Auch im zweiten Jahr nach Gültigkeit der EU-Datenschutz-Grundverordnung (DSGVO) entwickelt sich das Datenschutzrecht dynamisch weiter. Für Unternehmen ist es entscheidend, die Entwicklungen genau zu verfolgen, um mögliche Risiken für die eigene Tätigkeit frühzeitig zu erkennen und darauf reagieren zu können. In diesem Beitrag geben wir einen kurzen Ausblick auf die Themenfelder, welche im Jahr 2020 voraussichtlich besonders im datenschutzrechtlichen Fokus stehen werden.
Bußgeldrisiken
Nachdem die datenschutzrechtlichen Aufsichtsbehörden in Deutschland nach Einführung der DSGVO bei der Verhängung von Bußgeldern zunächst vorsichtig vorgegangen sind, gab es im letzten Jahr auch in Deutschland das erste zweistellige Millionenbußgeld. Zudem haben die Datenschutzaufsichtsbehörden Ende 2019 ein Bußgeldbemessungskonzept vorgestellt, welches künftig einen spürbaren Anstieg der Bußgeldhöhen erwarten lässt.
Wir rechnen deshalb damit, dass sich der Trend steigender Bußgeldhöhen auch im Jahr 2020 fortsetzen wird. Spannend wird dabei sein, wie die Gerichte derartig hohe Bußgelder bewerten werden. Zweifel gibt es insbesondere bei der Frage, inwiefern die verhängten Millionenbußgelder noch dem Grundsatz der Verhältnismäßigkeit entsprechen.
Zahlreiche Schadensersatzklagen
Als weiteres Risiko neben datenschutzrechtlichen Bußgeldern entwickeln sich für Unternehmen zunehmend datenschutzrechtliche Schadensersatzklagen. Zwar sprechen die deutschen Gerichte bei immateriellen Schäden durch Datenschutzverletzungen dem Betroffenen bislang meist nur geringe Ansprüche zu. Dennoch können sich diese bei einer großen Anzahl an betroffenen Personen für Unternehmen zu einem beachtlichen finanziellen und rufschädigenden Risiko entwickeln.
So gab es nach dem kürzlich bekanntgewordenen Datenleck bei einer Autovermietung binnen Stunden erste Internetseiten, die Verbrauchern anboten, sie bei der Durchsetzung ihrer möglichen Schadensersatzansprüche ohne eigenes Kostenrisiko und eigenen Zeitaufwand zu unterstützen. Bei der Bearbeitung solcher Massenverfahren setzen diese Anbieter zunehmend Legal Tech-Lösungen ein, welche für sie auch Verfahren mit einem geringen Streitwert lohnend machen. Wir rechnen daher damit, dass solche Verfahren künftig jeden größeren publik gewordenen Datenschutzverstoß begleiten werden.
Cookies und Website-Analyse
Viel getan hat sich im letzten Jahr bei der rechtlichen Bewertung des Einsatzes von Cookies und anderen Tracking-Mechanismen. Der EuGH hat klargestellt, dass eine Opt-Out-Möglichkeit auch beim Einsatz von Cookies keine rechtswirksame Einwilligung darstellen kann. Wir gehen davon aus, dass die Aufsichtsbehörden diese Vorgabe im Jahr 2020 verstärkt prüfen werden.
Zusätzlich haben einige Aufsichtsbehörden vor dem Einsatz von Google Analytics ohne vorherige Einholung einer Einwilligung der Nutzer gewarnt. Angesichts dieser öffentlichen Warnungen, rechnen wir zu Beginn des Jahres mit verstärkten Kontrollmaßnahmen der Aufsichtsbehörden beim Einsatz solcher Analyse-Lösungen.
Cyber-Sicherheit
Einer neuen Studie zufolge, sehen die meisten Unternehmen für das Jahr 2020 die größten Risiken für das eigene Geschäft durch mögliche Cyber-Vorfälle. Immer häufiger greifen Kriminelle aus der ganzen Welt die IT-Infrastruktur deutscher Unternehmen gezielt an. Neben datenschutzrechtlichen Risiken stehen für Unternehmen dabei natürlich auch die Risiken des Verlustes von Betriebsgeheimnissen oder von Betriebsausfällen im Vordergrund. Für Unternehmen ist es daher immer wichtiger, eine solide IT-Sicherheitsstrategie zu verfolgen und einen Maßnahmenplan für den Fall von Cybervorfällen vorbereitet zu haben.
Neue Technologien
Für Unternehmen bieten sich künftig enorme Möglichkeiten durch den Einsatz neuer technologischer Möglichkeiten, wie der Blockchain, der Künstlichen Intelligenz, Big Data oder dem Internet of Things („IoT“). Wichtig für den Einsatz dieser Technologien wird sein, dass diese nicht nur den Anforderungen an die IT-Sicherheit genügen, sondern auch sonstige datenschutzrechtliche Anforderungen umsetzen. Den Aspekt sollten Unternehmen bereits bei der Entwicklung neuer Lösungen oder der Prüfung verschiedener Möglichkeiten berücksichtigen („Privacy by Design“). Dabei müssen Unternehmen solche Lösungen bevorzugen, die möglichst wenige personenbezogene Daten verarbeiten (bspw. durch frühzeitige Anonymisierung).
Sonstige Themen
Auch andere Bereiche werden aus datenschutzrechtlicher Sicht im Jahr 2020 spannend bleiben. Insbesondere die Rechtsprechung deutscher Instanzgerichte wird dabei mit Sicherheit einiges an Überraschungen bieten. Unternehmen sollten beispielsweise die Entwicklung der Rechtsprechung zum Umfang des Auskunftsanspruchs genauso verfolgen wie die Frage der Abmahnbarkeit von Datenschutzverstößen durch Konkurrenten. Ebenso sollten Unternehmen – gerade im Zusammenhang mit dem nun feststehenden Brexit – die Entwicklung beim Datentransfer in EU-Drittländer verfolgen, insbesondere die Entscheidung des EuGH zur Gültigkeit von EU-Standardvertragsklauseln im Fall Schrems.
Fazit
Die datenschutzrechtliche Situation von Unternehmen stellt sich künftig keineswegs einfacher dar. Während die möglichen Risiken bei Datenschutzverstößen deutlich ansteigen, sind viele rechtliche Fragen zur konkreten Umsetzung der hohen Anforderungen weiterhin nicht eindeutig beantwortet. Für eine risikoangemessene Umsetzung der datenschutzrechtlichen Anforderungen ist es daher für Unternehmen entscheidend, die aktuellen Entwicklungen genau im Blick zu behalten und auf Änderungen gegebenenfalls schnell zu reagieren. Datenschutz ist nicht nur deshalb mehr denn je ein bedeutendes Compliance-Thema.