Ausblick: Datenschutz & Datenrecht 2022
Die Entwicklungen im Datenschutz und Datenrecht waren in den letzten Jahren rasant. Auch im Jahr 2022 wird die Dynamik nicht nachlassen. Folgende Themen sind dabei in diesem Jahr besonders relevant:
Projekte: Aktualisierung von Verträgen mit EU-Standardvertragsklauseln
Mit Durchführungsbeschluss 2021/914 vom 4. Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln verabschiedet, die gemäß Art. 46 Abs. 2 lit. c DSGVO eine Rechtsgrundlage für den Datentransfer in „unsichere“ (Dritt-)Länder schaffen. Die neuen Standardvertragsklauseln sind modular aufgebaut und können bei den folgenden Konstellationen eingesetzt werden:
- Übermittlung von Verantwortlicher an Verantwortlichen
- Übermittlung von Verantwortlicher an Auftragsverarbeiter
- Übermittlung von Auftragsverarbeiter an (Unter-)Auftragsverarbeiter
- Rückübermittlung des Auftragsverarbeiters in der EU an einen Verantwortlichen im Drittland
Bis zum 27. Dezember 2022 müssen sämtliche Altverträge auf die neuen Standardvertragsklauseln umgestellt werden. Das bedeutet, dass alle auf den alten Vertragsmustern beruhenden Verträge aktualisiert und die Verträge mit den neuen Standardvertragsklauseln abgeschlossen werden müssen. Für Unternehmen mit signifikanten Geschäftstätigkeiten außerhalb der EU bedeutet dies in 2022 einen erheblichen Aufwand, insbesondere wenn die Datenflüsse und Vertragsbeziehungen nicht auf Knopfdruck identifiziert werden können.
Projekte: Transfer Impact Assessments für Drittlandtransfers
Aufgrund der Entscheidung des Europäische Gerichtshofs vom 16. Juli 2020 in Sachen Schrems II (Rechtssache C-311/18) reicht der Abschluss von Standardvertragsklauseln allein nicht aus, um ein angemessenes Datenschutzniveau herzustellen. Es müssen hierfür vielmehr weitere Zusatzmaßnahmen ergriffen werden. Hierzu sind sog. „Transfer Impact Assessments“ durchzuführen. Aufsichtsbehörden und Gerichte haben jüngst in verschiedenen Verfahren beanstandet, dass derartige „Transfer Impact Assessments“ nicht hinreichend durchgeführt und umgesetzt wurden. Sowohl die (Re-)Konzeptionierung der Transfer Impact Assessments als auch deren Durchführung bei neuen und bestehenden Geschäftspartnern und die Implementierung von zusätzlichen Maßnahmen ist von vielen Unternehmen noch nicht in dem von Aufsichtsbehörden und Gerichten geforderten Maße erfolgt und wird für diese Unternehmen in 2022 erheblichen Aufwand mit sich bringen.
Vorlagen beim Europäischen Gerichtshof (EuGH)
Diverse Fragen zum Datenschutzrecht haben nationale Gerichte dem EuGH zur Entscheidung vorlegt. 2022 wird der EuGH (hoffentlich) für mehr Rechtsklarheit zu einigen der folgenden Punkte sorgen:
1. Verbandsklagen: Mit Beschluss vom 28.05.2020 (Az. I ZR 186/17) hat der BGH dem EuGH ein Verfahren vorgelegt, ob Verbraucherschutzverbände nach nationalem Recht berechtigt sind können, Verstöße gegen die DSGVO unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag zu verfolgen. Mit Stellungnahme vom 02.12.2021 hat der Generalanwalt dies bejaht. Sollte ihm der EuGH folgen, ist zu erwarten, dass die Kontrolle von Datenschutzvorschriften durch Verbraucherschutzverbände zunehmen.
