Das Internet der Dinge, Big Data und der Einsatz von KI haben Daten zu einem wertvollen Wirtschaftsgut werden lassen. Die im industriellen bzw. geschäftlichen Kontext anfallenden digitalen Daten nehmen exponentiell zu, die rechtlichen Herausforderungen steigen. Denn der Hunger nach digitalen Daten wächst nicht nur bei Unternehmen mit datenbasierten Geschäftsmodellen in der Medien-, Telekommunikations- oder Sportbranche, sondern vor allem auch bei Unternehmen im Gesundheits-, Verkehrs oder Finanzwesen. Die vertrauliche Handhabe, der Schutz, die Integrität und Sicherheit von Daten gewinnt damit zunehmend an Relevanz.
Großer Beratungsbedarf besteht mit Blick auf den rechtmäßigen Umgang mit digitalisierten personenbezogenen Daten. Innovative digitalen Technologien zur Datenerfassung und Datenverarbeitung ermöglichen es Unternehmen, Service und Angebot zu verbessern, über personenbezogene Profile Kundeninteressen und Kaufverhalten zu analysieren oder Werbung zu personalisieren.
Jede Verwertung personenbezogener Daten ist anhand der Anforderungen des Datenschutzes und der Informationssicherheit rechtskonform auszugestalten. Der Rechtsrahmen wird im Wesentlichen durch die Datenschutz-Grundverordnung (DSGVO) vorgegeben. Daneben sind vor allem das Bundesdatenschutzgesetz (BDSG) und das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) relevant. Mit der fortschreitenden Digitalisierung und neuen Herausforderungen im internationalen Datenaustausch gehen auch ständige Veränderungen der rechtlichen Rahmenbedingungen einher. Rechtssicherheit im Umgang mit personenbezogenen Daten erfordert daher ein besonderes Augenmerk auf laufende Gesetzgebungsverfahren sowie auf die Rechtsprechung des EuGH, der durch seine Entscheidungen (z.B. im Fall „Schrems II“) betroffene Unternehmen unmittelbar vor große rechtliche Herausforderungen stellen kann.
Das Datenschutzrecht hat hingegen keine Relevanz für die Nutzung digitaler (Massen-) Daten, die keinen Personenbezug haben bzw. einen solchen nicht herstellen lassen (wie z.B. reine Messwerte). Hier umfasst der rechtliche Diskurs derzeit Fragen zum möglichen Eigentum an Daten, zum Zugang zu und zum Austausch von Daten oder wie eine faire Marktordnung in der „Datenwirtschaft“ rechtlich gewährleistet werden kann.
Die DSGVO verlangt von Unternehmen Datensicherheitsmaßnahmen, die geeignet sind, ein Schutzniveau zu gewährleisten, das dem Risiko der Datenverarbeitung für die Rechte und Freiheiten des Betroffenen angemessen ist. Hierbei ist der Stand der Technik angemessen zu berücksichtigen.
Bereits im Vorfeld von Anwendungen, die der Verarbeitung personenbezogener Daten dienen, sind die Aspekte eines Datenschutzes durch Technikgestaltung (privacy by design) oder durch datenschutzfreundliche Voreinstellungen (privacy by default) zu berücksichtigen. Bei der Beschaffung entsprechender IT-Lösungen ist zu prüfen, ob diese den Anforderungen, wie z.B. der Anonymisierung, Pseudonymisierung, möglichen Einschränkungen der Verarbeitung (z.B. Sperrung), der Löschung oder bestimmten Dokumentationspflichten genügen. Nur so lässt sich eine rechtmäßige Organisation des Datenschutzes in den Verarbeitungsprozessen des Unternehmens oder in Bezug auf bestehende Dienstleistungsbeziehungen sicherstellen.
Die DSGVO hat aber nicht nur die Anforderungen an einen rechtmäßigen und sicheren Umgang mit personenbezogenen Daten neu definiert, sondern auch neue Verpflichtungen, wie z.B. das Recht auf Datenübertragbarkeit und z.T. Verschärfungen und vor allem empfindliche Sanktionen bei Rechtsverstößen (Geldbußen bis zu 20 Mio. EUR oder bis zu 4 % des gesamten Jahresumsatzes) eingeführt, was den Druck auf Unternehmen, ihre Prozesse an die Vorgaben anzupassen, deutlich erhöht hat.
Daneben sieht die DSGVO in Artikel 85 Abs. 1 und 2 vor, dass die Mitgliedstaaten für journalistische, wissenschaftliche, künstlerische, und literarische Zwecke konkrete Abweichungen von der DSGVO vorsehen müssen bzw. können, damit Meinungsäußerungs- und Informationsfreiheit gewahrt bleiben. Die Handhabung dieser Öffnungsklausel zum Medienprivileg kann u.U. für Medienunternehmen eine Neubewertung erforderlich machen, wenn es um den Interessenausgleich zwischen dem Schutz personenbezogener Daten und der Medienfreiheit geht. Das gleiche gilt z.B. für die Handhabung des Kunsturhebergesetzes (KUG) mit Blick auf die Verwendung bzw. Veröffentlichung von Fotos oder Bewegtbildern.
