Datenschutz und Cybersecurity

Ausblick: EuGH-Verfahren und Datenschutzaufsicht in 2023

Verfasst von

Dr. Jan-Peter Ohrtmann

Prof. Dr. Alexander Golland

Wir haben kürzlich über die Gesetzgebung im Datenschutz und Datenrecht (berichtet). Darüber hinaus haben in den vergangenen Jahren verschiedene nationale Gerichte diverse Fragen zum Datenschutzrecht dem EuGH zur Entscheidung vorgelegt. Im Jahr 2023 wird der EuGH (hoffentlich) in einigen Punkten für mehr Rechtsklarheit sorgen können. Auch die Aufsicht wird die Rechtsentwicklung vorantreiben.

Jüngste Entscheidung des Europäischen Gerichtshofs (EuGH)

Erst am 12. Januar 2023 hat der EuGH geurteilt, dass verwaltungsrechtliche Rechtsbehelfe und Entscheidungen der Zivilgerichte unabhängig voneinander stehen (C-132/21).

Darüber hinaus hat das Gericht in einem vielbeachteten Urteil (C-154/21) entschieden, dass im Rahmen des Auskunftsrechts grundsätzlich die konkreten Datenempfänger angegeben werden müssen - ausnahmsweise genüge die Angabe von Empfängerkategorien etwa dann, wenn die konkreten Empfänger nicht oder noch nicht feststehen.

Vorlagen beim EuGH

Im Jahr 2023 sind weitere Entscheidungen zu folgenden Vorlagen zu erwarten:

Datenschutzrechtliche Zuständigkeit von Wettbewerbsbehörden und Anforderungen an die Einwilligung (C-252/21)

Dürfen nationale Wettbewerbsbehörden Unternehmen anhand des Datenschutzrechts prüfen? Kann die Verarbeitung zu Werbezwecken als Vertragsbestandteil vereinbart werden oder bedarf es dazu der Einwilligung? Wann ist eine Einwilligung gegenüber einem marktbeherrschenden Unternehmen „freiwillig“ erteilt?

Voraussetzungen und Umfang des Schadensersatzes (C-300/21)

Reicht die bloße Verletzung einer DSGVO-Vorschrift für einen Schadensersatzanspruch aus? Gibt es eine Erheblichkeitsschwelle? Welche Vorgaben gelten für die Bemessung eines Schadensersatzanspruchs?

Zahlen mit Daten (C-446/21)

Ist eine Vertragsbestimmung, die das Einverständnis mit der Anzeige personalisierter Werbung „anstatt zu zahlen“ vorsieht, nach Art. 6 Abs. 1 lit. a oder lit. b zu beurteilen?

Voraussetzungen für die Kündigung eines Datenschutzbeauftragten (C-453/21)

Welche Voraussetzungen gelten in Deutschland für die Kündigung eines internen Datenschutzbeauftragten?

Umfang der Datenkopie (C-487/21)

Wie ist der Begriff der „Kopie“ i.S.d. Art. 15 Abs. 3 DSGVO auszulegen? Umfasst die „Kopie“ auch gesamte Dokumente oder nur Auszüge oder gar nur die in Art. 15 Abs. 1 DSGVO genannten Informationen? Betrifft die Pflicht zur Zurverfügungstellung in einem gängigen elektronischen Format die Informationen aus Art. 15 Abs. 1 und/oder die Kopie?

Umfang des Auskunftsanspruchs (C-579/21)

Hat ein Arbeitnehmer einen Auskunftsanspruch gegen seinen Arbeitgeber, wenn aus den begehrten Informationen hervorgeht, welche anderen Arbeitnehmer die Daten des Betroffenen verarbeitet haben? Wie ist der „Verarbeitungszweck“ auszulegen? Sind (andere) Arbeitnehmer „Empfänger“?

Bonitätsentscheidungen (C-634/21)

Ist die automatisierte Erstellung eines Wahrscheinlichkeitswertes über die Fähigkeit, künftig einen Kredit zu bedienen, und die Übermittlung dieses Wertes an Dritte, die eine Entscheidung über die Kreditvergabe treffen, eine „automatisierte Einzelfallentscheidung“ i.S.d. Art. 22 DSGVO?

Verarbeitung von Gesundheitsdaten und Schadensersatz (C-667/21)

Darf ein Arbeitgeber Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO verarbeiten? Muss neben Art. 9 Abs. 2 auch eine Rechtsgrundlage i.S.d. Art. 6 Abs. 1 DSGVO vorliegen? Hängt die Höhe immateriellen Schadensersatzes vom Verschuldensgrad ab?

Begriff des (gemeinsam) Verantwortlichen und Reichweite (C-683/21)

Ist auch derjenige, der lediglich mobile Anwendungen durch Dritte einsetzen lässt, selbst aber keine Daten verarbeitet und auch keine Rechte an den Anwendungen hat, ein „Verantwortlicher“? Führt die in der Datenschutzerklärung enthaltene Angabe des Verantwortlichen dazu, dass diese Stelle auch „Verantwortlicher“ ist? Liegt eine „gemeinsame Verantwortlichkeit“ auch dann vor, wenn zwei Parteien keine Vereinbarung, in der Zwecke und Mittel der Verarbeitung eindeutig festgelegt werden, getroffen haben? Führen unzulässige Verarbeitungen durch einen Auftragsverarbeiter immer zu einer Haftung des Verantwortlichen?

Datenpanne und immaterieller Schaden (C-687/21)

Liegt eine „unbeabsichtigte Weitergabe“ vor, wenn ausgedruckte Daten (Name, Anschrift, Beruf, Einkommen) eines Beschäftigten versehentlich an einen Dritten weitergegeben werden? Ist Art. 82 DSGVO mangels Bestimmtheit überhaupt gültig? Muss ein immaterieller Schaden festgestellt werden? Liegt ein „immaterieller Schaden“ bereits dann vor, wenn der Dritte die Daten ohne Kenntnisnahme zurückgegeben hat oder genügt es für einen Schaden, wenn nicht ausgeschlossen werden kann, dass die Daten doch zur Kenntnis genommen und u.U. weiterverbreitet wurden?

Schadensersatz: Bagatellschwelle und Bemessung (C-741/21)

Hängt der Ersatz immaterieller Schäden von der Erheblichkeit der Beeinträchtigung ab? Ist der Anspruch ausgeschlossen, wenn der Datenschutzverstoß auf menschliches Versagen im Einzelfall zurückgeht? Können die Kriterien aus Art. 83 DSGVO für die Bestimmung der Höhe des Schadensersatzes herangezogen werden?

Pflicht zum Tätigwerden (C-768/21)

Ist die Aufsichtsbehörde, wenn diese Datenschutzverstöße feststellt, verpflichtet, von ihren Abhilfebefugnissen Gebrauch zu machen?

Möglichkeit von Verbandsgeldbußen (C-807/21)

Kann ein Unternehmen unmittelbarer Adressat eines Bußgelds sein?

Datenschutzaufsicht

Die europäischen Aufsichtsbehörden haben sich darauf verständigt, ihre Kontrollaktivitäten im Jahr 2023 auf die Prüfung der wirksamen Bestellung von Datenschutzbeauftragten zu konzentrieren. Der Datenschutzbeauftragte muss eine hinreichende Datenschutzexpertise aufweisen und frei von Interessenskonflikten sein.

Sicher werden auch in 2023 wieder und weiterhin die Zulässigkeit der Nutzung von Google- sowie Microsoft-Produkten in der Diskussion sein.

Auch eine hinreichende Umsetzung der „Schrems II“-Anforderungen an Drittlandtransfers wird zunehmend überprüft werden.