2. Einwilligung und Datenminimierung: Der Österreichische Oberste Gerichtshof (OGH) hat mit Beschluss vom 23.06.2021 (Az. 6 Ob 56/21k) in einem Verfahren unter Beteiligung von Facebook mehrere grundlegende Fragen dem EuGH vorgelegt: Eine der Fragen betrifft das Verhältnis von Art. 6 Abs. 1 lit. a und b DSGVO (Einwilligung und Vertragserfüllung). Konkret geht es darum, inwieweit Einwilligungen in allgemeinen Nutzungsbedingungen (hier von Plattformverträgen) wirksam erfolgen können. Außerdem geht es u.a. um die Auslegung des Datenminimierungsgrundsatzes nach Art. 5 Abs. 1 lit. c DSGVO, nämlich inwieweit dieser Grundsatz zu Einschränkungen bei der Analyse und Nutzung von personenbezogenen Daten für Zwecke der zielgerichteten Werbung verpflichtet. Beide Vorlagefragen haben Bedeutung über die Plattformbetreiber hinaus.
3. Schadensersatz: Mit Beschluss vom 15.04.2021 (Az. 6 Ob 35/21x) hat der OGH dem EuGH auch Fragen zur Auslegung von Art. 82 DSGVO (Schadensersatz) vorgelegt. Unter welchen Voraussetzungen ein immaterieller Schadensersatz verlangt werden kann, ist bisher umstritten. Zentral ist dabei, ob immaterielle Schäden eine Erheblichkeitsschwelle in Form eines Mindestmaßes an persönlicher Beeinträchtigung überschreiten müssen. Der OGH möchte dabei vom EuGH wissen, ob der Zuspruch von Schadensersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch erfordert, dass der Kläger einen Schaden erlitten hat oder ob bereits die Verletzung von Bestimmung der DSGVO ausreichend ist. Zudem fragt der OGH, ob für die Bemessung des Schadensersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts bestehen. Schließlich soll der EuGH noch klären, ob es eine Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht.
Auch das Bundesarbeitsgericht hat dem EuGH mit Beschluss vom 26.08.2021 (Az. 8 AZR 253/20 (A)) Fragen zum immateriellen Schadensersatz vorgelegt. Unter anderem geht es darin um die Frage, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters ankommt. – Das Landgericht Saarbrücken hat mit Beschluss vom 22.11.2021 (Az. 5 O 151/19) ebenfalls Fragen zum immateriellen Schaden vorgelegt, u.a. zum Haftungsausschluss bei menschlichem Versagen und zur Bemessung des immateriellen Schadensersatzes bei mehreren gleichartigen Verstößen.
Die Entscheidungen des EuGH in diesem Themenkomplex werden (mit-)entscheidend dafür sein, inwieweit sich Massenklagen wegen Datenschutzverstößen entwickeln.
4. Bußgelder: Das KG Berlin hat dem EuGH mit Beschluss vom 06.12.2021 (Az. 3 Ws 250/21) die Frage vorgelegt, ob ein Bußgeldverfahren gegen ein Unternehmen geführt werden kann (§ 30 OWiG), oder es stets der Feststellung einer durch eine natürliche Person vorwerfbar begangenen Ordnungswidrigkeit bedarf. Daneben fragt das KG, welches Ausmaß der Verstoß haben muss, um ein Bußgeld gegen das Unternehmen zu begründen. Diese Entscheidung wird immense Bedeutung für das Bußgeldrisiko von Unternehmen in Deutschland haben.
5. Scoring: Das Verwaltungsgericht Wiesbaden hat dem EuGH mit Beschluss vom 01.10.2021 (Az. 6 K 788/20) Fragen zum Scoring vorgelegt, nämlich inwieweit die Score-Werte einer Auskunftei übernommen werden können. Hier geht es darum, ob Score-Verfahren, Score-Werte und deren unkommentierte Weiterleitung an Dritte als „ausschließlich automatisierte Entscheidungen“ unter Art. 22 DSGVO fallen und somit grundsätzlich verboten oder nur nach den Ausnahmen des Art. 22 Abs.2 DSGVO zulässig wären (etwa bei Einwilligung oder nationaler Regelung, z.B. § 31 BDSG [Schutz des Wirtschaftsverkehrs bei Scoring]). Falls nicht, fragt das Verwaltungsgericht, ob § 31 BDSG, der das Scoring als Unterfall des Profilings behandelt und weitergehende Regelung als die DSGVO enthält, der DSGVO als höherrangiger Norm widerspräche. Dieses Verfahren ist für die Bonitätsprozesse in Unternehmen mit Endkundengeschäft bedeutsam.
