LathamGermany

ZD-Interview: Drei Blickwinkel auf Geldbußen wegen Datenschutzverstößen

Posted in Data Privacy

Von Tim Wybitul, Dr. Marc Philipp Weber, Tim Wybitul und Dr. Arne Klaas

Die Verhängung von Geldbußen nach Art. 83 DS-GVO nimmt in der Praxis eine immer wichtigere Stellung ein. Deutsche und andere europäische Aufsichtsbehörden verhängen immer mehr und höhere Bußgelder wegen Datenschutzverstößen.

Viele Fragen zur Verhängung solcher Geldbußen sind dabei sehr umstritten. Die Zeitschfit für Datenschutz (ZD) hat mit Dr. Marc Philipp Weber, Tim Wybitul und Dr. Arne Klaas drei Praktiker zum Interview gebeten, die sich in ihrer täglichen Arbeit intensiv mit Sanktionen wegen Datenschutzverstößen befassen. 

Berufsbedingt haben alle drei Interviewpartner unterschiedliche Perspektiven auf das Bußgeldrecht: 

Dr. Marc Philipp Weber ist Referatsleiter bei der LfD Niedersachsen. Er war 2022 u.a. mit zwei der größten deutschen Bußgeldverfahren befasst.

Tim Wybitul ist Rechtsanwalt und leitet die deutsche Datenschutzpraxis von Latham & Waktins LLP. Er vertritt Unternehmen in behördlichen sowie gerichtlichen Datenschutzstreitigkeiten. Wybitul verteidigt Unternehmen regelmäßig in DS-GVO-Bußgeldverfahren bis hin zu Verfahren über Grundfragen der deutschen Bußgeldpraxis vor dem EuGH und ist zudem Mitherausgeber der ZD.  Dr. Arne Klaas ist Strafverteidiger mit einem spezifischen Fokus auf Datenschutzverstößen und berät und verteidigt Unternehmen in und zu Bußgeldverfahren. Die unterschiedlichen Blickwinkel auf die Sanktionierung von Datenschutzverstößen durch deutsche Aufsichtsbehörden ermöglichen einen interessanten Austausch zu den gegenwärtigen und zukünftigen Trends sowie den im Mittelpunkt stehenden Rechtsfragen.

Den vollständigen Beitrag aus der Zeitschrift für Datenschutz (ZD) finden Sie hier.

Die Veröffentlichung dieses Beitrags erfolgt mit freundlicher Genehmigung des Verlag C.H.Beck München. Die Website der Zeitschrift für Datenschutz (ZD) finden Sie hier.

EuGH urteilt über DS-GVO-Bußgelder gegen Unternehmen

Posted in Data Privacy

Analyse und Einordnung der Schlussanträge der Generalanwälte

Von Tim Wybitul und Dr. Arne Klaas

Der Generalanwalt beim EuGH, Manuel Campos Sanchez-Bordona, hat am 27.4.2023 seine Schlussanträge in der Rechtssache C-807/21 gestellt. Das Verfahren betrifft grundsätzliche Fragen der Verhängung von DSGVO-Geldbußen gegen Unternehmen. Unter anderem ist die Frage entscheidend, ob Unternehmen ohne Feststellungen und Nachweise zu Aufsichtspflichtverletzungen oder sonstigen Verstößen haftbar sind.  Nur kurze Zeit später folgten am 4.5.2023 die Schlussanträge von Generalanwalt Nicholas Emiliou in dem ähnlich gelagerten Verfahren C-683/21. Der folgende Beitrag gibt einen Überblick über die wichtigsten Aussagen der Schlussanträge und ordnet die jeweiligen rechtlichen Ansätze und ihre Folgen für die Praxis ein. Die Schlussanträge enthalten für betroffene Unternehmen einige vorteilhafte Aussagen und Wertungen, sie werfen aber auch Probleme auf. Sie bieten zudem eine Reihe von Anhaltspunkten für die weitere Verteidigung von Unternehmen.

Den vollständigen Beitrag aus der Zeitschrift für Datenschutz (ZD) finden Sie hier.

