E-Mail-Marketing ohne Einwilligung – was ist erlaubt?

Newsletter erfreuen sich im Online-Marketing immer noch großer Beliebtheit. Der Versand per E-Mail ist ein kostengünstiger und schneller Weg Ihre Produkte und Dienstleistungen zu bewerben. Viele Unternehmen wollen diese Möglichkeit nutzen. Doch was sind die rechtlichen Rahmenbedingungen um Kund:innen per E-Mail zu kontaktieren? 

Ihr Unternehmen hat erfolgreich einen qualitativ hochwertigen E-Mail-Verteiler organisch aufgebaut. Ihre E-Mail-Vorlage ist ansprechend. Der Text Ihrer E-Mail-Kampagne ist eingängig geschrieben und für Ihre Zielgruppe relevant. Es scheint, als hätten Sie alles, was Sie brauchen, um Ihre E-Mail-Marketing-Kampagne zu starten. 

Bevor Sie jedoch mit dem Versenden von E-Mails beginnen, sollten Sie unbedingt die Zulässigkeit aus wettbewerbs- und datenschutzrechtlicher Sicht prüfen. Dass die werbliche Ansprache von Kund:innen per E-Mail auf Grundlage einer zuvor eingeholten ausdrücklichen Einwilligung möglich ist, ist mittlerweile weithin bekannt. Dennoch wissen viele Unternehmen nicht genau, was in diesem Bereich erlaubt ist und was nicht. Wir zeigen Ihnen, welche Rechte und Pflichten auf Sie zukommen und was Sie bei der Ansprache potenzieller Kund:innen zu Online-Marketing-Zwecken beachten müssen, um im Einklang mit deutschem und europäischem Recht zu sein. 

Werbung als unzumutbare Belästigung?

E-Mail-Werbung stellt gemäß § 7 Abs. 2 Nr. 2 UWG ohne vorherige ausdrückliche Einwilligung grundsätzlich eine unzumutbare Belästigung der Empfänger:innen dar. Dies gilt unabhängig davon, ob es sich dabei um eine Privatperson oder ein Unternehmen handelt.

Grundsatz: Keine Werbung ohne ausdrückliche Einwilligung

Keine Werbung ohne ausdrückliche Einwilligung – so lautet der Grundsatz. Da die Werbenden die Beweislast für das Vorliegen einer Einwilligung tragen, reicht nach Auffassung des Bundesgerichtshofs (BGH) die bloße Registrierung der E-Mail-Adresse auf der Homepage des Versenders oder der Versenderin („Single-Opt-In“) nicht aus (BGH, Urteil vom 10. 2. 2011 – I ZR 164/09). Denn dadurch kann ein Missbrauch durch Unbefugte nicht ausgeschlossen werden. In der Praxis hat sich deshalb die Bestätigung der einwilligenden Person im Wege des sogenannten Double-Opt-In-Verfahrens etabliert. Dabei erhält die einwilligende Person nach der Übermittlung eine E-Mail, in der sie die Einwilligung durch das Anklicken eines Links bestätigt.

Zufriedenheitsbefragungen und Inbox-Werbung

Auch Zufriedenheitsbefragungen oder Produktempfehlungen, die in der Signaturzeile einer E-Mail enthalten sind, stellen Werbung dar. Das gilt nach Ansicht des BGH auch dann, wenn die Feedbackanfrage oder die Produktempfehlung im Zusammenhang mit einer notwendigen Kommunikation mit den Kund:innen, wie beispielsweise dem Rechnungsversand oder einer Bestätigungsmail erfolgt (BGH, Urteil vom 10.7.2018 – VI ZR 225/17).

Das Einwilligungserfordernis gilt im Übrigen auch dann, wenn im Posteingang eines E-Mail-Postfachs Werbung angezeigt wird, die der Form einer echten E-Mail ähnelt. Auf Vorlage des BGH, hat der Europäische Gerichtshof (EuGH) entschieden, dass es sich insoweit um elektronische Post – so der entsprechende Rechtsbegriff in § 7 Abs. 2 Nr. 2 UWG – handelt (EuGH, Urteil vom 25.11.2021 – C-102/20).

Ausnahme: Bestandskundenwerbung per E-Mail

Das Gesetz sieht jedoch eine Ausnahme von diesem Grundsatz vor. § 7 Abs. 3 UWG erlaubt Unternehmer:innen unter bestimmten Voraussetzungen E-Mail-Werbung ohne ausdrückliche Einwilligung zu versenden, wenn es sich bei den Empfänger:innen der E-Mail um Bestandskund:innen handelt. Dahinter steht die Überlegung, dass jemand, mit dem eine Geschäftsbeziehung besteht, wahrscheinlich auch an anderen ähnlichen Produkten und Dienstleistungen interessiert ist und darüber informiert werden möchte. Dafür müssen fünf Voraussetzungen nebeneinander vorliegen:

Im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung

Auch wenn sich dies aus dem Wortlaut der Vorschrift nicht ausdrücklich ergibt, knüpft das Gesetz daran an, dass zwischen dem Unternehmer oder der Unternehmerin und dem Empfänger oder der Empfängerin der E-Mail bereits ein Vertragsverhältnis bestehen muss. Eine lediglich vorvertragliche Geschäftsbeziehung, insbesondere die bloße Vertragsanbahnung, reicht nicht aus. Hat also jemand nur um die Zusendung von Produktinformationen gebeten oder die Ware nur in den Warenkorb gelegt, ohne die Bestellung abzuschließen, liegt noch keine bestehende Geschäftsbeziehung vor. Auch die bloße Einrichtung eines Kund:innenkontos reicht nach § 7 Abs. 3 Nr. 3 UWG nicht aus. 

Der Unternehmer oder die Unternehmerin muss die Adresse des Kunden oder der Kundin direkt von diesem bzw. dieser erhalten haben. Es reicht nicht aus, wenn der Unternehmer oder die Unternehmerin die Adresse aus anderen Quellen oder von Dritten erhalten hat.

Werbung nur für eigene ähnliche Waren oder Dienstleistungen

Die größte Herausforderung für Unternehmen stellt in der Regel die zweite Voraussetzung des § 7 Abs. 3 UWG dar. Es dürfen nur eigene Waren oder Dienstleistungen beworben werden, die dem bereits erworbenen Produkt ähnlich sind. Bei der Beurteilung, was als ähnliches Produkt anzusehen ist, ist die Rechtsprechung sehr streng. Zum Teil wird eine „Austauschbarkeit“ der Produkte gefordert oder dass die Produkte „demgleichen oder zumindest einem ähnlichen Bedarf oder Verwendungszweck“ dienen. Danach wäre es beispielsweise zulässig, einem Kunden oder einer Kundin, der bzw. die französischen Rotwein bestellt hat, künftig per E-Mail auch Werbung für Rotwein aus Neuseeland zuzusenden. Wer einen Hotelaufenthalt im Spreewald per E-Mail gebucht hat, dem könnte auch Werbung für ein Hotel in der Pfalz geschickt werden.

Achtung: Werbung für das gesamte Sortiment ist dagegen nicht von § 7 Abs. 3 Nr. 2 UWG erfasst. Auch die Zusendung eines Gutscheins, der im Online-Shop des Versendenden eingelöst werden kann, fällt nicht unter diese Norm.

Und wie verhält es sich bei Zubehör- und Ergänzungsangeboten?

Grundsätzlich erscheint es vertretbar, unter der Ausnahme für Bestandskund:innen auch Werbung für funktionell zusammengehörige Waren wie Zubehör- und Ergänzungswaren zuzulassen. Wer beispielsweise einen Drucker gekauft hat, wird in der Regel auch am Kauf von Toner oder Tinte interessiert sein. Nach den von der Rechtsprechung entwickelten Kriterien der „Austauschbarkeit der Produkte“ oder dem „Dienen der Produkte zum gleichen oder zumindest ähnlichen Bedarf oder Verwendungszweck“ dürfte in diesem Fall unproblematisch von einer Warenähnlichkeit auszugehen sein. Nicht mehr zulässig dürfte hingegen die Werbung für andere Elektronikartikel wie etwa Mobiltelefone sein.

Kein Widerspruch des Kunden

Der Kunde oder die Kundin darf der Verwendung seiner bzw. ihrer E-Mail-Adresse zum Empfang von Werbung nicht widersprochen haben. Dieser Widerspruch kann auf jedem Kommunikationsweg oder auch mündlich erfolgen. Daher kann nach derzeitiger Rechtsprechung von Kund:innen auch nicht verlangt werden, dass sie neben einem Widerspruch in Textform auch Einstellungen in einem Verwaltungssystem für Kund:innen ändern (AG München, Urteil vom 05.08.2022 – 142 C 1633/22). Widersprüche sind zu protokollieren und bei zukünftigen Werbemails zu berücksichtigen.

Klarer und deutlicher Hinweis auf das Widerspruchsrecht

Die vierte Voraussetzung ist besonders wichtig. Das werbende Unternehmen muss die Kund:innen sowohl bei der Erhebung als auch bei jeder Verwendung der E-Mail-Adresse klar und deutlich darauf hinweisen, dass sie der Verwendung jederzeit kostenlos widersprechen können. In jedem Fall dürfen die Kosten für die Übermittlung des Widerspruchs die Kosten des Basistarifs nicht übersteigen. Zu diesem Zweck müssen die Unternehmen den Kund:innen jeweils eine entsprechende Kontaktadresse benennen. Der Widerspruch selbst sollte direkt aus der E-Mail heraus möglich sein. Dies lässt sich am einfachsten über einen Abmeldelink umsetzen, der ohne weitere Zwischenschritte zu einem Blacklisting der betreffenden E-Mail-Adresse führt.

Achtung: Werbung an Bestandskund:innen muss genauso wie sonstige Werbe-E-Mails auch inhaltlich rechtskonform ausgestaltet sein. Insbesondere muss die Identität des Absenders oder der Absenderin auf den ersten Blick klar erkennbar sein (vgl. § 7 Abs. 2 Nr. 4 UWG). Darüber hinaus muss der Betreff der E-Mail den Inhalt der Nachricht korrekt wiedergeben und erkennen lassen, dass es sich um eine Werbe-E-Mail handelt. Schließlich gilt auch hier die Impressumspflicht.

Was ist in Sachen DSGVO zu beachten?

Die DSGVO enthält zwar keine Regelung, die sich explizit auf das wettbewerbsrechtliche Privileg von Bestandskund:innen bezieht, jedoch kommen hier die berechtigten Interessen des werbenden Unternehmens gemäß Art. 6 Abs. 1 Satz 1 lit. f DSGVO als rechtfertigende Grundlage in Betracht. Nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO muss die Verarbeitung zur Wahrung der berechtigten Interessen des werbenden Unternehmens erforderlich sein und die Interessen der betroffenen Personen dürfen nicht überwiegen. Auch wenn die DSGVO hierzu keine detaillierten Regelungen enthält, stellt jedenfalls Erwägungsgrund 47 der DSGVO klar, dass die Datenverarbeitung zum Zwecke der Direktwerbung als eine Verarbeitung angesehen werden kann, die einem berechtigten Interesse dient.

Auf Seiten der Interessen der Betroffenen ist insbesondere entscheidend, was diese im Einzelfall subjektiv erwarten, aber auch, was objektiv vernünftigerweise erwartet werden kann und darf. Unternehmen sollten daher ihre Kund:innen frühzeitig und transparent über Bestandskund:innenwerbung im Rahmen der Datenschutzhinweise informieren. Die Datenschutzbehörden berücksichtigen im Rahmen der Interessenabwägung auch die Wertungen des UWG. Überwiegende schutzwürdige Interessen der Empfänger:innen sind demnach in der Regel nicht gegeben, wenn das werbende Unternehmen auch die in § 7 Abs. 3 UWG enthaltenen Vorgaben für E-Mail-Werbung einhält. Andererseits dürften die schutzwürdigen Interessen der Empfänger:innen regelmäßig überwiegen, wenn die in § 7 Abs. 3 UWG genannten Voraussetzungen nicht vorliegen.

Feedbackanfragen als zulässige Bestandskund:innenwerbung?

Da Zufriedenheitsbefragungen von Kund:innen nach Ansicht des BGH grundsätzlich als Werbung einzustufen sind, stellt sich zwangsläufig die Frage, ob solche Anfragen auf der Grundlage des § 7 Abs. 3 UWG versandt werden dürfen. In der Regel dürfte es sich bei Feedbackanfragen um allgemeine Imagewerbung für ein Unternehmen und nicht um Direktwerbung für eigene ähnliche Waren oder Dienstleistungen handeln. Eine andere Beurteilung kann sich jedoch dann ergeben, wenn eine Bewertungsaufforderung in unmittelbarem Zusammenhang mit einem zuvor erworbenen Produkt versandt wird und die Bewertung für dieses Produkt erbeten wird, um künftige Geschäfte über ähnliche Produkte zu fördern. Nach den von der Rechtsprechung entwickelten Kriterien der „Austauschbarkeit der Produkte“ oder dem „Dienen der Produkte zum gleichen oder zumindest ähnlichen Bedarf oder Verwendungszweck“ dürfte auch in diesem Fall von einer Warenähnlichkeit auszugehen sein. Auch der BGH hat sich zumindest offen für eine solche Auslegung gezeigt, auch wenn er die Frage in dem der Entscheidung zugrunde liegenden Fall nicht abschließend zu beantworten hatte (BGH, Urteil vom 10.07.2018 – VI ZR 225/17). Unternehmen, die jegliches Risiko vermeiden wollen, sollten für Kundenzufriedenheitsbefragungen generell eine Einwilligung der Kundinnen und Kunden einholen.

Mit welchen Konsequenzen müssen Unternehmen bei Verstößen rechnen?

Ist der Empfänger oder die Empfängerin der unerwünschten Werbe-E-Mail ein Verbraucher oder eine Verbraucherin, kann dieser bzw. diese sich grundsätzlich auf einen Eingriff in sein bzw. ihr allgemeines Persönlichkeitsrecht berufen. Handelt es sich bei dem Empfänger der E-Mail um ein Unternehmen, kann ein Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb vorliegen. Das werbende Unternehmen muss daher mit der Geltendmachung von zivilrechtlichen Unterlassungs- und Schadensersatzansprüchen durch betroffene Empfänger:innen rechnen (§§ 823 Abs. 1, 1004 Abs. 1 Satz 2 BGB analog). Verstöße gegen wettbewerbsrechtliche Vorschriften wie § 7 UWG können zudem von Konkurrent:innen sowie Wirtschafts- und Verbraucherverbänden abgemahnt werden. Im Falle einer berechtigten anwaltlichen Abmahnung ist das werbende Unternehmen verpflichtet, die notwendigen Anwaltskosten zu erstatten. Darüber hinaus drohen bei einer rechtswidrigen Datenverarbeitung Maßnahmen der Aufsichtsbehörden, wie z.B. die Verhängung von Bußgeldern. Zudem können Datenschutzverstöße zu immateriellen Schadensersatzansprüchen der Betroffenen führen.

Empfehlungen für die Praxis

Um Schäden zu vermeiden, sollten Unternehmen ihre Prozesse sorgfältig und entsprechend den genannten Voraussetzungen ausgestalten und regelmäßig überprüfen. Möchten Sie sich auf die Ausnahmeregelung des § 7 Abs. 3 UWG berufen, ist darauf zu achten, dass die betreffenden Kund:innen bereits bei der Erhebung ihrer E-Mail-Adresse auf die Direktwerbung sowie die Widerspruchsmöglichkeit hingewiesen werden müssen. Hierzu bietet sich ein sichtbarer Hinweis direkt unter dem Feld für die Angabe der E-Mail-Adresse an. Bevor den Kund:innen Produktempfehlungen per E-Mail übermittelt werden, muss jeweils geprüft werden, ob kein Widerspruch eingelegt worden ist. Bei der Auswahl der beworbenen Produkte ist erhöhte Vorsicht geboten. Es muss sichergestellt werden, dass nur ähnliche Produkte und Dienstleistungen des Versenders beworben werden. Schließlich sollte in jeder E-Mail ein leicht erkennbarer Hinweis auf das jederzeit bestehende Widerrufsrecht aufgenommen werden.

Achtung: Erfahrungsgemäß scheitert die Zulässigkeit von Bestandskund:innenwerbung am häufigsten am fehlenden Hinweis bei der Datenerhebung.

Was sollten Sie also vor Start ihrer E-Mail-Werbekampagne beachten?

Überprüfen Sie, ob es sich bei E-Mail-Adressen in Ihrem Verteiler um Kontakte von Bestandskund:innen handelt oder ob eine ausdrückliche Einwilligung vorliegt. Gehen Sie sicher, dass Ihnen kein Widerspruch vorliegt. Sofern der Kunde oder die Kundin sowohl bei der Erhebung seiner bzw. ihrer E-Mail-Adresse als auch in jeder Werbemail auf das Widerspruchsrecht hingewiesen wird, ist Werbung für ähnliche und passende Produkte zulässig. Gehen Sie sicher, dass die Werbung auf eindeutig ähnliche Produkte beschränkt ist.

Wir beraten Sie zur rechtskonformen Nutzung von Datenbeständen zu Marketingzwecken insbesondere zum Aufbau und zur Überprüfung von Kundenbindungs- und Loyaltyprogrammen. Gerne unterstützen wir Sie auch bei der Implementierung datenschutzkonformer Customer-Relationship-Managementsysteme.

Auf einen Blick: Relevante Entscheidungen des EuGH zum Datenschutzrecht

Um angemessen auf aktuelle Entwicklungen im Datenschutzrecht reagieren zu können, ist es essenziell, die relevante Rechtsprechung des Europäischen Gerichtshofs (EuGH) im Auge zu behalten. Diese bietet wichtige Einblicke und Orientierung für den Umgang mit Datenschutzfragen und entwickelt sich kontinuierlich weiter. Gerade bei der Auslegung von autonomen Begriffen nach der Datenschutz-Grundverordnung (DSGVO) betont der EuGH auch stets, dass diese in allen Mitgliedstaaten einheitlich entsprechend den Vorgaben des EuGH ausgelegt werden müssen. Der EuGH hat insoweit über die letzten Jahre bereits eine Reihe wegweisender Urteile gefällt, die die Auslegung und Anwendung der DSGVO in den Mitgliedsstaaten maßgeblich beeinflusst haben.

Im Folgenden werden die aktuell bedeutendsten aktuellen Entscheidungen des EuGH im Bereich des Datenschutzrechts vorgestellt, wobei der neueste Beitrag stets oben angeführt wird.

Diese Entscheidungen betreffen verschiedenste Aspekte des Datenschutzes, wie beispielsweise die Übermittlung personenbezogener Daten in Drittländer, die Rechte betroffener Personen und die Verantwortlichkeiten von Unternehmen im Umgang mit personenbezogenen Daten. Es ist für Unternehmen und Organisationen ratsam, über die aktuellen Entwicklungen in der EuGH-Rechtsprechung informiert zu sein, um Prozesse und Praktiken entsprechend anzupassen und mögliche rechtliche Risiken minimieren zu können.

Sie haben Fragen zu aktuellen EuGH-Entscheidungen und benötigen datenschutzrechtliche Unterstützung? Zögern Sie nicht, uns zu kontaktieren.

Aktuelle Entscheidungen des EuGH zum Datenschutzrecht im Überblick

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Daten sind das Rückgrat des digitalen Zeitalters und spielen eine entscheidende Rolle bei der Gestaltung unseres digitalen und ökologischen Wandels. In einer Welt, in der täglich enorme Datenmengen generiert werden, bleibt das volle Potenzial dieser Ressource oft ungenutzt. Der Umgang mit diesen Daten, insbesondere die Frage der Datenrechte und eine gerechte Verteilung der Fähigkeiten für digitale Fortschritte, ist häufig unklar. Der seit dem 11.01.2024 in Kraft getretene Data Act, der umfassend ab dem 12.09.2025 Anwendung findet, zielt darauf ab, diesen Herausforderungen zu begegnen, indem er klare Richtlinien für den Zugang zu und die Nutzung von Daten vorgibt. Für Unternehmen und Verbraucher ergeben sich daraus neue Pflichten und Rechte, die wesentliche Auswirkungen auf die Praxis haben. Vor diesem Hintergrund bieten wir unseren Mandanten maßgeschneiderte Beratungsleistungen an, um die durch den Data Act entstehenden Herausforderungen und Möglichkeiten optimal zu nutzen. Wir helfen Ihnen, die Rechte und Pflichten, die sich aus dem Data Act ergeben, zu verstehen, geeignete Vertragsregelungen zu treffen und die Einhaltung der Datenschutzvorgaben sicherzustellen.

