Datenschutz 2023/2024: Dauerbrenner-Themen ohne Ende und spannende neue Entwicklungen

ZD 2023, 1     Liebe Leserinnen und liebe Leser,

wir wissen nicht, wie es Ihnen geht, aber für uns ist das Jahr 2023 rasend schnell vorbeigegangen und Sie halten bereits die erste Ausgabe für das Jahr 2024 in Ihren Händen.

Wie einige von Ihnen vielleicht bemerkt haben, kam Christine Völker-Albert Mitte 2023 als Redakteurin zu uns in die Redaktion. Wir freuen uns sehr über diese großartige Unterstützung! Sie betreut neben dem Heft vor allem auch unseren weiterhin sehr erfolgreichen Newsdienst ZD-Aktuell, den Sie sicherlich als ZD-Leserschaft oder auch als Modulnutzer von beck.online.DIE DATENBANK kennen und abonniert haben. Falls nicht und Sie Ihre persönliche Freischaltnummer nicht mehr auffinden können, dann rufen Sie unsere Kunden-Hotline unter 089/38389-750 an, dort hilft man Ihnen gerne weiter!

Lassen Sie uns nochmals auf 2023 zurückschauen und auf die Themen des vergangenen Jahres zurückblicken:

Zu Beginn 2023 stand die schon fast in Vergessenheit geratene Google-Fonts-Abmahnwelle noch im Fokus von Rechtsanwälten und Gerichten - Kristin Benedikt und Isabell Conrad beleuchteten dies im Editorial der Januar-Ausgabe 2023. Ulrich Baumgartner gab dazu im März einen Zwischenruf ab. Inzwischen - so scheint es - ist hier Ruhe eingekehrt.

Spannende Themen des vergangenen Jahres waren außerdem die datenschutzkonforme Digitalisierung in Schulen, die Datenverarbeitung bei wissenschaftlicher Forschung an staatlichen Hochschulen, die Datensicherheit in autonomen Fahrzeugen, der Datenschutz bei Wahl- und Abstimmungswerbung oder die Frage, wie Datenschutz-Einwilligungen reduziert werden können. Auch die Orientierungshilfen der Datenschutzkonferenz (DSK) werden in den Fokus der Beiträge gerückt, zB zum Thema Telemedien, ebenso wie Ausführungen zu mit Art. 15 DS-GVO in Verbindung stehenden Fragen wie dem Auskunftsersuchen des Beschuldigten bei internen Ermittlungen.

Aus unternehmerischer Perspektive sind insbesondere Themen wie das Datenpannenmanagement im Unternehmen, die Messbarkeit von Datenschutzmanagement - also die Frage, wie die Effektivität von Datenschutzmanagementsystemen anhand von Reifegraden und Leistungskennzahlen (KPIs) bemessen werden kann -, datenschutzrechtliche Fragen beim Newsletter-Marketing, ein praxisgerechter Umgang mit der Verfremdung personenbezogener Daten oder sog. Schwarzen Listen sowie die Vor-Ort-Kontrolle durch Aufsichtsbehörden von großer Relevanz. Welche datenschutzrechtlichen Fragen sich iRe Due Diligence stellen, beantworten gleich mehrere Beiträge. Aus einer arbeitsrechtlichen Perspektive wurden Themen wie das Fernmeldegeheimnis nach dem TTDSG oder die Frage, ob ChatGPT ein Thema für den Betriebsrat ist, näher beleuchtet.

Das datenschutzrechtliche Bußgeldrecht und das „Datenschutzstrafprozessrecht“ bildet die Beilage zum Augustheft 2023 mit vielen praktisch relevanten Beiträgen zu diesem Thema ab.