Die Veröffentlichung dieses Beitrags erfolgt mit freundlicher Genehmigung des Verlag C.H.Beck München. Die Website der Zeitschrift für Datenschutz (ZD) finden Sie hier.

Die anwaltliche Tätigkeit in Verfahren wegen Geldbußen nach Art. 83 DS-GVO

Posted in Data Privacy

Von Tim Wybitul, Eren Basar und Timo Hager

Fingerprint on pixellated screen

Europäische Datenschutzbehörden verhängen immer höhere Geldbußen. Dementsprechend nimmt auch die Bedeutung einer effektiven Verteidigung von Unternehmen in Bußgeldverfahren wegen DS-GVO-Verstößen stetig zu. Verhängen die Datenschutzbehörden geldbußen nach Art. 83 DSGVO, müssen die nationalen Gerichte über eine komplexe Mischung aus Datenschutzrecht, Grundrechten und nationalem Prozessrecht entscheiden. Nicht selten liegen die datenschutzrechtlichen Anforderungen der Behörden und die wirtschaftliche Realität weit auseinander. Unternehmen sind daher gut beraten, sich durch eine geschickte Verteidigung in den verschiedenen Phasen solcher Bußgeldverfahren möglichst erfolgreich gegen drohende Geldbußen zur Wehr zu setzen. Der aktuelle Überblick aus der Zeitschrift für Datenschutz (ZD) fasst wesentliche Element einer erfolgreichen Verteidigung zusammen und gibt praxisorientierte Handlungsempfehlungen.

Den vollständigen Beitrag aus der Zeitschrift für Datenschutz (ZD) finden Sie hier.

Die Veröffentlichung dieses Beitrags erfolgt mit freundlicher Genehmigung des Verlag C.H.Beck München. Die Website der Zeitschrift für Datenschutz (ZD) finden Sie hier.

Cyber Security Incidents als Herausforderung für die Rechtsabteilung – wichtigste Punkte, die Unternehmensjuristen über die Reaktion auf Datenpannen wissen sollten

Posted in Data Privacy

Hackerangriffe, Datendiebstahl, Ransomware, Datenpannen und sonstige Cybersecurity Incidents werden immer mehr zu einem zentralen Unternehmensrisiko. Dabei wird oft übersehen, dass dieses Thema nicht nur in technischer, sondern auch in rechtlicher Hinsicht einige Herausforderungen birgt. Der vorliegende Überblick zeigt die wichtigsten Aspekte, die Rechtsabteilungen bei der Vorbereitung und der Reaktion auf Datenpannen kennen sollten.

  • Unternehmensjuristen müssen vor und nach Cybersecurity Incidents handeln
  • Datenpannen oder Angriffe auf die Daten eines Unternehmens führen rechtlich zu einem erheblichen Handlungsbedarf. Auch in rechtlicher Hinsicht ist daher einige Vorbereitung geboten. So gilt es etwa, Notfallpläne vorzubereiten, aber auch die Mitarbeiter zu Fragen des Datenschutzes und der Datensicherheit angemessen zu schulen.
  • Cybersecurity Incidents können erhebliche Rechtsrisiken nach sich ziehen
  • Datenpannen oder Hackerangriffe und ähnliche Vorgänge können beispielsweise in Bezug auf Bußgelder oder Schadensersatzforderungen erhebliche Konsequenzen nach sich ziehen. Entsprechende Risiken drohen etwa bei unzureichender Datensicherheit, verspäteten Datenpannenmeldungen oder Informationen an betroffene Personen oder auch der unvollständigen oder nicht rechtzeitigen Erfüllung von Auskunftsansprüchen.
  • Nicht selten verhängen europäische Datenschutzbehörden nach Cybersecurity Incidents hohe Bußgeler, teilweise sogar dreistellige Millionenbußgelder.
  • Aber auch deutsche Zivilgerichte haben Klägern bislang DSGVO-Schmerzensgelder in Höhe von bis zu 10.000 € pro Fall zugesprochen. Gerade bei einer hohen Anzahl betroffener Personen kommen auch hier erhebliche finanzielle Risiken zusammen.
  • Die Vorbereitung der Reaktion auf Datenpannen und ähnliche Cybersecurity Incicents umfasst auch juristische Fragestellungen. Vor allem müssen Unternehmen sicherstellen, dass auch die Unternehmensjuristen frühzeitig in die Reaktion auf derartige Vorfälle eingebunden werden. Jeder entsprechende Ablaufplan (Cybersecurity Incident Response Plan – CIRP) sollte dies abbilden.

