Das Internet der Dinge, Big Data und der Einsatz von KI haben Daten zu einem wertvollen Wirtschaftsgut werden lassen. Die im industriellen bzw. geschäftlichen Kontext anfallenden digitalen Daten nehmen exponentiell zu, die rechtlichen Herausforderungen steigen. Denn der Hunger nach digitalen Daten wächst nicht nur bei Unternehmen mit datenbasierten Geschäftsmodellen in der Medien-, Telekommunikations- oder Sportbranche, sondern vor allem auch bei Unternehmen im Gesundheits-, Verkehrs oder Finanzwesen. Die vertrauliche Handhabe, der Schutz, die Integrität und Sicherheit von Daten gewinnt damit zunehmend an Relevanz.
Großer Beratungsbedarf besteht mit Blick auf den rechtmäßigen Umgang mit digitalisierten personenbezogenen Daten. Innovative digitalen Technologien zur Datenerfassung und Datenverarbeitung ermöglichen es Unternehmen, Service und Angebot zu verbessern, über personenbezogene Profile Kundeninteressen und Kaufverhalten zu analysieren oder Werbung zu personalisieren.
Jede Verwertung personenbezogener Daten ist anhand der Anforderungen des Datenschutzes und der Informationssicherheit rechtskonform auszugestalten. Der Rechtsrahmen wird im Wesentlichen durch die Datenschutz-Grundverordnung (DSGVO) vorgegeben. Daneben sind vor allem das Bundesdatenschutzgesetz (BDSG) und das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) relevant. Mit der fortschreitenden Digitalisierung und neuen Herausforderungen im internationalen Datenaustausch gehen auch ständige Veränderungen der rechtlichen Rahmenbedingungen einher. Rechtssicherheit im Umgang mit personenbezogenen Daten erfordert daher ein besonderes Augenmerk auf laufende Gesetzgebungsverfahren sowie auf die Rechtsprechung des EuGH, der durch seine Entscheidungen (z.B. im Fall „Schrems II“) betroffene Unternehmen unmittelbar vor große rechtliche Herausforderungen stellen kann.
Das Datenschutzrecht hat hingegen keine Relevanz für die Nutzung digitaler (Massen-) Daten, die keinen Personenbezug haben bzw. einen solchen nicht herstellen lassen (wie z.B. reine Messwerte). Hier umfasst der rechtliche Diskurs derzeit Fragen zum möglichen Eigentum an Daten, zum Zugang zu und zum Austausch von Daten oder wie eine faire Marktordnung in der „Datenwirtschaft“ rechtlich gewährleistet werden kann.
Die DSGVO verlangt von Unternehmen Datensicherheitsmaßnahmen, die geeignet sind, ein Schutzniveau zu gewährleisten, das dem Risiko der Datenverarbeitung für die Rechte und Freiheiten des Betroffenen angemessen ist. Hierbei ist der Stand der Technik angemessen zu berücksichtigen.
Bereits im Vorfeld von Anwendungen, die der Verarbeitung personenbezogener Daten dienen, sind die Aspekte eines Datenschutzes durch Technikgestaltung (privacy by design) oder durch datenschutzfreundliche Voreinstellungen (privacy by default) zu berücksichtigen. Bei der Beschaffung entsprechender IT-Lösungen ist zu prüfen, ob diese den Anforderungen, wie z.B. der Anonymisierung, Pseudonymisierung, möglichen Einschränkungen der Verarbeitung (z.B. Sperrung), der Löschung oder bestimmten Dokumentationspflichten genügen. Nur so lässt sich eine rechtmäßige Organisation des Datenschutzes in den Verarbeitungsprozessen des Unternehmens oder in Bezug auf bestehende Dienstleistungsbeziehungen sicherstellen.
Die DSGVO hat aber nicht nur die Anforderungen an einen rechtmäßigen und sicheren Umgang mit personenbezogenen Daten neu definiert, sondern auch neue Verpflichtungen, wie z.B. das Recht auf Datenübertragbarkeit und z.T. Verschärfungen und vor allem empfindliche Sanktionen bei Rechtsverstößen (Geldbußen bis zu 20 Mio. EUR oder bis zu 4 % des gesamten Jahresumsatzes) eingeführt, was den Druck auf Unternehmen, ihre Prozesse an die Vorgaben anzupassen, deutlich erhöht hat.
