1. US-Datenübermittlungen wieder möglich machen: Ein erster großer Schritt zum EU-US Transatlantic Data Protection Framework
von Dr. Andreas Splittgerber und Christian Leuthner
Am 7. Oktober 2022 hat US-Präsident Joe Biden die Executive Order "Enhancing Safeguards for United States Signals Intelligence Activities" ("EO") erlassen. Die EO regelt vor allem, dass die Nachrichtendienste ihre Politik an die EO anpassen, um den Grundsätzen der Verhältnismäßigkeit und der Notwendigkeit Rechnung zu tragen, und dass in den USA ein Data Protection Review Court eingerichtet wird. Beides könnte bis zu einem Jahr dauern. Parallel dazu wird die EU-Kommission prüfen, ob mit der EO und seinen Umsetzungen die Anforderung der DSGVO ausreichend berücksichtigt werden, um eine Angemessenheitsentscheidung zu treffen. Mehr in unserem Blogbeitrag mit Einzelheiten und Links zu allen relevanten Dokumenten.
Fazit: Die EO ist ein wichtiger Schritt in die richtige Richtung. Auch ohne eine Angemessenheitsentscheidung der EU und auch schon vor einer derartigen Entscheidung wird die EO und seine Umsetzungen bei der Rechtfertigung von Datenübertragungen in die USA ein starkes Gewicht haben. Bislang haben wir positive und weniger positive Erklärungen von EU-Datenschutzbehörden gesehen.
2. Generalanwalt: Vorgaben für DSGVO-Schadensersatz
von Sven Schonhofen, LL.M.
Die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO sind unter den deutschen Gerichten noch höchst umstritten. Der Generalanwalt hat in seinen Schlussanträgen vom 6. Oktober 2022 (Az.: C-300/21) nun Grundsätze für den immateriellen Schadensersatz aufgestellt: Für einen Schadensersatzanspruch nach Art. 82 DSGVO ist nicht nur die Verletzung einer Norm aus der DSGVO ausreichend, sondern es bedarf zudem eines materiellen oder immateriellen Schadens. Bloßer Ärger infolge der DSGVO-Verletzung genügt hierfür nicht aus.
Fazit: Es bleibt abzuwarten, ob der EuGH dem Generalanwalt folgen wird. Sollte dies der Fall sein, würde eine Verteidigung von Unternehmen gegen DSGVO-Schadensersatzansprüche in einer Vielzahl von Fällen möglich sein.
3. Bußgeld wegen eines Interessenkonflikts des Datenschutzbeauftragten
von Dr. Thomas Fischl
Die Berliner Datenschutzaufsichtsbehörde (BlnBDI) hat vor kurzem gegen eine Tochtergesellschaft eines Berliner E-Commerce-Konzerns ein Bußgeld in Höhe von 525.000 Euro verhängt. In diesem bemerkenswerten Fall wurde ein Interessenkonflikt des Datenschutzbeauftragten der Gesellschaft gerügt: Dieser war zugleich Geschäftsführer von zwei Dienstleistungsgesellschaften des Konzerns, die personenbezogene Daten im Auftrag des Unternehmens, für das er als Datenschutzbeauftragter bestellt wurde, verarbeiteten.
Fazit: Es sind bislang wenig Beanstandungen bzgl. eines Interessenkonflikts des Datenschutzbeauftragten bekannt geworden. Die Unternehmen, die einen internen Datenschutzbeauftragten bestellt haben, sollten möglichen Interessenkonflikten daher eine erhöhte Aufmerksamkeit widmen.
4. BGH zur Prüfpflicht von Online-Bewertungsportalen
von Dr. Alexander Hardinghaus, LL.M.