Einen englischsprachigen Überblick über die zehn wichtigsten Punkte, die Unternehmensjuristen über Cybersecurity Incidents wissen sollten, können Sie hier abrufen.

Ein Interview mit unserem Partner Tim Wybitul aus dem Handelsblatt zu Cybersecurity Incidents finden Sie hier.

DSGVO-Auskunftsansprüche als Vorstufe von Schadensersatzforderungen

Posted in Data Privacy

von Tim Wybitul und Johannes Zhou

Aktuelle Rechtsprechung des EuGH zu Art. 15 und Art. 82 DSGVO

Unternehmen sehen sich immer mehr Auskunftsansprüchen über die Verarbeitung personenbezogener Daten nach Art. 15 DSGVO ausgesetzt. In der Praxis fordern Kläger dann später oft Ersatz immaterieller Schäden nach Art. 82 DSGVO wegen (vermeintlich) unvollständiger oder verspäteter Auskünfte. Der EuGH bestärkt diese Entwicklung, indem er die Voraussetzungen von Art. 15 und 82 DSGVO in seinen ersten Entscheidungen hierzu weit auslegt. Damit stellt der EuGH zum einen hohe Anforderungen an die vollständige Erteilung einer Auskunft. Zum anderen dürfte diese Rechtsprechung es Klägervertretern und entsprechend spezialisierten Rechtsdienstleistern künftig erleichtern, massenhaft Schadensersatzforderungen wegen möglichen DSGVO-Verstößen gegen Unternehmen geltend zu machen.

Eine kritische Einordnung können Sie in der aktuellen Ausgabe des Betriebs-Beraters hier abrufen. 

Europäischer Gerichtshof ebnet den Weg für Massenklagen im Datenschutz

Posted in Data Privacy, Litigation

von Tim WybitulDr. Isabelle Brams und Stefan Patzer

Der Europäische Gerichtshof („EuGH“) legt die Anforderungen für Schadensersatz nach Art. 82 EU Datenschutz-Grundverordnung („DSGVO“) in einem neuen Urteil weit aus (Urteil vom 4. Mai 2023, C-300/21). Zwar trifft der EuGH einige Aussagen, die Unternehmen eine Verteidigung gegen entsprechende Ansprüche erleichtern könnten. Dies gilt etwa im Hinblick auf den nach Art. 82 DSGVO geforderten Schadensnachweis. Im Ergebnis überwiegen aber die negativen Folgen der Entscheidung für Unternehmen, die wegen Datenpannen oder anderen DSGVO-Verstößen in Anspruch genommen werden.

Continue Reading

DSGVO-Bußgelder: Reicht eine „strict liability“ oder ist der Nachweis eines Verschuldens nötig?

Posted in Data Privacy, Litigation

von Tim Wybitul

Die deutschen Datenschutzbehörden fordern eine unmittelbare Unternehmenshaftung bei möglichen Verstößen gegen die DSGVO. Unter anderem wollen sie Geldbußen gegen Unternehmen verhängen können, ohne eine Aufsichtspflichtverletzung oder sonstiges schuldhaftes Handeln nachweisen zu müssen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat hierzu eine „Stellungnahme zu Grundsatzfragen zur Sanktionierung von Datenschutzverstößen von Unternehmen“ veröffentlicht. Eine kritische Einordnung der Stellungnahme der DSK zur geforderten unmittelbaren Unternehmenshaftung aus der aktuellen Zeitschrift für Datenschutz (ZD) können Sie hier mit freundlicher Genehmigung des Verlag C.H. Beck abrufen. Bald wird der EuGH über diese Sanktionspraxis der Behörden entscheiden. Am 27. April 2023 wird der Generalanwalt beim EuGH in einem entsprechenden Verfahren seine Schlussanträge in diesem Verfahren verkünden.

