Den Datensündern geht es an den Kragen

Im zu Ende gehenden Jahr 2021 wurden bereits einige Entwicklungen im Datenschutz- und IT-Recht eingeleitet, die sich in den folgenden Jahren fortsetzen werden. Diese Entwicklungen lenken einmal mehr den Fokus darauf, die notwendigen Rechenschaftspflichten im Datenschutz sorgsam zu erfüllen und bei den Grundaufgaben sattelfest zu sein.

Ich möchte Ihnen einen kleinen Ausblick geben, was uns in den nächsten Wochen, Monaten und Jahren erwarten wird.

Erheblich höhere Haftungsrisiken für Geschäftsführer in der Zukunft

Gleich mehrere Entwicklungen werden das persönliche Haftungsrisiko für Geschäftsführer und Vorstände erheblich erhöhen. Das liegt vor allem daran, dass sich die Rechtsprechung im letzten Jahr in vielen Fällen mit Haftungs- und Zuständigkeitsfragen beim Datenschutz auseinandergesetzt hat und dabei zu sehr eindeutigen Aussagen gekommen ist. Auch wenn noch nicht alle Urteile höchstrichterlichen Segen haben, ist davon auszugehen, dass sie den Trend der Rechtsprechung widerspiegeln. Ich erwarte für 2022ff keine ernsthaft gegenläufige Entwicklung.

So wurde in einem Urteil festgestellt, dass die Geschäftsführer einer Gesellschaft neben der Gesellschaft als eigene Verantwortliche für die Datenverarbeitungen anzusehen sind, die gesamtschuldnerisch mit der Gesellschaft für die Folgen von Datenschutzverstößen persönlich haften. 

Haftung auch ohne Schuld

In einem Vorlagebeschluss des Kammergerichts Berlin (Bußgeldverfahren gegen die Deutsche Wohnen) aus diesem Dezember wird dem EuGH die Frage vorgelegt, ob es für die Bebußung eines Unternehmens auf die Schuld einer handelnden Person ankommt oder ob schon das Vorhandensein eines Datenschutzverstoßes ausreicht. Damit würde §30 OWiG ausgehebelt, der eine direkte Bebußung eines Unternehmens ohne Nachweis einer deliktischen Handlung ausschließt. Dies hat insbesondere den Hintergrund, dass die EU-DSGVO als Sekundärrecht die Schuldfrage als Voraussetzung einer Bußgeldzuweisung nicht kennt.

Kommt der EuGH zu einem entsprechenden Urteil, so reicht es für die Aussprache eines Bußgeldes an einen Verantwortlichen aus, wenn ein Datenschutzverstoß vorliegt. Auf eine deliktische, schuldhafte Handlung kommt es nicht mehr an. Damit kann es dann auch jederzeit Geschäftsführer als eigenständige Verantwortliche treffen, obwohl keine schuldhafte Handlung vorgelegen hat.

Schadenersatz ohne Schuld

In die gleiche Kerbe haut das Bundesarbeitsgericht mit einem Vorlagebeschluss aus dem Oktober an den EuGH. Hier geht es speziell um die Frage von materiellen und immateriellen Schadenersatzansprüchen von Betroffenen bei Datenschutzverstößen. Sollte der EuGH dem Tenor des Bundesarbeitsgerichts folgen, so ist es für die Zumessung von Schadenersatz nicht mehr zwingend notwendig, einen konkreten immateriellen Schaden nachzuweisen. Allein die Datenschutzverletzung als solche rechtfertigt eine Zusprechung von Schadenersatz, dessen Höhe sich grundsätzlich an der Schwere des Datenschutzverstoßes orientieren würde.

Betroffenen wird die Geltendmachung von Schadenersatz erleichtert

In einem weiteren Gerichtsurteil wurde festgestellt, dass auch Verbraucher das Recht haben, Datenschutzverstöße abzumahnen. Zusätzlich ist es zulässig, Schadenersatzansprüche aus Datenschutzverstößen an Dritte abzutreten. Somit macht sich schon eine Riege neuer LegalTech-Unternehmen bereit, Schadenersatzansprüche gegenüber Unternehmen durchzusetzen, wie dies mit Fluggastrechten heute schon üblich ist.

Während auch die Aufsichtsbehörden mittlerweile stark aufrüsten (Bayern hat für anlasslose Betriebskontrollen eine eigene Stabsstelle eingerichtet), droht damit der vorerst größte Ärger von der Seite des Zivilrechts. 

Das TTDSG macht alle Webseiten schön 😉

Wie Sie sicher wissen, ist zum 01.12.2021 das neue TTDSG in Kraft getreten. Dieses nationale Gesetz ist die Umsetzung der EU-e-Privacy-Richtlinie. Dieses Gesetz hat einen erheblichen Einfluss auf die Gestaltung von Webseiten, das Cookie- und Datenmanagement und sogar den Umgang mit IoT-Geräten durch Dienstanbieter. Das Gesetz ergänzt die Regeln der DSGVO, ersetzt diese aber nicht.

Gerade Webagenturen sitzen hier auf einem enormen Haftungspotential, was den wenigsten wirklich bewußt ist. Jedenfalls ist das mein Eindruck aus einer größeren Zahl von Gesprächen.