Die Vision des Data Acts: Freier Datenzugang und Innovation fördern

Der Data Act (dt. Datengesetz) ist in Form einer EU-Verordnung ausgestaltet. Europäische Verordnungen entfalten – im Gegensatz zu europäischen Richtlinien – unmittelbare Wirkung in den EU-Mitgliedstaaten, ohne dass es einer Umsetzung durch die einzelnen Mitgliedstaaten bedarf.

Die Verordnung harmonisiert Vorschriften für den fairen Zugang zu und der Nutzung von Daten. Damit soll er als „zweite Säule“ der europäischen Datenstrategie gelten, deren Ziel es ist, durch neue Regelungen das wirtschaftliche Potential der wachsenden Datenmenge besser zu nutzen und einen wettbewerbsfähigen Datenmarkt zu fördern. Als „erste Säule“ wird der sog. Data Governance Act verstanden, welcher seit September 2023 gilt. Während der Data Governance Act Prozesse und Strukturen regelt, die den freiwilligen Datenaustausch ermöglichen, wird im Data Act klargestellt, wer aus Daten Wert schaffen kann und unter welchen Bedingungen. 

Der Data Act befasst sich im Wesentlichen damit, dass unter anderem Nutzer von vernetzten Geräten, Maschinen oder sonstigen Produkten darüber entscheiden können, wie mit den gewonnenen Daten umgegangen werden soll, an deren Entstehung sie mitgewirkt haben.

Wer wird vom Data Act betroffen? Ein Überblick

Sachlicher Anwendungsbereich

Der Data Act betrifft Daten, die bei der Nutzung von vernetzten Produkten oder verbundenen Diensten erzeugt werden, vor allem auch von solchen Daten, die nicht personenbezogen sind, womit der Anwendungsbereich insoweit über den der DSGVO hinausgeht. 

In Art. 2 Data Act findet sich eine Reihe von Begriffsdefinitionen, die die Elemente des sachlichen Anwendungsbereiches definieren und damit auch näher abgrenzen. Unter die Verordnung fallen danach IoT- oder IIoT-Geräte, also Produkte, die durch ihre vernetzten Funktionen Daten über die Umgebung erlangen, erzeugen oder sammeln können. Nicht jedoch beispielsweise Tablets, Smartphones, Kameras, Webcams oder Textscanner. Denn bei ihnen ist ein menschlicher Beitrag zur Generierung von Daten notwendig, während dies bei den zuerst genannten Geräten vollständig automatisiert möglich ist.

Adressaten des Data Act

Der Data Act richtet sich insbesondere an Hersteller von vernetzten Produkten und Anbieter verbundener Dienste sowie an deren Nutzer, außerdem an Dateninhaber und öffentliche Stellen. Der Sitz des Unternehmens spielt keine Rolle: es gilt das Marktortprinzip. 

Unter Nutzer eines Produktes fallen juristische wie auch natürliche Personen – also zum Beispiel Unternehmen oder Verbraucher, soweit diese das Produkt gekauft, gemietet oder geleast haben. Allerdings ist für Kleinst- oder Kleinunternehmen (KMU) eine Privilegierung vorgesehen, wonach insbesondere die Pflichten des Kapitel II (Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen) diese nicht treffen.

Neue Spielregeln: Rechte und Pflichten für Unternehmen unter dem Data Act

Für den B2C- und B2B-Bereich hält Kapitel II des Data Act wichtige Regelungen bereit, die die Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen betreffen. 

Eine der zentralen Pflichten des Data Act ist die in Art. 3 Data Act geregelte Pflicht der Zugänglichmachung von bei der Nutzung von vernetzten Produkten oder verbundenen Diensten erzeugten Daten. Insbesondere Art. 3 Abs. 1 Data Act nimmt den Gedanken des Access by Design auf. 

Im direkten Anschluss, in Art. 3 Abs. 2 Data Act, findet sich eine weitere wichtige Regelung: die vorvertragliche Informationspflicht vor dem Abschluss eines Kauf-, Miet- oder Leasingvertrages für ein IoT-Produkt. Die transparente Darstellung relevanter Informationen soll zur Fairness für den Nutzer beitragen. So müssen dem Nutzer u.a. Informationen wie Art, Format und geschätzter Umfang der Produktdaten sowie Informationen darüber, ob das vernetzte Produkt in der Lage ist, kontinuierlich und in Echtzeit Daten zu generieren, in verständlicher und klarer Form zur Verfügung gestellt werden. 

Eine weitere wesentliche Norm stellt Art. 4 Data Act dar. Er regelt das Recht der Nutzer und Dateninhaber auf Zugang zu den Produktdaten und verbundenen Dienstdaten sowie das Recht auf deren Nutzung. Dieses Recht zielt darauf ab, dem Nutzer transparent seine Zugänglichkeitsrechte zu eröffnen und dabei aber den fairen Wettbewerb nicht aus dem Blick zu verlieren, in dem auch Regelungen zu Geschäftsgeheimnissen oder Entwicklung von Produkten mitbedacht wurden. 

Zu beachten ist auch, dass Dateninhaber nach Art. 4 Abs. 13 Data Act ohne Weiteres verfügbare Daten, bei denen es sich nicht um personenbezogene Daten handelt, nur auf der Grundlage einer vertraglichen Vereinbarung mit dem Nutzer verarbeiten oder nutzen dürfen. Ohne Weiteres verfügbare Daten im Sinne der Verordnung sind Produktdaten und verbundene Dienstdaten, die ein Dateninhaber ohne unverhältnismäßigen Aufwand von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann. Die Vorschrift macht damit gegebenenfalls den Abschluss von Datenlizenzverträgen erforderlich. 

Auch Art. 5 Data Act befasst sich mit dem Datenverkehr und regelt die Herausgabe von Daten an Dritte, die auf Verlangen des Nutzers zu erfolgen hat. 

Darüber hinaus sieht die Verordnung ein Verbot missbräuchlicher Klauseln vor. Art. 13 Data Act regelt den Umgang mit missbräuchlichen Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung, die gegenüber einem Unternehmen einseitig auferlegt werden. Insoweit handelt es sich um eine wettbewerbs- bzw. kartellrechtliche Komponente des Data Act. Die vereinbarten Vertragsklauseln sollen die Fairness in der Datenwirtschaft und auf dem Markt fördern. 

Eine weitere bedeutende Regelung, um die Ziele des Data Act zu erreichen, sind die Vorschriften zur Interoperabilität (Kapitel VIII). Interoperabilität im Sinne dieser Verordnung ist – vereinfacht gesagt – die Fähigkeit verschiedener Systeme, vernetzter Produkte oder Anwendungen, Daten auszutauschen und zu nutzen, um ihre Funktion zu erfüllen. Der Data Act verlangt, dass Dienste mit offenen Standards und Schnittstellen kompatibel sein müssen, um so die Interoperabilität zwischen den Diensten zu erhöhen. Dadurch soll die Erleichterung des Wechsels zwischen Cloud- und Edge-Diensten erreicht werden. 

In diesem Zusammenhang ist auch das Recht der Kunden zu sehen, künftig kostenlos zwischen verschiedenen Datenverarbeitungsdiensten zu wechseln und alle ihre exportierbaren Daten auf einen neuen Dienst zu übertragen. Kapitel VI des Data Act, das den Wechsel zwischen Datenverarbeitungsdiensten regelt, sieht unter anderem vor, dass keine Hindernisse für den Wechsel des Anbieters bestehen dürfen. Datenverarbeitungsdienste müssen ihre Kunden beim Wechsel unterstützen, unter anderem durch angepasste Vertragsklauseln und Informationspflichten. Nach einem Wechsel gilt der Vertrag mit dem bisherigen Anbieter als beendet – die Regelungen können daher zu außerordentlichen Kündigungsrechten führen. 

Die Verpflichtungen aus dem Data Act können von den Kunden vertraglich und von den Mitgliedstaaten durch Sanktionen durchgesetzt werden. Bei Verstößen drohen Bußgelder, die auf Methoden basieren, die bereits aus der DSGVO bekannt sind. Diese können bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen.

Data Act und DSGVO: Navigieren im Regelungsdickicht

Neben dem Data Act bleibt die DSGVO uneingeschränkt anwendbar. Werden also personenbezogene Daten erhoben, die auch in den Anwendungsbereich des Data Act fallen, sind beide Regelungen zu beachten. Insbesondere bedarf die Verarbeitung personenbezogener Daten einer gesetzlichen Grundlage. Der Data Act stellt klar, dass die Verarbeitung personenbezogener Daten im Einklang mit den Bestimmungen der DSGVO erfolgen muss, stellt aber selbst keine Rechtsgrundlage für die Datenverarbeitung dar. In der Praxis wird daher in den meisten Fällen weiterhin eine Einwilligung nach der DSGVO erforderlich sein. Insofern muss bei Auslegung und Anwendung des Data Act immer auch die DSGVO im Blick behalten werden,

Darüber hinaus sind bei der Interkation mit IoT-Daten auch die Anforderungen der KI-Verordnung zu berücksichtigen, welche voraussichtlich Mitte dieses Jahres in Kraft tritt. 

Nutzen Sie die Chancen des Data Acts: Strategien für die Zukunft

Der Data Act stellt einen Meilenstein in der europäischen Datenpolitik dar und bietet das Potential, die Nutzung von Daten im EU-Binnenmarkt signifikant zu erweitern. Mit seinen neuen Verpflichtungen richtet er sich an eine breite Palette von Akteuren, von Herstellern vernetzter Produkte bis hin zu öffentlichen Stellen. Während der Data Act vielfältige Möglichkeiten eröffnet, bringt er auch komplexe Anforderungen mit sich, die Unternehmen und Verbraucher gleichermaßen betreffen. In Anbetracht der umfassenden Informationspflichten, der Notwendigkeit von Vertragsanpassungen und der spezifischen Regelungen für nicht-personenbezogene Daten ist es essenziell, sich frühzeitig mit den Bestimmungen auseinanderzusetzen. Unsere Expertise im Bereich des Data Acts ermöglicht es uns, Sie optimal bei der Umsetzung der neuen Regelungen zu unterstützen und sicherzustellen, dass Sie die Übergangsfrist bis 2025 effektiv nutzen können. Kontaktieren Sie uns, um zu erfahren, wie wir Ihnen helfen können, die Chancen des Data Acts zu nutzen und gleichzeitig die Compliance sicherzustellen.

KG Berlin: Immaterielle Schadensersatzansprüche aus Art. 82 DSGVO müssen konkret dargelegt werden

Das Kammergericht Berlin (KG Berlin) bestätigt mit Urteil vom 22.11.2023 in einem durch uns geführten Verfahren unter anderem erneut, dass betroffene Personen etwaige erlittene immaterielle Schäden nach Art. 82 DSGVO in konkret-individueller Weise darlegen müssen. Das Gericht hat damit die Abweisung der Klage gegen unsere Mandantin in der erstinstanzlichen Entscheidung des Landgerichts (LG Berlin) bestätigt. Geklagt hatte ein Legal Tech-Unternehmen, dessen Geschäftsmodell darin besteht, Verbrauchern ihre vermeintlich bestehenden datenschutzrechtlichen Ansprüche „abzukaufen“ und diese anschließend (gerichtlich) zu Geld zu machen. Im vorliegenden Fall verlangte das Legal Tech im Namen der von einem vermeintlichen Hackerangriff Betroffenen Auskunft (Art. 15 DSGVO) und machte aus abgetretenem Recht Schadensersatz gem. Art. 82 DSGVO geltend.

Auskunftsanspruch umfasst nicht von Hackerangriff betroffene Daten

Das KG Berlin schloss sich in der Berufungsinstanz der Begründung durch das erstinstanzliche Urteil des LG Berlin an. Das Landgericht hatte in seinem Urteil (Urt. v. 24.03.2023, Az. 38 O 221/22) insbesondere ausgeführt, dass Art. 15 DSGVO nicht ohne Weiteres solche Auskunftsverlangen umfasse, die sich auf die konkret betroffenen Daten eines Datenlecks beziehen, bei dem unautorisierte Dritte auf ebendiese Daten zugreifen. Dies sei etwa im Falle eines Hackerangriffs der Fall. Als Begründung wurde hierzu ausgeführt, dass etwaige im Rahmen eines Hackerangriffs abgegriffene Daten gerade nicht bei der Beklagten als Verantwortliche verarbeitet werden. Es gehe insofern „[…] um die Frage nach einer sich auch für die Beklagte als aufgezwungen darstellende Abschöpfung von Daten durch einen Dritten“. Auch wenn die Beklagte Ermittlungen zu den im Rahmen eines Angriffs abgeschöpften Daten angestellt haben mag, liege darin gerade keine Verarbeitung der Daten durch die Beklagte.

Auskunft nach Art. 15 DSGVO muss direkt an Betroffene verlangt werden

Das Kammergericht betont zudem, dass der Anspruch aus Art. 15 DSGVO nicht abtretbar sei; es müsse im Klageantrag stets eindeutig (direkt) Auskunft an die betroffene Person verlangt werden. Das kann so verstanden werden, dass etwa Legal Tech-Unternehmen, die Ansprüche bündeln und gegenüber Verantwortlichen geltend machen, Auskunft nach Art. 15 DSGVO lediglich direkt an die betroffene Person verlangen dürfen, nicht allerdings an sich selbst.

Auch macht das Kammergericht in Zustimmung mit der vorinstanzlichen Entscheidung des Landgerichts Berlin nochmals deutlich, dass der allgemeine Auskunftsanspruch nach § 242 BGB bei Anwendbarkeit der spezielleren Vorschriften der Art. 32 ff. DSGVO gesperrt sei.

Das könnte Sie auch interessieren:

• Unser Fokus: DSGVO und Schadensersatz
• BGH stellt EuGH bedeutende Fragen zum Unterlassungsanspruch und immateriellem Schadensersatz nach DSGVO
• EuGH-Urteil: Klarheit bei DSGVO-Schadensersatzansprüchen – Bedeutung und Auswirkungen für die Praxis
• Schadensersatz nach der DSGVO: die wichtigsten Fragen und Antworten

Konkreter Schaden im Rahmen von Art. 82 DSGVO notwendig

Zuletzt führt das KG Berlin aus, dass einem durch die Klägerin geltend gemachten Schadensersatzanspruch aus Art. 82 DSGVO der fehlende Vortrag in konkret-individueller Weise von Missbrauchsversuchen aufgrund der Datenabschöpfung betroffen zu sein – oder allein durch die Veröffentlichung der abgeschöpften Daten betroffen zu sein – entgegenstehe. Art. 82 DSGVO erfordere zwar gerade keine Erheblichkeitsschwelle; gleichwohl müssten Betroffene aber individuell die für sie negativen Folgen eines DSGVO-Verstoßes nachweisen. Es bedürfe der Darlegung eines konkreten und tatsächlichen immateriellen Schadens, der über einen ohnehin eingetretenen Kontrollverlust hinausgeht.

Fazit

Das Kammergericht Berlin macht in seinem jüngsten Urteil einmal mehr deutlich, dass zur Begründung eines Schadens i.S.v. Art. 82 DSGVO mehr vorgetragen werden muss als bloße Floskeln. Betroffene müssen konkrete und fundierte Angaben zum Schaden machen, anstatt nur allgemeine Aussagen zu treffen. Genau das fällt Legal Techs, die Ansprüche massenweise geltend machen, naturgemäß schwer. Aus wirtschaftlichen Gründen können die Begründungen meist nur an der Oberfläche kratzen. Für alles weitere lohnt der Aufwand nicht. Diesen pauschalen Darlegungsversuchen erteilt das Kammergericht eine Abfuhr. Das Urteil fügt sich damit in die Tendenz der aktuellen Rechtsprechung, welche das skizzierte Geschäftsmodell noch zum Einsturz bringen könnte, bevor es richtig losgeht.

Abzuwarten bleibt in diesem Kontext das Anfang Dezember erwartete Urteil des Gerichtshofs der Europäischen Union (EuGH) zur Frage, ob Sorgen und Befürchtungen des künftigen Missbrauchs von personenbezogenen Daten als immaterieller Schaden von Betroffenen im Rahmen des Art. 82 DSGVO gewertet werden können. Der Generalanwalt Giovanni Pitruzzella machte in seinen Schlussanträgen deutlich, dass dies grundsätzlich im Rahmen von Art. 82 DSGVO der Fall sein könne. Voraussetzung dafür sei aber, dass es sich um einen realen und sicheren emotionalen Schaden handele; ein bloßes Gefühl des Unwohlseins über den aufgetretenen Datenschutzverstoßes reiche nicht aus. Die Rechtslage im Kontext des Art. 82 DSGVO bleibt also weiterhin in Bewegung und sollte durch Unternehmen und Einrichtungen beobachtet werden.

Der transatlantische Datenschutzrahmen zwischen EU und USA: Aktuelles

In einer Pressemitteilung vom 10.07.2023 gab die Europäische Kommission bekannt, dass sie ihren Angemessenheitsbeschluss für den transatlantischen Datenschutzrahmen EU-USA angenommen hat. Dabei handelt es sich nun um den dritten Anlauf, die USA als sicheres Drittland für die Übertragung von personenbezogenen Daten von EU-Bürger:innen einzustufen.

Der vormals für Datenübermittlungen zwischen den USA und der Europäischen Union geltende Angemessenheitsbeschluss auf Basis des Privacy Shield wurde am 16.07.2020 vom Europäischen Gerichtshof (EuGH) durch das prominente Schrems II-Urteil für ungültig erklärt. Der neue transatlantische Datenschutzrahmen gewährleiste laut Ansicht der EU-Kommission die nötige Sicherheit des Datenverkehrs von EU-Bürger:innen und Unternehmen. Hierfür setzt der Angemessenheitsbeschluss auch auf Selbstverpflichtungen der USA zur Einschränkung des Datenzugriffs durch die US-Geheimdienste, die in der im Oktober 2022 erlassenen Executive Order festgelegt wurden. Ob das Abkommen nach den Schrems I- und Schrems II-Urteilen des EuGH einer erneuten rechtlichen Prüfung durch den EuGH standhalten würde, bleibt jedoch abzuwarten.

In diesem Artikel geben wir einen Überblick über alle aktuellen Entwicklungen und Antworten auf wichtige Fragen zum sicheren Datentransfer zwischen der EU und den USA und was sich in Zukunft für den Datentransfer ändern wird. Unsere Anwalt:innen unterstützen Sie bei der Erfüllung der notwendigen Verpflichtungen, um den neuen Anforderungen gerecht zu werden. Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.

Aktuelle Entwicklungen

Nicht einmal zwei Monate nach dem Erlass des neuen Angemessenheitsbeschlusses der EU-Kommission war hiergegen bereits eine erste Verfahren beim Gericht der Europäischen Union (EuG) in Luxemburg anhängig. Das daneben angestrengte Eilverfahren ist jedoch bereits gescheitert (Entscheidung vom 12.10.2023 – Az.: T-553/23-R). Darin beantragte Philippe Latombe, ein französischer Parlamentarier, den Vollzug des Angemessenheitsbeschlusses auszusetzen. 

Ein Ende der gerichtlichen Befassung mit dem Angemessenheitsbeschluss ist noch nicht absehbar. Abseits von der noch ausstehenden Entscheidung im entsprechenden Hauptsacheverfahren, hat auch Max Schrems mit seiner NGO noyb bereits angekündigt, gegen den Angemessenheitsbeschluss gerichtlich vorgehen zu wollen. 