Auf EU-Ebene wurden umfangreiche Gesetzgebungsvorhaben zum Datenrecht erfolgreich zum Abschluss gebracht. Der „Data Governance Act“ (DGA) ist am 23. September 2022 in Kraft getreten und am 24. September 2023 wirksam geworden. Er soll einen europäischen Datenraum schaffen und den Datenaustausch zwischen Unternehmen, Privatpersonen und dem öffentlichen Sektor vereinfachen. Die Verfügbarkeit von Daten soll durch die Weiterverwendung öffentlicher Datensätze, die gemeinsame Datennutzung durch Unternehmen gegen Entgelt und die Ermöglichung der Nutzung personenbezogener Daten für Einzelpersonen mithilfe von Datenmittlern gefördert werden. Er ergänzt insoweit die Richtlinie (EU) 2019/1024 (sog. „Open Data-Richtlinie“) aus dem Jahr 2019.
Auch der „Digital Markets Act“ (DMA) ist seit dem 02. Mai 2023 wirksam. Er sieht vor, dass sog. „Gatekeeper“ (Unternehmen, die aus einer starken wirtschaftlichen Position heraus mit erheblichen Auswirkungen auf den EU-Binnenmarkt agieren) diskriminierungsfrei ihre Plattform für den Absatz von Waren und Dienstleistungen durch Dritte zur Verfügung stellen müssen. Außerhalb der Plattform dürfen sie Nutzer nicht ohne deren Einwilligung bewerben.
Ab dem 17. Februar 2024 wird auch der „Digital Services Act“ (DSA) in weiten Teilen wirksam. Er zielt auf einen besseren Schutz der Verbraucher und ihrer Grundrechte im Internet ab. Vor dem Hintergrund dieser Zielsetzung soll für die Haftung von Online-Plattformen wegen unrechtmäßiger Inhalte (z.B. Verkauf gefälschter Produkte, Hass und Hetze) ein einheitlicher Rechtsrahmen für mehr Transparenz bei der Verwendung von Algorithmen und Online-Werbung sorgen.
Der kommende „Data Act“, ebenfalls als Verordnung ausgestaltet, stellt klar, wer unter welchen Bedingungen aus Daten einen Mehrwert schaffen darf. Er regelt das Recht der Nutzer auf Zugang und Nutzung ihrer nutzergenerierten Daten, das Verbot unangemessener Vertragsklauseln in standardisierten Datenlizenzverträgen, das Recht auf Datenzugang und Datennutzung durch öffentliche Stellen, Bestimmungen zur Erleichterung des Wechsels von Cloud-Service Providern sowie Anforderungen an deren Interoperabilität. Nach Veröffentlichung des Data Acts haben Unternehmen 20 Monate bis zum Wirksamwerden Zeit, sich auf die Neuregelungen einzustellen, also etwa bis Mitte 2025.
Äußerst ungewiss ist hingegen die Verabschiedung der sog. ePrivacy-VO. Der erstmals im Januar 2017 vorgelegte VO-Entwurf sollte gemeinsam mit der DSGVO am 25. Mai 2018 in Kraft treten. Aufgrund von äußerst kontroversen Auseinandersetzungen der Akteure, insbesondere zu Regelungen betreffend den Umgang mit Cookies, das Tracking oder Targeting von Nutzern oder auch zu technischen (Meta-)Daten liegt der letzte Entwurf des EU-Ministerrats seit Februar 2021 auf Eis. Der VO-Entwurf gilt mittlerweile als veraltet, so das große Zweifel am Fortgang des Gesetzgebungsverfahrens auf EU-Ebene bestehen.
Inwieweit Online-Händler, Webseitenbetreiber und Unternehmen, die digitales Marketing betreiben mit weiteren Verschärfungen rechnen müssen, bleibt offen. Jedenfalls gilt für sie das seit dem 1. Dezember 2021 in Kraft getretene Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG). Das Gesetz überführt die bereichsspezifischen Datenschutzregeln aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) in ein eigenes Gesetz und passt zugleich die Regeln an die Vorgaben der DSGVO an. Es regelt u.a. aber auch das Speichern von und den Zugriff auf Informationen in den Endeinrichtungen des Endnutzers, die grundsätzlich nur mit einer DSGVO-konformen Einwilligung erlaubt sind (Stichwort: Cookies). Der deutsche Gesetzgeber hat mit dem TTDSG einigen Regelungen der ePrivacy-VO vorgegriffen und höchstrichterliche Rechtsprechung (bspw. zum digitalen Nachlass), wie auch Teile der ePrivacy-RL (2002/58/EG) umgesetzt.