Neue Regelungen auf EU-Ebene erwartet

Mit Spannung werden die weiteren Verhandlungen auf EU-Ebene zu den neuen Digitalgesetzen erwartet: Der Digital Markets Act, der Digital Services Act sind zwei wesentliche Meilensteine, die das Marktverhalten von Anbietern digitaler Services und die Rechte von Nutzern solcher Services regeln sollen. Auch diese Gesetze werden die DSGVO ergänzen und Einfluss auf die Rechtskonformität digitaler Lösungen haben. Wir verfolgen diese Entwicklungen sehr genau und berichten, sobald sich die Auswirkungen auf die Unternehmenstätigkeit besser abschätzen lassen. Auch wenn diese Entwicklungen eher mittelfristig zu sehen sind, weil lange Übergangsfristen eine Wirksamkeit vor 2024/25 nahezu ausschließen, ist es doch wichtig, sich rechtzeitig auf die Entwicklungen vorzubereiten.

Neues Kaufrecht gilt ab 01.01.2022

Und zum guten Schluss möchte ich noch darauf aufmerksam machen, dass ab dem 01.01.2022 ein neues Kaufrecht in Deutschland gilt, welches erheblichen Einfluss auf die Rechte von Verbrauchern beim Kauf und Konsum von digitalen Produkten hat. Erstmals sind digitale Produkte als eigenständige Kategorien aufgenommen worden und haben Eingang ins BGB gefunden. Obwohl diese Änderungen vorwiegend für den B2C-Sektor eine Relevanz haben, dürften sie nach einhelliger Expertenmeinung auf den B2B-Bereich ausstrahlen und auch dort zur Geltung gelangen, wo nichts Abweichendes vereinbart wurde.

Cyberattacken werden weiter zunehmen

Ein Problem, das Viele bereits in diesem Jahr umgetrieben hat, wird uns auch im nächsten Jahr erhalten bleiben. Die Hacker-Industrie hat derzeit Hochkonjunktur. Fast jede Woche gehen Nachrichten über gehackte Unternehmen durch die Presse. Sofern Unternehmen Opfer eines Ransomware-Angriffs werden, sind die Kosten unübersehbar und teilweise existenzbedrohend. Daneben stellen solche Angriffe meistens auch einen Datenschutzvorfall dar, der, wenn nicht die notwendigen IT-Sicherheitsmaßnahmen getroffen waren, im schlimmsten Falle auch noch ein behördliches Verfahren nach sich zieht, von den Schadenersatzansprüchen der Betroffenen ganz zu schweigen.  

Fazit

Mehr denn je sollten Geschäftsführer und Verantwortliche ein Auge auf die Umsetzung des Datenschutzes in ihren Verantwortungsbereichen wahrnehmen und für die Umsetzung der Maßnahmen die notwendigen Ressourcen bereitstellen. Die relevanten Datenschutz- und IT-Sicherheitsmaßnahmen schützen nicht nur Betroffene vor Schäden, sie sind vor allen Dingen auch ein Schutz der Gesellschaftsvertreter vor persönlicher Haftung. Das Risiko, als Verantwortlicher für Datenschutzverstöße in Anspruch genommen zu werden, kommt derzeit eindeutig aus der Ecke der Betroffenen, denen die Geltendmachung ihrer Rechte zunehmend einfacher gemacht wird. Aber auch die Datenschutzbehörden haben das Vollzugsdefizit auf dem Radar und versuchen hier stückweise für Abhilfe zu sorgen.

Andere Artikel

Daten sind das neue Gold

Vertraust Du Deine Wertsachen einfach fremden Leuten an? Heute ist die Nutzung von Diensten oder Software über das Internet nichts ungewöhnliches mehr. Du kannst damit jede Menge Zeit und auch Geld sparen. Du musst weder für die Infrastruktur noch für

Weiterlesen »

Wie wirst Du in 15 Jahren leben?

Unsere Lebensbedingungen ändern sich. Wie wirst Du in 15 Jahren leben? 4 Beispiele für die hybride Welt von Morgen. Mein Leben findet heute schon digital-hybrid statt. Dieser Trend wird sich fortsetzen, beschleunigen, verfestigen. Das rein “analoge” Leben gibt es dann

Weiterlesen »

Motorrad oder Laufrad?

Wer von Euch fährt mit seinem Motorrad als wäre es nur ein Laufrad? Vermutlich keiner! Aber warum tut Ihr das dann bei anderen Dingen? Mit seinem Motorrad zu fahren als ob es nur ein Laufrad wäre, ist ja nur mäßig

Weiterlesen »

Sind Eure MitarbeiterInnen eigentlich informiert?

“Das wissen die doch! Das sind doch keine Geheimnisse!” Der respektvolle Umgang mit den Kolleginnen und Kollegen ist für Dich als UnternehmerIn selbstverständlich. Du bezahlst ein vernünftiges Gehalt und schaffst auch sonst eine angenehme und produktive Arbeitsumgebung. Dazu gehört auch,

Weiterlesen »

Wenn Projekte über Daten stolpern

In dieser Woche habe ich ein Thema mitgebracht, dass alle Projektleiter in mittleren und größeren, insbesondere auch in internationalen Projekten interessieren könnte. Dabei geht es nicht speziell um IT sondern um alle möglichen Projekte, vom Hausbau, über Bahnhöfe, Flughäfen oder

Weiterlesen »

2022 wird ein spannendes Jahr!

🔸2022 wird ein spannendes Jahr. Während ich mich in den letzten Monaten doch sehr auf den Datenschutz konzentriert habe, werde ich im neuen Jahr meinen fachlichen Radius wieder etwas weiter ziehen. 🔸Datenschutz wird weiterhin ein großer fachlicher Schwerpunkt bleiben, genauso

Weiterlesen »

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Immer gut informiert mit unserem Newsletter

Wenn Sie über die neuesten Entwicklungen rund um die rechtskonforme Verarbeitung von Daten informiert werden wollen, möchte ich Ihnen meinen Newsletter gerne ans Herz legen. In Abständen von vier bis sechs Wochen werden Sie von mir auf dem Laufenden gehalten.