1. Neuer Angemessenheitsbeschluss für EU-US Datentransfers
von Sven Schonhofen, LL.M.
Die EU Kommission hat am 10. Juli 2023 einen Angemessenheitsbeschluss für das EU-US Data Privacy Framework erlassen. US-Datenempfänger müssen sich unter dem EU-US Data Privacy Framework selbst zertifizieren. Wenn ein US-Datenempfänger zertifiziert ist, können personenbezogene Daten auf der Grundlage des neuen Angemessenheitsbeschlusses sicher von der EU in die USA fließen, ohne dass zusätzliche Datentransfermechanismen erforderlich sind.
Fazit: Die EU Kommission hat bestätigt, dass die neuen Garantien unter dem US-Recht auch für andere Datentransfermechanismen, wie die Standardvertragsklauseln, gelten. Unternehmen, die an Datenübermittlungen in die USA beteiligt sind, sollten prüfen, welcher Datentransfermechanismus für sie am besten geeignet ist (Angemessenheitsbeschluss oder Standardvertragsklauseln). Weitere Informationen finden Sie auf unserem Blog, in dem Q & A der EU Kommission und einer Stellungnahme des Europäischen Datenschutzausschusses.
2. EuGH: Anforderungen für DSGVO-Schadensersatzansprüche
von Sven Schonhofen, LL.M.
Der EuGH hat mit Urteil vom 4. Mai 2023 (Az.: C-300/21) entschieden, dass nicht jeder Verstoß gegen die DSGVO für sich genommen zu einem Schadensersatzanspruch führt. Es bedarf vielmehr einen DSGVO-Verstoß, einen materiellen oder immateriellen Schaden und einen Kausalzusammenhang zwischen Schaden und Verstoß. Zudem stellte der EuGH fest, dass der der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen.
Fazit: Die gewünschte Klarheit hat diese Grundsatz-Entscheidung des EuGH nicht gebracht. Kläger müssen einen Schaden darlegen. Hieran sind aber keine zu hohen Anforderungen zu stellen. Die Grenze für Schadensersatzansprüche müssen in Zukunft die nationalen Gerichte aufzeigen.
3. EuGH: Rechtmäßigkeit der Verarbeitung bei Verletzung von Art. 26 und 30 DSGVO
von Tim Sauerhammer
Mit Urteil vom 4. Mai 2023 (Az.: C 60/22) hat der EuGH entschieden, dass der Verstoß gegen die Pflichten eine Vereinbarung zur Festlegung der gemeinsamen Verantwortung abzuschließen (Art. 26 DSGVO) oder ein Verzeichnis von Verarbeitungstätigkeiten zu pflegen (Art. 30 DSGVO) nicht zu einer Verletzung der Rechenschaftspflicht des Art. 5 Abs. 2, 1 lit. a) DSGVO führt. Dementsprechend steht einer betroffenen Person auch kein Recht auf Löschung oder auf Einschränkung der Verarbeitung wegen dieser Verstöße zu.
Fazit: Das Urteil stellt klar, dass nicht jeder Verstoß eines Verantwortlichen gegen Pflichten aus der DSGVO ein Anspruch auf Löschung oder Einschränkung der Verarbeitung bedeutet.
4. EuGH: Neues zum Recht auf Vergessenwerden
von Dr. Thomas Fischl
Am 8. Dezember 2022 hat der EuGH in der Rechtssache C-460/20 ein wichtiges Urteil zum Recht auf Vergessenwerden gefällt. Der EuGH hat geklärt, ob eine Suchmaschine oder die Person, die einen Antrag auf das Recht auf Vergessenwerden stellt, die Beweislast für die Unrichtigkeit der Informationen in beanstandeten Internet-Suchergebnissen trägt. Auch die Frage, ob Vorschaubilder (sogenannte "Thumbnails") entfernt werden sollten, wurde vom Gericht geprüft.
Fazit: Das Urteil ist wichtig, da es feststellt, dass der Betreiber einer Suchmaschine verpflichtet ist, dem Antrag eines Nutzers auf Löschung eines Verweises stattzugeben, wenn er "sachdienliche und ausreichende Beweise" vorlegt, die "die offensichtliche Unrichtigkeit" der Informationen, die er aus dem Internet entfernt sehen möchte, belegen können.
5. Generalanwalt: Objektive Kriterien zur Bestimmung der gemeinsamen Verantwortlichkeit (Art. 26 DSGVO)
von Irmela Dölle
In der Rechtssache C-683/21 hat Generalanwalt Emiliou in seinen Schlussanträgen vom 4. Mai 2023 vertreten, dass das Vorliegen der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO von zwei objektiv zu bestimmenden Kriterien abhängt: (i) beide Parteien müssen unter die Definition des für die Verarbeitung Verantwortlichen (Art. 4 Nr. 7 DSGVO) fallen und (ii) der Einfluss der für die Verarbeitung Verantwortlichen muss (in sachlicher und funktionaler Hinsicht) gemeinsam ausgeübt werden. Eine gemeinsame Entscheidung über die Einflussmöglichkeit sei nicht erforderlich.