Neben diesen „Klassikern“ finden sich auch 2023 diverse „exotischere“ Themen in der ZD wieder. So wird in einigen Beiträgen ein Blick auf das ausländische Datenschutzrecht, zB in Singapur, China, Japan und Vietnam, geworfen, verbunden mit der Frage, ob Daten dorthin datenschutzkonform übermittelt werden können. Das Recht der Datenübertragbarkeit aus Art. 20 DS-GVO stellt die Verantwortlichen weiterhin vor Herausforderungen. Nicht nur aus Compliance-Gründen, sondern auch für die gesellschaftliche Akzeptanz dieses „virtuellen Raums jenseits des Universums“ spielt der Datenschutz im Metaverse eine große Rolle (Bender-Paukens/Werry ZD 2023, 127). Ferner finden auch Fragen zum kirchlichen Datenschutz nach der DS-GVO und den spezialgesetzlichen Regelungen ihren Platz.

Im Zuge der Europäischen Datenstrategie wurden viele Rechtsakte - wie der Digital Markets Act (DMA), der Data Governance Act (DGA) und der Digital Services Act (DSA) - erlassen, die natürlich auch Auswirkungen im Bereich des Datenschutzes haben. Verschiedene Beiträge versuchen das Nebeneinander von DS-GVO und den Rechtsakten zu analysieren und einzuordnen. Auch die Rolle von Datenräumen, wie zB des European Health Data Space, wird skizziert und bewertet. Mit dem EU-US Data Privacy Framework v. 10.7.2023 wurde nach langem Ringen endlich ein Abkommen zwischen den Vereinigten Staaten von Amerika und der Europäischen Union zum Datenaustausch getroffen, das als Update des Privacy Shield vorerst eine datenschutzrechtlich zulässige Übermittlung von Daten ermöglicht. Ob es „gekommen ist, um zu bleiben?“, wird die Zukunft zeigen. Erste Klagen sind bereits beim EuGH anhängig - überraschend ist hierbei nur, dass der Kläger nicht (nur) Max Schrems ist. Die Komplexität der Datenschutzbestimmungen in den USA bleibt für viele europäische Unternehmen eine große Herausforderung, was durch einen Beitrag von Axel Spies näher beleuchtet wird.

Auch das Thema (generative) Künstliche Intelligenz (KI) spielte eine Rolle. Diverse Beiträge beleuchten die Anforderungen der DS-GVO bei der Einführung von KI-Anwendungen sowie die Anwendung von datenschutzfreundlichen Technologien (Privacy Enhancing Techologies - PET) im Zusammenhang mit der DS-GVO.

Ein Dauerbrenner innerhalb der Rechtsprechung war das Thema „Scraping“, das uns konstant durch das Jahr 2023 begleitete. In nahezu jeder Ausgabe wurde mindestens eine Entscheidung dazu veröffentlicht: Es muss ein konkreter immaterieller Schaden nachgewiesen werden, die bloße Verletzung einer datenschutzrechtlichen Vorschrift reicht zur Begründung eines Schadensersatzanspruchs ebenso wenig aus wie ein Gefühl des Unwohlseins. Inzwischen ist wohl nicht mehr viel Neues bei der Thematik zu erwarten, weshalb wir im Wesentlichen dazu übergehen werden, nur noch die Leitsätze zu veröffentlichen. Auch die Themen Datenverarbeitung, Datenspeicherung und Erstellung von Scorewerten bei privaten Wirtschaftsauskunfteien ziehen sich konstant durch die veröffentlichte Rechtsprechung.

Der EuGH hat 2023 diverse Vorlagefragen beantwortet, u.a. zur Verwertbarkeit von EncroChat-Nachrichten im Strafverfahren sowie in einer bedeutsamen Entscheidung am 30.3.2023 - C-34/21 zur Europarechtswidrigkeit von § 26 Abs. 1 S. 1 BDSG.

Was erwartet uns im Jahr 2024? Sicherlich werden uns viele der genannten Themen auch in diesem Jahr beschäftigen, zB alles rund um die KI-VO, um nur einen Themenkomplex zu nennen. Auch sorgen nicht nur die Entscheidungen der nationalen Gerichte, sondern gleichfalls die des EuGH für jede Menge Diskussionsstoff. Im Dezember 2023 hat der EuGH mit vielen wegweisenden Entscheidungen noch schnell vor Weihnachten viele neue Akzente gesetzt, die es im Jahr 2024 zu beleuchten gilt. Dies werden wir in der gewohnten Form in der ZD aufbereiten und abbilden.

