31. Januar 2023
Datenschutzrecht Rückblick 2022
Datenschutzrecht

Das Datenschutzjahr 2022

Auch 2022 hat sich im Datenschutzrecht viel bewegt. Grund genug, einige der wichtigsten datenschutzrechtlichen Entwicklungen des letzten Jahres zu skizzieren.

Die EU-Kommission legte den Entwurf eines Angemessenheitsbeschlusses für die USA vor, Unternehmen mussten bis zum 27. Dezember 2022 auf die (nicht mehr ganz so) neuen EU-Standardvertragsklauseln (SCC) umstellen und Schriftarten sind in aller Munde.

Umsetzungsfrist der SCC-Umstellung im Dezember 2022 abgelaufen

Spätestens seit dem 28. Dezember 2022 müssen alle SCC auf die im Juni 2021 von der EU-Kommission beschlossene Version umgestellt sein. Die SCC aus 2021 weisen einen modularen Aufbau sowie neue Pflichten für Unternehmen auf und können durch einen individuellen Vertragsschluss oder als Bestandteil zu Hauptverträgen wie beispielsweise in AGB abgeschlossen werden. Einige der Behörden wie z.B. die Datenschutzbeauftragten* aus NRW und Sachsen-Anhalt sowie u.a. aus Österreich und Liechtenstein wiesen im Vorfeld auf das nahende Fristende hin. Es ist gut möglich, dass die Datenschutzbehörden diesbezügliche Kontrollen in Unternehmen in deutschen Bundesländern anstrengen werden. Bereits im Jahr 2021 prüften die Datenschutzbehörden in einer bundesweit koordinierten Aktion die Compliance deutscher Unternehmen mit dem Schrems-II-Urteil hinsichtlich der internationalen Datentransfers. 

US-Datentransfers bald ohne SCC möglich?

Nachdem Datenübermittlungen in die USA sich derzeit zumeist auf die neuen SCC stützen, zeichnet sich im Tauziehen um ein neues Privacy Shield die lang ersehnte Einigung ab. Hatten die USA und die EU noch im März 2022 das Trans-Atlantic Data Privacy Framework (EU-U.S. DPF) als Nachfolger des durch das Schrems-II-Urteil des EuGH aufgehobenen Privacy Shield Framework verkündet und hatte Präsident Joe Biden die neue Executive Order zur Umsetzung des EU-U.S. DPF verabschiedet, legte die EU-Kommission noch im Dezember 2022 ihren Entwurf eines datenschutzrechtlichen Angemessenheitsbeschlusses für die USA vor.

Wird der neue Entwurf angenommen, können personenbezogene Daten durch europäische Unternehmen an US-Unternehmen wieder in größerem Umfang übermittelt werden, ohne dass zusätzliche Datenschutzgarantien einzuführen und SCC abzuschließen sind. Beobachter rechnen mit einer Entscheidung über die Annahme des Entwurfs bis Mitte oder Ende des Jahres 2023. Einige deutsche Datenschutzbehörden wie beispielsweise in HamburgHessen und NRW haben Informationsseiten zu dem aktuellen Stand des Verfahrens eingerichtet. 

Die neuen Executive Orders und der Entwurf des Angemessenheitsbeschlusses helfen Unternehmen bereits jetzt weiter. Denn bei der (leidigen) Frage, ob ein Transfer in die USA weiterer Maßnahmen zur Absicherung des Transfers bedarf (Transfer Impact Assessment, TIA), können Unternehmen darauf verweisen, dass die EU-Kommission in dem Entwurf des Angemessenheitsbeschlusses auf über 140 Seiten festgestellt hat, dass die USA ein insgesamt angemessenes Datenschutzniveau aufweisen und zusätzliche Maßnahmen deshalb nicht (mehr) erforderlich sind. Das gilt unabhängig von einer eventuellen Zertifizierung des US-Unternehmens unter dem US-Privacy Shield, denn die Executive Orders gelten für alle Unternehmen und Verarbeitungen, wie auch die EU-Kommission in ihren Q&As (s. dort Ziffer 6) ausdrücklich hervorhebt: 

All the safeguards that have been put in place by the US Government in the area of national security (including the redress mechanism) will be available for all transfers to companies in the US under the GDPR, regardless of the transfer mechanisms used.