Daneben sind weitere speziellere Datenschutzfragen wie zur Abberufung des betrieblichen Datenschutzbeauftragten und zur Verarbeitung sensitiver Daten im Beschäftigungsverhältnis anhängig. Auch liegen dem EuGH Fragen zum Verhältnis von Datenschutz und Kartellrecht beispielsweise aus einem Verfahren des Bundeskartellamts zu Facebook vor.
Neues Recht: Betriebsrätemodernisierungsgesetz
Am 18.06.2021 ist das „Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt“ (Betriebsrätemodernisierungsgesetz) in Kraft getreten. Es stellt u.a. klar, dass der Betriebsrat für seine Datenverarbeitung kein Verantwortlicher im Datenschutzrecht ist. Gleichzeitig wirft dies die Frage auf, wie Unternehmen als Verantwortliche die Einhaltung der Datenschutznormen durch den Betriebsrat kontrollieren können und inwieweit Betriebsräte hierbei unterstützen (müssen). 2022 werden hierzu in Unternehmen Gespräche geführt und Vorgehensweisen mit dem Betriebsrat vereinbart werden müssen.
Neues Recht: Telekommunikation-Telemedien-Datenschutz-Gesetz
Seit dem 1. Dezember 2021 gilt auch das „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“ („TTDSG“). Es fasst im Wesentlichen die Datenschutzvorschriften aus den „alten“ Fassungen des Telekommunikations- und des Telemediengesetzes zusammen. Besonders praxisrelevant ist die Regelung zu Cookies. Zwar hat § 25 TTDSG den vom EuGH bereits festgestellten Grundsatz der Einwilligung des Endnutzers für Cookies „nur“ kodifiziert und insofern keine wesentliche Änderung der bereits geltenden Rechtslage geschaffen. Allerdings ist noch offen, wann die Ausnahme der sog. „unbedingt erforderlichen“ Cookies für die Bereitstellung eines gewünschten Dienstes ohne Einwilligung eingreift. Folgende Fallgruppen schälen sich hierzu heraus: Warenkorb, Nutzer-Eingaben und Präferenzen, Authentifizierung bei Website oder App (Log-In), Wiedergabe von Audio- und Videoinhalten, Webanalyse, Chatbots und gesetzliche (Nachweis-)Verpflichtungen. Da auf vielen Webseiten die Anforderungen noch nicht (hinreichend) umgesetzt wurden, steht für viele Unternehmen 2022 noch Prüfungs- und Anpassungsaufwand ins Haus.
Auch der Bereich der Mitbestimmung ist vom TTDSG betroffen. Da das TTDSG nun auch sog. Over-The-Top Dienste wie Messenger erfasst und bei deren Nutzung somit, wie bei E-Mails, die Frage der Erstreckung des Fernmeldegeheimnisses bei erlaubter privater Nutzung im Raum steht, sollten bestehende Betriebsvereinbarungen 2022 soweit noch nicht geschehen geprüft und angepasst werden.
Neues Recht: Digitale Schuldrechtsreform 2022
Am 1. Januar 2022 sind schließlich das „Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen“ und das „Gesetz zur Regelung des Verkaufs von Sachen mit digitalen Elementen und anderer Aspekte des Kaufvertrags“ in Kraft getreten. Sie haben umfangreiche Änderungen im BGB bewirkt. Die beiden Gesetze setzen europäische Richtlinien um. Dadurch soll das BGB „digitaler“ werden und Verbraucherrechte stärken. So wurde in den §§ 327 ff. BGB der neue Vertragstyp „Verträge über digitale Produkte“ ergänzt. Umstritten ist hierbei u.a. die nunmehr den Verkäufer treffende Aktualisierungspflicht für Waren mit digitalen Elementen § 327 lit. f BGB.
Zudem werden am 28. Mai 2022 weitere Anpassungen im BGB und EGBGB folgen, welche der Gesetzgeber in Umsetzung einer anderen EU-Richtlinie beschlossen hat, um den Verbraucherschutz bei digitalen Produkten z.B. beim Kauf von Software, Apps, E-Books weiter zu stärken.