Hintergrund des transatlantischen Datenschutzrahmens – Nichtigkeit des EU-US Privacy Shield

Der transatlantische Datenschutzrahmen (Trans-Atlantic Data Privacy Framework) ist eine der Folgen des Wegfalls des EU-US Privacy Shields. Im Juli 2020 entschied der Europäische Gerichtshof, dass die USA kein angemessenes Datenschutzniveau für Datentransfers nach Art. 45 DSGVO bieten würden (Az. C-311/18, „Schrems II“-Urteil). Der bis dahin bestehende Angemessenheitsbeschluss gem. Art. 45 DSGVO, der auf Basis des Privacy Shield die Übermittlung von personenbezogenen Daten zwischen der Europäischen Union (EU) und den USA ermöglichte, wurde mit diesem Urteil für ungültig erklärt.

Der EuGH erklärte im Schrems II-Urteil ausdrücklich, dass die damals schon vorhandenen Standardvertragsklauseln (Standard Contractual Clauses – SCC) aufrechtzuerhalten und weiterhin wirksam sind. Der Abschluss von SCC gem. Art. 46 Abs. 1, Abs. 2 lit. c DSGVO war und ist eine Möglichkeit, um Datenübermittlungen in Drittländer vorzunehmen, für die beispielsweise kein Angemessenheitsbeschluss oder die Ausnahmen aus Art. 49 DSGVO bestehen. Dabei können datenverarbeitende Unternehmen mit Sitz in der EU als Datenexporteur:innen die SCC als vorgegebene Musterverträge mit US-Unternehmen als Datenimporteur:innen abschließen.

Etablierung neuer SCC

Der EuGH betonte darüber hinaus auch, dass es die Verantwortung der Datenexporteur:innen sei, für jede Datenübermittlung das Schutzniveau im Drittland zu prüfen und geeignete Garantien für den Schutz der, in ein Drittland übermittelten, Daten vorzusehen. Dabei kann es erforderlich sein, über die SCC hinaus, ergänzende Garantien durch zusätzliche Maßnahmen vorzusehen. Das heißt, die SCC müssen unter Umständen durch weitere organisatorische oder technische Maßnahmen ergänzt werden, sodass der bloße Abschluss der SCC allein nicht zwingend ausreicht.

Daraufhin hat die Europäische Kommission mit dem Beschluss 2021/914/EU neue SCC veröffentlicht. Mit der Neufassung der SCC im Juni 2021 wurden diese unter anderem an die im Schrems II-Urteil aufgestellten Erfordernisse angepasst. Realisiert hat die Europäische Kommission die vom EuGH adressierten Pflichten insbesondere mit der Pflicht zur Durchführung eines Transfer Impact Assessments (TIA), als eine Art „Transfer-Risiko-Abschätzung“. Im Rahmen dieser Prüfung ist zu bewerten, ob die Gesetzgebung im Land der Datenimporteur:innen den in den SCC festgelegten Regelungen gerecht werden. Das TIA dient vorab einer Kontrolle, ob Datenimporteur:innen überhaupt in der Lage sind, die SCC einzuhalten.

Zusätzlich treffen Datenimporteur:innen, im Falle des Zugriffs auf Daten von Behörden im Drittland, Benachrichtigungspflichten gegenüber den Datenexporteur:innen und, wenn möglich, gegenüber der betroffenen Person.

Zwar wurden mit den neuen SCC wichtige vom EuGH geforderte Verpflichtungen aufgenommen, jedoch bleiben große Rechtsunsicherheiten bestehen. Gerade für Datenübermittlungen in die USA hat der Verantwortliche erheblichen Aufwand zu betreiben, der womöglich von Behörden als nicht ausreichend angesehen werden kann. Grund dafür ist die Einzelfallbewertung, ob weitere Maßnahmen vorgesehen werden müssen und wie diese auszusehen haben.

Mit dem neuen transatlantischen Datenschutzrahmens sollen Unternehmen für den Drittlandtransfer in die USA die zum Teil sehr hohen Hürden genommen werden.

Für andere Länder, wie Staaten im arabischen Raum oder China, bleiben die Anforderungen aus den SCC bestehen, soweit nicht daneben die Ausnahmeregelungen des Art. 49 DSGVO eingreifen.

Das könnte Sie auch interessieren:

• Die neuen Standardvertragsklauseln (SCC) nach dem „Schrems II“-Urteil
• Wir beraten Sie im Datenschutzrecht
• Transfer Impact Assessment (TIA) – praktische Durchführung vorgeschriebener Risikoabschätzung
• EuGH kippt Privacy Shield: US-Dienste weiterhin nutzen – FAQ zu Schrems II
• Beratung zu Datenrecht

Zweck und Inhalt des transatlantischen Datenschutzrahmens

Der Zweck des transatlantischen Datenschutzrahmens lag in der Schaffung der Grundlage eines neuen Angemessenheitsbeschlusses. Dieser soll (wieder) die Basis dafür bieten, dass die Daten frei und sicher zwischen der EU und den teilnehmenden US-Unternehmen fließen können – ohne zusätzliche Prüfpflichten für die europäischen Unternehmen. Der transatlantische Datenschutzrahmen stellt selbst noch keinen Angemessenheitsbeschluss dar. Erst durch den Beschluss vom 10.07.2023 wurde er zum Ausgangspunkt für die Übermittlungen nach Art. 45 DSGVO.

Daneben sollen durch die Executive Order 14086 verbindliche Schutzmaßnahmen den Zugriff der US-Geheimdienste beschränken. Der Zugriff der Geheimdienste war einer der Entscheidungsgründe des EuGH für die Ungültigkeit des auf dem Privacy Shield basierenden Angemessenheitsbeschlusses. Der EuGH rügte in seinem Urteil, dass kein Rechtsschutz gegen die Zugriffe durch die US-amerikanischen Sicherheitsbehörden, der den Anforderungen des Art. 47 der EU-Grundrechtecharta genügte, bestünde. Zudem sollten Verfahren für eine effektive Überwachung der Maßnahmen etabliert werden.

Etablierung eines zweistufigen Rechtsbehelfsmechanismus

Der vorgesehene zweistufige Rechtsbehelfsmechanismus ist eine direkte Reaktion auf einen der wesentlichen Entscheidungsgründe des EuGH in der Entscheidung „Schrems II“. Mit der Einrichtung eines zweistufigen, unabhängigen Rechtsbehelfslmechanismus sollen verbindliche Abhilfemaßnahmen bei unrechtmäßigen Aktivitäten der US-Geheimdienste angeordnet werden können. Im Schrems II-Urteil bemängelte der EuGH unter anderem, dass Datenschutzbeschwerden seitens EU-Bürger:innen von einer Stelle entgegengenommen wurden, die dem US-Außenministerium angehörte. Damit war diese Stelle der Exekutive zuzuordnen, wobei gegen Entscheidungen derselben keine unabhängigen Rechtsbehelfezur Verfügung standen. Nun soll ein neuer und unabhängiger „Data Protection Review Court“ eingesetzt werden, der eine zweitinstanzliche Prüfung von Beschwerdeentscheidungen ermöglichen soll.

Einschränkung der Überwachung durch die US-Geheimdienste

Eine Überwachung seitens der US-Behörden ist nur noch möglich, wenn sie aufgrund nationaler Sicherheitsinteressen notwendig und verhältnismäßig sei, heißt es in der Executive Order vom Oktober 2022, die zum 03.07.2023 umgesetzt wurde.

Überwachung von US-Unternehmen hinsichtlich der Einhaltung der Pflichten aus dem transatlantischen Datenschutzrahmen

Weiterhin soll durch eine Selbstzertifizierung der US-Unternehmen beim US-Handelsministerium die Einhaltung der Pflichten aus dem Abkommen bestätigt werden, wozu insbesondere der DSGVO ähnliche Datenschutzpflichten gehören.

Angemessenheitsbeschluss der Europäischen Kommission

Was ist ein Angemessenheitsbeschluss?

Ein Angemessenheitsbeschluss ist eines der Instrumente, die die DSGVO für die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder außerhalb des EWR (sogenannte Drittländer) vorsieht, die nach Auffassung der Kommission ein Datenschutzniveau bieten, das mit dem der Europäischen Union vergleichbar ist.

Bedeutung des Angemessenheitsbeschlusses für Datenexporteur:innen

Nach dem Angemessenheitsbeschluss können personenbezogene Daten auf Grund dieses Beschlusses aus dem EWR, der die 27 EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein umfasst, in ein Drittland übermittelt werden, ohne SCC nutzen zu müssen. Mit anderen Worten: Datenübermittlungen in ein Drittland aufgrund eines Angemessenheitsbeschlusses können genauso behandelt werden wie Datenübermittlungen innerhalb des EWR.

Der Angemessenheitsbeschluss für den EU-US Datenschutzrahmen gilt für Datenübermittlungen von jeder öffentlichen oder privaten Stelle im EWR an US-Unternehmen, die am EU-US Datenschutzrahmen teilnehmen. Voraussetzung hierfür ist, dass sich die US-Unternehmen, nach dem transatlantischen Datenschutzrahmen zertifiziert haben.

Kritik an dem neuen transatlantischen Datenschutzrahmen

Insgesamt stellt sich die Frage, ob eine neue beschlossene juristische Grundlage auch vor dem EuGH standhalten würde.
Max Schrems kritisierte mit seiner NGO noyb bereits, dass die „Verhältnismäßigkeit“ vom EUGH und den USA unterschiedlich ausgelegt werden könnte und die neue Executive Order sowie der etablierte Rechtsbehelfsmechanismus keinen hinreichenden Schutz biete für EU-Bürger:innen, deren Daten von US-Geheimdiensten verarbeitet werden.

Was ist jetzt zu tun?

Die Erfüllung der Anforderungen des neuen transatlantischen Datenschutzrahmens kann sich als komplex erweisen, insbesondere angesichts der unsicheren Rechtslage und der laufenden rechtlichen Herausforderungen. Einige Unternehmen werden sich nun die Frage stellen, ob es sinnvoll ist, zukünftig Daten an zertifizierte US-Unternehmen aufgrund des Angemessenheitsbeschlusses zu übermitteln und welche Vorteile es gegenüber anderen Übermittlungsmechanismen hat. Hinzu kommt, welche Risiken hierdurch entstehen und was Datenexporteur:innen hierbei zu beachten haben.

Data-as-a-Service (DaaS) verstehen: Das Potenzial von cloud-basiertem Datenmanagement

In der sich schnell entwickelnden Welt digitaler Dienstleistungen hat sich über die letzten Jahre das Konzept Data-as-a-Service (DaaS) entwickelt. Es reiht sich damit in die Reihe anderer „as-a-Service“-Angebote wie Software-as a-Service (SaaS), Infrastructure-as-a-Service (IaaS) und Data Warehouse-as-a-Service (DWaaS) ein und kann auf zwei Arten betrachtet werden: als Mittel für Unternehmen, um Zugriff auf für sie wichtige Daten Dritter zu erhalten sowie als umfassende Datenmanagementlösung für Inhouse-Daten.

Die Nutzung eines Data-as-a-Service-Angebots, welches Zugang zu oder die Bereitstellung von Daten Dritter bietet, ist besonders attraktiv, wenn gewisse Daten nicht selbst generiert werden können oder bedingt durch die Unternehmensgröße noch nicht generiert wurden, aber dennoch essenziell für die weitere Entwicklung sind.

Werden wiederum eigene Daten an den Dienst übertragen, ermöglicht dies Unternehmen ihre Daten effizienter und wegen der Auslagerung von Serverkapazitäten kostengünstiger zu verwalten und wertvolle Erkenntnisse aus ihnen zu gewinnen. Besonders attraktiv ist dies damit für Unternehmen, die in besonders datenintensiven Branchen arbeiten und nicht nur die Datenspeicherung, sondern auch die Datenaufbereitung und Vorhaltung von Analysetools outsourcen wollen. Durch die Nutzung von DaaS erhalten Unternehmen Zugang zu praktisch unbegrenzten Ressourcen, die auf ihre individuelle Datenstruktur zugeschnitten sind. Diese Ausgestaltung entspricht dem weiter verbreiteten Verständnis von Data-as-a-Service-Angeboten. Es ist selbstverständlich aber auch eine Mischung aus beiden vorstehend dargestellten Angeboten möglich.

Eine Abgrenzung von Data-as-a-Service zu anderen „as-a-Service“ Angeboten

Auch wenn die Namen ähnlich klingen mögen, unterscheiden sich DaaS und andere Angebote wie SaaS voneinander. So konzentriert sich konkret etwa SaaS in erster Linie auf die Bereitstellung von Softwareanwendungen, die nicht auf eigenen Servern gehostet werden müssen. Im Gegensatz dazu geht es, wie oben dargestellt, bei DaaS um die Bereitstellung von Daten oder das Angebot einer Datenmanagementlösung. So müssen Datensätze nicht vor Einsatz eines jeden neuen Tools neu zusammengestellt oder verändert werden, die entsprechenden Tools sind aber genau auf die Struktur der abgelegten Daten abgestimmt. Im Einzelfall können aber so die Grenzen etwa zu Software-as-a-Service-Angeboten verschwimmen.

Data-as-a-Service kann zudem ähnlich eines Storage-as-a-Service-Modells verstanden werden. DaaS ermöglicht allerdings nicht nur die Nutzung von Storage-Kapazitäten in der Cloud, sondern erweitert das Modell um die Nutzung von Analytics-Tools und die (Um-) Strukturierung der eingespeisten Daten. Es geht damit weiter als bisherige Storage-as-a-Service-Modelle.

Schließlich muss festgestellt werden, dass es sich bei Data-as-a-Service Angeboten nicht schlicht um die Überführung eines bereits bekannten Geschäftsmodells in die Cloud-Infrastruktur handelt, wie dies etwa in der Vergangenheit bei Software oder auch bei Data Warehouses der Fall war. Es handelt sich vielmehr um ein sich immer noch in Entwicklung befindliches, neues Geschäftsmodell, dessen genaues Leistungsspektrum sich unter Umständen zukünftig weiterentwickeln wird.

Wie können DaaS-Produkte im Kontext der klassischen zivilrechtlichen Vertragstypen eingeordnet werden?

Ähnlich wie bei SaaS-Verträgen, stellt sich auch bei DaaS-Verträgen die Frage der dogmatischen Einordnung in die bekannten Vertragstypen des BGB. Dies ist insbesondere auch deshalb relevant, weil die Einordnung Auswirkungen auf die anwendbaren gesetzlichen Vorschriften zur Ausgestaltung der Allgemeinen Geschäftsbedingungen (AGB) hat.

Geistiges Eigentum und Datenschutz: Die rechtlichen Feinheiten bei DaaS-Produkten

Daten und Informationen im gängigen Sinne sind grundsätzlich nicht durch Geistige Eigentumsrechte und hierbei insbesondere durch das Urheberrecht geschützt. Ausnahmen bietet hier vor allem die Möglichkeit des Datenbankschutzes. Datenbanken können zum einen als Datenbankwerk geschützt sein, dies ist der Fall, wenn dessen Elemente systematisch oder methodisch angeordnet und einzeln mithilfe elektronischer Mittel oder auf andere Weise zugänglich ist und dies insgesamt die nach § 2 UrhG erforderliche Schöpfungshöhe erreicht. Auch „normalen“ Datenbanken können allerdings unter Umständen urheberrechtliche Leistungsschutzrechte nach §§ 87a ff. UrhG zukommen.

Wichtig ist hierbei zu beachten, dass trotzdem nicht die Daten beziehungsweise Informationen an sich die Schutzfähigkeit des Werkes herbeiführen, sondern ihre konkrete Zusammen- und Darstellung in der geschützten Datenbank. Diese urheberrechtlichen Aspekte sollten bei der Vertragsgestaltung und der Einräumung von Lizenzen berücksichtigt werden.

Auch das Datenschutzrecht sollte bei Einsatz von DaaS-Produkten nicht aus dem Blick gelassen werden. Insbesondere bei Dienstleistern in Drittstaaten führt dies in der Regel zu rechtlichen Herausforderungen. Konkret bedarf es stets einer gründlichen Rechtsprüfung der einzelnen Dienstleister sowie der Sicherstellung von geeigneten Garantien im Sinne der Art. 44 ff. DSGVO im Falle einer Drittlandübermittlung von personenbezogenen Daten durch den Verantwortlichen. Wenn der Dienstleister eigene Daten anliefert oder große Entscheidungsspielräume, z.B. bei Analysen hat, muss außerdem die datenschutzrechtliche Verantwortlichkeit und Rollenverteilung sorgfältig geprüft werden. Viele Data-as-a-Service-Angebote stelle sich, anders als gängige SaaS-Produkte (die als Auftragsverarbeitung eingestuft werden), als eine gemeinsame datenschutzrechtliche Verantwortlichkeit dar.

EU-Regulierung und Datenaltruismus: Warum DaaS-Angebote vorerst außen vor bleiben

Auch die neuen Regulierungsvorhaben der Europäischen Union im Bereich des Datenrechts, konkret der Data und der Data Governance Act betreffen DaaS-Angebote wohl nicht. Die geplanten Verordnungen sollen einen gemeinsamen Kontext zur Entwicklung von Datenräumen schaffen, welche wiederum etwa die Entwicklung von Künstlicher Intelligenz oder eine sichere Datengesellschaft und -wirtschaft fördern sollen. Einer der zentralen Punkte der Europäischen Datenstrategie, die die Grundlage für Data Act und Data Governance Act bildet, ist hierbei allerdings der Datenaltruismus, schon das Regelungsziel steht also im Gegensatz zu den in der Regel in Gewinnerzielungsabsicht geschlossenen Data-as-a-Service-Verträgen.

Das könnte Sie auch interessieren:

• Software-as-a-Service und Recht – Ein Überblick
• Cloud-Service-Modelle und ihre vertragliche Einordnung
• SaaS-Verträge: Updates & Upgrades – wichtige Unterschiede und Merkmale
• Software-as-a-Service (SaaS) Verträge: Einordnung und Möglichkeiten

Die Vorteile von DaaS: Warum eine rechtliche Beratung essenziell ist

Das Konzept „Data-as-a-Service“ bietet Unternehmen die Möglichkeit, auf Daten von Drittanbietern oder auf umfassende interne Datenmanagementlösungen zuzugreifen. DaaS bietet effizientes Datenmanagement, Kosteneinsparungen und Zugang zu maßgeschneiderten Ressourcen für Datenspeicherung, -analyse und -einsicht und ist daher eine attraktive Option für datenintensive Branchen.

Bei der Implementierung und Nutzung von DaaS können zahlreiche rechtliche Fragen und Herausforderungen auftreten, die geklärt werden müssen. Von der Vertragsgestaltung über den Schutz geistigen Eigentums bis hin zum Datenschutz – die Komplexität des Themas erfordert eine sorgfältige und fundierte Herangehensweise. Unsere Kanzlei bietet spezialisierte Rechtsberatung im Bereich der digitalen Dienste, einschließlich DaaS. Wir helfen Ihnen nicht nur, mögliche Fallstricke zu vermeiden, sondern auch, Ihre Interessen in Verträgen optimal zu verankern und im Einklang mit aktuellen und zukünftigen Regelungen zu handeln. Vereinbaren Sie ein Beratungsgespräch mit uns, damit Sie die Potenziale von DaaS voll ausschöpfen können, ohne rechtliche Risiken einzugehen.

BGH stellt EuGH bedeutende Fragen zum Unterlassungsanspruch und immateriellem Schadensersatz nach DSGVO

Der Bundesgerichtshof (BGH) hat dem Gerichtshof der Europäischen Union (EuGH) mit Beschluss vom 26.9.2023 (Az.: VI ZR 97/22) sehr praxisrelevante Fragen zur Vorabentscheidung vorgelegt. Es geht um das Bestehen eines unionsrechtlichen Unterlassungsanspruches für den Fall der unrechtmäßigen Weiterleitung von persönlichen Daten durch den Verantwortlichen an einen Dritten sowie um Fragen zum Begriff eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO.

