Unser Beitrag blickt auf die datenschutzrechtlichen Entwicklungen des Jahres 2023 zurück. Zugleich wagen wir einen Ausblick auf das Daten(schutz)jahr 2024.
Ein Blick zurück auf die großen Themen im Datenschutzrecht der vergangenen 12 Monate ist für das Jahr 2023 kaum möglich ohne gleichzeitigen Ausblick auf 2024 und auf das, was die Zukunft bringt: Sowohl der Einsatz virtueller Realitäten mit dem Metaverse und von Künstlicher Intelligenz (KI) als auch die politische Einigung zur KI-Verordnung und der Data Act standen im Fokus. Die Vernetzung dieser aktuellen Themen miteinander und die Vorbereitungen auf anstehende rechtliche Neuerungen haben begonnen und werden in den nächsten Jahren Auswirkungen auf das Datenschutzrecht haben.
Im Frühling des Jahres 2023 konnte jedoch zunächst auf das fünfjährige Bestehen der Europäischen Datenschutz-Grundverordnung (DSGVO) zurückgeblickt werden und deutsche Datenschutzbehörden zogen ihre Bilanz für die Zeit seit dem 25. Mai 2018 – so etwa die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesbeauftragten aus Baden-Württemberg, Hessen, Rheinland-Pfalz und Nordrhein-Westfalen. Außerdem hat die EU-Kommission im Jahr 2023 eine Initiative zur Evaluierung der Anwendung der DSGVO-Vorschriften gestartet, die auf den im Jahr 2020 veröffentlichten Vorgängerbericht aufsetzen und im zweiten Quartal 2024 erscheinen soll. Der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) hat seinen Beitrag hierzu bereits im Dezember 2023 veröffentlicht. Einige Datenschutzbehörden äußerten sich anlässlich des fünfjährigen Bestehens der DSGVO zudem zu den anstehenden Entwicklungen des Datenschutzrechts hin zu einem Datenrecht.
Datenrecht ergänzt Datenschutzrecht: Unsere Blog-Serie #CMSdatalaw
Mit der Blog-Serie „#CMSdatalaw“ werfen wir einen genaueren Blick auf diese Entwicklungen. Zusammen mit dem Data Governance Act bildet der Data Act eine der wichtigsten Säulen der Europäischen Digital- und Datenstrategien, die einen Binnenmarkt für Daten in der Europäischen Union (EU) schaffen und den Datenaustausch fördern sollen. Nachdem das Europäische Parlament am 9. November 2023 den Data Act, auf den sich Parlament und Rat bereits informell geeinigt hatten, mit 481 zu 31 Stimmen bei 71 Enthaltungen angenommen hat und nach der am 27. November 2023 erfolgten offiziellen Zustimmung des Rates entwickelt sich ein neues, die Datennutzung ermöglichendes Datenrecht, das sich nicht nur auf personenbezogene, sondern auch auf nicht-personenbezogene Daten konzentriert. Der Data Act wurde noch Ende 2023 im EU-Amtsblatt veröffentlicht. 2024 wird daher das Jahr der Vorbereitungen und Umsetzungen sein: Es werden umfangreiche Datenzugangsansprüche geschaffen, betroffene Unternehmen müssen u.a. Data-Access-by-Design und gleichzeitig den Schutz personenbezogener Daten gewährleisten und ihrer Geschäftsgeheimnisse sichern. Aus datenschutzrechtlicher Sicht wird zudem das Auskunftsrecht des Art. 15 DSGVO in 2024 weiter an Bedeutung gewinnen.
EDPB macht das Auskunftsrecht nach Art. 15 DSGVO zu einem Top-Thema für 2024
Mit Meldung vom 17. Oktober 2023 hat der EDPB das Thema der dritten koordinierten Durchsetzungsmaßnahme angekündigt. Diese wird zum Jahr 2024 durchgeführt und konzentriert sich auf die Umsetzung des Auskunftsrechts aus Art. 15 DSGVO. Damit macht der EDPB dies zu einer Priorität für die nationalen Datenschutzbehörden im kommenden Jahr. Unternehmen sollten daher ihre Datenstrategie und ihren Umgang mit der Beantwortung von Auskunftsersuchen durch Betroffene prüfen und ggf. optimieren.
