Insights und Analysen
Die aktuelle EuGH-Rechtsprechung zum DSGVO-Schadensersatz und ihre Bedeutung für die Praxis Der Betrieb
September 2024
Behörden legen ihre Zurückhaltung bei der Verhängung von Durchsetzungsmaßnahmen langsam ab.
Worauf die Behörden auch künftig besonderes Augenmerk legen könnten, zeigen die dominierenden Themen des zurückliegenden Berichtszeitraums:
Unerlaubte E-Mail-Werbung:
- Eines der Themen, das vermutlich wegen einer Vielzahl von Beschwerden von Betroffenen alle Aufsichtsbehörden beschäftigt hat, ist die Zusendung von Werbe-E-Mails ohne ausreichende Einwilligung oder trotz eines erklärten Werbe-Widerspruchs. So hat etwa die Hamburgische Datenschutzbehörde in zwei Fällen Bußgelder wegen der Zusendung von Werbe-E-Mails trotz Widerspruch erlassen; in zehn weiteren Fällen wurden wegen ähnlicher Verstöße Verwarnungen ausgesprochen (siehe den Tätigkeitsbericht, S. 134 f.).
Auftragsverarbeitungen:
- Für Aufsehen hat zu Beginn des Jahres ein von der Hamburgischen Datenschutzbehörde eingeleitetes Bußgeldverfahren wegen einer fehlenden Auftragsverarbeitungsvereinbarung gesorgt. Im Raum stand ein Bußgeld in Höhe von 5.000 Euro (siehe den Tätigkeitsbericht, S. 134). Zwar ist nach öffentlich zugänglichen Informationen das entsprechende Verfahren mittlerweile eingestellt worden; gleichwohl gehört der Abschluss von DSGVO-konformen Auftragsverarbeitungsverträgen weiterhin zu den von den Behörden leicht zu überprüfenden Compliance-Pflichten.
Cookies & Tracking:
- Ein von den Datenschutzbehörden viel diskutiertes und als sehr kritisch eingeschätztes Thema ist der Einsatz von Cookies und ähnlichen Technologien zum Tracking des Verhaltens von Online-Nutzern und die dabei zu beachtenden Einwilligungserfordernisse. Dies ist zuletzt wieder durch die von der Datenschutzkonferenz veröffentlichte Orientierungshilfe zum TMG deutlich geworden. Insbesondere die bayerische Datenschutzbehörde plant ausweislich ihres Tätigkeitsberichts (S. 137 oben) mit Blick auf den Einsatz von Browser-Fingerprinting-Technologien zum Tracking von Website-Nutzern ohne deren wirksame Einwilligung die unmittelbare Einleitung von Bußgeldverfahren.
Unzureichende technische und organisatorische Maßnahmen:
- Ein wiederkehrendes Thema ist schließlich auch die Sicherung von personenbezogenen Daten durch geeignete technische und organisatorische Maßnahmen. So war Auslöser für das erste in Deutschland bekannt gewordene Bußgeld eine fehlende Verschlüsselung von Nutzerdaten durch einen Social Media Anbieter. Die bayerische Datenschutzbehörde kündigt in ihrem Tätigkeitsbericht (S. 136) zudem an, Bußgeldverfahren einzuleiten, wenn Webseitenbetreiber auf ihren Webseiten keine wirksame HTTPS-Transportverschlüsselung implementiert haben.
Melde- und Benachrichtungspflichten bei Data Breaches:
- Immer wieder weisen die Behörden zudem auf die Pflicht zur Meldung von Datenschutzverletzungen und – bei Vorliegen eines hohen Risikos für die Betroffenen – auf die Pflicht zur Benachrichtigung der betroffenen Personen hin. Die unzureichende Erfüllung dieser Pflichten war etwa in Hamburg Auslöser für ein Verfahren über ein Bußgeld in Höhe von 20.000 Euro (siehe den Tätigkeitsbericht, S. 134).
Auskunftsansprüche von Betroffenen:
- Ein weiteres, für viele Unternehmen praxisrelevantes, Thema stellen Auskunftsanfragen von Betroffenen dar, die mithilfe der Datenschutzbehörden Informationen zu den über sie verarbeiteten personenbezogenen Daten erlangen wollen. Auskunftsanfragen sind auf Seiten der Unternehmen oftmals mit einer Reihe interner Prozesse und Abfragen, und damit in vielen Fällen auch einem nicht unerheblichen Aufwand, verbunden.
Diese und weitere Themen werden die Datenschutzbehörden und Unternehmen gleichermaßen in Zukunft umtreiben und weitere Diskussionen über wirksame, abschreckende und zugleich verhältnismäßige Sanktionen im Fall von Datenschutzverstößen und unrechtmäßigen Datenverarbeitungen eröffnen.
Dazu kommt: Mit dem geplanten zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz sollen bereichsspezifische Datenschutzregeln an die DSGVO angeglichen werden. Der aktuelle Gesetzesentwurf sieht Anpassungen in mehr als 150 Gesetzen vor, die zahlreiche Änderungen für die öffentliche Verwaltung, das Sozialdatenschutzrecht und für Unternehmen mit sich bringen werden. Betroffen sind unter anderem die Life-Science-Industrie mit ihren Gesundheitsdaten, Finanzdienstleister und die Energiebranche. Unternehmen der betroffenen Wirtschaftszweige sollten deshalb möglichst bald prüfen, ob sich dadurch Handlungsbedarf für ihre Datenschutzpraxis ergibt.
Auch die für 2020 geplante Einführung der ePrivacy-Verordnung wird Unternehmen vor große Herausforderungen stellen. Mit diesem Regelwerk sollen zahlreiche Neuerungen zur elektronischen Kommunikation, insbesondere mit Blick auf den Einsatz von Tracking-Technologien und Cookies, sowie im Direktmarketing eingeführt werden. Die hiermit verbundenen Änderungen dürften nahezu jedes Unternehmen betreffen und einigen Handlungsbedarf auslösen.