Da die Kritik an einem Nachfolgeabkommen nicht verstummt, dürfte es allerdings auch nach einer Annahme des Angemessenheitsbeschlusses spannend bleiben: Die NGO „My Privacy is None of Your Business“ (NOYB) rund um den Datenschutzaktivisten Maximilian Schrems hat bereits gerichtliche Schritte gegen das Privacy Shield 2.0 angekündigt, sodass damit gerechnet werden muss, dass dieses letztlich zur Entscheidung vor dem EuGH landen wird.

Enforcement Tracking: DSGVO-Bußgelder im Jahr 2022

Auch Bußgelder, welche die Datenschutzbehörden bei DSGVO-Verstößen gegen Unternehmen verhängen können, haben die Datenschutzrechtler im Jahr 2022 beschäftigt und werden dies 2023 weiterhin tun (einen Überblick gibt Ihnen der 3. CMS Enforcement Tracker Report 2022). 

Zwei der höchsten derzeit bekannten Bußgelder verhängte die irische Datenschutzbehörde 2022 in Höhe von EUR 405.000.000 und EUR 265.000.000 wegen der Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung und wegen unzureichender technischer und organisatorischer Maßnahmen zur Gewährleistung der Informationssicherheit (TOMs). Das höchste bekannte Bußgeld einer deutschen Datenschutzbehörde betrug im vergangenen Jahr EUR 1.900.000 und wurde wegen einer Datenverarbeitung ohne hinreichende Rechtsgrundlage ausgesprochen.

Von Schriftarten bis IT-Sicherheit: DSGVO- Schadensersatz im Jahr 2022

Neben den Bußgeldern können datenschutzrechtliche Verstöße Schadensersatzansprüche der Betroffenen nach sich ziehen, die diese 2022 in steigender Zahl gerichtlich geltend machten. Die zugesprochenen Summen reichten je nach Art und Schwere des Verstoßes im vergangenen Jahr von EUR 25 bis EUR 5.000. Besonders oft kommt für einen Schadensersatzanspruch nach Art. 82 DSGVO ein Verstoß gegen das Auskunftsrecht aus Art. 15 DSGVO in Frage. So hat beispielsweise das OLG Köln im Juli 2022 bei einer verspätet erteilten Auskunft einen Schadensersatzanspruch in Höhe von EUR 500 zugesprochen (OLG Köln, Urteil v. 14. Juli 2022 – 15 U 137/21). Auch Cyber- und IT-Vorfälle können DSGVO-Schadensersatzansprüche nach sich ziehen. Bei aufgrund eines Datenlecks abgeflossenen Konto- und Ausweisdaten bejahte das LG Köln im Mai 2022 einen Schadensersatzanspruch des Betroffenen in Höhe von EUR 1.200 (LG Köln, Urteil v. 18. Mai 2022 – 28 O 328/21).

In aller Munde und in (fast) aller Briefkästen: Google-Fonts-Massenabmahnungen

Besonders hielt ein unscheinbar daherkommendes Tool die Datenschutz-Community in Atem: Aufgrund der dynamischen Einbindung von Schriftarten über das Tool Google Fonts auf einer Homepage verurteilte das LG München I den beklagten Website-Betreiber im Januar 2022 zur Zahlung eines Schadensersatzes nach Art. 82 DSGVO in Höhe von EUR 100 an den Betroffenen. Maßgeblich für die Entscheidung war nach Auffassung des LG, dass eine Datenübermittlung an Server in den USA erfolge, wofür keine Einwilligung und somit ein Verstoß gegen Art. 6 Abs. 1 lit. a) und lit. f) DSGVO vorliege (LG München I, Endurteil v. 20. Januar 2022 – 3 O 17493/20). Diese Entscheidung mit ihrer vermeintlich bezahlbaren Summe zu einem häufig vorkommenden Sachverhalt nahmen im Anschluss Massenabmahner zum Grund, scheinbar willkürlich ausgewählte Unternehmen, die eine Web-Präsenz (mit oder ohne Google Fonts) betreiben, mit Forderungen in ähnlicher Höhe anzuschreiben. Google selbst sah sich zu einer Stellungnahme veranlasst und u.a. hat die Datenschutzbeauftragte von NRW zu dem Thema die Info-Seite „Erste Hilfe bei Google-Fonts“ sowie die Datenschutzbeauftragte von Niedersachsen die Info-Seite „Abmahnungen zu Datenschutzverstößen auf Webseiten vermeiden – Google Fonts lokal einbinden“ eingerichtet. 