Mit Urteil vom 9. August 2022 (Az.: VI ZR 1244/20) entschied der BGH, dass der Betreiber eines Hotelbewertungsportals dem pauschalen Einwand eines (negativ) bewerteten Hoteliers, dass der angebliche Kunde, welcher die Bewertung unter einem Pseudonym abgegeben hatte, gar kein Gast des Hoteliers gewesen sei, nachgehen muss (Prüfpflicht) – und zwar selbst dann, wenn Umstände vorliegen, welche für einen stattgefundenen Gästekontakt sprechen. Kommt der Betreiber dieser Prüfpflicht nicht nach, so ist davon auszugehen, dass der Bewertung gar kein Gästekontakt zugrunde liegt. Der Portalbetreiber muss dann die betreffenden Bewertungen von seinem Portal entfernen.
Fazit: Das Urteil wird von Bewertungsplattformen und Portalen unter Hinweis auf die Grundsätze der Störerhaftung und die Regelungen des neuen Digital Services Act stark kritisiert. Es bleibt abzuwarten, wie und ob dieses Urteil unter Geltung des Digital Services Act inhaltlich Bestand haben wird.
5. Spanische Datenschutzbehörde verhängt Geldstrafe in Höhe von EUR 48.000 gegen Energieunternehmen wegen unzureichender Identitätsprüfung
von Joana Becker
Ein Anrufer meldete sich bei dem Energieunternehmen und bat um die Änderung der E-Mail-Adresse eines Kunden und die Zusendung der beiden letzten Rechnungen dieses Kunden. Das Energieunternehmen fragte deshalb Name, Adresse, Personalausweisnummer, Vertragsnummer und die letzten 4 Ziffern der Kontoverbindung zur Überprüfung der Identität bei dem Anrufer ab. Wenig später stellte sich heraus, dass der Anrufer nicht der Kunde, sondern ein unbeteiligter Dritter war.
Die spanische Datenschutzbehörde sah in der Identitätsprüfung einen Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO, den Grundsatz der Integrität und Vertraulichkeit, und Art. 32 DSGVO wegen mangelnder technischer Sicherheit bei der Datenverarbeitung.
Fazit: Diese Entscheidung ist durchaus geeignet, Unsicherheit in der Praxis zu schaffen, da eine Begründung dazu, warum die hier vorgenommene Identitätsprüfung unzureichend war, fehlt. Insbesondere handelt es sich bei der Kombination aus Name, Adresse, Personalausweisnummer, Vertragsnummer und den letzten vier Ziffern der Kontoverbindung um sehr spezifische Daten, die grundsätzlich zur Verifizierung der Identität des Kunden geeignet sind.
6. LG Hamburg: Löschansprüche von juristischen Personen
von Irmela Dölle
Das LG Hamburg hat mit Urteil vom 11. Dezember 2020 (Az.: 324 O 30/20) entschieden, dass auch juristische Personen Löschansprüche aus der DSGVO herleiten können. Der Anwendungsbereich des Datenschutzrechts sei eröffnet, wenn die verarbeiteten Informationen über die juristische Person sich (auch) auf die hinter dieser stehenden natürlichen Person beziehen würden. Dies sah das Gericht im vorliegenden Fall im Hinblick auf Firmenname und Geschäftssitz der Klägerin als gegeben an, da diese sich auf ihre Geschäftsführer bezogen: Der Firmenname enthielt den Familiennamen der Geschäftsführer und ihr Geschäftssitz war zugleich auch Wohnanschrift ihrer Geschäftsführer.
Fazit: Bei einem Betroffensein der hinter einer juristischen Person stehenden natürlichen Personen sowie einer sich unmittelbar auswirkenden oder gleichsam auf diese „durchschlagenden“ Datenverarbeitung, kann auch eine juristische Person in den Anwendungsbereich der DSGVO fallen.