Art. 15 DSGVO gewinnt durch EuGH-Rechtsprechung im Jahr 2023 an Kontur
Passend hierzu hat der Europäische Gerichtshof (EuGH) im vergangenen Jahr 2023 durch verschiedene Urteile die Konturen des Auskunftsanspruchs des Art. 15 DSGVO geschärft. Mit Urteil vom 12. Januar 2023 (C-154/21) entschied der EuGH direkt zu Beginn des Jahres, dass einen Verantwortlichen, der personenbezogene Daten gegenüber Empfängern offenlegt oder offenlegen wird, die Pflicht trifft, auf Anfrage des Betroffenen Auskunft über die Identität der Empfänger zu geben. Mit Urteil vom 4. Mai 2023 (C-487/21) hat sich der EuGH sodann im Laufe des Frühjahrs zum Begriff der „Kopie“ im Sinne des Art. 15 DSGVO geäußert: Das Recht, eine Kopie der personenbezogenen Daten zu erhalten, bedeute, dass dem Betroffenen eine originalgetreue und verständliche Reproduktion der Daten ausgefolgt werden müsse. Am 22. Juni 2023 urteilte der EuGH sodann erneut zum Auskunftsrecht nach Art. 15 DSGVO (C-579/21) und wies darauf hin, dass jede betroffene Person das Recht habe, zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen ihre personenbezogenen Daten abgefragt worden sind. Hierzu gehören dem Gerichtshof zufolge auch sog. Protokolldateien (Logdateien).
Im Herbst hatte der EuGH dann Vorlagefragen des BGH u.a. zu den Kosten einer Auskunft und zum Verhältnis von Art. 15 DSGVO zu § 630g Abs. 2 Satz 2 BGB zu beantworten. Mit Urteil vom 26. Oktober 2023 (C-307/22) entschied der EuGH, dass einem Patienten aus Art. 15 DSGVO das Recht zustehe, eine erste Kopie seiner vollständigen Patientenakte inklusive Diagnosen, Untersuchungsergebnissen, Befunden, Angaben zu Behandlungen oder Eingriffen unentgeltlich zu erhalten. Dies gelte auch dann, wenn der Betroffene einen datenschutzfremden und anderen als den in Satz 1 des 63. Erwägungsgrundes der DSGVO genannten Zweck verfolge. In dem Fall verlangte ein Patient von seiner Zahnärztin die unentgeltliche Zurverfügungstellung einer Kopie seiner Patientenakte zur Geltendmachung etwaiger Haftungsansprüche wegen einer möglicherweise fehlerhaften Behandlung, während die Ärztin die Akte nur gegen Übernahme der Kopierkosten gemäß § 630g Abs. 2 Satz 2 BGB bereitstellen wollte. Dem Luxemburger Gericht zufolge seien Kosten aber nur dann zu erstatten, wenn der Patient über diese erste unentgeltliche Auskunft hinaus erneut einen Antrag auf Einsicht stelle.
Während die DSGVO-Auskunft bereits in der Vergangenheit wichtig war und in der Zukunft bleibt, haben auch internationale Datentransfers die Datenschutzwelt weiter beschäftigt – ein weiteres Top-Thema das trotz des Angemessenheitsbeschlusses der EU-Kommission für die USA nicht an Brisanz verlieren wird.
