Entwicklungen im Datenschutzrecht 2019

Entwicklung Datenschutzrecht 2019

Nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018, brachte das Jahr 2019 weitere Klarstellungen und Neuerungen zum Umgang und der Zulässigkeit der Verarbeitung personenbezogener Daten insbesondere in Unternehmen.  

Wenngleich auch im Jahr 2019 eine – schon vor Inkrafttreten der DSGVO befürchtete – „Abmahnwelle“ ausblieb, häuften sich Auskunftsersuchen Betroffener in Unternehmen, wie auch die Kontroll- und Sanktionstätigkeit durch die Datenschutzbehörden.

1. Verhängung von Bußgeldern

Die Datenschutzbehörden verhängten im Jahr 2019 erstmals vermehrt Bußgelder aufgrund von Verstößen gegen die Datenschutzgrundverordnung. Zum einen wurden diesbezüglich Bußgelder in beträchtlicher Höhe verhängt, wie das Verfahren gegen die „Deutsche Wohnen“ zeigt, worüber wir bereits berichteten.

Ebenso wurden aber auch kleinere Unternehmen erstmals durch Bußgelder und Beanstandungen in die Pflicht genommen, die Vorgaben der Datenschutzgrundverordnung einzuhalten.

Darüber hinaus entwickelte die Konferenz der Unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen, das am 14.10.2019 veröffentlicht wurde.

Begrüßenswert ist dabei, dass nunmehr transparente Kriterien vorhanden sind, nach denen eine Bußgeldzumessung erfolgt. Das ermöglicht zum einen eine transparentere Überprüfung von Bußgeldbescheiden, wie auch zum anderen eine bessere Kalkulation etwaiger finanzieller Risiken.

2. Keine Cookies ohne Einwilligung (EuGH-Urteil)

Für großes Aufsehen und teilweise erheblichen Umsetzungsbedarf in Unternehmen sorgte die Entscheidung des Europäischen Gerichtshofs (EuGH) vom 01.10.2019 (Näheres finden Sie hier). Der EuGH nahm dabei die Gelegenheit wahr, zunächst auf die Frage einzugehen, wie die Setzung von Cookies aus datenschutzrechtlicher Perspektive zu betrachten ist und auf welcher Rechtsgrundlage diese erfolgen kann. Nachdem bislang auf häufig auf eine Einwilligung oder ein berechtigtes Interesse abgestellt wurde, sieht der EuGH nunmehr eine Einwilligung als erforderlich an, sofern es sich nicht um Cookies handelt, die technisch notwendig sind, um den entsprechenden Dienst anzubieten.

Auch wenn die gesetzliche Grundlage dahingehend noch nicht angepasst wurde, empfiehlt sich bereits jetzt eindringlich, eine entsprechende Einwilligung ausdrücklich einzuholen.

Über entsprechenden Handlungsbedarf hatten wir bereits in diesem Artikel informiert.

In diesem Zusammenhang wird seitens der Datenschutzbehörden nun auch die Pflicht, stets eine ausdrückliche Einwilligung der Betroffenen einzuholen, auf die Nutzung von Web-Analyse-Tools, wie z.B. Google Analytics, übertragen.

3. Aktuelles zu Facebook-Fanpages

Nachdem der europäische Gerichtshof (EuGH) bereits neben Facebook die Betreiber einer Facebook-Fanpage als „gemeinsame Verarbeiter“ im Sinne des Art. 26 DSGVO angesehen hatte, wenngleich die Kriterien der gemeinsamen Verarbeitung und der Inhalt etwaiger Verträge weiterhin unklar blieben, hat nun auch das Bundesverwaltungsgericht die Gelegenheit erhalten, über die Rechtmäßigkeit der Abschaltung einer Facebook-Fanpage zu entscheiden.

Der Betreiber einer Facebook-Fanpage war durch die zuständige Behörde zum Abschalten seiner Fanpage gezwungen worden, da die digitale Infrastruktur von Facebook schwerwiegende datenschutzrechtliche Mängel aufwiese. Über die Entscheidung hatten wir in diesem Artikel informiert.

Das Verfahren liegt dabei nunmehr wieder beim Oberverwaltungsgericht in Schleswig Holstein, das nun die Untersagung auf Ihre Rechtmäßigkeit hin anhand der Kriterien des Bundesverwaltungsgerichtes prüfen muss. Das BVerwG hatte die Abschaltung als mögliches Sanktionsmittel grundsätzlich anerkannt.

Die Entscheidung wird daher ebenfalls richtungsweisend für Unternehmen sein, die eine entsprechende Fanpage betreiben.

4. Gesetzliche Anpassungen im Rahmen der Umsetzung der DSGVO

Da nunmehr seit in Kraft treten der DSGVO einige Zeit verstrichen ist, nahm auch der Gesetzgeber die Möglichkeit wahr, die Umsetzung der datenschutzrechtlichen Pflichten zu evaluieren und gesetzliche Vorgaben anzupassen. Dahingehend wurde unter anderem die Pflicht zur Bestellung eines Datenschutzbeauftragten modifiziert, wenngleich die Grundpflicht für weiterhin betroffene Unternehmen, eine(n) Datenschutzbeauftragte(n) vorzuhalten, wie auch die weiteren Pflichten aus der DSGVO nicht abgeändert wurden.

Es bleibt daher weiterhin ratsam, die Einhaltung und Umsetzung der gesetzlichen Pflichten – gerade in Anbetracht der beginnenden Sanktionstätigkeit der Behörden – durch einen professionellen Partner prüfen zu lassen.

5. Ausblick

Es bleibt mit Spannung abzuwarten, wie sich neben der Gesetzgebung, die Rechtsprechung sowie die Behördentätigkeit, insbesondere im Rahmen der Verhängung von Bußgeldern, im Jahr 2020 entwickelt. Begrüßenswert ist, dass nunmehr einheitliche und transparente Maßstäbe ausgearbeitet wurden, nach welchen Kriterien künftig Bußgelder verhängt werden können. Auch die Entwicklung und rechtliche Beurteilung des Betreibens von Social-Media-Auftritten durch die Gerichte und den Gesetzgeber wird mit Spannung abzuwarten sein.

Im Ergebnis wird auch das Jahr 2020 weitere Konkretisierungen der Anforderungen aus der DSGVO für die Unternehmenspraxis mit sich bringen. Insbesondere werden Behörden sich vermehrt und vertieft mit der Rechtmäßigkeit vieler Datenverarbeitungsprozesse in Unternehmen, insbesondere im e-Commerce, auseinandersetzen.

Wir, die ITB Rechtsanwaltsgesellschaft mbH, werden Sie weiterhin über Neuerungen, Anpassungsbedarf und die Umsetzung rechtlich geforderter Standards auf dem Laufenden halten.

Erstellt: 20. Januar 2020