Sachverhalt

Die Parteien streiten um Unterlassungsansprüche und Schadensersatzansprüche aufgrund der Weitergabe von personenbezogenen Daten an einen Dritten.
Der Kläger befand sich bei der beklagten Privatbank in einem Bewerbungsprozess, der über ein Online-Portal stattfand. Im Zuge dessen versandte eine Mitarbeiterin der Beklagten über den Messenger-Dienst des Portals eine nur für den Kläger bestimmte Nachricht auch an eine dritte, nicht am Bewerbungsprozess beteiligte Person. Diese dritte Person arbeitete mit dem Kläger vor einiger Zeit in derselben Holding zusammen und kannte ihn deshalb. Daher erhielt der Kläger davon Kenntnis, dass seine Daten an diesen Dritten weitergeleitet wurden.

Der Kläger macht nun geltend, dass ein immaterieller Schaden darin liege, dass mindestens eine weitere Person, die den Kläger und potenzielle sowie ehemalige Arbeitgeber kenne, über Umstände Kenntnis habe, welche der Diskretion unterlägen. Es sei zu befürchten, dass der Dritte die in der Nachricht enthaltenen Daten weitergegeben habe.

Bisheriger Prozessverlauf

Das Landgericht Darmstadt (Urt. v. 26.05.2020 – 13 O 244/19) hat der Klage des Klägers teilweise stattgegeben, die Beklagte antragsgemäß zur Unterlassung verurteilt und dem Kläger, der immateriellen Schadensersatz von mindestens 2.500 € fordert, einen Betrag in Höhe von 1.000 € zuerkannt.

Einen Anspruch auf zukünftige Unterlassung gegenüber der Beklagten hat das LG Darmstadt gemäß §§ 823 Abs. 1 i.V.m. 1004 Abs. 1 S. 2 BGB i.V.m. Art. 6 DSGVO bejaht. Die Voraussetzungen des Anspruches lägen vor und ein solcher Unterlassungsanspruch nach dem Bürgerlichen Gesetzbuch sei nicht durch die DSGVO gesperrt. Nach Ansicht des Gerichts könne nur so ein lückenloser Schutz für natürliche Personen gewährleistet werden. Ob sich darüber hinaus auch ein Unterlassungsanspruch aus Art. 17 Abs. 1 DSGVO ergeben kann, ließ das Gericht dahinstehen. Einen Anspruch auf immateriellen Schadensersatz gemäß Art. 82 Abs. 1 DSGVO sah das Gericht ebenfalls aufgrund eines Verstoßes gegen Art. 6 Abs. 1 lit. a DSGVO und gegen Art. 34 DSGVO gegeben. Nach der Auffassung der Richter sei ein Schaden bereits durch die Versendung der Nachricht an einen unbeteiligten Dritten entstanden.

Auf die Berufung der Beklagten hat das Oberlandesgericht Frankfurt a.M. (Urt. v. 02.03.2022 – 13 U 206/20) das Urteil des Landgerichts hinsichtlich des geltend gemachten Anspruchs auf immateriellen Schadensersatz abgeändert und die Klage insoweit abgewiesen. Nach Ansicht des Berufungsgerichtes sind die Voraussetzungen für einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO nicht gegeben, da der Nachweis für einen konkreten Schadens fehle.
Einen Unterlassungsanspruch sieht das OLG gemäß Art. 17 Abs. 1 DSGVO gegeben, ohne dass es eines Rückgriffes auf die nationalen Vorschriften bedürfe.

Dagegen wendet sich der Kläger mit seiner vom Berufungsgericht zugelassenen Revision, mit der er seine Ansprüche in vollem Umfang weiterverfolgt. Die Beklagte begehrt mit ihrer Revision die vollständige Abweisung der Klage.

Das könnte Sie auch interessieren:

• Auf einen Blick: Relevante Entscheidungen des EuGH zum Datenschutzrecht
• EuGH-Urteil: Klarheit bei DSGVO-Schadensersatzansprüchen – Bedeutung und Auswirkungen für die Praxis
• Schadensersatz nach der DSGVO: die wichtigsten Fragen und Antworten

Entscheidung des Bundesgerichtshofs

Der BGH hat das Verfahren ausgesetzt und dem EuGH mehrere Fragen zur Auslegung der DSGVO im Wege der Vorabentscheidung vorgelegt (die einzelnen Vorlagefragen lassen sich dem BGH-Beschluss entnehmen).

Der Bundesgerichtshof (BGH) hat nunmehr das Revisionsverfahren ausgesetzt und den EuGH gebeten, mehrere Fragen zur DSGVO zu beantworten. Der BGH sieht insbesondere Klärungsbedarf, ob und unter welchen Voraussetzungen in solchen Fällen ein Unterlassungsanspruch hinsichtlich einer erneuten (unrechtmäßigen) Weiterleitung der Daten besteht und wie sich dieser dann zu einem Schadensersatzanspruch verhalten würde. Außerdem will der Revisionssenat wissen, welche Kriterien für einen immateriellen Schaden zugrunde zu legen sind und wie dieser zu bemessen wäre.

Unterlassungsanspruch

Zum einen möchte der BGH im Wesentlichen geklärt wissen, ob es einen Unterlassungsanspruch hinsichtlich einer ggf. erneuten unrechtmäßigen Weiterleitung der in Frage stehenden Daten gibt und ob sich ein solcher Anspruch direkt auf die DSGVO stützen lässt, insbesondere auf Art. 17 DSGVO (Recht auf Löschung), Art. 18 DSGVO (Recht auf Einschränkung der Verarbeitung) oder einer sonstigen DSGVO-Vorschrift. Das ist insofern für die Praxis sehr relevant, da das Verhältnis von Unterlassungsansprüchen nach nationalen Vorschriften und nach DSGVO-Regelungen seit längerem umstritten ist. Erfahren Sie hier mehr dazu.

Schadensersatzansprüche

Zum anderen sieht der BGH Klärungsbedarf, unter welchen Voraussetzungen ein immaterieller Schadensersatzanspruch nach Art. 82 DSGVO besteht. Insbesondere möchte er wissen, ob für einen solchen Anspruch bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen, oder für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich ist. Außerdem soll mit den Vorlagefragen auch das Verhältnis zwischen Unterlassungsansprüchen und Schadensersatzansprüchen nach der DSGVO geklärt werden.

Fazit

Die Antworten des EuGH auf die Vorlagefragen des BGH sind von hoher Praxisrelevanz. Neben dem Thema Schadensersatzansprüche sind auch mögliche Unterlassungsansprüche einzelner Betroffener nach der DSGVO für die Rechtspraxis und alle datenverarbeitenden Unternehmen von großer Bedeutung. Insoweit ist zu hoffen, dass der EuGH im Zuge der Befassung mit den vorgelegten Fragen für mehr Rechtssicherheit sorgt.

Im Hinblick auf Schadensersatzansprüche nach der DSGVO hat der EuGH bereits entschieden, dass ein immaterieller Schaden keine Erheblichkeitsschwelle überschreiten muss. Betroffene müssen jedoch für die Begründung eines immateriellen Schadensersatzanspruchs konkret nachweisen, dass sie einen immateriellen Schaden erlitten haben (vgl. EuGH, Urt. v. 4.5.2023, Rechtssache C-300/21). Welche Beeinträchtigungen einen immateriellen Schaden darstellen, hat der EuGH bisher zumindest nicht eindeutig beantwortet. Hierzu sind allerdings auch schon Vorabentscheidungsersuchen anderer Gerichte beim EuGH anhängig, sodass sich der EuGH zu diesen Fragen bereits unabhängig von dem durch den BGH angestrengten Ersuchen äußern könnte.

Sollten Sie Unterstützung benötigen oder Fragen haben, stehen wir Ihnen als erfahrene Kanzlei mit umfassender Expertise im Bereich der Prozessführung gerne zur Verfügung. Kontaktieren Sie uns jederzeit für eine individuelle Beratung.

Leitfaden Tracking und Cookies – Überblick über datenschutzrechtliche Aspekte nach TTDSG und DSGVO 

Tracking und die in diesem Kontext zulässigen Tools sind nach wie vor für Werbetreibende von großem Interesse. Nicht nur die EuGH- und BGH-Urteile zu „Planet49“ sowie das EuGH-Urteil zu „Schrems II“ definierten neue Anforderungen und Herausforderungen für den Zugriff auf oder die Speicherung von Informationen im Endgerät wie bei Tracking von Nutzer:innen und dem Einsatz von Cookies. Seit Dezember 2021 gilt in Deutschland zudem die Umsetzung des Art. 5 Abs. 3 der ePrivacy-Richtlinie in Form des § 25 TTDSG. Dieser regelt, wann der Zugriff auf oder die Speicherung von Informationen im Endgerät der Nutzer:innen zulässig ist. Die ePrivacy-Verordnung, welche das Thema zukünftig unmittelbar EU-weit regeln soll, befindet sich aktuell noch im Trilog-Verfahren und wird frühestens 2025 Anwendung finden, sodass eine vertiefte Auseinandersetzung mit den aktuellen Rahmenbedingungen, insbesondere durch das TTDSG, weiterhin lohnenswert und unerlässlich ist. Wie können Tracking von Nutzer:innen und der Einsatz von Cookies aktuell datenschutzkonform realisiert werden? Welche Empfehlungen gibt es zu Einwilligungen und Cookie-Banner? Was bedeutet § 25 TTDSG für den Einsatz von Tools auf einer Website? 

Welche Normen sind für Cookies und Co. wichtig? 

§ 25 TTDSG und ePrivacy-Richtlinie: Einwilligungspflicht und Datenübermittlung in Drittländer

Die relevanteste Norm ist aktuell § 25 TTDSG, welcher Art. 5 Abs. 3 der ePrivacy-Richtlinie (2009) in deutsches Recht umsetzt. Die Norm schreibt in Absatz 1 eine grundsätzliche Einwilligungspflicht in die Speicherung von oder den Zugriff auf Informationen im Endgerät vor. Damit sind nicht nur Cookies gemeint, sondern auch ähnliche Technologien wie der im Endgerät gespeicherte Web Storage (Local / Session Storage) sowie Fingerprints, Tags oder Pixel, soweit sie auf Informationen im Endgerät zugreifen. Eine Ausnahme von dieser Pflicht besteht nach Absatz 2 nur, wenn die Speicherung oder der Zugriff zum alleinigen Zweck der Übertragung eine Nachricht über ein öffentliches Telekommunikationsnetz erfolgt (Nr. 1) oder wenn sie unbedingt erforderlich ist, um einen von Nutzer:innen ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen (Nr. 2). Besonders die zweite Ausnahme ist praxisrelevant und hinsichtlich der Anforderungen für den ausdrücklich gewünschten Dienst und die unbedingt erforderlichen Speicherungen und Zugriffe umstritten. 

§ 25 TTDSG findet nicht nur auf die Verarbeitung personenbezogener Daten Anwendung. Auch wenn lediglich nicht-personenbezogene Informationen verarbeitet werden, muss eine Einwilligung im Sinne des § 25 TTDSG eingeholt werden, sofern der Anwendungsbereich eröffnet ist und keine Ausnahme greift. Werden personenbezogene Daten verarbeitet, ist neben den Vorgaben des § 25 TTDSG ebenso die DSGVO zu beachten. Sie müssen insbesondere auf einer Rechtsgrundlage gemäß Art. 6 DSGVO basieren. Darüber hinaus enthält die DSGVO den Maßstab für die Anforderungen an eine informierte Einwilligung, der auch für die ePrivacy-Richtlinie und somit auch § 25 TTDSG gilt. 

DSGVO Art. 44 ff.: Voraussetzungen und Anforderungen für Datenübermittlung in Drittländer und den EU-US Datenschutzrahmen

Werden beim Einsatz eines Tools auch Daten in Länder außerhalb des Europäischen Wirtschaftsraums (sogenannte Drittländer im Sinne der DSGVO) übermittelt, müssen zudem die Anforderungen der Art. 44 ff. DSGVO beachtet werden. Relevant ist hier bei vielen Dienstleistern insbesondere, dass seit dem 10. Juli 2023 für die USA wieder ein Angemessenheitsbeschluss der Europäischen Kommission im Sinne des Art. 45 DSGVO vorliegt. Nach diesem dürfen Daten in die USA übermittelt werden, wenn sich die betreffenden US-Unternehmen für den sogenannten EU-US Datenschutzrahmen (EU-US Data Privacy Framework) zertifiziert haben. Liegt für den Drittstaat, in den personenbezogene Daten übermittelt werden sollen, kein Angemessenheitsbeschluss vor, müssen sonstige geeignete Garantien im Sinne von Art. 46 DSGVO vorliegen. Insbesondere kommt hier etwa der Abschluss von Standardvertragsklauseln oder verbindlichen internen Datenschutzvorschriften in Betracht. Liegen auch solche nicht vor, muss die Datenübermittlung auf sonstige in Art. 49 DSGVO normierte Ausnahmen gestützt werden. Insbesondere sind hier die ausdrückliche Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO sowie die Erforderlichkeit der Verarbeitung für einen Vertrag oder die Durchführung vorvertraglicher Maßnahmen nach Art. 49 Abs. 1 lit. b DSGVO in den Blick zu nehmen. 

Einwilligungspflicht und Ausnahmen nach § 25 TTDSG: Abgrenzung und Rechtsgrundlagen gemäß Art. 6 DSGVO

Eine Einwilligung nach § 25 Abs. 1 TTDSG ist immer dann für die Speicherung von oder den Zugriff auf Informationen im Endgerät nötig, wenn die oben dargestellten Ausnahmen des § 25 Abs. 2 TTDSG nicht greifen. Rechtsgrundlage bei einer Einwilligung im Falle einer Datenverarbeitung ist in diesem Fall dann Art. 6 Abs. 1 lit. a DSGVO. 

Demgegenüber ist eine Einwilligung nicht nötig, wenn die Speicherung von oder der Zugriff auf Informationen im Endgerät unbedingt zur Verfügungstellung des ausdrücklich gewünschten Dienstes erforderlich ist. Rechtsgrundlage im Falle einer Datenverarbeitung ist in diesem Fall etwa die Erforderlichkeit für den Vertrag oder zur Durchführung vorvertraglicher Maßnahmen nach Art. 6 Abs. 1 lit. b DSGVO oder die berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO. 

Welche Tools „unbedingt erforderlich“ sind, um einen ausdrücklich gewünschten Dienst zur Verfügung zu stellen, ist nicht genau abgegrenzt. Deshalb müssen Tools einzeln bewertet und eingeordnet werden. Es handelt sich um eine Abwägungsfrage und eine Risikobeurteilung. Insgesamt kann man jedoch sagen, dass eine Nutzung ohne Einwilligung insgesamt nur in engem Rahmen möglich ist. Dies zeigt sich insbesondere an der engen Auslegung der Ausnahmen durch die Aufsichtsbehörden in ihren Stellungnahmen und Orientierungshilfen. 

Welche Tools können ohne Einwilligung eingesetzt werden?

Manche Tools oder Funktionen auf einer Website oder App benötigen zwingend den Einsatz von Cookies und ähnlichen Technologien. Eine Einwilligung ist somit etwa in den meisten Fällen nicht erforderlich für die grundlegenden Funktionen eines Webshops, für die Speicherung des Warenkorbs, für Bestell- und Zahlungsabwicklungen, für Login, Registrierung und Authentifizierung, für die Bereitstellung einer Plattform, den Lastenausgleich und das Anlegen von Logfiles beim Websitebesuch sowie für die Speicherung einer Spracheinstellung. 

Einwilligungspflicht, Ausnahmen und Bußgeldrisiken im Lichte des EuGH-Urteils

Auch die Gewährleistung von Sicherheit und die Verhinderung von Missbrauch kann unbedingt erforderlich sein, hier muss jedoch das jeweilige Tool genau betrachtet werden. Aus datenschutzrechtlicher Sicht ist hier auch ein Urteil des EuGH im Vorabentscheidungsverfahren eines Streits zwischen dem Bundeskartellamt und Meta zu beachten (EuGH, Urt. v. 4. Juli 2023 – C-252/21). Das Urteil betont, dass im Falle des berechtigten Interesses i.S.d. Art. 6 Abs. 1 lit. f DSGVO die Netzwerksicherheit des Verantwortlichen ein solches Interesse nur dann darstellt, wenn die betreffende Verarbeitung erforderlich ist, „um zu gewährleisten, dass die innere Sicherheit [des] Netzwerks nicht beeinträchtigt wird“ (Rn. 120). Auch bei Chatbots ist die Annahme einer unbedingten Erforderlichkeit umstritten, insbesondere dann, wenn andere Kommunikationsmöglichkeiten offenstehen oder die Chatbots etwa Nutzungsanalyse betreiben. 

Eine Einwilligung ist grundsätzlich erforderlich für eine Nutzungsanalyse durch Drittanbieter, seiten- und geräteübergreifende Analysen, personalisierte Werbung, Tracking mit Profilbildung oder zur Erstellung von Bewegungsprofilen. Wer Tools für solche Zwecke ohne Einwilligung einsetzt, geht ein Bußgeldrisiko seitens der Aufsichtsbehörden ein.

Das könnte Sie auch interessieren:

• Update zum TTDSG: Neues Datenschutzrecht für Tele­kommunikation & Telemedien
• Auf einen Blick: Relevante Entscheidungen des EuGH zum Datenschutzrecht
• Der transatlantische Datenschutzrahmen zwischen EU und USA: Aktuelles

Webtools, Datenschutz und EuGH-Entscheidungen: Neuer Angemessenheitsbeschluss, YouTube & Google Analytics im Fokus

Besonders die Tools US-amerikanischer Dienstleister wie Google Analytics, Google Maps oder YouTube sind und waren jahrelang besonders im Fokus der Aufsichtsbehörden und Gerichte. Dies war insbesondere relevant, nachdem der EuGH in der Schrems II-Entscheidung den ehemals geltenden Angemessenheitsbeschluss für die Datenübermittlung zwischen der EU und den USA auf Grundlage des EU-US Privacy Shield gekippt hatte. Seit dem 10. Juli 2023 ist nun aber, wie bereits oben erwähnt, ein neuer durch die Europäische Kommission erlassener Angemessenheitsbeschluss in Kraft. Somit können Übermittlungen in die USA nun wieder auf Art. 45 DSGVO gestützt werden, solange sich die betreffenden US-Unternehmen für das EU-US Data Privacy Framework zertifiziert haben. In diesem Fall braucht die Übermittlung auch nicht mehr im Falle mangelnder Garantien nach Art. 45 und 46 DSGVO auf eine ausdrückliche Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO gestützt werden, die von den Aufsichtsbehörden in der Vergangenheit kritisch gesehen wurde.  

Unabhängig davon gilt ein etwaiges Einwilligungserfordernis, welches sich aus § 25 TTDSG oder mangels sonstiger Rechtsgrundlagen auch aus Art. 6 DSGVO ergeben kann. Während der Einsatz etwa von Google Analytics trotz der vielfältigen Einstellungsmöglichkeiten ohne Einholung einer Einwilligung wohl weiterhin ein großes Risiko mit sich bringt, können Kartendienste wie Google Maps etwa durch einwilligungsfreie Alternativen wie statische Karten (Bilder) oder gegebenenfalls bei richtiger Konfiguration durch OpenStreetMap ersetzt werden. 

YouTube hat einen sogenannten „erweiterten Datenschutzmodus“. Dieser verhindert zwar das Setzen von Cookies, reduziert die Nutzungsanalyse und verhindert die Personalisierung etwa der Videoempfehlungen. Es werden jedoch weiterhin Informationen im Web Storage des Endgeräts gespeichert, Verbindungsdaten und Videoeinstellungen an Google übermittelt und eine Datenverarbeitung zu Werbezwecken kann nicht ausgeschlossen werden. Sowohl mit Blick auf § 25 TTDSG als auch auf die Vorschriften der DSGVO ist hier sodann wohl eine Einwilligung nötig. Als einwilligungsfreie Alternative kommen etwa selbst gehostete Videos in Betracht, die im Rahmen von HTML5 einfach einzubinden sind. Zudem könnte man schlicht auf das Video auf YouTube verlinken, ohne es direkt einzubinden. 