Erste gerichtliche Niederlagen der Google-Fonts-Abmahner und selbst die Staatsanwaltschaft ermittelt

Mittlerweile ist bereits mindestens eine gerichtliche Entscheidung bekannt, in der die Abmahner unterlagen (AG Charlottenburg, Urteil v. 20. Dezember 2022 – 2 17 C 64/22). Weitere werden wohl folgen. Zudem ermittelt die Staatsanwaltschaft gegen die Massenabmahner wegen Verdachts auf Betrug, wie die Generalstaatsanwaltschaft Berlin in einer Pressemitteilung vom 21. Dezember 2022 mitteilte. Auch wir nehmen in unserem Blog kurz Stellung zu der Angelegenheit.

Ausblick auf 2023: EuGH-Entscheidung zu Art. 82 DSGVO?

All das zeigt, dass 2023 die Zahl gerichtlich geltend gemachter Schadensersatzansprüche wegen Verstößen gegen das Datenschutzrecht eher zu- als abnehmen wird. Zudem liegen dem EuGH mehrere Vorlagefragen in Bezug auf Art. 82 DSGVO zur Vorabentscheidung vor. In dem Vorabentscheidungsersuchen des Obersten Gerichtshofs Österreichs wurden in der Rechtssache C‑300/21 im vergangenen Jahr am 6. Oktober 2022 bereits die Schlussanträge des zuständigen Generalanwalts Sánchez-Bordona veröffentlicht, sodass mit einer baldigen Entscheidung des EuGH zur Auslegung von Art. 82 DSGVO zu rechnen ist. In dem Verfahren geht es insbesondere um die Frage, ob jeder DSGVO-Verstoß unabhängig von einem erlittenen Schaden und dessen Erheblichkeit den Anspruch auf Schadensersatz auslöst.

Einer für alle? DSGVO-Massenverfahren bald möglich!

Im Zusammenhang mit der steigenden Anzahl von Gerichtsverfahren, in denen Betroffene von Unternehmen Schadensersatz nach Art. 82 DSGVO verlangen, ist ein weiterer Ausblick auf das Jahr 2023 zu sehen: Ab Mitte des Jahres wird Verbraucherschutzverbänden mit der sog. Abhilfeklage des Verbandsklagenrichtlinienumsetzungsgesetzes (VRUG) die Möglichkeit eröffnet, Ansprüche in gleichartigen Fällen gerichtlich geltend zu machen, wenn sich mehrere Verbraucher zusammenschließen. Die EU-Mitgliedstaaten müssen hierfür die EU-Verbandsklagerichtlinie in nationales Recht umsetzen und dieses ab dem 25. Juni 2023 anwenden.

Auch im Jahr 2023 wird sich einiges im Datenschutzrecht tun. Bleiben Sie mit unserem Blog hierzu auf dem Laufenden. Einen stets aktualisierten Überblick über die Rechtsprechung zu Art. 82 DSGVO und über die Rechtsprechung zum Thema Rechtsmissbrauch des Auskunftsanspruchs aus Art. 15 DSGVO finden Sie in unserem Blog. Eine ständig aktualisierte Übersicht über DSGVO-Bußgelder in Deutschland und anderen EU-Ländern finden Sie über unseren Enforcement-Tracker sowie weitere Informationen in der 3. Ausgabe unseres Enforcement-Tracker Reports. Beachten Sie auch gern unseren Schrems II Expert Guide.

*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Tags: 2022 Datenschutzrecht Rückblick