Im zu Ende gehenden Jahr 2021 wurden bereits einige Entwicklungen im Datenschutz- und IT-Recht eingeleitet, die sich in den folgenden Jahren fortsetzen werden. Diese Entwicklungen lenken einmal mehr den Fokus darauf, die notwendigen Rechenschaftspflichten im Datenschutz sorgsam zu erfüllen und bei den Grundaufgaben sattelfest zu sein.
Ich möchte Ihnen einen kleinen Ausblick geben, was uns in den nächsten Wochen, Monaten und Jahren erwarten wird.
Erheblich höhere Haftungsrisiken für Geschäftsführer in der Zukunft
Gleich mehrere Entwicklungen werden das persönliche Haftungsrisiko für Geschäftsführer und Vorstände erheblich erhöhen. Das liegt vor allem daran, dass sich die Rechtsprechung im letzten Jahr in vielen Fällen mit Haftungs- und Zuständigkeitsfragen beim Datenschutz auseinandergesetzt hat und dabei zu sehr eindeutigen Aussagen gekommen ist. Auch wenn noch nicht alle Urteile höchstrichterlichen Segen haben, ist davon auszugehen, dass sie den Trend der Rechtsprechung widerspiegeln. Ich erwarte für 2022ff keine ernsthaft gegenläufige Entwicklung.
So wurde in einem Urteil festgestellt, dass die Geschäftsführer einer Gesellschaft neben der Gesellschaft als eigene Verantwortliche für die Datenverarbeitungen anzusehen sind, die gesamtschuldnerisch mit der Gesellschaft für die Folgen von Datenschutzverstößen persönlich haften.
Haftung auch ohne Schuld
In einem Vorlagebeschluss des Kammergerichts Berlin (Bußgeldverfahren gegen die Deutsche Wohnen) aus diesem Dezember wird dem EuGH die Frage vorgelegt, ob es für die Bebußung eines Unternehmens auf die Schuld einer handelnden Person ankommt oder ob schon das Vorhandensein eines Datenschutzverstoßes ausreicht. Damit würde §30 OWiG ausgehebelt, der eine direkte Bebußung eines Unternehmens ohne Nachweis einer deliktischen Handlung ausschließt. Dies hat insbesondere den Hintergrund, dass die EU-DSGVO als Sekundärrecht die Schuldfrage als Voraussetzung einer Bußgeldzuweisung nicht kennt.
Kommt der EuGH zu einem entsprechenden Urteil, so reicht es für die Aussprache eines Bußgeldes an einen Verantwortlichen aus, wenn ein Datenschutzverstoß vorliegt. Auf eine deliktische, schuldhafte Handlung kommt es nicht mehr an. Damit kann es dann auch jederzeit Geschäftsführer als eigenständige Verantwortliche treffen, obwohl keine schuldhafte Handlung vorgelegen hat.
Schadenersatz ohne Schuld
In die gleiche Kerbe haut das Bundesarbeitsgericht mit einem Vorlagebeschluss aus dem Oktober an den EuGH. Hier geht es speziell um die Frage von materiellen und immateriellen Schadenersatzansprüchen von Betroffenen bei Datenschutzverstößen. Sollte der EuGH dem Tenor des Bundesarbeitsgerichts folgen, so ist es für die Zumessung von Schadenersatz nicht mehr zwingend notwendig, einen konkreten immateriellen Schaden nachzuweisen. Allein die Datenschutzverletzung als solche rechtfertigt eine Zusprechung von Schadenersatz, dessen Höhe sich grundsätzlich an der Schwere des Datenschutzverstoßes orientieren würde.
Betroffenen wird die Geltendmachung von Schadenersatz erleichtert
In einem weiteren Gerichtsurteil wurde festgestellt, dass auch Verbraucher das Recht haben, Datenschutzverstöße abzumahnen. Zusätzlich ist es zulässig, Schadenersatzansprüche aus Datenschutzverstößen an Dritte abzutreten. Somit macht sich schon eine Riege neuer LegalTech-Unternehmen bereit, Schadenersatzansprüche gegenüber Unternehmen durchzusetzen, wie dies mit Fluggastrechten heute schon üblich ist.
Während auch die Aufsichtsbehörden mittlerweile stark aufrüsten (Bayern hat für anlasslose Betriebskontrollen eine eigene Stabsstelle eingerichtet), droht damit der vorerst größte Ärger von der Seite des Zivilrechts.
