Neuigkeit –
24.12.2023
2023 hat sich im Datenschutzrecht viel getan – gerade für Unternehmen wird die Datenschutzgrundverordnung (DSGVO) auch über fünf Jahre nach ihrem In-Kraft-Treten immer häufiger zur Haftungsfalle. Einige der besonders relevanten Entscheidungen, die Ende dieses Jahres ergangen sind, werden in dem folgenden Beitrag zusammengefasst. Eine ausführliche Besprechung zu den einzelnen Punkten finden sich im Datenschutz-Blog der RMPrivacy GmbH, auf die entsprechend verlinkt ist.
Der Europäische Gerichtshof (EuGH) bestätigte im Verfahren C-340/21, dass Sorgen und Ängste der Betroffenen aufgrund möglicher Datenmissbräuche nach einer Datenschutzverletzung einen ersatzfähigen Schaden darstellen. Nicht notwendig ist der Nachweis eines finanziellen Schadens. Auch stellte der EuGH fest, dass Cyberangriffe keine höhere Gewalt sind, und auch nicht das Verschulden des Verantwortlichen entfallen lassen. Die Gerichte können vollumfänglich überprüfen, ob Verantwortliche alle erforderlichen Maßnahmen ergriffen haben, um sich vor Cyberangriffen zu schützen.
Durch die Entscheidung kommen auf Unternehmen also zukünftig wohl noch mehr Haftungsforderungen zu. Und auch das Bundesamt für Sicherheit in der Informationstechnik hat in seinem Jahresbericht darauf hingewiesen, dass Cyberkriminalität zu einem immer größeren Problem für Firmen werden wird, etwa durch Ransomware. Compliance im Datenschutz schützt Unternehmen hier nicht nur vor Bußgeldern und Schadensersatzforderungen, sondern auch vor Rufschäden und weiteren finanziell nachteiligen Folgen.
Weitere Informationen hierzu können Sie hier nachlesen.
Die Deutsche Wohnen SE, ein großes Immobilienunternehmen in Berlin, wurde von der Berliner Datenschutzbehörde mit einer Geldstrafe von über 14,5 Millionen Euro belegt. Grund dafür waren unzureichende Datenlöschungspraktiken, bei denen persönliche Daten von Mietern gespeichert wurden, ohne die Notwendigkeit der Speicherung oder Löschung veralteter Daten zu prüfen. Die Deutsche Wohnen hat hiergegen den Rechtsweg beschritten – eine Entscheidung steht noch aus, nachdem aus dem Verfahren zunächst Fragen an den EuGH vorgelegt werden mussten (dazu sogleich). Das Bußgeld zeigt jedoch, dass Aufsichtsbehörden ihre Aufgaben ernst nehmen, und Unternehmen zunehmend härter sanktionieren.
Der EuGH stellte in den Rechtssachen C-683/21 und C-807/21 fest, dass nur ein schuldhafter, also vorsätzlicher oder fahrlässiger Verstoß gegen die DSGVO zu einer Geldbuße führen kann. Eine verschuldensunabhängige Haftung ist mit der DSGVO nicht vereinbar.
Für einen schuldhaften Datenschutzverstoß ist es jedoch nicht erforderlich, dass dieser durch ein Leitungsorgan begangen wurde oder diesem bekannt war. Ein Verstoß kann auch durch jede andere Person im Rahmen ihrer unternehmerischen Tätigkeit erfolgen.
Der EuGH hat weiter klargestellt, dass für die Bemessung der Geldbuße der gesamte weltweit erzielte Jahresumsatz des vorangegangenen Geschäftsjahres relevant ist, basierend auf dem wettbewerbsrechtlichen Begriff des „Unternehmens“. Hier kommen für Unternehmen bei Datenschutzverstößen schnell empfindliche Summen zusammen.
Weitere Informationen hierzu können Sie hier nachlesen.
Zwei Praktiken der SCHUFA Holding, einer führenden Wirtschaftsauskunftei in Deutschland, wurden durch den EuGH als unvereinbar mit der DSGVO eingestuft.
Betroffen war das sogenannte Scoring, ein mathematisch-statistisches Verfahren zur Vorhersage von Kreditrückzahlungsverhalten, das durch den EuGH als eine unzulässige "automatisierte Entscheidung im Einzelfall" angesehen wird. Das Verwaltungsgericht Wiesbaden muss nun prüfen, ob das deutsche Bundesdatenschutzgesetz hierfür eine gültige Ausnahme darstellt.
Weiterhin geht es um die Speicherung von Informationen über Restschuldbefreiung. Der EuGH kritisiert, dass die SCHUFA diese Daten länger speichert als das öffentliche Insolvenzregister, aus dem sie die Daten bezieht. Nach deutschem Recht sollten solche Daten nur sechs Monate lang gespeichert werden, um die Rechte der betroffenen Personen zu schützen.
Die Datenschutz-NGO noyb interpretiert das Urteil so, dass die SCHUFA möglicherweise alle Negativinformationen über Schuldner nach sechs Monaten löschen muss.
Diese Entscheidung des EuGH unterstreichen die anhaltende Bedeutung des Datenschutzes und könnte die Praktiken von Auskunfteien in Deutschland nachhaltig verändern. Betroffene Personen haben das Recht, die Löschung ihrer Daten zu verlangen, es sei denn, die Auskunftei kann zwingende Gründe für die Speicherung nachweisen.
Weitere Informationen hierzu können Sie hier nachlesen.
Das Recht auf Auskunft nach Artikel 15 der DSGVO ist ein zentrales Element der Rechte betroffener Personen. Es gibt häufig Diskussionen über den Umfang dieses Rechts, insbesondere ob Betroffene ein Recht auf eine kostenfreie Kopie dieser Daten haben, oder hierfür Kostenersatz verlangt werden kann.
Der EuGH entschied 2023 im Verfahren C-307/22, dass der Verantwortliche für die Datenverarbeitung, in diesem Fall ein Arzt, verpflichtet ist, eine kostenlose erste Kopie der personenbezogenen Daten zu übermitteln, einschließlich der gesundheitsbezogenen Daten in Patientenakten.
Eine Begründung des Auskunftsanspruchs durch die betroffene Person ist nicht erforderlich. Kosten dürfen nur dann verlangt werden, wenn die Person bereits eine erste kostenlose Kopie erhalten hat und eine weitere Kopie anfordert oder der Auskunftsanspruch übertrieben oder offensichtlich unbegründet ist. Patienten haben zudem das Recht auf eine vollständige Kopie ihrer Krankenakte, wenn dies für das Verständnis der enthaltenen personenbezogenen Daten notwendig ist.
Auch diese Entscheidung unterstreicht, dass Unternehmen sich mit dem Auskunftsanspruch Betroffener auseinandersetzen und Mitarbeiter entsprechend schulen sollten, um solche Anfragen angemessen zu bearbeiten. Werden Anfragen verspätet beantwortet, können Betroffene Schadensersatz verlangen, und es drohen Bußgelder.
Weitere Informationen hierzu können Sie hier nachlesen.
Bei Rückfragen zu diesen Entwicklungen unterstützen wir Sie gerne.
Eine frohe Weihnachtszeit und einen guten Rutsch ins Jahr 2024!