EU-Kommission: Angemessenheitsbeschluss für die USA
Am 10. Juli 2023 hat die EU-Kommission das EU-US Data Privacy Framework (DPF) und den Angemessenheitsbeschluss für die USA angenommen. Dies soll den Datenverkehr zwischen der EU und den USA erleichtern, nachdem das vorherige sog. Privacy Shield durch das Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) im Juli 2020 für ungültig erklärt wurde. Damit liegt für die USA ein mit der EU vergleichbares Schutzniveau für personenbezogene Daten vor, wenn diese im Rahmen des DPF übermittelt werden. Der Angemessenheitsbeschluss dient somit als Grundlage für Datenübermittlungen an nach dem DPF zertifizierte US-Organisationen, sodass in diesen Fällen der bisher notwendige Rückgriff auf zusätzliche Maßnahmen wie die EU-Standardvertragsklauseln (SCC) von 2021 und die Daten-Transfer-Folgenabschätzung entfallen soll.
Jedoch werden zum neuen DPF bereits Bedenken geäußert: Noch am 10. Juli 2023 teilte die NGO um Maximilian Schrems „My Privacy is None of Your Business“ (NOYB) mit, verschiedene Verfahrensoptionen gegen das neue Abkommen bis zum EuGH vorbereitet zu haben, da dieses weitgehend eine Kopie des ungültigen alten Abkommens sei. Der Digitalverband Bitkom e.V. geht ebenfalls von einer Überprüfung durch die Gerichte aus. Unter Beteiligung der deutschen Datenschutzbehörden hatten zudem der EDPB im Frühjahr 2023 eine kritische Stellungnahme zum DPF und die DSK Anwendungshinweise vom 4. September 2023 veröffentlicht. Der Thüringer Landesbeauftragte für Datenschutz (TLfDI) weicht in einer Stellungnahme von dem Votum der DSK zu den Anwendungshinweisen ab und stuft die Wahrscheinlichkeit, dass der EuGH den Angemessenheitsbeschluss aufheben werde, als „recht hoch“ ein. Der TLfDI wurde in einer Pressemitteilung vom 14. Juli 2023 besonders deutlich:
Nicht vorenthalten werden soll ein Zitat von dem bekannten Juristen Maximilian Schrems […]: „Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und dennoch ein anderes Ergebnis erwartet“.
Als eines der ersten deutschen Gerichte nutzt das Oberlandesgericht (OLG) Köln ein Urteil vom 3. November 2023 (6 U 58/23) für Kritik am DPF. Mehr zum DPF erfahren Sie hier in unserem Blog.
Bis der EuGH Gelegenheit bekommt, sich zum DPF zu äußern, wird angesichts der üblichen Verfahrensdauer wohl noch einige Zeit verstreichen. Zunächst hat der EuGH im vergangenen Jahr ein mit Spannung erwartetes Urteil zu DSGVO-Bußgeldern gefällt.
EuGH äußert sich zu DSGVO-Bußgeldern
Mit Entscheidung vom 5. Dezember 2023 hat sich der EuGH in den Rechtssachen C-683/21 und C-807/21 zu den Voraussetzungen geäußert, unter denen die nationalen Datenschutzbehörden Bußgelder nach der DSGVO gegen Unternehmen verhängen können. So hat der Gerichtshof festgestellt, dass die Verhängung einer Geldbuße ein schuldhaftes Verhalten voraussetze, d.h. ein zu ahndender DSGVO-Verstoß muss vorsätzlich oder fahrlässig begangen worden sein. Dies sei dann zu bejahen, wenn
sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt.
Für Unternehmen besonders wichtig: Bei juristischen Personen sei es nach der Auslegung der DSGVO durch den EuGH für ein Bußgeld nicht erforderlich, dass der DSGVO-Verstoß von einem leitenden Organ selbst begangen wurde oder ob dieses davon Kenntnis hatte. Diese sollen sowohl für von ihren Vertretern, Leitungspersonen oder Geschäftsführern als auch für von jeder sonstigen Person, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt, begangene Verstöße haften. Eine vorherige Feststellung des Begehens eines Verstoßes durch eine identifizierbare natürliche Person sei dabei laut EuGH nicht notwendig. Zudem könnte der Verantwortliche für ihm zurechenbare Verarbeitungsverstöße von Auftragsverarbeitern haften. In Fällen, in denen der Bußgeld-Adressat Teil eines Konzerns ist, sei auf den wettbewerbsrechtlichen Unternehmensbegriff sowie auf den gesamten weltweiten Jahresumsatz des Konzerns aus dem vorherigen Geschäftsjahr abzustellen.
