird sich der Umschwung weg von reinen Kontrollmaßnahmen der Aufsichtsbehörden hin zur zivilrechtlichen Durchsetzung der Beendigung datenschutzwidriger Verarbeitungen und der Entschädigung von Datenschutzverstößen bewegen.

Hunderte von Organisationen in Deutschland und Österreich sahen sich in diesem Sommer und Herbst mit Abmahnungen und Unterlassungserklärungen zu Google Fonts konfrontiert. Solche Trittbrettfahrer werden in Zukunft wohl vermehrt einzelne Gerichtsentscheidungen nutzen, um mit derartigen Massenverfahren gegen angebliche Datenschutzverstöße auf breiter Front vorzugehen.

Davon dürften insbesondere Websites und Apps betroffen sein, da sich datenschutzwidrige Konfigurationen und nicht autorisierte Tools mit geringem Aufwand schnell und eindeutig nachweisen lassen. Dass sich solche Massenabmahnungen zumindest in einer Grauzone bewegen und die Schwelle zur Missbräuchlichkeit leicht überschritten werden dürfte, zeigen die ersten Gerichtsverfahren gegen die abmahnenden Anwälte.

Das Jahr 2023 wird auch im Hinblick auf Schadensersatzklagen ein spannendes und aufschlussreiches Jahr werden. Derzeit liegen dem EuGH mehr als ein Dutzend Fälle aus verschiedenen europäischen Ländern vor, die die Weichen für dieses Jahr stellen werden.

Aufgrund seiner grundsätzlich sehr datenschutzfreundlichen Auslegung der DSGVO können Sie davon ausgehen, dass er dieses wichtige Betroffenenrecht eher großzügig und weit auslegen wird – mit der Folge, dass Schadensersatzansprüche in Zukunft zunehmen könnten.

Die größte und wesentlichste Veränderung bei der Rechtsdurchsetzung dürfte jedoch das verstärkte Eingreifen von NGOs und anderen Verbraucherschutzverbänden sein. Organisationen wie NOYB haben bei verschiedenen europäischen Aufsichtsbehörden Hunderte von Beschwerden über Cookie-Banner und Websites eingereicht, die gegen Datenschutzgesetze verstoßen.

Artikel 80 der Datenschutz-Grundverordnung ermöglicht es NGOs und Verbraucherverbänden, Beschwerden bei den Behörden einzureichen und im Namen der betroffenen Per- sonen Schadenersatz zu fordern. Diese Möglichkeit ist bisher relativ unbekannt und wurde kaum wahrgenommen. Allerdings dürfte es zu einer verstärkten Aktivität solcher Organisationen kommen, insbesondere nach dem Grundsatzurteil des EuGH über die Rechtsstellung von Verbraucherschutzorganisationen im Mai 2022.

Der Europäische Verbraucherverband hat bereits angekündigt, dass seine Mitglieder ihre Befugnisse im Rahmen der DSGVO nutzen wollen, um den Verbraucherdatenschutz zu verbessern. Auch die Vertreter der deutschen Aufsichtsbehörden haben uns in persönlichen Gesprächen mitgeteilt, dass hier in Zukunft wohl die Musik bei der Rechtsdurchsetzung spielen wird. Und dafür sollten Unternehmen sich jetzt rüsten.