wir hoffen Sie hatten einen guten Start in das neue Jahr 2020. Das Jahr 2019 ist nun vorbei und damit auch Jahr Zwei nach Einführung der Datenschutz-Grundverordnung. Je nach Blickwinkel hat sich in diesem Jahr einiges, gleichzeitig aber auch recht wenig im Datenschutz getan. Hiermit möchten wir einen kleinen Rückblick in Sachen Datenschutz auf das vergangene Jahr geben.

Was hat sich 2019 verändert?

Grundsätzlich gab es keine größeren Veränderungen bei den Regelungen zum Datenschutz. Dennoch ist natürlich die Anhebung der Grenze von 10 zu 20 Mitarbeitern, welche regelmäßig mit der elektronischen Datenverarbeitung zu tun haben, damit ein Datenschutzbeauftragter eingesetzt werden muss, zu benennen. Dies ging mit dem Beschluss des 2. Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) einher.

Weitere neue Regelungen hat es insofern nicht gegeben, welche die bisherigen beeinflussen würden. Es gab im Gegenteil zu vermelden, dass neue Regelungen zum Datenschutz weiter auf sich warten lassen, was besonders mit der Verzögerung der E-Privacy-Verordnung zu tun hat. Aufgrund von inhaltlichen Diskursen zwischen EU-Parlament, Kommission und Europäischen Rat liegt deren Entwicklung derzeit auf Eis, bzw. droht sogar komplett zu scheitern. Damit wird es auf nicht absehbare Zeit keine ergänzenden Regelungen zum Datenschutz im elektronischen Datenverkehr (E-Commerce, Anwendung von Tracking etc.).

Auch die Aufsichtsbehörden blieben nicht untätig und haben beispielweise ein neues Modell zur Berechnung von Bußgeldern entwickelt, welches zukünftig angewendet werden soll (https://www.datarea.de/aufsichtsbehoerden-einigen-sich-auf-neues-modell-zur-berechnung-von-bussgeldern/). Außerdem wurde von der Datenschutzkonferenz (DSK) eine Grundsatzerklärung zur Sicherung der Menschenwürde im Verhältnis zur Entwicklung der künstlichen Intelligenz veröffentlich (Hambacher Erklärung: https://www.datenschutz.rlp.de/fileadmin/lfdi/Konferenzdokumente/Datenschutz/DSK/Entschliessungen/097_Hambacher_Erklaerung.pdf).

Der neue Bundesdatenschutzbeauftragte machte ebenfalls von sich Reden indem er sich zu einigen Themen äußerte wie der Harmonisierung der Standpunkte der verschiedenen europäischen Aufsichtsbehörden, dem One-Stop-Shop-Verfahren, der Gefahr der Nutzung von Windows 10 und Office 365 sowie der Verhängung eines Bußgelds gegen die 1&1 Telekom GmbH. Für das Jahr 2019 hinterlässt er damit einen kompetenten Eindruck und setzt mehr Akzente als seine Vorgängerin.

Welche wichtigen Entscheidungen gab es 2019?

Natürlich gab es auch Entscheidungen durch Gerichte, welche 2019 den Datenschutz geprägt haben.

Für besondere Aufmerksamkeit hat die Entscheidung des Europäischen Gerichtshofs (EuGH) gesorgt, dass Arbeitgeber zukünftig europaweit systematisch die Arbeitszeit Ihrer Mitarbeiter erfassen müssen (https://www.datarea.de/eugh-urteil-zur-systematischen-zeiterfassung-und-die-datenschutzrechtliche-dimension-dahinter/).

Ein weiteres wichtiges Urteil hat der EuGH bezüglich der Verwendung von Like-Buttons und anderen Social Plugins gefällt. Hier sieht er nämlich ebenso wie für das Betreiben einer Facebook Fanpage eine gemeinsame Verantwortlichkeit zwischen Facebook und dem Nutzer der Plugins (https://www.datarea.de/gemeinsame-verantwortlichkeit-fuer-gefaellt-mir-buttons-und-social-plug-ins/).

Schließlich hat sich der EuGH auch noch zur Diskussion über die Zulässigkeit und Rechtsgrundlagen von Tracking und Cookies geäußert. Hierfür soll ausschließlich eine eindeutige Zustimmung der Nutzer als zulässige Rechtsgrundlage gelten (https://www.datarea.de/eugh-urteil-vom-01-10-2019-zum-thema-cookies/).

Durch die Aufsichtsbehörden wurden europaweit im Jahr 2019 teilweise empfindliche Bußgelder ausgesprochen (Siehe: https://www.enforcementtracker.com/, https://www.datarea.de/bussgeld-in-millionenhoehe-fuer-datenschutzpanne-bei-british-airways/, https://www.datarea.de/erstes-groesseres-bussgeld-in-frankreich-gegenueber-google-verhaengt/). Die Schonfrist der Aufsichtsbehörden ist damit abgelaufen und wie es aussieht, werden Verstöße nun konsequent geahndet.

Abschließend lässt sich festhalten, dass sich im Jahr 2019 in Sachen Datenschutz nichts Weltbewegendes geändert hat. Es gab einige Urteile, Bußgeldentscheidungen, Orientierungshilfen und Informationen von Aufsichtsbehörden, die zu beachten sind. Auf der einen Seite ist dies eine gute Nachricht, da hierdurch keine umfangreichen Umstellungen notwendig sind. Auf der anderen Seite scheuen sich beispielsweise Gerichte, aber auch Unternehmen und Privatpersonen davor, die wirklich offenen Rechtsfragen aus dem Datenschutz vor Gericht auszufechten und damit durch Rechtsfortbildung zu beantworten. Fraglich sind hier beispielsweise noch immer die wettbewerbsrechtliche Abmahnfähigkeit von Datenschutzverstößen und die konkrete Ausgestaltung von Betroffenen- und Informationsrechten.

Außerdem lässt sich feststellen, dass ausgerechnet die großen Datensammler wie Google, Facebook und Amazon mit Sitz in Irland bisher erstaunlich wenig vom neuen Datenschutz zu befürchten haben. Aufgrund der Zuständigkeit der irischen Aufsichtsbehörde und deren (auch aus Personalmangel bedingter) Untätigkeit haben die restlichen Aufsichtsbehörden der EU-Staaten hier wenig Mittel, um an diese Unternehmen heranzukommen.

Für das Jahr 2020 bleibt also zu hoffen, dass die Rechtsunsicherheit durch weitere Gerichtsurteile gemindert wird und dass besonders die „Big Player“ in Sachen Datenschutz mehr an die Leine genommen werden.