Mehr zu diesem für Unternehmen sehr relevanten Thema und zu dem genannten EuGH-Verfahren erfahren Sie hier.

Erfahrungsbericht: Latham & Watkins plädiert als erste Anwaltskanzlei zu DSGVO-Geldbußen vor dem Europäischen Gerichtshof

Posted in Data Privacy, Litigation

von Tim Wybitul

Der Europäische Gerichtshof (EuGH) wird bald darüber entscheiden, ob europäische Datenschutzbehörden künftig leichter Bußgelder nach Art. 83 DSGVO gegen Unternehmen verhängen können. Diese Entscheidung kann großen Einfluss auf die künftige Bußgeldpraxis in der gesamten Europäischen Union haben. In dem vorliegenden Blogbeitrag fassen wir wesentliche Erfahrungen und Positionen aus Sicht der Verteidigung in diesem Verfahren zusammen. Wir zeigen auch die möglichen Risiken für Unternehmen und geben einen Ausblick auf das weitere Verfahren und die möglichen Folgen der anstehenden Entscheidung des EuGH.

Continue Reading

Erfahrungsbericht: Verteidigung gegen DSGVO-Bußgelder

Posted in Data Privacy

von Tim Wybitul

Bußgelder wegen Verstößen gegen die komplexen Anforderungen des EU-Datenschutzrechts werden zu einem immer größeren Risiko für Unternehmen. Europäische Aufsichtsbehörden haben bereits mehrere dreistellige Millionenbußgelder verhängt. Pro Verstoß drohen bis zu vier Prozent des globalen Vorjahresumsatzes. Zudem haben die EU-Aufsichtsbehörden mittlerweile ein Modell zur Berechnung von DSGVO-Bußgeldern verabschiedet, das künftig wohl zu noch höheren Sanktionen führt. Gleichzeitig legen die Aufsichtsbehörden viele Anforderungen der DSGVO sehr weitgehend aus. Andererseits kann man sich gegen den Verdacht von Verstößen gegen datenschutzrechtliche Vorschriften auch erfolgreich verteidigen.

Unser Beitrag – veröffentlicht in der aktuellen Ausgabe des BetriebsBerater – beschreibt den typischen Ablauf entsprechender Verfahren. Er fasst Erfahrungen aus laufenden und abgeschlossenen Prozessen zusammen. Zudem gibt er zahlreiche Praxistipps zur Verringerung von Haftungsrisiken und zur Verteidigung gegen drohende Bußgelder.

Trendwende bei datenschutzrechtlichen Sammelklagen? Generalanwalt stellt hohe Anforderungen an immateriellen Schadensersatz nach DSGVO

Posted in Data Privacy, Litigation, Mass Litigation

von Tim WybitulStefan Patzer Dr. Isabelle Brams und Constanze Köttgen

Das Umfeld für datenschutzrechtliche Sammelklagen wird seit Jahren immer klägerfreundlicher. Gerade die Geltendmachung von immateriellen Schadensersatzansprüchen nach Art. 82 DSGVO hat sich zu einem beliebten Geschäftsfeld entwickelt, das durch diverse Gerichtsentscheidungen und Maßnahmen des Gesetzgebers immer weiter beflügelt wurde. Die deutschen Datenschutzaufsichtsbehörden wollen die entsprechenden Klagebefugnisse von Verbraucherverbänden in Zukunft noch weiter stärken. Im Juni 2022 hatte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einstimmig den Beschluss gefasst, sich über weitere Klagemöglichkeiten mit der Verbraucherzentrale Bundesverband auszutauschen.

Die Schlussanträge des zuständigen Generalanwalts am EuGH Campos Sánchez-Bordona im Verfahren Rs. C-300/21 könnten insofern eine Trendwende einleiten, da sie strenge Anforderungen an die Geltendmachung von immateriellen datenschutzrechtlichen Schadensersatzansprüchen stellen.

Continue Reading

LexBlog