Auch die bewährten und von allen sehr geschätzten Übersichten zum Auskunftsanspruch und Schadensersatz von Kevin Leibold werden wir sowohl im Newsdienst als auch auf der ZD-Homepage (www.zd-beck.de) fortführen.

Die DS-GVO ist eine große Errungenschaft in der europäischen Rechtsvereinheitlichung, aber sie ist nicht perfekt: 2024 steht daher auch im Zeichen der Evaluation der DS-GVO, die nach der ersten Evaluation im Jahr 2020 nun alle vier Jahre stattfinden soll.

Den Aufschlag für die erste Ausgabe in 2024 macht das Thema Ersatz für immaterielle Schäden wegen Datenschutzverstößen nach Art. 82 DS-GVO. Gregor Thüsing/Johannes Zhou stellen dabei fest, dass trotz der Antwort des EuGH aus dem Frühjahr 2023 u.a. die Frage offenbleibt, wer die Darstellungs- und Beweislast zu tragen hat und geben entsprechende Hinweise hierzu. Mit datenschutzrechtlichen Verstößen als Produktmangel nach §§ 327 ff. BGB setzt sich David Lang auseinander und erörtert die Frage, inwiefern ein Verstoß gegen die DS-GVO zugleich auch einen solchen Produktmangel darstellen kann und wie sich die unterschiedlichen Abhilfemöglichkeiten unterscheiden.

Gesundheits-Apps auf dem Prüfstand: Das Thema untersucht das Autorenteam Kohn/Freye/Bahrini/Herbst und prüft, ob die in den Datenschutzerklärungen genannten Drittländer und Empfänger mit denen der tatsächlichen Datenverarbeitung der Apps übereinstimmen. Wie richtet man ein Hinweisgebersystem ein und betreibt es unter Beachtung datenschutzrechtlicher Vorgaben in der Praxis? Unter Berücksichtigung datenschutzrechtlicher Implikationen des Hinweisgeberschutzgesetzes untersucht dies Markus Lang in seinem Beitrag.

Der Frage, ob es einen Anspruch auf eine kostenlose Kopie der Patientenakte gibt, geht Max Winnenburg in seiner Anmerkung zum EuGH nach. Ebenso beschäftigt sich Ermano Geuer in seiner Anmerkung zum ÖBVwG mit der Frage, wann eine Auskunftserteilung zu exzessiv ist.

Spannend in diesem Jahr wird aber auch, ob der alte auch der neue BfDI bleibt (das stand bis zum Redaktionsschluss noch nicht fest). Es wäre ein weiteres verheerendes Signal für den Datenschutz, wenn Datenschutzbeauftragte nicht wiedergewählt würden, die konstruktiv-kritisch die jeweiligen Vorhaben der (Bundes-/Landes-)Regierung begleiten, anstatt sie einfach durchzuwinken. In Zeiten wie diesen brauchen wir kompetente, kritische Köpfe und keinen politischen „Verschiebe-Bahnhof“. Auf Landesebene steht immer noch eine Entscheidung über die Benennung des Datenschutzbeauftragten in Sachsen-Anhalt aus (vgl. hierzu bereits Caspar ZD 2023, 577), und es steht die Neuwahl in Thüringen an. Es bleibt also auch hier spannend!

Wir befürchten, dass das Jahr 2024 gefühlt ebenso schnell vergehen wird wie 2023. Wir freuen uns darauf, für Sie die wichtigsten Themen zu suchen und Ihnen weiterhin einen bunten Strauß an unterschiedlichen Datenschutzthemen zu präsentieren.

Viel Spaß nun bei der Lektüre der vorliegenden Ausgabe wünschen

Anke Zimmer-Helfrich und Christine Völker-Albert