Die Presse- und Meinungsfreiheit finden ihre Grenzen vor allem im allgemeinen Persönlichkeitsrecht des durch die Berichterstattung Betroffenen. Betroffene können natürliche Personen als auch Unternehmen sein. Letztere stehen immer häufiger im Mittelpunkt negativer Schlagzeilen, die einen Imageschaden und damit erhebliche wirtschaftliche Konsequenzen zur Folge haben können. Das macht ein möglichst frühzeitiges rechtliches Agieren notwendig. Vor allem im Bereich der digitalen Berichterstattung ist eine schnelle und gezielte Reaktion unerlässlich.
Das Presserecht gibt dabei Antworten auf zahlreiche Fragen im Zusammenhang mit öffentlichen Äußerungen. Angreifbar sind zum Beispiel unwahre Tatsachenbehauptungen oder Schmähkritik. Die Formen möglicher Rechtsverletzungen können dabei vielschichtig sein: den Betroffenen stehen diverse Ansprüche gegen den Schädiger zu, wozu z.B. der Anspruch auf Unterlassung, Gegendarstellung, auf Schmerzensgeld oder Schadensersatz gehören.
Aber auch Foto- und Videoaufnahmen aus dem öffentlichen oder privaten Bereich sind in Zeiten Sozialer Medien allgegenwärtig – oft ohne Zustimmung oder gegen den Willen der Betroffenen. So werden z.B. Abbildungen von Personen zu Werbezwecken oder anderweitig von Dritten kommerziell genutzt. Die sog. Bildberichterstattung ist ebenfalls ein wesentlicher Teil des Presserechts. Aus dem allgemeinen Persönlichkeitsrecht ergibt sich der Grundsatz, dass jeder selbst darüber entscheiden darf, ob sein Bildnis verbreitet wird. Das Presserecht kennt aber auch Ausnahmen, bei denen der Abgebildete die Verbreitung seines Bildnisses dulden muss, auch wenn keine Einwilligung vorliegt. Diese Ausnahmen betreffen z.B. Ereignisse der Zeitgeschichte, Versammlungen oder wenn eine Person auf einem Bild lediglich als Beiwerk erscheint.
Daneben sieht die DSGVO in Artikel 85 Abs. 1 und 2 vor, dass die Mitgliedstaaten für journalistische, wissenschaftliche, künstlerische, und literarische Zwecke konkrete Abweichungen von der DSGVO vorsehen müssen bzw. können, damit Meinungsäußerungs- und Informationsfreiheit gewahrt bleiben. Die Handhabung dieser Öffnungsklausel zum Medienprivileg kann u.U. für Medienunternehmen eine Neubewertung erforderlich machen, wenn es um den Interessenausgleich zwischen dem Schutz personenbezogener Daten und der Medienfreiheit geht. Das gleiche gilt z.B. für die Handhabung des Kunsturhebergesetzes (KUG) mit Blick auf die Verwendung bzw. Veröffentlichung von Fotos oder Bewegtbildern.
Die ePrivacyVO soll die DSGVO ergänzen und das Datenschutzrecht in Bezug auf die elektronische Kommunikation regulieren und konkret die aktuell geltende Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie, (2002/58/EG)) sowie die Cookie-Richtlinie (2009/136/EG) ablösen. Der ursprüngliche VO-Entwurf wurde seit seiner Vorlage Anfang 2017 kontrovers diskutiert und vielen Änderungen im EU-Parlament und Rat unterworfen. Der Erlass der VO - ursprünglich einmal angesetzt mit gleichzeitigem Inkrafttreten der DSGVO - scheiterte ein ums andere Mal. Seit Februar 2021 liegt ein neuer Entwurf des EU-Ministerrats vor, auf dessen Grundlage Trilog-Verhandlungen stattfinden. Der Entwurf sieht u.a. Regulierungsmaßnahmen in Hinblick auf Endgerät-basierte Daten einschließlich Meta-Daten sowie dem Direktmarketing vor. Ebenfalls ergeben sich Auswirkungen auf die Nutzung von Cookies, insbesondere der Verwendung sog. Cookie-Walls. Ob die Trilog-Verhandlungen zwischen EU-Kommission, Parlament und Rat erfolgreich abgeschlossen werden können und vor allem wann, bleibt abzuwarten.