Fazit: Folgt der EuGH dem Generalanwalt, wäre das Vorliegen einer gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) bei faktischer Einflussmöglichkeit der Verantwortlichen auf die Verarbeitung stets zu bejahen.
6. EuG: Personenbezug oder nicht: Keine wirklichen Neuigkeiten in einem scheinbar klärenden Urteil
von Dr. Andreas Splittgerber
In seinem Urteil vom 26. April 2023 (Az.: T 557/20) hatte das EuG zu entscheiden, ob personenbezogene Daten, die vom Versender in einen alphanumerischen Code umgewandelt wurden, Personenbezug hatten oder nicht. Entgegen des ersten Anscheins brachte das Urteil des EuG keine wirklichen Neuerungen. Der EuG berief sich durchweg auf die EuGH Entscheidung Breyer (Az.: C 582/14) und entschied, dass die Voraussetzungen des Breyer-Urteils nicht ausreichend berücksichtigt wurden.
Fazit: Es bleibt dabei: Die Schwelle für Anonymisierung ist hoch. Zentral ist die Frage, ob die Informationen für den jeweiligen Inhaber Personenbezug haben oder nicht. Hierbei sind auch Mittel zur Identifizierung zu berücksichtigen, die nicht in der Verfügungsgewalt des Informationsinhabers sind.
7. EuGH: AGB können im B2B-Kontext über Link in schriftliche Verträge einbezogen werden
von Friederike Wilde-Detmering, M.A.
Mit Urteil vom 24. November 2022 (Az.: C 358/21) entschied der EuGH, dass AGB im B2B Kontext in schriftlichen Verträgen wirksam über einen Hyperlink einbezogen werden können, sofern die AGB über den Link tatsächlich abrufbar sind. Einer Checkbox o.ä. bedarf es zur wirksamen Einbeziehung nicht.
Fazit: Verwender von AGB können sich über diese einfache Einbeziehung freuen, Adressaten sollten verlinkte AGB in jedem Fall aufrufen und prüfen.
8. EuGH: Unternehmen hat keinen Anspruch auf Vergütung, wenn nicht über Widerrufsrecht belehrt wird
von Friederike Wilde-Detmering, M.A.
Mit Urteil vom 17. Mai 2023 (Az.: C 97/22) stellte der EuGH klar, dass Unternehmen keinen Anspruch auf Zahlung haben, wenn sie bei außerhalb von Geschäftsräumen geschlossenen Verträgen vergessen, ordnungsgemäß über das Widerrufsrecht zu belehren. Dies gilt selbst dann, wenn die Leistung bereits vollständig erbracht und eine Rechnung ausgestellt wurde.
Fazit: Unternehmen dürfen im Fernabsatz nicht vergessen, über das Widerrufsrecht zu belehren, da andernfalls ein Kostenrisiko droht.
9. EU Kommission schlägt Verfahrungsordnung zur DSGVO vor
von Florian Schwind
Die EU Kommission hat im Juli 2023 einen Vorschlag für eine Verfahrensordnung zur DSGVO präsentiert. Das Gesetz hat das Ziel die Zusammenarbeit zwischen den nationalen Datenschutzbehörden in grenzüberschreitenden Fällen zu optimieren und dadurch zu einer schnelleren Lösung von Fällen führen. Konkret werden in dem Vorschlag die Rechte der Beschwerdeführer und die Rechte der von der Untersuchung betroffenen Parteien harmonisiert. Zudem eröffnet der Vorschlag den Datenschutzbehörden in einem früheren Stadium der Untersuchungen in grenzüberschreitenden Fällen zusammenzuarbeiten.
Fazit: Nach Abschluss des ordentlichen Gesetzgebungsverfahrens wird sich zeigen, ob die Verfahrensordnung zur schnelleren Lösung von Fällen führen und damit zur schnelleren Abhilfe für Einzelpersonen und mehr Rechtssicherheit für Unternehmen beitragen kann.
10. AG Köln: Buttonlösung auch auf Vertragsbeendigung per Email anwendbar
von Joana Becker
Mit Urteil vom 13. Februar 2023 (Az.: 133 C 189/22) entschied das AG Köln, dass die in der Praxis im Rahmen von Online-Käufen bereits seit vielen Jahren bekannte Pflicht aus § 312j Abs. 3 BGB, mit dem Bestellbutton ausdrücklich die Zahlungspflicht zu kennzeichnen („Buttonlösung“), entsprechend auf die Beendigung von Beförderungsverträgen per Email übertragbar ist. Das Amtsgericht sieht auch bei Vertragsbeendigungen, die mit Nachteilen für Verbraucher verbunden sein können, eine Notwendigkeit verständliche, auf finanzielle Folgen hinweisende Schaltflächen vorzugeben.