Den Verfahren, in deren Zuge dem EuGH Vorlagenfragen aus Deutschland vorgelegt wurde, liegt ein Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) zugrunde, die sich in einer Pressemitteilung vom 5. Dezember 2023 zu der Entscheidung äußert und die Praxis der deutschen Datenschutzbehörden durch den EuGH bestätigt sieht. Auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) begrüßt die Entscheidung in einer Pressemitteilung vom 5. Dezember 2023. Diese Entscheidung des EuGH ist von besonderer Praxisrelevanz, da die nationalen Datenschutzbehörden der EU-Mitgliedstaaten auch im Jahr 2023 von ihrer Befugnis, Bußgelder bei DSGVO-Verstößen zu verhängen, reichlich Gebrauch machten und in Zukunft machen werden.
Enforcement Tracking: DSGVO-Bußgelder im Jahr 2023
Bußgelder nach der DSGVO können bis zu EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen. Der EDPB veröffentlichte am 24. Mai 2023 eine Aktualisierung der Guidelines 04/2022 zur Berechnung von DSGVO-Bußgeldern, um die Methoden zur Ermittlung der Höhe der Bußgelder, die durch die verschiedenen Datenschutzbehörden ausgesprochen werden können, zu harmonisieren. Das EDPB hat hierfür ein Fünf-Schritte-System entwickelt, das in den Guidelines näher erläutert wird und u.a. auf die Schwere des DSGVO-Verstoßes, aber auch auf mildernde Umstände abstellt.
Ebenfalls im Mai verhängte die irische Datenschutzbehörde ein Bußgeld in Höhe von EUR 1,2 Mrd. gegen Meta Platforms Ireland Limited aufgrund der Übertragung von personenbezogenen Daten europäischer Nutzer in die USA und der potentiellen Zugriffsmöglichkeiten für US-Geheimdienste. Der Volltext der Entscheidung der irischen Datenschutzbehörde beläuft sich auf über 200 Seiten. Meta hat in einer Pressemitteilung angekündigt, gegen das Bußgeld vorzugehen und einschlägige Datenübertragungen in die USA seit September auf das DPF zu stützen. Mit einer Höhe von EUR 1,2 Mrd. ist das genannte Bußgeld aus Irland das höchste bekannte DSGVO-Bußgeld des Jahres 2023. Wegen unerfüllter Betroffenenrechte wie dem o.g. Auskunftsanspruch gemäß Art. 15 DSGVO erging eines der höchsten in Deutschland bekannten DSGVO-Bußgelder des Jahres 2023: Eine Bank wurde mit einem Bußgeld in Höhe von EUR 300.000 belegt. Rechtzeitig zum fünften Geburtstag der DSGVO hat CMS 2023 die vierte Ausgabe des Enforcement Tracker Reports veröffentlicht. Die fünfte Ausgabe für den nächsten Untersuchungszeitraum wird bald folgen.
Neben behördlichen Bußgeldern können DSGVO-Verstöße auch die neuen zivilrechtlichen Abhilfeklagen und Schadensersatzansprüche von Betroffenen gegenüber Unternehmen nach sich ziehen.