Auch das Urteil des Europäischen Gerichtshofs (EuGH) vom Juli 2023 im Rechtsstreit zwischen Meta Platforms und dem Bundeskartellamt hat Auswirkungen auf das Webtracking, insbesondere durch große Online-Plattformen (EuGH, Urt. v. 04.07.2023 – C-252/21). Das Gericht stellte klar, dass die mittels Webtracking erfassten und kombinierten Daten in der Regel nicht auf Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden können, wenn sie für die Personalisierung von Inhalten und Werbung verwendet werden sollen. Das Gericht betonte, dass eine Verarbeitung i.R.d. Art. 6 Abs. 1 S. 1 lit. b DSGVO „objektiv unverzichtbar“ und ein „notwendiger Bestandteil“ der Vertragserfüllung sein müsse, ohne den der Hauptzweck des Vertrags nicht erreicht werden könne. Gleichzeitig unterstrich der EuGH die strengen Anforderungen, die mit den berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verbunden sind. Diese Anforderungen umfassen insbesondere die Prüfung zumutbarer anderer Mittel, die den Schutz personenbezogener Daten weniger stark beeinträchtigen, sowie eine konkrete Abwägung im Einzelfall mit den Interessen der betroffenen Person. 

Wann ist ein Cookie-Banner erforderlich?

Ein Cookie-Banner bzw. Einwilligungsbanner ist aufgrund der Notwendigkeit zur Einholung einer informierten Einwilligung nach Art. 6 Abs. 1 lit. a, Art. 7 DSGVO und § 25 TTDSG erforderlich. Das bedeutet im Umkehrschluss, dass ein Banner nicht notwendig ist, sofern nur unbedingt für den Website- oder Appbetrieb notwendige Tools verwendet werden. In diesem Fall würde eine Information in der Datenschutzerklärung ausreichen. 

Welche Alternativen gibt es zum Cookie-Banner?

Statt eines Banners, welches sich vor allem für permanent aktive Tools etwa zur Analyse, zum Tracking oder für Marketing eignet, kann etwa für die Einbindung von Videos und Karten externer Anbieter, für Social- und Login-Plugins oder für Chatbots ein sogenanntes Overlay verwendet werden. Dies ist ein Banner nur über den betreffenden Bereich, der freigeschaltet/aktiviert werden soll. Dort wird darüber informiert, welches Tool an dieser Stelle eingebunden werden soll, und es werden alle nach der DSGVO notwendigen Informationen im Rahmen einer Einwilligung gegeben. Ein Overlay ist deshalb praktisch, weil es Nutzer:innen ermöglicht, gezielt in bestimmte Tools einzuwilligen, wenn sie diese gerade brauchen. 

Empfehlungen und Vorgaben für die Gestaltung von Einwilligungsbannern

Die Aufsichtsbehörden aktualisieren fortlaufend ihre konkretisierten Vorstellungen zur Gestaltung von Einwilligungsbannern. Dazu zählen die Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien der Datenschutzkonferenz (DSK), der Bericht über die aktuellen Standpunkte der verschiedenen Aufsichtsbehörden in den EU-Mitgliedstaaten der Task Force des Europäischen Datenschutzausschusses (EDSA) und die Bewertung von Pur-Abo-Modellen auf Websites der DSK. Aktuelle Neuerungen zu den Anforderungen an datenschutzkonforme Einwilligungsabfragen, insbesondere Cookie-Banner, im Überblick: 

Welche aktuellen Urteile weisen die Richtung bei der Gestaltung von Cookie Bannern?

Insbesondere zwei deutsche Urteile der LG München und LG Köln zeigten in der jüngsten Vergangenheit, dass die Ausgestaltung der Verweigerungsmöglichkeit im Einwilligungsbanner stets einer individuellen Bewertung bedarf. Dabei müssen sowohl die Informationen zur Verweigerung der Einwilligung als auch das Design des Banners angemessen berücksichtigt werden.

DSGVO-konforme Cookie-Banner – welche Informationen sollen enthalten sein?

Im Banner auf erster Ebene oder im Overlay sollten folgende Informationen enthalten sein:

• Vorgänge nach § 25 TTDSG und DSGVO (= Zugriff auf und Speicherung von Informationen auf dem Endgerät sowie Datenverarbeitung)
• Zwecke der Datenverarbeitung der verwendeten Tools (Beschreibung der einzelnen Kategorien) 
• Möglichkeit der Ablehnung der Tools 
• Nennung der Weitergabe an Dritte 
• ggf. Informationen über Drittlandübermittlung und Risiken im Drittland 
• Klarstellung der Freiwilligkeit und Widerrufbarkeit der Einwilligung
• Links zu weiteren Informationen, insbesondere zur Speicherdauer (z.B. Datenschutzerklärung oder Cookie-Richtlinie)

Technische Voraussetzungen für Banner und Datenschutzeinwilligung

Das Banner darf nicht die Links zum Impressum und zur Datenschutzerklärung überdecken. Außerdem dürfen nicht notwendige Tools erst aktiviert bzw. Cookies gesetzt oder Informationen im Web Storage ausgelesen/geschrieben werden, nachdem die Nutzer:innen eingewilligt haben. Diese Einwilligung sollte grundsätzlich mindestens 1 Jahr gespeichert werden. Idealerweise befindet sich im Footer und in der Datenschutzerklärung ein Button bzw. Link, mit dem das Banner erneut aufgerufen bzw. der Widerruf erteilt werden kann. 

Wir empfehlen, einen Testlauf durchzuführen, um die Funktionalität von Ablehnen und Widerruf zu überprüfen. Dies ist enorm wichtig, um festzustellen, ob alle Anforderungen eingehalten werden. 

Wie viele Buttons müssen im Cookie-Banner enthalten sein?

Es ist empfehlenswert, drei Buttons einzusetzen, welche die Zustimmung zu allen optionalen Tools, der individuellen Auswahl von Tools oder die Ablehnung aller optionalen Tools ermöglichen. Dabei kann statt eines Buttons, etwa für die Ablehnung, im Einzelfall auch ein deutlich erkennbarer Link innerhalb des Bannertextes (z.B. dick geschrieben, blau gefärbt und unterstrichen) verwendet werden. Wichtig ist dabei jedoch, dass alle drei Möglichkeiten als gleichwertig erkennbar sind. Diese sogenannte 3-Button-Lösung ist Alternativen ohne Ablehnen-Möglichkeit auf erster Ebene insgesamt vorzuziehen. 

Wie unauffällig kann der Ablehnen-Button sein und wie unterscheidet man gutes Design von irreführenden „Dark Patterns“?

Zwar sind Hervorhebungen und Designentscheidungen grundsätzlich möglich, jedoch sollte es nicht zu einem sogenannten „Dark Pattern“ kommen. Das läge beispielsweise vor, wenn weiße Schrift auf hellgrauem Grund verwendet wird, die Einwilligung ständig abgefragt wird oder eine Einwilligung durch den Klick auf X (schließen) erteilt wird. Aus einem objektiven Blickwinkel müssen die Nutzer:innen die Möglichkeit gehabt haben, nach dem Lesen der Einwilligungserklärung und dem Blick auf die Buttons/Links eine informierte Entscheidung für oder gegen den Einsatz von Cookies und ähnlichen Technologien zu treffen, ohne dass dabei das Ablehnen in besonderer Weise erschwert wird. 

Wie gelten DSGVO-Regelungen für Apps?

Die zuvor dargestellten Regelungen gelten auch für Apps, beziehen sich dort jedoch insbesondere auf den Zugriff auf Identifikatoren wie Geräte-ID und Werbe-ID oder die Speicherung von Daten im Endgerät. Zu berücksichtigen ist auch, dass die technischen Zugriffsberechtigungen, die während der Installation der App erteilt werden, keine informierte Einwilligung im Sinne der DSGVO darstellen. Deshalb ist beim ersten Start der App die Abfrage nach der Einwilligung für optionale Tools nötig. Manche Consent-Management-Tools bieten bereits entsprechende Implementierungen für Apps hat.  

Hinweis: Auch für Apps gelten die datenschutzrechtlichen Informationspflichten der Art. 13 und 14 DSGVO. Aus diesem Grund muss auch im Rahmen einer App eine Datenschutzerklärung bereitgestellt werden. 

Aktueller Entwurf zur ePrivacy-Verordnung – Veränderung für die Nutzung von Cookies und Technologien in der EU?

Bereits am 10.02.2021 hat sich der Rat der Europäischen Union auf den portugiesischen Entwurf zur ePrivacy-Verordnung geeinigt, welche die Privatsphäre bei der Nutzung elektronischer Kommunikationsdienste unmittelbar EU-einheitlich regeln soll. Die ePrivacy-Verordnung würde die ePrivacy-Richtlinie und auch Regelungen des TTDSG ablösen und wäre für die künftige Nutzung von Cookies und ähnlichen Technologien sehr relevant. 

Der aktuelle Entwurf enthält ausdrücklich die Möglichkeit ein „Tracking oder Bezahl-Abo“ als Entscheidungsmodell anzubieten. Außerdem enthält der Entwurf vielfältige Ausnahmen für die Verarbeitung von Kommunikationsdaten sowie für den Zugriff auf bzw. die Speicherung von Informationen im Endgerät ohne Einwilligung. Hierzu zählen etwa Tools für Sicherheitszwecke, für Netzwerkoptimierung, zur Erfüllung eines Vertrags, zu statistischen Zwecken, zur Zielgruppen-Messung und – am weitreichendsten – unter Zugrundlegung einer zulässigen Zweckänderung. 

Der Entwurf des Rats befindet sich aktuell immer noch im Trilog-Verfahren. Welche Regelungen und Ausnahmen es also am Ende in den finalen Entwurf schaffen, ist noch offen. 

Aktuelles zu DSGVO-Bußgeldern: Was ändert sich für Unternehmen?

Die Datenschutz-Grundverordnung (DSGVO) sieht nicht nur eine Vielzahl von Pflichten für Auftragsverarbeiter:innen und Verantwortliche vor, sondern auch die Möglichkeit, Pflichtverstöße mit Bußgeldern zu sanktionieren. In diesem Zusammenhang gewinnt das laufende Vorabentscheidungsverfahren „Deutsche Wohnen“ vor dem Gerichtshof der Europäischen Union (EuGH) besondere Bedeutung. Denn die Luxemburger Richter:innen müssen klären, ob Unternehmen unmittelbar – und gegebenenfalls verschuldensunabhängig – bebußt werden können. Je nachdem, wie der EuGH entscheidet, könnten Datenschutzverstöße in Zukunft leichter zugerechnet werden. Das Risiko für Bußgelder könnte weiter steigen. Unser Beitrag setzt sich mit dem genannten Verfahren auseinander, zeigt auf, welche Konsequenzen die Entscheidung haben wird, und beleuchtet, was Unternehmen schon heute tun können, um DSGVO-Bußgelder zu vermeiden. 

DSGVO-Bußgelder: Unterscheidung, Anforderungen und mögliche Sanktionen

Die rechtlichen Vorgaben für DSGVO-Bußgelder finden sich in Art. 83 und in Art. 58 Abs. 2 lit. i) DSGVO. Danach hat jede Aufsichtsbehörde die Befugnis, unter Berücksichtigung der Umstände des Einzelfalls ein wirksames, verhältnismäßiges und abschreckendes Bußgeld zu verhängen. In der DSGVO wird zwischen zwei Bußgeldrahmen unterschieden. Ein Bußgeld bis zu 10 Millionen Euro oder – je nachdem, was höher ist – 2% des gesamten weltweiten Jahresumsatzes eines Unternehmens kann bei Verstößen gegen Art. 8, 11, 25 bis 39, 42 und 43 DSGVO verhängt werden. Ein solches Bußgeld kommt also beispielsweise in Betracht, wenn ein Unternehmen keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Bei Verstößen gegen Art. 5, 6, 7, 9, 12 bis 22, 44 bis 49 und 58 DSGVO kann die Behörde ein Bußgeld bis zu 20 Millionen Euro oder 4% des gesamten weltweiten Jahresumsatzes verhängen. Ein solches Bußgeld kommt insbesondere dann in Betracht, wenn Unternehmen personenbezogene Daten nicht rechtmäßig verarbeiten, kein ordnungsgemäßes Aufbewahrungs- und Löschkonzept implementiert haben oder Betroffenenanfragen nicht oder nicht rechtzeitig nachkommen.

Das DSGVO-Bußgeldverfahren: Von der Einleitung zur Entscheidung

Einem DSGVO-Bußgeldverfahren geht regelmäßig ein Verwaltungsverfahren voraus. Bereits im Rahmen dieses Verfahrens prüft die zuständige Aufsichtsbehörde, ob ein Verstoß gegen die DSGVO vorliegt. Stellt die Fachabteilung der Aufsichtsbehörde einen Verstoß fest, gibt sie das Verfahren an die Bußgeldstelle ab, die ihrerseits prüft ob ein sogenannter Anfangsverdacht vorliegt, ob also tatsächliche Anhaltspunkte für das Vorliegen einer Ordnungswidrigkeit bestehen. Anschließend ermittelt die Behörde den Sachverhalt. Sie sammelt die relevanten Informationen und prüft etwaige Verstöße gegen die DSGVO. Auf Grundlage dieser Prüfung kann das Verfahren dann entweder eingestellt oder ein Bußgeld verhängt werden.  

Die Festsetzung der DSGVO Bußgelder erfolgt unter Berücksichtigung der individuellen Umstände des Verstoßes, der Art und Schwere der Verletzung sowie unter Berücksichtigung der Abschreckungsfunktion. Im Jahr 2022 hat der Europäische Datenschutzausschuss neue Leitlinien für die Bemessung von Bußgeldern verabschiedet. Für die Adressat:innen eines Bußgelds besteht dann die Möglichkeit, Einspruch gegen das verhängte Bußgeld einzulegen. Wird Einspruch erhoben, prüft die Behörde, die den Bescheid erlassen hat, erneut die Sachlage. In manchen Fällen kann die Behörde dem Einspruch abhelfen, den Bescheid angepasst erlassen oder aufheben. Andernfalls wird das Verfahren an die Staatsanwaltschaft und das zuständige Gericht abgegeben. 

Das Verfahren „Deutsche Wohnen“: Wann sind Unternehmen bußgeldpflichtig?

Im Jahr 2017 führte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) eine Vor-Ort-Kontrolle bei dem Immobilienkonzern „Deutschen Wohnen“ durch. Dabei stellte sich heraus, dass das Unternehmen mehr Daten speicherte, als die Berliner Behörde für erforderlich hielt. Die BlnBDI forderte die „Deutsche Wohnen“ daraufhin zum Löschen der Daten auf. Im Rahmen einer Stichprobenkontrolle wurde dann festgestellt, dass die Daten weiter gespeichert worden waren, obwohl sie nach Auffassung der Behörde hätten gelöscht werden müssen. Infolge dieses Verstoßes verhängte die Behörde ein Bußgeld in Höhe von 15 Millionen Euro gegen „Deutsche Wohnen“. Das Unternehmen legte daraufhin Beschwerde beim Landgericht Berlin (LG Berlin) ein. Da der Bußgeldbescheid aber an die „Deutsche Wohnen“ als juristische Person gerichtet war (und keine Angaben zu einer natürlichen Person (Leitungsperson) enthielt), stellte das LG Berlin das Verfahren ein. Nach Auffassung der Berliner Richter:innen konnte nur eine Führungskraft oder ein Mitarbeiter Adressat eines Bußgeldbescheids sein, nicht aber ein Unternehmen. Die Staatsanwaltschaft legte gegen den Einstellungsbeschluss des LG Berlin Beschwerde beim Kammergericht (KG) ein. Das KG sah in dem Verfahren wesentliche Fragen des Unionsrechts berührt und legte dem EuGH dahingehend Fragen zur Vorabentscheidung vor. Das KG möchte von den Luxemburger Richter:innen wissen, ob 

1. eine juristische Person als unmittelbarer Adressat eines Bußgeldverfahrens in Betracht kommt und, falls ja, ob 
2. ob ein objektiver Pflichtverstoß verschuldensunabhängig zu einem Bußgeld führen kann. 

Der Ausgang des Verfahrens hat eine erhebliche Bedeutung für die Auslegung der DSGVO und die zukünftige Handhabung von DSGVO-Bußgeldern gegen Unternehmen. 

Exkurs: Rechtsträgerprinzip vs. Funktionsträgerprinzip

Den rechtlichen Aufhänger des Verfahrens bildet die Frage, unter welchen Voraussetzungen juristische Personen Adressat:innen eines Bußgeldverfahrens sein können. Die DSGVO macht hierzu keine klaren Vorgaben, enthält aber – in Art. 83 Abs. 8 DSGVO – eine zwingende Öffnungsklausel. Diese Öffnungsklausel schreibt den Mitgliedstaaten vor, angemessene Verfahrensgarantien, wirksame gerichtliche Rechtsbehelfe und ordnungsgemäße Verfahren einzurichten. In Deutschland wurde von dieser Klausel mit § 41 Bundesdatenschutzgesetz (BDSG) Gebrauch gemacht. Dieser Paragraf regelt, dass die Grundsätze des deutschen Ordnungswidrigkeitenrechts bei der Verhängung von Bußgeldern nach der DSGVO sinngemäß Anwendung finden sollen. 

Problematisch ist in diesem Fall die Anwendung von § 30 OWiG. Dieser normiert das sogenannte Rechtsträgerprinzip. Danach setzt die Verhängung einer Geldbuße die Feststellung eines Rechtsverstoßes durch eine Person in leitender Stellung voraus. Im Fall „Deutsche Wohnen“ wird deshalb die Frage diskutiert, ob ein Verstoß gegen Datenschutzvorschriften durch sonstige Beschäftigte des Unternehmens ausreicht, um ein Bußgeldverfahren einzuleiten. Hierbei steht das deutsche Konzept im Gegensatz zum sogenannten Funktionsträgerprinzip, das beispielsweise im Kartellrecht Anwendung findet. Letzteres besagt, dass ein Bußgeldverfahren unabhängig von der Identifizierung einer spezifischen Person direkt gegen das Unternehmen gerichtet werden kann. Es genügt, wenn der Verstoß durch eine:n beliebige:n Mitarbeiter:in des Unternehmens begangen wurde. 

In „Deutsche Wohnen“ geht es also vor allem um die Frage, ob bei der Verhängung von Bußgeldern bei Datenschutzverstößen das deutsche Rechtsträgerprinzip oder das europäische Funktionsträgerprinzip angewendet werden soll. Diese Auseinandersetzung berührt den grundlegenden Aspekt, ob die individuelle Identifizierung von Tätern notwendig ist oder ob Unternehmen unmittelbar für Verstöße verantwortlich gemacht werden können. 

Stellungnahme des Generalanwalts zum Verfahren „Deutsche Wohnen“

Die Stellungnahme des Generalanwalts spielt in Vorabentscheidungsverfahren eine besondere Rolle. Der EuGH ist zwar nicht dazu verpflichtet, die Empfehlungen des Generalanwalts zu berücksichtigen, folgt diesen aber häufig. 

In Bezug auf die erste Vorlagefrage sprach sich der Generalanwalt dafür aus, dass es im Unionsrecht keine Hindernisse gäbe, Unternehmen zu bebußen. Die relevanten Art. 4, 58 und 83 DSGVO sehen juristische Personen explizit als mögliche Sanktionsadressat:innen vor. Das Konzept der Täter:inneneigenschaft sei eng mit der datenschutzrechtlichen Verantwortlichkeit verknüpft und ermögliche die unmittelbare Sanktionierung von Unternehmen.

