Rohstoff Daten.

Daten (schutz) recht

Das Internet der Dinge, Big Data und der Einsatz von KI haben Daten zu einem wertvollen Wirtschaftsgut werden lassen. Die im industriellen bzw. geschäftlichen Kontext anfallenden digitalen Daten nehmen exponentiell zu, die rechtlichen Herausforderungen steigen. Denn der Hunger nach digitalen Daten wächst nicht nur bei Unternehmen mit datenbasierten Geschäftsmodellen in der Medien-, Telekommunikations- oder Sportbranche, sondern vor allem auch bei Unternehmen im Gesundheits-, Verkehrs oder Finanzwesen. Die vertrauliche Handhabe, der Schutz, die Integrität und Sicherheit von Daten gewinnt damit zunehmend an Relevanz.

Großer Beratungsbedarf besteht mit Blick auf den rechtmäßigen Umgang mit digitalisierten personenbezogenen Daten. Innovative digitalen Technologien zur Datenerfassung und Datenverarbeitung ermöglichen es Unternehmen, Service und Angebot zu verbessern, über personenbezogene Profile Kundeninteressen und Kaufverhalten zu analysieren oder Werbung zu personalisieren.

Jede Verwertung personenbezogener Daten ist anhand der Anforderungen des Datenschutzes und der Informationssicherheit rechtskonform auszugestalten. Der Rechtsrahmen wird im Wesentlichen durch die Datenschutz-Grundverordnung (DSGVO) vorgegeben. Daneben sind das Bundesdatenschutzgesetz (BDSG) sowie angrenzende Rechtsgebiete mit datenschutzrechtlicher Relevanz, wie z.B. dem TMG relevant. Besonderes Augenmerk ist auf laufende Gesetzgebungsverfahren sowie die Rechtsprechung des EuGH zu richten, der durch seine Entscheidungen (z.B. im Fall „Schrems II“) betroffene Unternehmen unmittelbar vor große rechtliche Herausforderungen stellen kann.

Das Datenschutzrecht hat hingegen keine Relevanz für die Nutzung digitaler (Massen-) Daten, die keinen Personenbezug haben bzw. einen solchen nicht herstellen lassen (wie z.B. reine Messwerte). Hier umfasst der rechtliche Diskurs derzeit Fragen zum möglichen Eigentum an Daten, zum Zugang zu und zum Austausch von Daten oder wie eine faire Marktordnung in der „Datenwirtschaft“ rechtlich gewährleistet werden kann.

EU-Datenschutz-Grundverordnung (DSGVO)

Die DSGVO verlangt von Unternehmen Datensicherheitsmaßnahmen, die geeignet sind, ein Schutzniveau zu gewährleisten, das dem Risiko der Datenverarbeitung für die Rechte und Freiheiten des Betroffenen angemessen ist. Hierbei ist der Stand der Technik angemessen zu berücksichtigen.

Bereits im Vorfeld von Anwendungen, die der Verarbeitung personenbezogener Daten dienen, sind die Aspekte eines Datenschutzes durch Technikgestaltung (privacy by design) oder durch datenschutzfreundliche Voreinstellungen (privacy by default) zu berücksichtigen. Bei der Beschaffung entsprechender IT-Lösungen ist zu prüfen, ob diese den Anforderungen, wie z.B. der Anonymisierung, Pseudonymisierung, möglichen Einschränkungen der Verarbeitung (z.B. Sperrung), der Löschung oder bestimmten Dokumentationspflichten genügen. Nur so lässt sich eine rechtmäßige Organisation des Datenschutzes in den Verarbeitungsprozessen des Unternehmens oder in Bezug auf bestehende Dienstleistungsbeziehungen sicherstellen.

Die DSGVO hat aber nicht nur die Anforderungen an einen rechtmäßigen und sicheren Umgang mit personenbezogenen Daten neu definiert, sondern auch neue Verpflichtungen, wie z.B. das Recht auf Datenübertragbarkeit (link) und z.T. Verschärfungen und vor allem empfindliche Sanktionen bei Rechtsverstößen (Geldbußen bis zu 20 Mio. EUR oder bis zu 4 % des gesamten Jahresumsatzes) eingeführt, was den Druck auf Unternehmen, ihre Prozesse an die Vorgaben anzupassen, deutlich erhöht hat.

Sonderregelung der DSGVO zum Medienprivileg

Daneben sieht die DSGVO in Artikel 85 Abs. 1 und 2 vor, dass die Mitgliedstaaten für journalistische, wissenschaftliche, künstlerische, und literarische Zwecke konkrete Abweichungen von der DSGVO vorsehen müssen bzw. können, damit Meinungsäußerungs- und Informationsfreiheit gewahrt bleiben. Die Handhabung dieser Öffnungsklausel zum Medienprivileg (link zum Beitrag) kann u.U. für Medienunternehmen eine Neubewertung erforderlich machen, wenn es um den Interessenausgleich zwischen dem Schutz personenbezogener Daten und der Medienfreiheit geht. Das gleiche gilt z.B. für die Handhabung des Kunsturhebergesetzes (KUG) mit Blick auf die Verwendung bzw. Veröffentlichung von Fotos oder Bewegtbildern.

ePrivacy-Verordnung lässt weitere Verschärfungen im Datenschutz erwarten

Die ePrivacyVO soll die DSGVO ergänzen und das Datenschutzrecht in Bezug auf die elektronische Kommunikation regulieren und konkret die aktuell geltende Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie, (2002/58/EG)) sowie die Cookie-Richtlinie (2009/136/EG) ablösen. Der Entwurf wurde seit seiner Vorlage Anfang 2017 kontrovers diskutiert und vielen Änderungen im EU-Parlament und Rat unterworfen. Mit der Aufnahme der notwendigen Trilog-Verhandlungen zwischen EU-Kommission, Parlament und Rat wird frühestens in 2021 - nach der Evaluierung der DSGVO - gerechnet. Dennoch setzt sich die Bundesregierung auf EU-Ebene im Rat für den Fortgang des Gesetzgebungsverfahrens ein und legt zugleich einen neuen Entwurf für ein "Telekommunikations-Telemedien-Datenschutz-Gesetz" (TTDSG) vor, der die Vorschriften rund um die Privatsphäre für Online-Dienste aus der DSGVO, dem TMG und TKG vereinheitlichen und modernisieren soll.

