Aktuelle Entwicklungen im Datenschutz
Vier Jahre nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) hat sich das Datenschutzrecht zu einem umfassenden Querschnittsthema entwickelt, das zahlreiche Rechtsgebiete umfasst. Die wachsende Relevanz des Themas zeigt sich darin, dass Anzahl und Höhe der Strafen deutlich angestiegen sind. Laut GDPR Enforcement Tracker haben die Aufsichtsbehörden im Jahr 2021 insgesamt 412 Bußgelder in der EU verhängt – in Summe über 1 Mrd. EUR. Zum Vergleich: In den Jahren 2019 waren es noch 72 Mio. EUR, im Jahr 2021 171,5 Mio. EUR.
Besondere Dynamik hat der Datenschutz durch aktuelle Entwicklungen wie die sich verändernde Arbeitswelt, die fortschreitende Digitalisierung und den damit einhergehenden globalen Datenverkehr sowie aktuelle Gesetze und Verordnungen bekommen. In meinem Artikel stelle ich einige relevante Themenbereiche vor.
Neues Datenschutzgesetz TTDSG
Das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) gilt seit Dezember 2021. Es hat zum Ziel, die Datenschutzbestimmungen des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG) an die DSGVO und die E-Privacy-Richtlinie anzupassen. Die Regeln der DSGVO bleiben dabei im Bereich der elektronischen Kommunikation unmittelbar anwendbar. Nach TTDSG dürfen Informationen von Endnutzer-Geräten nur gespeichert und genutzt werden, wenn eine DSGVO konforme Einwilligung vorliegt. Das gilt insbesondere für Cookies. Mit dem TTDSG soll bei Cookies ein nutzerfreundliches und wettbewerbskonformes Einwilligungsmanagement erarbeitet und evaluiert werden. Dazu zählen die Consent-Vereinbarungen und Tracking Mechanismen zu Werbezwecken. Das Bundeskartellamt hat hier insbesondere die großen US-amerikanischen Datenunternehmen Amazon, Apple, Google und Meta (ehemals Facebook) im Blick.
Internationaler Datenschutz
Die DSGVO soll in der gesamten EU einheitlich angewendet werden. Kapitel VII DSGVO regelt die Zusammenarbeit der nationalen Aufsichtsbehörden. Besonders relevant ist dies beim Datentransfer in Drittländer. Als Orientierung können hier die Guidelines des Europäischen Datenschutzausschusses EDSA gelten.
Datentransfers in Drittländer sind nach DSGVO nur im Einzelfall ausnahmsweise zu gestatten. Hier können Standardvertragsklauseln als Schutzgarantien verwendet werden. Nach Auffassung des EuGH kann eine nationale Aufsichtsbehörde auch dann Verstöße gegen die DSGVO vor dem Gericht eines Mitgliedstaats geltend machen, wenn sie nicht die Federführung hat. Wichtig ist dabei, dass sie nach DSGVO zuständig ist.
Die EU und die USA haben sich - jedenfalls politisch- auf die Schaffung eines Nachfolgers des vom EuGH gekippten „Privacy Shield“ geeinigt. EU-Kommissionschefin Ursula von der Leyen und US-Präsident Joe Biden bekräftigten am 25. März 2022 in Brüssel das Ziel, neue Grundsätze zum transatlantischen Transfer personenbezogener Daten zu schaffen. Ein neues Datenabkommen ist nötig, nachdem der EuGH mit der sogenannten Schrems II-Entscheidung im Juli 2020 das bestehende Abkommen für unzureichend erklärt hatte. Es bleibt abzuwarten, ob und wann den politischen Bekenntnissen Rechtsakte folgen.
Vorratsdatenspeicherung
Der EuGH hat sich zuletzt im April 2022 mit dem Thema der Vorratsdatenspeicherung beschäftigt. Die Richter haben dabei festgestellt, dass die präventive Speicherung von Verkehrs- und Standortdaten nicht mit Unionsrecht vereinbar ist, selbst wenn sie der Bekämpfung schwerer Kriminalität oder zur Verhütung ernster Bedrohungen dient. Die Abwägung des mit der Speicherung verbundenen Eingriffs erga, dass eine systematische und kontinuierliche Speicherung nicht erfolgen darf.
Dagegen ist eine gezielte Speicherung zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit auf der Grundlage objektiver und nicht diskriminierender Kriterien anhand von Kategorien betroffener Personen oder mittels eines geografischen Kriteriums erlaubt. Allerdings nur, wenn sich der (verlängerbare) Speicherzeitraum auf das absolut Notwendige begrenzt. Möglich ist somit die Informationsgewinnung zur Kriminalitätsbekämpfung betreffend die Anwesenheit von Personen an strategischen Orten wie Flughäfen, Bahnhöfen etc. Zu gleichen Zwecken dürfen auch IP-Adressen für einen begrenzten Zeitraum gespeichert werden, wenn sie einer konkreten Quelle zugewiesen sind. Auch ein behördlich angeordneter Quick-Freeze ist demnach möglich.
Ausblick
Die Umsetzung des EUGH Urteil vom 13.05.2022 im nationalen materiellen Recht ist zu beobachten. klare und präzise Regeln sicherstellen, dass bei der Speicherung der fraglichen Daten die für sie geltenden materiellen und prozeduralen Voraussetzungen eingehalten werden und dass die Betroffenen über wirksame Garantien zum Schutz vor Missbrauchsrisiken verfügen. Es ist zudem zu beobachten, ob sich auf EU-Ebene eine Mehrheit für eine neue europäische Regelung der Vorratsdatenspeicherung findet. Auch beim TTDSG wird es Änderungen geben, sobald die europäischer Ebene verhandelte E-Privacy Verordnung verabschiedet wird.
Wir beraten Unternehmen bei allen Aspekten rund um den Datenschutz. Dabei helfen wir ihnen, die aktuellen Entwicklungen im Blick zu behalten, relevante Themen zu identifizieren und vertraglich zu regeln.
Danielle Hertneck,
Fachanwältin für IT-Recht, Fachanwältin für Gewerblichen Rechtsschutz
hertneck@web-partner.de