DSGVO-Schadensersatz beschäftigt weiterhin die Gerichte
Die höchsten bekannten Summen, die durch Gerichte im Jahr 2023 als Schadensersatz Art. 82 DSGVO zugesprochen wurden, belaufen sich auf bis zu EUR 10.000 und wurden durch die Arbeitsgerichte bejaht. Ein solcher Betrag wurde beispielsweise einem Arbeitnehmer für eine von dessen ehemaligen Arbeitgeber um 20 Monate verspätet erteilte Auskunft nach Art. 15 DSGVO durch das Arbeitsgericht (ArbG) Oldenburg mit Urteil vom 9. Februar 2023 (3 Ca 150/21) zugesprochen. Das Gericht setzt für jeden Monat der Verspätung einen Betrag von EUR 500 an. Mit Urteil vom 23. März 2023 (3 Ca 44/23) verpflichtete das ArbG Duisburg einen Arbeitgeber dazu, ebenfalls Schadensersatz in Höhe von EUR 10.000 an einen ehemaligen Arbeitnehmer wegen einer verspäteten und unvollständig erteilten Auskunft zu leisten. Für die Weiterverwendung von Foto- und Filmmaterial des ehemaligen Arbeitnehmers u.a. auf der Homepage und in Sozialen Medien gegen dessen Willen für einen Zeitraum von neun Monaten nach Beendigung des Arbeitsverhältnisses sprach das Landesarbeitsgericht (LArbG) Baden-Württemberg mit Urteil vom 27. Juli 2023 (3 Sa 33/22) ebenfalls Schadensersatz in Höhe von EUR 10.000 zu.
Von Kiel bis Memmingen: Social Media-Scraping bundesweit vor den Gerichten
Während Ende des Jahres 2022 und zu Beginn des Jahres 2023 die massenhaft erfolgten Abmahnungen wegen der dynamischen Einbindung von Schriftarten auf Webseiten die datenschutzrechtlichen Gemüter erhitzten (wir berichteten in unserem Blog), beschäftigt seit derselben Zeit ein weiteres Thema die Gerichte von Nord- bis Süddeutschland: die sog. Scraping-Fälle. Sie alle basieren auf demselben Vorfall, in dem es zu Datenabflüssen auf einer Social-Media-Plattform von dort eingetragenen Daten wie u.a. Namen, Telefonnummer, Beziehungsstatus gekommen war und weswegen einige Betroffene Schadensersatz nach Art. 82 DSGVO von der Plattform fordern. Das Jahr 2023 begann mit ersten Gerichtsentscheidungen, die den Anspruch bejahten, wie z.B. das LG Lüneburg mit Urteilen vom 24. Januar 2023 (3 O 74/22, 3 O 81/22) in Höhe von EUR 300, das LG Stuttgart mit Urteil vom 26. Januar 2023 (53 O 95/22) ebenfalls in Höhe von EUR 300 oder das LG Heidelberg mit Urteil vom 31. März 2023 (7 O 10/22) in Höhe von EUR 250, während andere Gerichte einen Schadensersatzanspruch aus Art. 82 DSGVO ablehnten, wie z.B. das LG Berlin mit Urteil vom 7. März 2023 (13 O 79/22), das LG Detmold mit Urteil vom 7. März 2023 (02 O 67/22) oder das LG Offenburg mit Urteil vom 28. Februar 2023 (2 O 98/22).
In einem lesenswerten Obiter dictum hat das LG Limburg begründet, warum es mit Urteil vom 24. Januar 2023 (4 O 278/22) einen Schadensersatzanspruch in diesen Fällen ablehnte:
[…] Wollte man – entgegen der Auffassung der Kammer – jedem einzelnen betroffenen Nutzer beispielsweise einen Schadensersatzanspruch i.H.v. […] 100 EUR zuerkennen, würde dies in Summe einen Betrag i.H.v. 53.300.000.000 (in Worten: dreiundfünfzig Milliarden dreihundert Millionen Euro) bedeuten. Dies stünde außer Verhältnis zur Schwere eines möglichen Datenschutzverstoßes der Beklagten. Im Ergebnis liefe dies auf einen Strafschadensersatz (punitive damages) hinaus, der jedenfalls dem deutschen Zivilrecht fremd ist […].