Vor allem im Datenschutzrecht kann höchstrichterliche Rechtsprechung - insbesondere die des EuGH - rechtliche Konsequenzen haben und ein unmittelbares unternehmerisches Handeln erfordern. Dies zeigen die Urteile des EuGH im Fall Planet49 oder Schrems II exemplarisch:
Im Fall Planet49 hat der EuGH (im Urteil vom 01.10.2019) grundlegend festgestellt, dass die einzige Form der gültigen Zustimmung zur Verarbeitung von Nutzerdaten mittels Cookies in der EU die explizite Einwilligung ist, d.h. eine Einverständniserklärung, die vom Nutzer der Website aktiv und spezifisch erteilt werden muss. Dieses Urteil war das erste nach Inkrafttreten der DSGVO, das sich ausdrücklich mit der Einwilligung in Bezug auf Cookies und Tracking auf Websites befasst und weitreichende Auswirkungen auf Website-Betreiber hat. Seine Vorgaben sind jedenfalls bis zu einer anderweitigen gesetzlichen Regelung zu beachten.
In Schrems II musste sich der EuGH mit der Übermittlung von personenbezogenen Daten in Drittstaaten auseinandersetzen (v.a. die USA). Eine Übermittlung personenbezogener Daten darf dabei grundsätzlich nur stattfinden, wenn ein angemessenes Datenschutzniveau im betroffenen Drittstaat gewährleistet werden kann. In Schrems II hat der EuGH das Privacy Shield-Abkommen zwischen der EU und der USA, wie auch bereits seinen Vorgänger, das Safe Harbour-Abkommen, für unwirksam erklärt. Auch hat er festgehalten, dass Standarddatenschutzklauseln (SCC) zwar genutzt werden können, der Datenexporteur jedoch im Einzelfall verpflichtet ist die Gewährleistung eines angemessenen Schutzes der übermittelten Daten zu überprüfen. Durch dieses Urteil zwingt der EuGH Drittstaaten zur Einhaltung des Grundrechtsschutzes von EU-Bürgern.
Als Reaktion darauf hat die EU-Kommission am 10. Juli 2023 einen Angemessenheitsbeschluss veröffentlicht, der den Nachfolger des Privacy Shield-Abkommens darstellt. Nun dürfen personenbezogene Daten ohne besondere Genehmigung in die USA übermittelt werden. Dazu sind eine Registrierung der betroffenen US-Unternehmen auf der Website des U.S. Department of Commerce und die Aktualisierung der Datenschutzbedingungen bis zum 10. Oktober 2023 nötig.
Mit unserer rechtlichen Expertise und unserem technischen Know-how beraten wir sie zu allen datenschutz- und datensicherheitsrelevanten Vorgängen in Ihrem Unternehmen und sichern Sie damit rechtlich ab.
Gemeinsam mit Ihnen erarbeiten wir die individuell für Ihr Unternehmen erforderlichen rechtlichen, technischen und organisatorischen Parameter und notwendige Anpassungen im Hinblick auf die Erfassung und Verarbeitung von Daten. Die so ermittelten Lösungen vertreten und verhandeln wir auch mit den zuständigen Datenaufsichtsbehörden.
Zudem unterstützen wir Ihr operatives Geschäft bei allen rechtlichen Fragen und Fallstricken rund um den Aufbau und die Entwicklung datenbasierter Geschäftsmodelle, bei der Digitalisierung ihrer Prozesse (der Einführung und Nutzung von Cloud Services, Big Data oder KI-Technologien), beim Customer-Relationship-Management, beim Aufbau und der Betreuung von Compliance-Systemen oder effektiven Benachrichtigungs- und Auskunftssystemen für Betroffene (Kunden). Unsere Beratung umfasst zudem Fragen im Zusammenhang mit internationalen Datentransfers, der Auftragsverarbeitung, insbesondere der Erstellung von Verträgen oder der Erfüllung wechselseitiger Pflichten nach Art. 28 DSGVO. Darüber hinaus vertreten wir Ihre Interessen gegenüber Aufsichtsbehörden, Verbraucher- und Wettbewerbsverbänden oder bei Gericht.
Unsere Kanzlei bietet zudem – auch in Kooperation mit weiteren Experten – fortlaufend Schulungen und betriebliche Seminare im Bereich des Datenschutzes und der Datensicherheit an.
Unsere Mandanten im Bereich des Daten(schutz)rechts kommen aus allen Branchen. Zu ihnen gehören mittelständische und große Unternehmen aus der ITK- und Medienbranche, aus der Baubranche, Personaldienstleister, Content-Aggregatoren, spezialisierte Portalanbieter oder Start-ups (wie z.B. App-Entwickler). Ebenso beraten wir Kommunalverwaltungen in datenschutzrechtlichen Belangen.