Gesetzgebungsvorhaben EU
Offen ist, ob 2022 endlich die ePrivacy-Verordnung verabschiedet wird. Der EU-Ministerrat hatte sich zwar am 10. Februar 2021 auf eine Version verständigt. Damit begann der sog. Trilog, die informelle Verhandlung zwischen Vertretern der drei am EU-Gesetzgebungsprozess beteiligten Organe: EU-Kommission, Parlament und Ministerrat. Es gibt allerdings Indizien, dass dieser Punkt nicht hoch auf der Agenda steht.
Stattdessen sind auf europäischer Ebene umfangreiche andere Gesetzgebungsvorhaben zum Datenrecht in den Fokus gerückt:
Der „Digital Services Act“ zielt auf einen besseren Schutz der Verbraucher und ihrer Grundrechte im Internet. Deshalb soll für die Haftung von Online-Plattformen wegen unrechtmäßiger Inhalte (z.B. Verkauf gefälschter Produkte, Hass und Hetze) ein einheitlicher Rechtsrahmen geschaffen werden und für mehr Transparenz bei der Verwendung von Algorithmen und Online-Werbung gesorgt werden.
Der „Digital Markets Act“ zielt auf die großen Online-Plattformen, die als „Gatekeeper“ definiert werden. Gatekeeper sind danach Unternehmen mit einer dauerhaft wirtschaftlichen Marktstellung, die durch ihre starke Position erhebliche Auswirkungen auf den EU-Binnenmarkt haben, in mehreren EU-Ländern aktiv sind und wegen einer großer Nutzerbasismit einer großen Anzahl von Unternehmen über eine starke Vermittlungsposition verfügen. Die Art. 5 und 6 der Verordnung regeln die Verbote und Verpflichtungen der Gatekeeper umfassend. Zudem werden der EU-Kommission umfassende Interventionsbefugnisse gewährt, um gegen Verstöße (am Ende Wettbewerbsverzerrungen) vorzugehen.
Der „Artificial Intelligence Act“ soll zu einer Regulierung von künstlicher Intelligenz beitragen. Der Artificial Intelligence Act unterteilt KI-Systeme nach ihrem potenziellen Risiko (unannehmbares, hohes, geringes, minimales Risiko). Nach Art. 5 der Verordnung sind die Anwendung von KI mit unannehmbarem Risiko verboten. Hochrisiko-KI-Systeme werden demgegenüber umfangreich reguliert. Zur Schaffung innovationsfreundlicher Gegebenheiten findet bei KI-Systemen mit geringem oder minimalem Risiko (z.B. Chatbots, Deepfakes, Videospiele, Spamfilter, Suchalgorithmen) kaum noch eine Beschränkung statt. Hier bestehen vor allem Transparenzpflichten.
Der „Data Governance Act“ soll schließlich einen europäischen Datenraum in strategisch wichtigen Bereichen schaffen. Ziel ist es, die Verfügbarkeit von Daten zur Nutzung zu fördern. Dies will die Verordnung u.a. durch die Weiterverwendung öffentlicher Datensätze, die gemeinsame Datennutzung durch Unternehmen gegen Entgelt, die Ermöglichung der Nutzung personenbezogener Daten für Einzelpersonen mithilfe von Datenmittlern erreichen.
Der „Data Act“ ist nach dem Data Governance Act die zweite große Gesetzgebungsinitiative, die als Folgemaßnahme zur europäischen Datenstrategie aus Februar 2020 ergriffen wird. Der Data Act soll regeln, wer die in der EU erzeugten Daten nutzen darf und Zugriff darauf erhält. Dabei sollen gesetzliche, wirtschaftliche und technische Hemmnisse für die Data Economy möglichst beseitigt werden. Der Zugang zu und die Weitergabe von Daten, die bei der Nutzung bestimmter Produkte und Dienstleistungen generiert werden, sollen jeweils vereinfacht werden.
Gesetzgebungsvorhaben Deutschland
Auch die neue deutsche Bundesregierung hat sich bei der Regulierung im Bereich Datenschutz und Datenrecht einiges vorgenommen wie ein Forschungsdatengesetz, ein Mobilitätsdatengesetz, ein Gesundheitsdatennutzungsgesetz oder neue Regelungen zum Beschäftigtendatenschutz . Angesichts der Komplexität der Regelungsmaterie erwarten wir hier für 2022 jedoch noch keine Gesetzesentwürfe.