Fazit: Diese Entscheidung hat vorerst keine direkten Auswirkungen auf normale Onlinehändler. Es bleibt zudem abzuwarten, ob diese weitreichende Analogie bei Überprüfung durch eine höhere Instanz Bestand haben wird.
11. VG Berlin: Betroffene müssen sich bei begründeten Zweifeln des Verantwortlichen identifizieren
von Florian Schwind
Ein Unternehmen hatte das Auskunftsersuchen einer betroffenen Person abgelehnt, da das Unternehmen den Betroffenen nicht zweifelsfrei identifizieren (Art. 12 Abs. 6 DSGVO) konnte. Die zuständige Datenschutzbehörde teilte die Auffassung des Unternehmens und lehnte ein Vorgehen mittels Bescheides ab. Der Betroffene erhob Klage (Az.: VG 1 K 227/22) gegen den Bescheid und das Verwaltungsgericht Berlin lehnte den Anspruch im Rahmen der Prozesskostenhilfe ab, da das Unternehmen die Auskunft zu Recht verweigerte und die Zweifel ausreichend dargelegt hatte.
Fazit: Kommt ein Betroffener seinen Mitwirkungsobliegenheiten nach Art. 12 Abs. 6 DSGVO nicht nach, kann ein Unternehmen die Auskunft rechtmäßig verweigern.
12. Email marketing update
von Sven Schonhofen, LL.M.
Die deutschen Gerichte haben zwei interessante Urteile zum Email Marketing getroffen:
- Das KG Berlin hat mit Urteil vom 22. November 2022 (Az.: 5 U 1043/20) entschieden, dass unzulässiges Email Marketing vorliegt, wenn eine Einwilligung zu wöchentlichen Emails mit werblichem Inhalt vorlag, die Marketing Emails dann aber täglich versendet werden.
- Das AG München hat mit Urteil vom 14. Februar 2023 (Az.: 161 C 12736/22) entschieden, dass eine Einwilligung zum Email Marketing dann nicht mehr fortbesteht, wenn der Abonnent vier Jahre keinen Newsletter mehr erhalten und sein Nutzerkonto nicht mehr genutzt hat.
Fazit: Insbesondere das Urteil des KG Berlin zeigt, dass Einwilligungen für Email Marketing auch bezüglich der Frequenz der Newsletter sehr konkret formuliert werden müssen.
13. BAG: Verwertbarkeit eines Überwachungsvideos im Kündigungsschutzprozess trotz datenschutzrechtlicher Bedenken
von Elisa Saier
Das BAG hat mir Urteil vom 29. Juni 2023 (Az.: 2 AZR 296/22) entschieden, dass eine Videoaufnahme auch im Falle möglicher Datenschutzverstöße durch die Arbeitsgerichte bei der Beurteilung der Wirksamkeit einer Kündigung berücksichtigt werden kann. Dies gilt jedenfalls dann, wenn ein vorsätzlich vertragswidriges Verhalten des Arbeitnehmers in Frage steht und die die Datenerhebung mittels einer offenen, ausgewiesenen Videoüberwachung erfolgte, da es sich hierbei um keine schwerwiegende Grundrechtsverletzung handelt.
Fazit: Ein möglicher Datenschutzverstoß führt nicht zwingend und automatisch zu einem Beweisverwertungsverbot, sodass eine Videoaufnahme trotz datenschutzrechtlicher Bedenken im Rahmen eines Kündigungsschutzprozesses durch die Arbeitsgerichte berücksichtigt werden kann.
Lesehinweise zum IT- und Datenschutzrecht
von Sven Schonhofen, LL.M.
- EuGH zu Interessenkonflikten von Datenschutzbeauftragten – mehr auf unserem Blog
- Europäisches Parlament: Gesetz über künstliche Intelligenz („AI Act“) – Text für Trilogverhandlungen
- Datenschutzbehörde Niedersachsen: Bericht zur Prüfung von Medienunternehmen zum Einsatz von Cookies
- Bericht der EDSA Cookie Banner Task Force – mehr auf unserem Blog
- EDSA 101 Task Force zu internationalen Datentransfers beim Einsatz von Cookies – mehr auf unserem Blog
- Update zum Auskunftsrecht – mehr in unserem Client Alert
- Überblick zum Digital Markets Act – mehr auf unserem Blog
- Tätigkeitsberichte der deutschen Datenschutzbehörden:
Hören Sie sich den Reed Smith Podcast Tech Law Talks an. In unserem Podcast besprechen unsere Tech und Data Anwälte regelmäßig aktuelle Themen aus den Bereichen Datenschutz, Datensicherheit, Risikomanagement, IP, Social Media und mehr. Unsere aktuellen Folgen beschäftigten sich mit ChatGPT und eComms Compliance.
Um immer aktuelle Informationen zu bekommen, besuchen Sie unseren Blog Technology Law Dispatch.