7. Gesetzgebungsupdate
von Tim Sauerhammer
- Gesetz über digitale Dienste (DSA)
Im Oktober hat der Rat der Europäischen Union grünes Licht für das lang erwartete Gesetz über digitale Dienste gegeben, welches die inzwischen 20 Jahre alte E-Commerce-Richtlinie aktualisiert. Die Verordnung sieht Regeln zu Sorgfaltspflichten und Haftungsausschlüssen für Vermittlungsdienste vor (insbesondere für Online-Plattformen wie z.B. soziale Medien, online-Marktplätze oder Suchmaschinen) und soll zu einem sicheren und vertrauenswürdigen Online-Umfeld beitragen. Das Gesetz soll noch diesen Herbst im Amtsblatt der Europäischen Union veröffentlicht werden und gilt dann etwa 15 Monate später.
Fazit: Das Gesetz über digitale Dienste führt einen Kanon an neuen Anforderungen für Vermittlungsdienste ein. Unternehmen sollten daher prüfen, ob sie eine solche Dienstleistung anbieten und die Regeln der neuen Verordnung anzuwenden sind.
- Gesetz über digitale Märkte (DMA)
Daneben hat der Rat auch das Gesetz über digitale Märkte (DMA) gebilligt. Die Verordnung zielt auf einzelne Akteure, die im Ökosystem der Online-Plattformen in ihrer jeweiligen Sparte eine besonders hervorgehobene Marktstellung innehaben. Diese sogenannten „Gatekeeper“ müssen nun zusätzliche Regeln beachten – andernfalls droht eine Geldbuße von bis zu 10 % des weltweiten Gesamtumsatzes. Das Gesetz wird ab dem 2. Mai 2023 gelten.
Fazit: Die Verordnung weist einige wichtige Neuerungen auf. Für Gatekeeper bedeuten die Regelungen eine Überarbeitung ihrer internen Prozesse; Plattformnutzer können sich hingegen über günstigere Wettbewerbsvoraussetzungen freuen.
- Richtlinie über KI-Haftung
In Anbetracht der weiter fortschreitenden Bedeutung künstlicher Intelligenz im Alltag hat die EU-Kommission einen Vorschlag für eine Richtlinie über KI-Haftung erarbeitet. Die Richtlinie soll das Gesetz über Künstliche Intelligenz (AI Act) ergänzen und europaweit einheitliche Regeln für die außervertragliche zivilrechtliche Haftung für von KI-Systemen verursachten Schäden schaffen. Im Zentrum stehen eine opferfreundliche Beweislast und der vereinfachte Zugang zu Beweismitteln. Der Kommissionsvorschlag muss jedoch noch vom Europäischen Parlament und vom Rat angenommen werden.
Fazit: Auch wenn Zeitpunkt und konkreter Inhalt der Richtlinie noch nicht feststehen, ist mit dem Entwurf bereits die Stoßrichtung erkennbar. Unternehmen, die KI einsetzen möchten, sollten früh damit beginnen, Vorbereitungen zu treffen und sich in einem ersten Schritt einen Überblick über alle erhobenen oder zu erhebenden Daten verschaffen.
8. Lesehinweise zum IT und Datenschutzrecht
von Sven Schonhofen, LL.M.
- Europäischer Datenschutzausschuss
- BayLDA: Tätigkeitsbericht
- Bitkom: Reifegradmodell zur Abbildung von technisch-organisatorischen Maßnahmen bei der Auftragsverarbeitung
- EU Kommission: Entwurf für Cyber Resilience Act – mehr auf unserem Blog
- ICO: Empfehlungen zu Betroffenenanfragen – mehr auf unserem Blog
Hören Sie sich den neuen Reed Smith Podcast, Tech Law Talks, an. In unserem Podcast besprechen unsere Tech und Data Anwälte regelmäßig aktuelle Themen aus den Bereichen Datenschutz, Datensicherheit, Risikomanagement, IP, Social Media und mehr. Unsere aktuellen Folgen beschäftigten sich mit Unified Patent Court, eComms, Datenschutz in China und M365.
Um immer aktuelle Informationen zu bekommen, besuchen Sie unseren Blog Technology Law Dispatch.