Das TTDSG macht alle Webseiten schön 😉
Wie Sie sicher wissen, ist zum 01.12.2021 das neue TTDSG in Kraft getreten. Dieses nationale Gesetz ist die Umsetzung der EU-e-Privacy-Richtlinie. Dieses Gesetz hat einen erheblichen Einfluss auf die Gestaltung von Webseiten, das Cookie- und Datenmanagement und sogar den Umgang mit IoT-Geräten durch Dienstanbieter. Das Gesetz ergänzt die Regeln der DSGVO, ersetzt diese aber nicht.
Gerade Webagenturen sitzen hier auf einem enormen Haftungspotential, was den wenigsten wirklich bewußt ist. Jedenfalls ist das mein Eindruck aus einer größeren Zahl von Gesprächen.
Neue Regelungen auf EU-Ebene erwartet
Mit Spannung werden die weiteren Verhandlungen auf EU-Ebene zu den neuen Digitalgesetzen erwartet: Der Digital Markets Act, der Digital Services Act sind zwei wesentliche Meilensteine, die das Marktverhalten von Anbietern digitaler Services und die Rechte von Nutzern solcher Services regeln sollen. Auch diese Gesetze werden die DSGVO ergänzen und Einfluss auf die Rechtskonformität digitaler Lösungen haben. Wir verfolgen diese Entwicklungen sehr genau und berichten, sobald sich die Auswirkungen auf die Unternehmenstätigkeit besser abschätzen lassen. Auch wenn diese Entwicklungen eher mittelfristig zu sehen sind, weil lange Übergangsfristen eine Wirksamkeit vor 2024/25 nahezu ausschließen, ist es doch wichtig, sich rechtzeitig auf die Entwicklungen vorzubereiten.
Neues Kaufrecht gilt ab 01.01.2022
Und zum guten Schluss möchte ich noch darauf aufmerksam machen, dass ab dem 01.01.2022 ein neues Kaufrecht in Deutschland gilt, welches erheblichen Einfluss auf die Rechte von Verbrauchern beim Kauf und Konsum von digitalen Produkten hat. Erstmals sind digitale Produkte als eigenständige Kategorien aufgenommen worden und haben Eingang ins BGB gefunden. Obwohl diese Änderungen vorwiegend für den B2C-Sektor eine Relevanz haben, dürften sie nach einhelliger Expertenmeinung auf den B2B-Bereich ausstrahlen und auch dort zur Geltung gelangen, wo nichts Abweichendes vereinbart wurde.
Cyberattacken werden weiter zunehmen
Ein Problem, das Viele bereits in diesem Jahr umgetrieben hat, wird uns auch im nächsten Jahr erhalten bleiben. Die Hacker-Industrie hat derzeit Hochkonjunktur. Fast jede Woche gehen Nachrichten über gehackte Unternehmen durch die Presse. Sofern Unternehmen Opfer eines Ransomware-Angriffs werden, sind die Kosten unübersehbar und teilweise existenzbedrohend. Daneben stellen solche Angriffe meistens auch einen Datenschutzvorfall dar, der, wenn nicht die notwendigen IT-Sicherheitsmaßnahmen getroffen waren, im schlimmsten Falle auch noch ein behördliches Verfahren nach sich zieht, von den Schadenersatzansprüchen der Betroffenen ganz zu schweigen.
Fazit
Mehr denn je sollten Geschäftsführer und Verantwortliche ein Auge auf die Umsetzung des Datenschutzes in ihren Verantwortungsbereichen wahrnehmen und für die Umsetzung der Maßnahmen die notwendigen Ressourcen bereitstellen. Die relevanten Datenschutz- und IT-Sicherheitsmaßnahmen schützen nicht nur Betroffene vor Schäden, sie sind vor allen Dingen auch ein Schutz der Gesellschaftsvertreter vor persönlicher Haftung. Das Risiko, als Verantwortlicher für Datenschutzverstöße in Anspruch genommen zu werden, kommt derzeit eindeutig aus der Ecke der Betroffenen, denen die Geltendmachung ihrer Rechte zunehmend einfacher gemacht wird. Aber auch die Datenschutzbehörden haben das Vollzugsdefizit auf dem Radar und versuchen hier stückweise für Abhilfe zu sorgen.