In Bezug auf die zweite Vorlagefrage äußerte der Generalanwalt, dass der Wortlaut von Art. 83 DSGVO gegen die Annahme einer verschuldensunabhängigen Haftung spreche. Die in Art. 82 Abs. 2 lit. b DSGVO festgeschrieben Kriterien („Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“) seien bei der Verhängung von Bußgeldern von entscheidender Bedeutung. Auch Art. 83 Abs. 3 DSGVO setze Verschulden ausdrücklich voraus. 

Das könnte Sie auch interessieren:

• Unsere Kompetenz im Datenschutzrecht
• Im Fokus: DSGVO und Schadensersatz
• Auf einen Blick: Relevante Entscheidungen des EuGH zum Datenschutzrecht
• DSGVO-Verwarnung durch die Datenschutzbehörde – Was ist zu tun?
• Abmahnfähigkeit von DSGVO-Verstößen

Ausblick: Verantwortlichkeit von Unternehmen bei Datenschutzverstößen?

Folgt der EuGH den Schlussanträgen des Generalanwalts, könnten Unternehmen direkt für Verstöße gegen die DSGVO zur Verantwortung gezogen werden. Erteilt er der verschuldensunabhängigen Haftung eine Absage, stellt sich weiter die Frage, auf wessen Verschulden abzustellen und welcher Verschuldensgrad künftig erforderlich ist. Man wird sehen, ob der EuGH hier der Einschätzung der Berliner Behörde folgt oder zumindest eine Aufsichtspflichtverletzung der Leistungsebene fordert. In jedem Fall wird die Entscheidung des EuGH über die Verantwortlichkeit von Unternehmen und die Zurechnung von Verstößen gegen die DSGVO erhebliche Auswirkungen auf die Datenschutzlandschaft und die Ausgestaltung von Compliance-Systemen haben. Unternehmen werden zukünft möglicherweise verstärkt in die Pflicht genommen, Verstöße gegen Datenschutzbestimmungen zu verhindern und angemessene Kontroll- und Überwachungssysteme einzuführen, 

Proaktives Datenschutzmanagement: Vorbereitung und Strategie zur Vermeidung von DSGVO Bußgeldern

Unternehmen sollte die Zeit bis zur EuGH-Entscheidung nicht ungenutzt lassen, sondern bereits jetzt Maßnahmen ergreifen, um Risiken zu minimieren. Ein effektives Datenschutzmanagement und die kontinuierliche Sensibilisierung der Beschäftigten für Datenschutzfragen sind von entscheidender Bedeutung. Zudem sollten Unternehmen Fristen im Auge behalten und sicherstellen, dass Compliance-Pflichten, bestmöglich erfüllt werden. Die unverzügliche Bearbeitung von Betroffenenanfragen, die rechtzeitige Meldung von Datenschutzverstößen und die pflichtgemäße Information von Betroffenen sind weitere Schlüsselelemente, um etwaigen Bußgeldern vorzubeugen. Unternehmen sollten sich der Tragweite ihrer Kooperation mit den Datenschutzbehörden bewusst sein und diese wohlüberlegt gestalten, um ihre Position zu stärken und möglichen Sanktionen erfolgreich zu begegnen. 

In Anbetracht der komplexen und sich ständig entwickelnden rechtlichen Rahmenbedingungen ist proaktives Handeln der Schlüssel – professionelle Unterstützung kann den entscheidenden Unterschied machen. Unsere Expert:innen stellen sicher, dass Ihr Unternehmen ideal aufgestellt ist, um Datenschutzverstöße zu vermeiden und bei Krisen schnell handlungsfähig zu sein. Sprechen Sie uns an, wenn gegen Ihr Unternehmen ein Bußgelddroht, ein entsprechendes Verfahren eingeleitet wurde oder Sie bereits Adressat:in eines Bußgeldbescheids geworden sind. Unsere erfahrenen Anwält:innen helfen Ihnen gerne dabei, sich in allen Verfahrensstadien optimal zu verteidigen.

Rechtsfragen im Metaverse – Eine neue virtuelle Welt aus Sicht des Datenschutzes

Wenn es ums Metaverse geht, ist sich die deutsche Wirtschaft gänzlich uneins. Skeptiker:innen und Befürworter:innen halten sich die Waage, hat eine Umfrage des Branchenverbands Bitkom aus dem Jahr 2022 ergeben. Während demnach 26% der Unternehmen aufgeschlossen auf die neue virtuelle Welt schauen, stehen ihr 29% ablehnend gegenüber. Doch handelt es sich bei der Vision für die Integration der realen in die virtuelle Welt längst nicht mehr nur um Zukunftsmusik. Große Tech-Unternehmen wie der Facebook-Konzern – mittlerweile in „Meta Platforms“ umfirmiert – haben bereits begonnen, entsprechende Plattformen zu erschaffen. Jüngst hat sich auch die EU-Kommission auf eine Strategie für das Web 4.0 und virtuelle Welten verständigt und beansprucht damit eine Führungsrolle, um den zukünftigen technologischen Wandel zu steuern. Zwar sind in der Entwicklung des Metaverse bisher nur erste Schritte getan, in der Laien- und Fachwelt ist die Diskussion über die rechtlichen Folgen aber schon jetzt in vollem Gange. Werden die bereits bestehenden Gesetze dem dezentralen autonomen Metaverse als neuer Online-Realität gerecht? Wie muss gegebenenfalls nachgesteuert werden? Und welche Erfordernisse ergeben sich für den Schutz personenbezogener Daten? Als führende IT-Kanzlei nehmen wir im Folgenden einige rechtliche Einordnungen vor.

Was ist das Metaverse?

Das Metaverse (dt. Metaversum) ist das Konstrukt einer digitalen Welt, in die man mittels Virtual Reality (VR) und Augmented Reality (AR) eintauchen und so eine Art „zweites Leben“ führen kann. Die virtuelle Welt kann durch einen Avatar erlebt werden und bietet die Möglichkeit, mit allen anderen Teilnehmern und Teilnehmerinnen in dieser Welt zu interagieren. Innerhalb des Metaverse gibt es separate virtuelle Räume, die zahlreiche Möglichkeiten bieten sollen. Ein virtuelles Einkaufszentrum besuchen und im Raum nebenan Online-Spielen nachgehen, all das soll möglich sein. Auch virtuelle Diskotheken könnte es dort geben. Das Metaverse kann mit der dezentralen Blockchain-Technologie umgesetzt werden, zu der wir als Technologie-Experten umfassend beraten und rechtliche Lösungen anbieten.

Das Besondere am Metaverse ist, dass es grenzenlos verläuft. Anwendungen wie Käufe in Shops wären dann nicht auf eine einzelne Plattform beschränkt, sondern könnte über das ganze Metaverse in jedem Kontext und in jedem anderen virtuellen Raum genutzt werden. Das ist der wesentliche Unterschied zu den aktuellen Möglichkeiten im Internet. Beispielsweise ist im Moment die Nutzung von Tokens (Kryptowährung bzw. Krypto-Vermögenswerte) in einem Spiel grundsätzlich auf dieses beschränkt. Sie können in der Regel nicht zum Bezahlen auf einer anderen Plattform genutzt werden. Im Metaverse soll gerade das möglich sein. Das Metaverse ist also eine kollektive virtuelle Welt mit einer Vielzahl an Räumen, die unbeschränkt und übergreifend funktionieren. Über das wirkliche Potential und die tatsächlichen Möglichkeiten im Metaverse lässt sich aktuell nur spekulieren. Denkbar ist auch im Metaverse per VR, mit seinem Avatar in einen Büroraum zu gehen, um dort zu arbeiten, oder aber digitale Hologramme in die eigenen vier Wände zu projektieren. Ein bereits seit Jahren existierender Metaverse-Prototyp ist „Second Life“ von Linden Lab, das zeitweise bis zu 57 Millionen registrierte Accounts hatte, jedoch nach mehrjährigem Hype bei vielen inzwischen in Vergessenheit geraten ist. Auch Meta Platforms hat inzwischen mit „Horizon Worlds“ schon den Schritt in Richtung virtuelle Welt getan. Dies zeigt, dass auch die Existenz mehrerer Metaverse-Plattformen nebeneinander denkbar ist. Dennoch scheint das Ziel der Unternehmen eher auf ein marktbeherrschendes Metaverse ausgerichtet zu sein. Die dahinterstehende Vision wird immer konkreter und scheint in naher Zukunft immer greifbarer. Neben vielen Potentialen stellen sich aber auch rechtliche Fragen.

Die Frage nach dem geltenden Rechtsregime scheint besonders herausfordernd. Zunächst muss berücksichtigt werden, dass das Metaverse nationenübergreifend zugänglich sein soll. Bestenfalls, so die Vision, soll jedermann Zugang dazu haben. Der wesentliche Unterschied zu einer herkömmlichen international zugänglichen Web-Plattform liegt in der Dezentralität und der umfassenden Interoperabilität. Innerhalb einer virtuellen Welt alle Rechtssysteme zu vereinen, dürfte sich als ein komplexes Unterfangen entpuppen. Zumal die wenigsten Gesetze bereits auf ein Metaverse vorbereitet sind. Es ergibt sich also weiter die Frage, ob die aktuell bestehenden Regelungen überhaupt geeignet sind, eine virtuelle Welt angemessen zu regeln.

Vom aktuellen rechtlichen Ist-Zustand aus betrachtet können

• eventuell bestehende internationale Vereinbarungen, wie völkerrechtliche Verträge oder Abkommen,
• das Internationale Privatrecht (IPR),
• das Recht des Herkunftslandes des Betroffenen oder
• das Recht des Plattformbetreibers

als mögliche Anknüpfungspunkte gesehen werden.

Anknüpfungspunkt: Völkerrechtliche Abkommen und „Metaverse-Recht“

Denkbar wäre es, eine Art neue internationale Organisation als Staatenzusammenschluss aller Länder zu schaffen, die den Zugang zum Metaverse ermöglichen wollen. Als dezentrale autonome Organisationen könnten die teilnehmenden Staaten mittels völkerrechtlicher Verträge ein separates Rechtskonstrukt zur Regulierung des Metaverse erschaffen – eine Art „Metaverse-Recht“. Diese könnte vor dem Hintergrund einer digitalen alternativen Echtzeit-Existenz Rechtssicherheit schaffen. Es erscheint utopisch, alle Interessen eines jeden Staates in einem einheitlichen Vertragstext zu vereinen. Ein eigenes Rechtsregime für das Metaverse würde hingegen die Handhabung erleichtern, übersichtlicher und benutzerfreundlicher machen.

Völkerrechtliche Verträge sind aber insofern eher weniger geeignet, da sie nur die Vertragsstaaten und selten die im Land ansässigen Unternehmen oder Privatpersonen direkt verpflichten. Um innerstaatlich ebenfalls die Berücksichtigung eines solchen Vertrages zu erreichen, bedarf es je nach nationalem Recht eines Staates weiterer Zwischenschritte. Zudem sind die rechtlichen Möglichkeiten bei der Nichteinhaltung eines Völkervertrages eingeschränkt und wenig effektiv. Ob dieses Ziel erreicht werden kann, ist vor diesem Hintergrund sehr fraglich. Völlig ausgeschlossen ist diese Möglichkeit trotzdem nicht, wie am Funktionieren der World Trade Organization (WTO) zu verzeichnen ist. Die der WTO zugrundeliegenden Abkommen schaffen einen effektiven und einheitlichen Rechtsrahmen für den weltweiten Handel. Besonders bemerkenswert ist, dass die in den Abkommen festgelegten Sanktionen bei Nichteinhalten der Verträge sehr effektiv sind. Zumindest dieser Staatenzusammenschluss hat Vorbildfunktion für ein funktionierendes globales Rechtssystem.

Anknüpfungspunkt: IPR

Auch das IPR (Internationales Privatrecht) könnte als Anknüpfungspunkt dienen. Es beantwortet als Kollisionsrecht die Frage, welche Rechtsordnung bei Fällen mit Bezügen zu Rechtssystemen verschiedener Staaten gilt. So sind die Ausgangspunkte, wie etwa der gewöhnliche Aufenthalt des Verkäufers/der Verkäuferin bei Kaufverträgen, grundsätzlich auf das Metaverse übertragbar. Das IPR deckt dabei die zivilrechtlichen Konstellationen ab. Für strafrechtliche Sachverhalte müsste das internationale Strafrecht beachtet werden. Rechtsfragen im Metaverse über das IPR zu lösen, erscheint möglich.

Anknüpfungspunkt: Herkunftsland von Betroffenen

Bei dieser Option stell sich bereits vorab die Frage, wer Betroffener wäre. Ist es der Avatar, der im Metaverse „lebt“? Oder ist es die Person, die den Avatar steuert und aus der realen Welt heraus agiert? Da der Avatar nur eine digitale Verkörperung des dahinterstehenden realen Menschen ist, spricht vieles für die Herkunft des Steuernden.

Konkret für den Datenschutz im Metaverse würde hierbei zu beantworten sein: Wann käme die Datenschutz-Grundverordnung (DSGVO) zur Anwendung? Zwar knüpft der räumliche Anwendungsbereich der DSGVO in Art. 3 DSGVO primär an den Sitz des Unternehmens, das Daten verarbeitet, an. Sollte man aber zur Ermittlung des geltenden Rechts auf das Herkunftsland des Betroffenen abstellen, wäre allein dessen dauernder Aufenthalt maßgeblich. Sollte dieser in der Union liegen, könnte man das Unionsrecht und damit auch die DSGVO anwenden.

Anknüpfungspunkt: Recht der Plattformbetreibenden

Möglicherweise könnte man auch die einzelnen Plattformen im Sinne der „virtuellen Räume“, die man im Metaverse betreten kann, als Anknüpfungspunkte für das anzuwendende Rechtssystem ansehen. Dabei würde sich ebenfalls zunächst die Frage stellen, ob es auf den realen Unternehmenssitz ankommt, oder auf den Sitz im Metaverse.

Sollte der Unternehmenssitz in der realen Welt Ausgangspunkt sein, wäre die Rechtlage übersichtlich. Dann würde beispielsweise in einem virtuellen Einkaufszentrum, das von einem in den USA ansässigen Unternehmen betrieben wird, das US-Recht gelten. Für einen virtuellen Co-Working-Space, dessen „Raum“-Betreiber seinen Sitz in der Union hat, könnte dann Unionsrecht angewendet werden und damit auch die DSGVO, soweit es um die Verarbeitung personenbezogener Daten geht. Diesem Gedanken folgend würde aber zumindest das Marktortprinzip aus Art. 3 Abs. 2 DSGVO leerlaufen. Danach müssen nicht in der Union ansässige Unternehmen die DSGVO beachten, wenn sie Waren oder Dienstleistungen in der Union anbieten oder das Verhalten von betroffenen Personen in der Union beobachten. Die Feststellung der geltenden Rechtsordnung wäre bei Abstellen auf das Recht des Plattformbetreibers aber gerade unabhängig von der betroffenen Person, sondern allein vom Unternehmensstandort abhängig. Ob sich dann im Laufe der Zeit eine Art „Landflucht“ der Unternehmen in das Land mit den lockersten Rechtsregelungen entwickeln würde, wäre zumindest nicht ausgeschlossen. Rechtsvorhaben wie der Digital Services Act (DSA) der Europäischen Union könnten dies durchkreuzen. Der DSA möchte eine Plattformregulierung für alle Anbieter schaffen, die ihre Dienstleistungen innerhalb der Europäischen Union anbieten, und zwar unabhängig vom tatsächlichen Sitz des Unternehmens.

Geht man davon aus, dass es auf den Sitz des Unternehmens im Metaverse ankommt, wird das Marktortprinzip hinken. Es ist wohl nicht zu erwarten, dass innerhalb der virtuellen Welt auch staatliche Territorien zu finden sind. Daher wird es schwierig, das Marktortprinzip im Metaverse anzuwenden. Die Union als territoriales Gebiet wäre kein Anknüpfungspunkt. Darüber hinaus wäre es auch denkbar, dass neue Unternehmen im Metaverse selbst gegründet werden, wodurch eine territoriale Zuordnung schon von vorneherein nicht mehr möglich wäre. Es gäbe dann keinen Unternehmenssitz in der realen Welt mehr. Die Übertragung der für die analoge Welt geltenden Regeln würden hier nicht mehr weiterführen.

Was sind personenbezogene Daten im Metaverse?

Ist schon die Errichtung des Metaverse mit einer erheblichen Datenmaximierung verbunden, eröffnet es im weiteren Verlauf das Potential, Daten in erheblichem Umfang über seine Nutzer und Nutzerinnen zu sammeln. Sobald eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten vorliegt, ist der sachliche Anwendungsbereich der DSGVO (vgl. Art. 2 Abs. 1 DSGVO) eröffnet und damit der erste Schritt für die Anwendung ihrer Regelungen auf das Metaverse erfüllt.

Abgesehen von einer Registrierung (mit Klarnamen, ggf. aber auch unter Pseudonym), die in der Regel für den Zugang und die Nutzung aller Funktionen notwendig sein wird, ist die Verarbeitung personenbezogener Daten auch auf anderen Wegen zu bedenken. So gibt schon der jeweilige Avatar als digitale Verkörperung des Nutzers/der Nutzerin in der virtuellen Welt preis, wo sich der Nutzer/die Nutzerin gerade aufhält, welche Spiele er/sie spielt oder welche Käufe er/sie tätigt. Zudem werden Nutzer/Nutzerinnen regelmäßig mittels VR- und AR-Technologien (z.B. VR-Brillen oder Headsets) in das Metaverse eintauchen. Zwar ist die Entwicklung dieser beiden Technologien aktuell für ein immersives Metaverse noch nicht reif genug. Dennoch hat es die IT-Branche bereits geschafft sog. „Smartcams“ auf den Markt zu bringen. Diese können nicht nur Videos aufzeichnen, sondern auch weitere Informationen aus ihnen gewinnen. Durch integrierte Sensoren in der Kamera oder im Computer können auch körperliche Aktionen erfasst und verwertet werden (sog. „Ubiquiotous Computing“). Daher stellt sich die Frage, ob unter anderem Mimik, Gestik und Körpersprache als Daten zu qualifizieren sind, und ob dies mit der DSGVO, soweit im Metaverse anwendbar, vereinbar wäre. Von Relevanz wäre das insbesondere, wenn anhand der Mimik die Gefühlslage oder das Interesse an einem bestimmten Objekt, etwa einer Werbeanzeige im Metaverse, ermittelt werden könnte. Im Folgenden könnte dann via AdTech (Online-Marketing in der Werbebranche) personalisierte Werbung geschaltet werden.

Daten sind grundsätzlich kodierte Informationen. Hinsichtlich des Personenbezugs hilft die DSGVO weiter. Ausgehend von der Definition in Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispielhaft nennt das Gesetz unter anderem „mehrere besondere Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, […] Identität“ der natürlichen Person sind. Da Mimik, Gestik und Körpersprache sichtbare Bewegungen des Körpers sind, fallen diese Merkmale unter den physischen Ausdruck. Die Zuordnung des körperlichen Ausdrucks kann in der Regel dann auch einer natürlichen Person zugeordnet werden, sodass sie ein personenbezogenes Datum im Sinne der DSGVO ist. Damit kämen die Regelungen der DSGVO zur Anwendung.

Hinzu treten ethische Erwägungen, ob mittels Mimik ermittelt werden darf, wie es um die Persönlichkeit, die Motivation, die Ehrlichkeit etc. des Nutzers/der Nutzerin steht. Solche Analysen würden tiefgreifend in die Persönlichkeitsrechte der Nutzer und Nutzerinnen eingreifen. Unabhängig vom Vorliegen einer möglichen Rechtsgrundlage rechtmäßigen Verarbeitung (vgl. Art. 6 DSGVO), ist zu fragen, ob dies überhaupt zulässig sein soll. Eventuell könnten solche Mimik-Daten als besonders sensible Daten nach Art. 9 DSGVO eingeordnet werden. Diese dürfen nur unter engen Voraussetzungen verarbeitet werden.