Mit dem OLG Hamm im August (7 U 19/23), September (7 U 77/23) und November (7 U 71/23), dem OLG Stuttgart mit Urteilen vom 22. November 2023 an (4 U 17/23 und 4 U 20/23) und dem OLG Köln mit Urteil vom 7. Dezember 2023 (15 U 33/23) haben die ersten Oberlandesgerichte begonnen, die geltend gemachten Schadensersatzansprüche mangels Nachweises eines (immateriellen) Schadens in den Scraping-Fällen abzuweisen. In einem Fall bejahte das OLG Stuttgart lediglich den Feststellungsantrag des Betroffenen hinsichtlich eines Schadensersatzanspruchs etwaiger künftiger Schäden. Mit Pressemitteilung aus November 2023 informierte das OLG Stuttgart darüber, dass vor dessen 4. Zivilsenat bereits 100 Fälle dieser Art anhängig seien, während sich die Zahl der bundesweit anhängigen Verfahren auf über 6.000 belaufe. Es ist also mit weiteren Gerichtsentscheidungen zu dem Thema zu rechnen.
Voraussetzungen des Art. 82 DSGVO, die in u.a. in diesen Scraping-Fällen relevant werden, wie z.B. wann ein ersatzfähiger immaterieller Schaden nach der DSGVO vorliegt, blieben lange ohne Klärung durch den EuGH. Nicht zuletzt deswegen hat der BGH dem EuGH im September 2023 neue Fragen zu Art. 82 DSGVO vorgelegt. Doch im Jahr 2023 fällte das Luxemburger Gericht einige relevante Urteile zu Art. 82 DSGVO, während weitere zur Entscheidung anstehen. Als sich das Jahr 2023 dem Ende zuneigte, hat der EuGH noch kurz vor Jahresende in weiteren Verfahren geurteilt, zu denen die Entscheidungen aufgrund der hohen Relevanz für die datenschutzrechtliche Praxis lange erwartet wurden.
EuGH: Die DSGVO steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen
In der Rechtssache C-634/21 (SCHUFA Holding (Scoring)) sowie in den verbundenen Rechtssachen C-26/22 und C-64/22 (SCHUFA Holding (Restschuldbefreiung)) entschied der EuGH mit Urteil vom 7. Dezember 2023, dass die Datenverarbeitungspraktiken der Wirtschaftsauskunfteien nicht mit den Vorgaben der DSGVO vereinbar seien. Der EuGH führte aus, dass das Scoring nur unter bestimmten Voraussetzungen zulässig und der SCHUFA-Score nicht der einzige Faktor bei der Bonitätsprüfung sein könne, während die Speicherung von Informationen über die Erteilung einer Restschuldbefreiung der DSGVO widerspreche, wenn sie länger andauere als die Speicherung im öffentlichen Insolvenzregister. Nach sechs Monaten seien diese Daten unverzüglich zu löschen. Vor Ablauf der sechs Monate habe eine Abwägung der Interessen der Wirtschaftsauskunftei und des Betroffenen zu erfolgen. Die Verfahren gehen nun zurück an das Verwaltungsgericht (VG) Wiesbaden, das dem EuGH Fragen zur Auslegung der DSGVO vorgelegt hatte.
Die deutschen Datenschutzbehörden haben sich hierzu bereits geäußert: Der HmbBfDI sieht seiner Pressemitteilung vom 7. Dezember 2023 zufolge in der EuGH-Rechtsprechung zum Scoring außerdem die „wegweisende Bedeutung“ für Entscheidungen, die auf dem Einsatz von KI basieren. Der Landesbeauftragte für den Datenschutz Niedersachsen sowie der TLfDI sehen den Datenschutz durch den EuGH gestärkt. Auch der TLfDI erkennt die Relevanz für KI-Systeme. Der HBDI, der die ursprünglichen Beschwerden von Betroffenen in den o.g. Verfahren abgelehnt hatte und gegen dessen ablehnende Entscheidung sich die Klagen vor dem VG richteten, fasst das Verfahren in einer Pressemitteilung vom 7. Dezember 2023 zusammen.
Die Zukunft wird geprägt sein von der Vernetzung aktueller Themen wie KI, Metaverse und daten(schutz)rechtlicher Themen. Auch im Jahr 2024 wird sich daher einiges bewegen. Bleiben Sie mit unserem Blog und unserem Newsletter auf dem Laufenden.