Trotz der ungewissen zeitlichen Komponente sollten Online-Händler, Webseitenbetreiber und Unternehmen, die digitales Marketing betreiben, den Fortgang der Verfahren aufmerksam verfolgen, denn diese werden für die geschäftliche Praxis eine Reihe von Veränderungen, so z.B. im Umgang mit Cookies, dem Tracking oder Targeting von Nutzern oder auch mit technischen (Meta-) Daten mit sich bringen und Verstöße ggf. mit empfindlichen Bußgeldern versehen.

Rechtsprechung des EuGH im Datenschutz hat weitreichende wirtschaftliche Konsequenzen

Vor allem im Datenschutzrecht kann höchstrichterliche Rechtsprechung - insbesondere die des EuGH - rechtliche Konsequenzen haben und ein unmittelbares unternehmerisches Handeln erfordern. Dies zeigen die Urteile des EuGH im Fall Planet49 oder Schrems II exemplarisch:

Im Fall Planet49 hat der EuGH (im Urteil vom 01.10.2019) grundlegend festgestellt, dass die einzige Form der gültigen Zustimmung zur Verarbeitung von Nutzerdaten mittels Cookies in der EU die explizite Einwilligung ist, d.h. eine Einverständniserklärung, die vom Nutzer der Website aktiv und spezifisch erteilt werden muss. Dieses Urteil war das erste nach Inkrafttreten der DSGVO, das sich ausdrücklich mit der Einwilligung in Bezug auf Cookies und Tracking auf Websites befasst und weitreichende Auswirkungen auf Website-Betreiber hat. Seine Vorgaben sind jedenfalls bis zu einer anderweitigen gesetzlichen Regelung zu beachten.

Eine weitere aktuelle Entscheidung des EuGH über die Zulässigkeit internationaler Datentransfers im Fall „Schrems II“ (Urteil vom 16.07.2020), stellt betroffene Unternehmen vor große rechtliche Herausforderungen: so hat der EuGH das EU-US „Privacy Shield“, das Nachfolgeabkommen zu „Safe-Harbour“ mangels ausreichendem Datenschutz (gegenüber staatlicher Überwachungsmaßnahmen) für ungültig erklärt, welche bislang den zu kommerziellen Zwecken erfolgenden Transfer personenbezogener Daten aus der EU an zertifizierte US-amerikanische Unternehmen ermöglichte.

Mit unserer rechtlichen Expertise und unserem technischen Know-how beraten wir sie zu allen datenschutz- und datensicherheitsrelevanten Vorgängen in Ihrem Unternehmen und sichern Sie damit rechtlich ab.

Gemeinsam mit Ihnen erarbeiten wir die individuell für Ihr Unternehmen erforderlichen rechtlichen, technischen und organisatorischen Parameter und notwendige Anpassungen im Hinblick auf die Erfassung und Verarbeitung von Daten. Die so ermittelten Lösungen vertreten und verhandeln wir auch mit den zuständigen Datenaufsichtsbehörden.

Zudem unterstützen wir Ihr operatives Geschäft bei allen rechtlichen Fragen und Fallstricken rund um den Aufbau und die Entwicklung datenbasierter Geschäftsmodelle, bei der Digitalisierung ihrer Prozesse (der Einführung und Nutzung von Cloud Services, Big Data oder KI-Technologien), beim Customer-Relationship-Management, beim Aufbau und der Betreuung von Compliance-Systemen oder effektiven Benachrichtigungs- und Auskunftssystemen für Betroffene (Kunden). Unsere Beratung umfasst zudem Fragen im Zusammenhang mit internationalen Datentransfers, der Auftragsverarbeitung, insbesondere der Erstellung von Verträgen oder der Erfüllung wechselseitiger Pflichten nach Art. 28 DSGVO. Darüber hinaus vertreten wir Ihre Interessen gegenüber Aufsichtsbehörden, Verbraucher- und Wettbewerbsverbänden oder bei Gericht.

Unsere Kanzlei bietet zudem - auch in Kooperation mit weiteren Experten - fortlaufend Schulungen und betriebliche Seminare im Bereich des Datenschutzes und der Datensicherheit an.

Unsere Mandanten im Bereich des Daten (schutz) rechts kommen aus allen Branchen. Zu ihnen gehören mittelständische und große Unternehmen aus der ITK- und Medienbranche, aus der Baubranche, Personaldienstleister, Content-Aggregatoren, spezialisierte Portalanbieter oder Start-ups (wie z.B. App-Entwickler). Ebenso beraten wir Kommunalverwaltungen in datenschutzrechtlichen Belangen.

  • Nationales wie europäisches Datenschutzrecht (DSGVO, BDSG, Landesdatenschutzgesetze)
  • ePrivacy-Regelungen
  • Medien- bzw. Rundfunkstaatsvertrag
  • Landesmedien- und Landespressegesetze
  • Recht der Telemedien (TMG)
  • Telekommunikationsrecht (TKG)
  • Recht am eigenen Bild (KUG)