Das könnte Sie auch interessieren:

• Auf einen Blick: Relevante Entscheidungen des EuGH zum Datenschutzrecht
• Unsere Beratungskompetenz: IT-Recht und Digitales Business
• EU-Datenregulierung für Unternehmen: Ein umfassender Überblick

Wer ist datenschutzrechtlich verantwortlich im Metaverse?

In einer Art Kodex für das Metaverse wurden bereits sieben Attribute zu seiner näheren Bestimmung aufgestellt:

1. Regel: Es gibt nur ein Metaverse.
2. Regel: Das Metaverse ist jedermann zugänglich.
3. Regel: Niemand kontrolliert das Metaverse.
4. Regel: Das Metaverse ist offen.
5. Regel: Das Metaverse ist unabhängig von einer Hardware.
6. Regel: Das Metaverse ist ein Netzwerk.
7. Regel: Das Metaverse ist das Internet.

Für die datenschutzrechtliche Verantwortlichkeit könnte vor allem Regel Nr. 3 Probleme bereiten. Wenn niemand das Metaverse kontrolliert, kann dann überhaupt jemand für die datenschutzrechtlichen Vorgänge innerhalb der virtuellen Welt verantwortlich sein? Die Regel impliziert nahezu eine Anarchie, die im Metaverse herrschen solle. Das kann aber nicht das Ziel sein. Vor allem nicht vor dem Hintergrund, dass das Metaverse eine Art „zweites Leben“ ermöglichen soll. Auch in einem virtuellen Leben müssen zwischenmenschliche Begegnungen rechtlichen Rahmenbedingungen gerecht werden, ob dies nun die Achtung der Grundrechte oder eben der Datenschutz sei.

Anknüpfend an die Frage nach dem Rechtsregime im Metaverse, kann die DSGVO unter Umständen angewendet werden. Für die Adressierung der entsprechenden Rechte und Pflichten ist die Klärung der Verantwortlichkeit zentral. Datenschutzrechtlicher Verantwortlicher ist das DSGVO diejenige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO).

Single-oranization ecosystem-Verantwortlichkeit

In Betracht kommt zunächst eine „Raum“-bezogene Verantwortlichkeit, vergleichbar mit den aktuell bestehenden einzelnen Webseiten und Plattformen. Demnach trifft denjenigen die Verantwortlichkeit, in dessen Raum sich eine Person mittel ihres Avatars gerade aufhält. Würde ein virtuelles Einkaufszentrum betreten, wäre der Einkaufzentrumsbetreiber in diesem Falle Verantwortlicher. Dann bliebe aber die Frage offen, wer auf den „Straßen“, die die virtuellen Räume verbinden, als Verantwortlicher gilt. Denn auch auf den virtuellen Straßen könnte es vorkommen, dass personenbezogene Daten verarbeitet werden. Beispielsweise könnten dort durch AdTech aufgestellte, personalisierte Werbeplakate aufgestellt werden oder andere Werbeaktionen stattfinden.

Zentrale Metaverse-Verantwortlichkeit

Zur Vereinfachung des sonst entstehenden Geflechts von Verantwortlichkeiten könnte daher einiges dafürsprechen, eine zentrale Plattformverantwortlichkeit für das gesamte Metaverse zu etablieren. Dann wäre in einem weiteren Schritt zu klären, wer diese Verantwortlichkeit zu tragen hätte. Sollte es einen einzigen Verantwortlichen für das gesamte Metaverse geben? Oder wäre eine Art gemeinschaftliche Verantwortlichkeit aller agierenden Unternehmen im Metaverse interessengerechter? Hier wäre schon problematisch, ob über alle möglichen Potentiale des Metaverse hinweg die gemeinsame Festlegung der Zwecke und Mittel zur Verarbeitung (vgl. Art. 26 Abs. 1 Satz 1 DSGVO) realisierbar wäre. Außerdem würde so jeder Verantwortliche im Rahmen der Gesamthaftung für jeden Fehltritt eines anderen Verantwortlichen mithaften. Die daraus resultierenden Ungerechtigkeiten könnten wohl auch nur bedingt durch Regressansprüche gelöst werden.

Access-Point-Verantwortlichkeit

Denkbar wäre es zuletzt, die Verantwortlichkeit über Access-Points zu bestimmen. Access-Points sind Einwahlprovider, also zum Beispiel Internetanbieter im Sinne von DSL-Anbietern. Als Access-Point-Provider zum Metaverse gelten dann diejenigen Dienstleister, die den Zugang zum Metaverse durch einen Internetanschluss ermöglichen. Hierbei stellt sich allerdingt die Frage, ob dies dann nicht zu einer enormen untragbaren Providerhaftung im Sinne einer Generalhaftung ausgedehnt würde. Zwar wäre es für Betroffene übersichtlich und einfach herauszufinden, an wen sie sich im Einzelfall wenden müssten. Jedoch wäre die Lösung insoweit unzureichend, als der Access-Point-Provider nur den Eintritt ins Metaverse ermöglicht. Gerade innerhalb des Metaverse agieren jedoch andere Anbieter, sodass es unbillig wäre eine reine Access-Point-Verantwortlichkeit zu konstruieren.

Datenschutzrechtliche Pflichten im Web 3.0

Geht man davon aus, dass die DSGVO im Metaverse anwendbar ist, sind die darin festgehaltenen Rechte der Betroffenen zu berücksichtigen und der weitreichende datenschutzrechtliche Pflichtenkatalog mit Dokumentations-, Auskunfts- und Meldepflichten zu befolgen. Die Umsetzung so mancher DSGVO-Regelung wird Unternehmen, anders als im Web 2.0, vor größere Herausforderungen stellen und kreative Lösungen erfordern. So stellt sich beispielsweise die Frage, wie dem Betroffenen Datenschutzinformationen (z.B. Benennung des Verantwortlichen, Aufklärung über Betroffenenrechte) mitgeteilt werden können. Nach Art. 12 Abs. 1 DSGVO müssen den Betroffenen die Datenschutzinformationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ übermittelt werden. Finden sich Datenschutzhinweise beispielsweise derzeit einfach im Footer der meisten regulären Websites, gestaltet sich dies im grenzenlosen Metaverse deutlich komplizierter. Eine Bereitstellung bei Registrierung allein wird nicht ausreichen, vielmehr wird es erforderlich sein, die Betroffenen kontinuierlich bei der Nutzung zu informieren, so z.B., wenn sie eine virtuelle Bankfiliale besuchen oder Online-Einkäufe tätigen. Der Nutzer muss stets vorab informiert sein, welche seiner personenbezogenen Informationen verarbeitet werden. Als Lösung für das Web 3.0 könnte sich beispielsweise ein virtueller Aushang anbieten, der je nach individueller Aktivität des Nutzers/der Nutzerin aktualisiert wird. Analog ist zu überlegen, wie eine Verwendung personenbezogener Daten zu Werbezwecken vor dem Hintergrund der besonderen Gegebenheiten des Metaverse rechtskonform ausgestaltet werden kann.

Datenaustausch

Wie bereits erwähnt, soll den zukünftigen Nutzern des Metaverse die Möglichkeit gegeben sein, mühelos von einem Raum zum anderen bzw. von einer Plattform zu anderen zu wechseln und hierbei ihre Besitztümer und Tokens mitzunehmen. Die sog. Interoperabilität der Daten als besonderer Trumpf des Metaverse verlangt, dass die Daten reibungslos transferiert werden können. Das setzt nicht nur die Schaffung entsprechender technischer Bedingungen voraus, sondern macht auch Vorkehrungen datenschutzrechtlicher Art erforderlich. Letzteres verpflichtet vor allem Unternehmen, die entsprechende Plattformen betreiben. Sie müssen untereinander DSGVO-konforme Vereinbarungen über den Austausch relevanter Daten (wie z.B. Registrierungsdaten und Daten über Eigentumsrechte) treffen. Dabei ist auch zu berücksichtigen, dass die Verarbeitung bestimmter Daten die Einwilligung des/der Betroffenen voraussetzt.

Da das Metaverse als eine nationenübergreifende virtuelle Welt gedacht wird, sollte auch ein internationaler Datenaustausch gewährleistet sein. Hierbei müssen Unternehmen die besonderen datenschutzrechtlichen Anforderungen an den Datentransfer in Staaten außerhalb der EU mitdenken. Gemäß Art. 45 DSGVO bedarf es für die Datenübermittlung in ein Drittland eines Angemessenheitsbeschlusses (mit dem die EU-Kommission feststellen kann, dass ein Drittstaat ein der EU vergleichbares Datenschutzniveau bietet) bzw. der Einhaltung der in Art. 46 DSGVO festgelegten Garantien. Infolge der sog. Schrems-II-Entscheidung, mit dem der Europäische Gerichtshof den Angemessenheitsbeschluss für die USA (Privacy-Shield-Abkommen) für ungültig erklärt hat, wurden die Anforderungen an rechtsfonforme Datenübermittlungen in Drittstaaten noch einmal deutlich angezogen. Die neuen Vorgaben, die bereits jetzt viel Unsicherheit hervorrufen, werden Unternehmen auch bei der weiteren Entwicklung des Metaverse begleiten.

Ausblick: Weitere relevante europäische Rechtsakte

Nicht nur die Vorgaben aus der DSGVO werfen in Hinblick auf das Metaverse eine Vielzahl von Fragen auf, sondern auch weitere europäische Rechtsakte werden auf die virtuelle Welt Anwendung finden. Gerade im Rahmen der umfangreichen EU-Datenregulierung bzw. -gesetzgebung ergeben sich einige Schnittstellen. Da künstliche Intelligenz im Rahmen des Metaverse eine Vielzahl menschlicher Interaktionen möglich machen könnte, werden beispielweise ggf. die Vorgaben aus dem Artificial Intelligence Act (AIA) Anwendung finden. Der AIA, der noch nicht verabschiedet ist, stellt in seiner Entwurfsfassung unter anderem Verpflichtungen an die Nutzung bestimmter KI-Systeme mit hohem Risiko auf und beinhaltet auch eine Kennzeichnungsplicht von Deep Fakes und Social Bots. Relevant kann daneben auch der Digital Services Act (DSA) sein, dessen Ziel die Schaffung eines einheitlichen Rechtsrahmens für Online-Plattformen mit Melde- und Rechenschaftspflichten ist. Die vorgesehenen einheitlichen Vorschriften zu Haftung und Sicherheitsvorkehrung auf Online-Plattformen würde auch das Metaverse betreffen. Zuletzt sollten auch die Regelungen des Digital Markets Act (DMA) nicht vergessen werden. Für den Fall, dass sich Metaverse-Plattformen zu sog. Gatekeepern entwickeln, also große Online-Plattformen, die die digitalen Märkte kontrollieren, finden auch die Vorgaben des DMA Anwendung. Der kürzlich in Kraft getretene Rechtsakt stellt über 20 Verhaltensvorgaben (Do’s and Don’ts) auf, die bei regelwidrigem Verhalten bußgeldbewehrt sind.

Fazit

Die Rechtsfragen um das Metaverse sind komplex. Vieles wird davon abhängen, welche Rechtsordnung innerhalb des Metaverse gelten wird. Über die Fragen zum Datenschutz hinaus, werden sich auch viele andere Rechtsgebiete, wie das Strafrecht oder das Zivilrecht, auf das Web 3.0 vorbereiten müssen. Bei der Entwicklung sind daneben auch grundlegende rechtspolitische und grundrechtliche Überlegungen anzustellen. Werte, die in unserer physischen Welt gelten, darunter auch die Werteordnungen der Rechtssysteme, müssen auch in der neuen virtuellen Welt etabliert werden.

Allzu lange wird es auf jeden Fall nicht mehr dauern, bis das Metaverse an den Start gehen wird. Die darin verborgenen Potentiale sollten unbedingt genutzt werden. Unsere Kanzlei bietet unter anderem zu neuen Technologien wie Blockchain und Metaverse umfassende Beratungsleistungen an – ob zu datenschutzrechtlichen, IT- oder wettbewerbsrechtlichen Aspekten. Gemeinsam mit Ihnen finden wir die passenden Lösungen für die Realisierung komplexer datengetriebener Projekte oder Plattformen. Sprechen Sie uns an!

Legal Hold und DSGVO – Beweissicherung oder Datenschutz?

Europäische Unternehmen, die transatlantische Geschäftsbeziehungen unterhalten, laufen nicht selten Gefahr, in vorprozessuale Beweisverfahren – sogenannte Pre-Trial Discoveries – verwickelt zu werden. Nach amerikanischem Zivilrecht sind sie dann verpflichtet, Informationen, die für den Rechtsstreit relevant sein können, einzufrieren und bis zum Abschluss des Verfahrens – unter Umständen über viele Jahre – aufzubewahren. Handelt es sich bei diesen Informationen um personenbezogene Daten nach der Datenschutz-Grundverordnung (DSGVO), kann es theoretisch zu einer Pflichtenkollision kommen: Der amerikanische Zivilprozess verlangt, dass die Daten in ein Drittland übermittelt und dort auf unbestimmte Zeit gespeichert werden. Der europäische Datenschutz hingegen verlangt, dass die Speicherdauer begrenzt ist, personenbezogene Daten nur unter bestimmten Voraussetzungen exportiert werden dürfen und Betroffene ihre Rechte geltend machen können. Es stellt sich daher die Frage, ob die Anforderungen der amerikanischen Beweismittelsicherung nur unter Verletzung des europäischen Datenschutzes erfüllt werden können und ob die Einhaltung der DSGVO automatisch einen Verstoß gegen amerikanisches Recht bedeuten würde. Wir bringen Licht ins Dunkel und geben einen Überblick über die wichtigsten Probleme und mögliche Lösungsansätze.

Legal Holds und ihre Bedeutung im US-amerikanischen Zivilprozess – ein Fallbeispiel

Der Legal oder Litigation Hold stammt aus dem amerikanischen Zivilprozessrecht. Das Konzept existiert bereits seit längerer Zeit, wurde aber erst 2005 entscheidend geprägt. In dem entscheidenden Fall Zubulake v UBS Warburg vor einem New Yorker Bezirksgericht ging es vor allem um die Vorlage von Beweismitteln. Laura Zubulake hatte wegen Diskriminierung am Arbeitsplatz geklagt und behauptet, dass entsprechende Beweise aus der E-Mail-Korrespondenz der Mitarbeitenden der Beklagten entnommen werden könnten. Die Klägerin konnte zwar nicht beweisen, dass sie von der Beklagten diskriminiert worden war, aber sie konnte nachweisen, dass die von der Beklagten im Rahmen der Beweisaufnahme vorgelegten E-Mails unvollständig waren. Die Beklagte hatte offenbar E-Mails gelöscht, nachdem bereits absehbar war, dass es zu einem Rechtsstreit kommen würde. Vor diesem Hintergrund entschied das Gericht, dass eine Partei, die vernünftigerweise mit einer Pre-Trial Discovery rechnen muss, ihre Löschroutine aussetzen und sicherstellen muss, dass alle relevanten Informationen sicher und unverändert aufbewahrt werden, um später als Beweismittel verwendet werden zu können.

Datenschutzrechtliche Aspekte bei Pre-Trial Discoveries: Verarbeitung von personenbezogenen Daten gemäß DSGVO

Wird ein Unternehmen in eine Pre-Trial Discovery involviert (und nicht völlig überrascht), wird es die betroffenen Daten schnellstmöglich identifizieren und vom operativen Geschäft trennen. Sind personenbezogene Daten betroffen, handelt es sich datenschutzrechtlich um Verarbeitungsvorgänge, die entsprechende Bedingungen erfüllen müssen. Handelt es sich um ein formloses Beweisersuchen, also noch kein Gericht beteiligt ist, kommt regelmäßig nur eine Verarbeitung zur Wahrung berechtigter Interessen in Betracht. Handelt es sich hingegen um ein förmliches Ersuchen eines Gerichts, das zudem die Bundesrepublik Deutschland um Rechtshilfe ersucht hat, kann die Verarbeitung auch zur Erfüllung einer rechtlichen Verpflichtung erforderlich sein. Denn eine Pre-Trial Discovery kann unter bestimmten Voraussetzungen im Wege der Rechtshilfe erzwungen werden. Zu diesen Voraussetzungen gehört insbesondere, dass das Herausgabeverlangen nicht gegen wesentliche Grundsätze des deutschen Rechts verstößt und weitere Voraussetzungen erfüllt sind.

Drittlandübermittlung von personenbezogenen Daten: Voraussetzungen und rechtliche Rahmenbedingungen gemäß DSGVO

Die Übermittlung von Daten in ein sogenanntes Drittland wie die USA ist nur unter bestimmten Voraussetzungen möglich. Danach setzt die Übermittlung einen Angemessenheitsbeschluss, geeignete Garantien oder eine Ausnahme voraus. Dieser Angemessenheitsbeschluss wurde zwischenzeitlich auf der Grundlage des transatlantischen Datenschutzrahmens gefasst. Eine Datenübermittlung im Rahmen der Pre-Trial Discovery war jedoch auch vor Erlass des Angemessenheitsbeschlusses möglich, wenn das US-Gericht den Weg eines förmlichen Rechtshilfeersuchens beschritt oder die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich war.

Das könnte Sie auch interessieren:

• Wir beraten Sie im Datenrecht!
• Transfer Impact Assessment (TIA) – praktische Durchführung vorgeschriebener Risikoabschätzung
• Der transatlantische Datenschutzrahmen zwischen EU und USA: Aktuelles

Betroffenenrechte bei einem Legal Hold: Auskunft, Kopie und Löschung gemäß DSGVO

Der deutsche Gesetzgeber hat von der Möglichkeit, die Rechte der Betroffenen bei einem Legal Hold einzuschränken, z. B. zum Schutz von Gerichtsverfahren oder zur Durchsetzung zivilrechtlicher Ansprüche, keinen Gebrauch gemacht. Verantwortliche, die Daten im Rahmen eines Legal Holds verarbeiten, müssen Auskunftsersuchen von Betroffenen daher grundsätzlich nachkommen und den von der Verarbeitung betroffenen Personen Auskunft erteilen. Darüber hinaus können Betroffene von den Verantwortlichen verlangen, dass ihnen eine originalgetreue Kopie der verarbeiteten Daten zur Verfügung gestellt wird und dass diese Daten gelöscht werden. Allerdings kann dem Verlangen nach einer Kopie entgegengehalten werden, dass eine Kopie die Rechte und Freiheiten anderer Personen beeinträchtigen würde. Personenbezogene Daten müssen auch dann nicht gelöscht werden, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Erfüllung der Anforderungen im vorgerichtlichen Beweisverfahren: Strategien und Maßnahmen für Unternehmen

Vorprozessuale Beweisverfahren wie die US-amerikanische Pre-Trial Discovery und ein damit möglicherweise verbundener Legal Hold stellen Unternehmen vor erhebliche Herausforderungen. Die Anforderungen des US-amerikanischen Zivilprozesses können jedoch erfüllt werden, ohne gegen deutsches oder europäisches Datenschutzrecht zu verstoßen. Voraussetzung ist allerdings, dass sich die Verantwortlichen umfassend mit den Anforderungen vertraut gemacht und einen entsprechenden Prozess aufgesetzt haben. Sind Unternehmen vorbereitet (und bleiben auch im Ernstfall handlungsfähig), können Haftungsfallen vermieden werden – etwa durch eine gezielte Identifikation der relevanten Informationen, eine sorgfältige Abwägung und Dokumentation, die Anonymisierung und schrittweise Übermittlung sensibler Daten, den Abschluss einer Discovery-Vereinbarung mit der Gegenseite oder die Erwirkung einer entsprechenden Protective Order beim zuständigen Gericht.

Erfahrene Unterstützung bei Pre-Trial Discoveries und Legal Hold – Sichern Sie sich fundierte Lösungen von unserer Kanzlei!