Derweil ist die Bundesregierung mit dem neuen "Telekommunikations-Telemedien-Datenschutz-Gesetz" (TTDSG) vorangeschritten, welches mehr Rechtssicherheit und Rechtsklarheit zum Schutz der Privatsphäre in der digitalen Welt schaffen soll: Das Gesetz überführt die bereichsspezifischen Datenschutzregeln aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) in ein eigenes Gesetz und passt zugleich die Regeln an die Vorgaben der DSGVO und der noch geltenden ePrivacy-Richtlinie an. Das TTDSG wird zusammen mit dem neuen Telekommunikationsgesetz (novelliert durch das TKModG) zum 01.12.2021 in Kraft treten. Es regelt u.a. das Speichern von und den Zugriff auf Informationen in den Endeinrichtungen des Endnutzers, die grundsätzlich nur mit einer DSGVO-konformen Einwilligung erlaubt sind (Stichwort: Cookies).
Trotz der ungewissen zeitlichen Komponente der ePrivacy VO sollten Online-Händler, Webseitenbetreiber und Unternehmen, die digitales Marketing betreiben, den Fortgang des Gesetzgebungsverfahrens auf EU-Ebene weiter verfolgen, denn mit dieser VO werden für die geschäftliche Praxis ggf. weitere Veränderungen, so z.B. im Umgang mit Cookies, dem Tracking oder Targeting von Nutzern oder auch mit technischen (Meta-)Daten zu erwarten sein und Verstöße ggf. mit empfindlichen Bußgeldern versehen. Das jetzige TTDSG wird dann an die unmittelbar geltende ePrivacy-Verordnung anzupassen sein.
Vor allem im Datenschutzrecht kann höchstrichterliche Rechtsprechung - insbesondere die des EuGH - rechtliche Konsequenzen haben und ein unmittelbares unternehmerisches Handeln erfordern. Dies zeigen die Urteile des EuGH im Fall Planet49 oder Schrems II exemplarisch:
Im Fall Planet49 hat der EuGH (im Urteil vom 01.10.2019) grundlegend festgestellt, dass die einzige Form der gültigen Zustimmung zur Verarbeitung von Nutzerdaten mittels Cookies in der EU die explizite Einwilligung ist, d.h. eine Einverständniserklärung, die vom Nutzer der Website aktiv und spezifisch erteilt werden muss. Dieses Urteil war das erste nach Inkrafttreten der DSGVO, das sich ausdrücklich mit der Einwilligung in Bezug auf Cookies und Tracking auf Websites befasst und weitreichende Auswirkungen auf Website-Betreiber hat. Seine Vorgaben sind jedenfalls bis zu einer anderweitigen gesetzlichen Regelung zu beachten.
Mit unserer rechtlichen Expertise und unserem technischen Know-how beraten wir sie zu allen datenschutz- und datensicherheitsrelevanten Vorgängen in Ihrem Unternehmen und sichern Sie damit rechtlich ab.
Gemeinsam mit Ihnen erarbeiten wir die individuell für Ihr Unternehmen erforderlichen rechtlichen, technischen und organisatorischen Parameter und notwendige Anpassungen im Hinblick auf die Erfassung und Verarbeitung von Daten. Die so ermittelten Lösungen vertreten und verhandeln wir auch mit den zuständigen Datenaufsichtsbehörden.
Zudem unterstützen wir Ihr operatives Geschäft bei allen rechtlichen Fragen und Fallstricken rund um den Aufbau und die Entwicklung datenbasierter Geschäftsmodelle, bei der Digitalisierung ihrer Prozesse (der Einführung und Nutzung von Cloud Services, Big Data oder KI-Technologien), beim Customer-Relationship-Management, beim Aufbau und der Betreuung von Compliance-Systemen oder effektiven Benachrichtigungs- und Auskunftssystemen für Betroffene (Kunden). Unsere Beratung umfasst zudem Fragen im Zusammenhang mit internationalen Datentransfers, der Auftragsverarbeitung, insbesondere der Erstellung von Verträgen oder der Erfüllung wechselseitiger Pflichten nach Art. 28 DSGVO. Darüber hinaus vertreten wir Ihre Interessen gegenüber Aufsichtsbehörden, Verbraucher- und Wettbewerbsverbänden oder bei Gericht.
Unsere Kanzlei bietet zudem – auch in Kooperation mit weiteren Experten – fortlaufend Schulungen und betriebliche Seminare im Bereich des Datenschutzes und der Datensicherheit an.
Unsere Mandanten im Bereich des Daten (schutz) rechts kommen aus allen Branchen. Zu ihnen gehören mittelständische und große Unternehmen aus der ITK- und Medienbranche, aus der Baubranche, Personaldienstleister, Content-Aggregatoren, spezialisierte Portalanbieter oder Start-ups (wie z.B. App-Entwickler). Ebenso beraten wir Kommunalverwaltungen in datenschutzrechtlichen Belangen.