Sie sind ein europäisches Unternehmen mit transatlantischen Geschäftsbeziehungen? Dann sind Sie möglicherweise auch mit den Herausforderungen von vorgerichtlichen Beweisverfahren konfrontiert. Wir unterstützen Sie gerne in diesem Bereich in allen Fragen rund um Legal Holds und die DSGVO. Unser erfahrenes Team hat sich intensiv mit den Anforderungen vorgerichtlicher Beweisverfahren auseinandergesetzt und steht Ihnen mit fundiertem Wissen und maßgeschneiderten Lösungen zur Seite. Wir helfen Ihnen, sich optimal auf Legal Holds vorzubereiten und handlungsfähig zu bleiben, um Haftungsfallen zu vermeiden. Kontaktieren Sie uns noch heute und lassen Sie sich von unseren Rechtsexpertinnen und -experten beraten.

Betroffenenrechte nach der DSGVO: Die Reichweite im Gesundheitswesen

Seit Inkrafttreten der DSGVO (Datenschutz-Grundverordnung) im Mai 2018 sind Unternehmen immer wieder mit Betroffenenanfragen konfrontiert. Der DSGVO-konforme Umgang damit ist für die Datenschutz-Compliance jedes Unternehmens essenziell. Egal, ob es um Löschung, Auskunft, Berichtigung oder Datenübertragbarkeit geht – es handelt sich um Rechte der Betroffenen, denen im gesetzlich vorgeschriebenen Rahmen nachgekommen werden muss. Doch wie weit gehen diese Rechte und was gilt es zu tun, wenn sie mit anderen Rechten kollidieren? Besonders relevant ist dies für Verantwortliche im Gesundheitswesen, die tagtäglich mit besonders schützenswerten, sensiblen Daten umgehen. Darf der Patient/die Patientin Einsicht in die vollständige Patientenakte erhalten oder sogar die Löschung verlangen? Welche Informationen dürfen Ärzte zurückhalten, insbesondere vor Familienmitgliedern? Wir liefern die Antworten auf diese und weitere wichtige Fragen.

Erkennungsmerkmale einer Betroffenenanfrage im Gesundheitswesen

Betroffene sind die Personen, deren personenbezogene Daten verarbeitet werden. Damit korrekt mit einer Betroffenenanfrage umgegangen werden kann, muss sie erst einmal als eine solche identifiziert werden. Das ist gar nicht so einfach, schließlich ist sich nicht jede/r Patient/in darüber bewusst, dass er/sie gerade ein Betroffenenrecht nach der DSGVO ausübt und formuliert das entsprechend laienhaft und nichtjuristisch. Eine Betroffenenanfrage muss auch nicht als solche tituliert werden, um die entsprechenden Rechte geltend zu machen. Bestimmte Stichworte oder Formulierungen können aber Hinweis auf eine Betroffenenanfrage geben und sollten den Verantwortlichen hellhörig werden lassen. Werden beispielsweise Begriffe wie „Information“, „Auskunft“, „Einblick“, „Herausgabe“, „Berichtigung“, „Löschung“ oder „Widerspruch“ benutzt, sollten Verantwortliche an das mögliche Vorliegen einer Betroffenenanfrage denken. Im Gesundheitswesen können folgende Formulierungen auf eine Betroffenenanfrage hinweisen und sollten als solche behandelt werden:

• „Ich möchte etwas zum Umgang mit meinen Patientendaten wissen“
• „Kann ich Einblick in meine Patientenakte erhalten?“
• „Welche Gesundheitsdaten von mir haben Sie auf dem Computer abgespeichert?“
• „Können Sie bitte meine Kontaktdaten in Ihrer Patientendatei auf Richtigkeit überprüfen und ggf. aktualisieren?“
• „Vernichten Sie alles, was Sie über meinen Gesundheitszustand dokumentiert haben.“

Diese Anfragen können dann einem oder mehreren Betroffenenrechten zugeordnet werden. In der DSGVO werden folgende Betroffenenrechte gewährt:

• Das Recht auf Auskunft: Die betroffene Person kann Auskunft über die Verarbeitung ihrer personenbezogenen Daten verlangen (näheres hierzu s.u.).
• Das Recht auf Datenberichtigung: Die betroffene Person kann verlangen, dass die sie betreffenden unrichtigen Daten korrigiert und ergänzt werden.
• Das Recht auf Datenlöschung: Die betroffene Person kann bei Vorliegen bestimmter Voraussetzungen die Löschung ihrer personenbezogenen Daten verlangen.
• Das Recht auf Einschränkung der Verarbeitung: Die betroffene Person kann bei Vorliegen bestimmter Voraussetzungen verlangen, dass ihre personenbezogenen Daten lediglich eingeschränkt verarbeitet werden.
• Recht auf Datenübertragbarkeit: Die betroffene Person kann verlangen, ihre personenbezogenen Daten in einem strukturierten, maschinenlesbaren und gängigen Format zu erhalten und einem anderen Verantwortlichen zu übermitteln, wenn die Verarbeitung in einem automatisierten Verfahren und auf Grundlage einer Einwilligung stattfindet oder zur Durchführung eines Vertrags erforderlich ist.
• Widerruf einer zuvor erteilten Einwilligung: Die betroffene Person kann eine erteilte Einwilligung jederzeit widerrufen und so die Datenverarbeitung für die Zukunft unzulässig machen.
• Das Recht auf Widerspruch: Die betroffene Person kann aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Datenverarbeitung einlegen, wenn diese aufgrund berechtigter Interessen oder in Ausübung öffentlicher Gewalt erfolgt.
• Das Recht auf Beschwerde bei einer Aufsichtsbehörde: Die betroffene Person hat das Recht, sich bei der entsprechenden Aufsichtsbehörde zu beschweren, wenn sie in der Verarbeitung ihrer personenbezogenen Daten eine Verletzung ihrer nach der DSGVO garantierten Rechte sieht. Die Aufsichtsbehörde kann daraufhin weitere Schritte gegen das datenverarbeitende Unternehmen vornehmen.

Beschränkungen der Betroffenenrechte gemäß DSGVO: Ausnahmen und Öffnungsklausel im Gesundheitswesen

Die Betroffenenrechte in der DSGVO gelten jedoch nicht unbeschränkt. Der europäischen Union und ihren Mitgliedsstaaten ist die Möglichkeit gegeben, ihre Reichweite in einem gewissen Rahmen einzuschränken oder Ausnahmen zuzulassen (Art. 23 Abs. 1 DSGVO). Eine besondere Relevanz im Gesundheitswesen entfaltet die Öffnungsklausel in Art. 89 Abs. 2 DSGVO, nach der für die Verarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken einzelne Betroffenenrechte abbedungen werden können. Davon hat der deutsche Gesetzgeber durch entsprechende Regelungen im Bundesdatenschutzgesetz (BDSG) Gebraucht gemacht.

Beschränkung der Betroffenenrechte bei medizinischer Forschung: Auswirkungen und Voraussetzungen gemäß BDSG

Insbesondere können Betroffene ihre Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung und auf Widerspruch nicht geltend machen, wenn die Ausübung der Rechte voraussichtlich die Verwirklichung von Forschungs- und Statistikzwecken unmöglich machen oder ernsthaft beeinträchtigen würde und die Beschränkung der Rechte für die Erfüllung der Forschungs- und Statistikzwecke notwendig ist (§ 27 Abs. 2 S. 1 BDSG). Werden die Patientendaten also rechtmäßig für medizinische Forschungszwecke verarbeitet, dann kann die/der Patient/in ihre/seine Rechte nur mit Einschränkungen geltend machen. Dabei kann der Verantwortliche aber keinen pauschalen Einwand gegenüber den geltend gemachten Betroffenenrechten erheben, sondern muss in der konkreten Fallkonstellation die Umstände darlegen, die seine Forschungs- und Statistikzwecke voraussichtlich vereiteln.

Auskunftsrecht bei medizinischer Forschung: Ausnahmen und Geheimhaltung gemäß BDSG

Speziell das Recht auf Auskunft des/der Patienten/in entfällt zudem, wenn die Daten für Zwecke der wissenschaftlichen Forschung erforderlich sind und die Auskunftserteilung einen unverhältnismäßigen Aufwand für den Verantwortlichen erfordern würde (vgl. § 27 Abs. 2 S. 2 BDSG). Das ist vor allem der Fall, wenn ein Forschungsvorhaben besonders große Mengen an Daten verarbeiten muss, was bei medizinischen Forschungsprojekten in der Regel der Fall ist. Auch kann die Auskunftspflicht bei Informationen entfallen, die der Geheimhaltung unterliegen. So muss die Auskunft nicht erteilt werden , soweit Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach geheim gehalten werden müssen (vgl. § 29 Abs. 1 S. 1 BDSG). Darunter fallen vor allem diejenigen Informationen, die der ärztlichen Schweigepflicht unterliegen und bei Preisgabe das Berufsgeheimnis verletzen würden. Die Auskunft kann nach entsprechender Interessensabwägung auch dann unterbleiben, wenn dies zum Schutz eines Dritten oder des Betroffenen selbst erforderlich ist, beispielsweise zur Abwendung drohender Gefahren für Leben, Gesundheit oder Freiheit.

Das könnte Sie auch interessieren:

• Die digitale Dokumentation im Gesundheitsbereich: Was muss aus datenschutzrechtlicher Sicht beachtet werden?
• Gesundheitsdaten: Was Sie beim Datentransfer in Drittstaaten beachten müssen
• Die elektronische Patientenakte (ePA): Datenschutzrechtliche Aspekte und nächste Entwicklungsstufen

Grenzen des Löschungsrechts im Gesundheitswesen: Aufbewahrungspflichten und Ausnahmen gemäß BDSG

Das Recht auf Löschung unterliegt zudem Grenzen, wenn es gesetzliche Aufbewahrungspflichten oder Dokumentationspflichten gibt, die eingehalten werden müssen. Die Daten dürfen dann, solange diese Fristen reichen, nicht gelöscht werden. Im Gesundheitswesen müssen verschiedene Gesetze zur Regelung von Aufbewahrungspflichten beachtet werden, die jeweils verschiedene Fristen vorschreiben. Zentral ist hierbei § 630f BGB, wonach die Patientenakte für 10 Jahre aufzubewahren ist, sofern speziellere Gesetze nichts anderes vorgeben (längere Aufbewahrungsfristen ergeben sich beispielsweise im Falle von Bluttransfusionen und Röntgenaufnahmen). Außerdem kann das Recht auf Löschung wiederum nicht bei Datenverarbeitungen zu Forschungszwecken sowie aus entgegenstehenden Gründen der öffentlichen Gesundheit ausgeübt werden.

Grundsätzlich dürfen Betroffenenrechte wie der Auskunftsanspruch nicht rechtsmissbräuchlich – etwa zur Verfolgung sachfremder Gesinnungen (z.B. Schikane) – geltend gemacht werden.

Auskunftsrecht im Gesundheitswesen: Patientenakte und Regelungen gemäß DSGVO und § 630g BGB

Ein besonderer Fokus liegt im Gesundheitsbereich auf der Ausübung des Auskunftsrechts. Verlangt ein/e Patient/in Auskunft über seine gespeicherten personenbezogenen Daten, geht damit in der Regel die Einsichtnahme in die Patientenakte einher. Bereits vor Inkrafttreten der DSGVO im Mai 2018 gab es mit § 630g BGB eine Regelung, die Patienten auf Verlangen Einsicht in ihre Patientenunterlagen gewährte. Diese Vorschrift wird um das Auskunftsrecht aus der DSGVO in Art. 15 erweitert. Dessen Regelungen sind vorrangig anwendbar, da die DSGVO ein Gesetz aus dem Europarecht ist, das BGB hingegen deutsches Recht. Europarecht ist aufgrund der Normenhierarchie immer vor nationalem Recht anwendbar, wenn es denselben Inhalt regelt.

Bußgeldbewehrter Verstoß gegen das Auskunftsrecht: Umfang und Inhalte gemäß DSGVO

Ein Verstoß gegen das Auskunftsrecht kann bußgeldbewehrt sein. Der/die Patient/in hat einen Anspruch darauf zu erfahren, ob seine/ihre personenbezogenen Daten (also alle Daten, die seine Identifikation möglich machen) verarbeitet werden (u.a. erhoben, erfasst, gespeichert, verändert, übermittelt). Wenn das der Fall ist, kann er/sie auch Auskunft über das „Wie“ und „Worüber“ der Datenverarbeitung und damit über folgende Informationen verlangen:

• Angabe der personenbezogenen Daten, die verarbeitet werden
• Die Zwecke der Verarbeitung
• Die Kategorien der verarbeiteten Daten (z.B. Gesundheitsdaten, genetische Daten)
• Den Empfänger bei bereits erfolgter oder zu erfolgender Offenlegung und Übermittlung der Daten
• Die Dauer der Datenspeicherung (bei Behandlungsunterlagen den gesetzlichen Aufbewahrungspflichten entsprechend)
• Das Bestehen eines Rechts auf Berichtigung oder Löschung, Einschränkung der Verarbeitung oder eines Widerspruchs gegen diese Verarbeitung
• Das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
• Die Herkunft der Daten, wenn sie nicht bei dem Patienten selbst erhoben wurden (z.B. bei Fremdbefunden, Fremdanamnese)

Recht auf kostenfreie Übermittlung von personenbezogenen Daten: Umstrittene Frage der Patientenakte gemäß Auskunftsrecht

Darüber hinaus hat die betroffene Person im Rahmen des Rechts auf Auskunft auch Anspruch auf die kostenfreie Übermittlung einer Kopie der über sie verarbeiteten personenbezogenen Daten. Ob dies bedeutet, dass der/die Patient/in eine kostenlose Kopie seiner/ihrer Patientenakte verlangen kann, ist allerdings noch umstritten. Folgt man der restriktiveren Auffassung, ist dem/der Patienten/Patientin zwar keine Kopie der Patientenakte, aber eine strukturierte Zusammenfassung der darin enthaltenen personenbezogenen Daten auszuhändigen.

Die Reichweite des zivilrechtlichen Anspruchs auf Einsichtnahme in die Patientenunterlagen nach § 630g BGB ist ebenfalls sehr weit und erstreckt sich auf Einsichtnahme in die vollständige Patientenakte. Dabei ist das Einsichtsrecht nicht nur auf „objektive“ Daten (Befunde, Berichte) beschränkt, sondern erstreckt sich grundsätzlich auch auf Niederschriften über persönliche Eindrücke und subjektive Wahrnehmungen. Auch in der Akte abgelegte Befunde anderer Ärzte und Arztbriefe sind erfasst. Diesem weiten Verständnis liegt die Intention des Gesetzgebers zugrunde, dass der/die Patient/in seine/ihre Behandlung bestmöglich nachvollziehen können soll.

In Bezug auf § 630g BGB sind die Einschränkungen in den Berufsordnungen der jeweiligen Ärztekammern geregelt. Diese unterscheiden sich nur geringfügig, sodass auch die Ausnahmen inhaltlich dieselben sind. Danach kann die Einsichtnahme verwehrt werden, wenn:

• therapeutische Gründe entgegenstehen: Das ist insbesondere der Fall, wenn die Patientenakte psychiatrische und psychotherapeutische Behandlungen enthält und der Patient durch Kenntnis der darin enthaltenen Informationen Schaden erleiden könnte (z.B. bei einer dokumentierten Suizidgefahr). Dies ist jedoch in jedem Einzelfall neu zu entscheiden. Eine Einschränkung darf nach dem Willen des Gesetzgebers nur in besonderen Fällen erfolgen, wenn erhebliche Gründe vorliegen.
• Rechte Dritter entgegenstehen: Rechte Dritter können entgegenstehen, wenn die Patientenakte auch Informationen über andere Personen enthält, wie z.B. Lebensgefährten oder die Eltern der Patienten. Ergibt eine Abwägung, dass das vom Grundgesetz geschützte Persönlichkeitsrecht dieser Personen das Informationsinteresse des/der Patienten/in überwiegt, so kann die Einsichtnahme verweigert werden.
• Rechte des Arztes / der Ärztin entgegenstehen: In den Berufsordnungen konkret nicht geregelt, aber verfassungsrechtlich gerechtfertigt ist die Verweigerung der Einsichtnahme, wenn das Persönlichkeitsrecht des Arztes / der Ärztin entgegensteht. Das kann Eintragungen betreffen, die die subjektiven Empfindungen eines Arztes / einer Ärztin dem Patienten/ der Patientin gegenüber wiedergeben und nicht für Dritte geeignet waren.

Differenzierung: Auskunftsrecht der DSGVO vs. Auskunft von Familienmitgliedern Verstorbener

Zur klaren Differenzierung: Das Auskunftsrecht der DSGVO hat nichts mit der Auskunft von Familienmitgliedern zu Verstorbenen zu tun. Die Auskunft kann immer nur die betroffene Person selbst, also der/die jeweilige Patient/in zu Lebzeiten, verlangen. Zur Einsichtnahme in die Behandlungsunterlagen Verstorbener sind stattdessen andere Vorschriften heranzuziehen und vor allem die ärztliche Schweigepflicht zu beachten, die grundsätzlich über den Tod eines Patienten/einer Patientin fortdauert.

Einführung der elektronischen Patientenakte (ePA) und ihre Bedeutung für die Daten- und Patientensouveränität

Seit dem 1.1.2021 muss jedem Versicherten auf Antrag eine elektronische Patientenakte (ePA) zur Verfügung gestellt werden (vgl. § 341 SGB V). Ziel ist nicht nur die Patientenversorgung durch eine vereinfachte Kommunikation der beteiligten im Gesundheitswesen zu verbessern, sondern auch den Versicherten sämtliche Informationen zu Befunden, Diagnosen und zu geplanten Therapiemaßnahmen sowie zu Behandlungsberichten barrierefrei elektronisch zur Verfügung zu stellen und damit zu mehr Daten- und Patientensouveränität beizutragen. Die ePA tritt dabei neben die klassische Patientenakte und ist eine versichertengeführte Akte. Das heißt, der Versicherte entscheidet darüber, ob und welche Daten gespeichert bzw. dokumentiert werden und wer Zugriff auf die jeweiligen Daten erhält. Um die Digitalisierung im Gesundheitswesen voranzutreiben und die bisher nur mäßig genutzte ePA besser zu etablieren, plant das Bundesgesundheitsministerium derzeit, die ePA bis Ende 2024 für alle Versicherten einzuführen. Ein Verzicht auf die Patientenakte soll danach nur dann möglich sein, wenn Versicherte ihr aktiv widersprechen (sog. Opt-out-Regelung).

Gewährleistung der Betroffenenrechte im Gesundheitsbereich: Herausforderungen und Besonderheiten

Die Betroffenenrechte erfahren im Gesundheitsbereich keine generelle Sonderbehandlung. Sie sind grundsätzlich in einem weiten Umfang zu gewähren. Daher ist es wichtig, Betroffenenanfragen als solche zu erkennen und strukturiert zu beantworten. Gerade im Gesundheitsbereich gibt es jedoch eine Vielzahl an speziellen Regelungen und Gesetzen, deren Anwendbarkeit neben der DSGVO stets geprüft werden muss. Insbesondere bei der Ausübung des Auskunftsrechts sollte immer auch § 630g BGB berücksichtigt werden sowie die verschiedenen Aufbewahrungspflichten beim Recht auf Löschung. Bezüglich einzelner Ausnahmen von der Gewährung der Betroffenenrechte, ergeben sich im Gesundheitsbereich einige Anwendungsfelder bei der Verarbeitung zu Forschungszwecken.

Expertise und Unterstützung: Betroffenenrechte im Gesundheitswesen verstehen und erfolgreich geltend machen

Möchten Sie Näheres zu dem Themenkomplex Betroffenenrechte im Gesundheitswesen erfahren oder brauchen Sie Unterstützung bei der Geltendmachung eines Betroffenenrechts? Wir erklären Ihnen die einzelnen Modalitäten der Beantwortung der Anfragen und was Sie zusätzlich zu beachten haben. Vertrauen Sie auf unsere jahrelange Erfahrung!