EU-Parlament soll im Februar 2024 über Neuregelung zur Sanktionierung von DSGVO-Verstößen entscheiden

von Tim Wybitul und Dr. Isabelle Brams 

Die geplante Neuregelung soll im Februar im EU-Parlament verabschiedet werden. Sie wäre sehr nachteilig, wenn ihr euch gegen den Vorwurf möglicher DSGVO-Verstöße verteidigen müsstet. Das geplante Gesetzesvorheben dürfte die Entwicklung hin zu höheren Geldbußen bei DSGVO-Verstößen noch weiter erheblich verstärken. Unternehmen haben aber jetzt noch die Möglichkeit, auf diese Entwicklung Einfluss zu nehmen oder jedenfalls ihre Auswirkungen zu begrenzen. Hier wäre aber ein zeitnahes Handeln notwendig.

Überblick: Die EU-Kommission hat im Juli 2023 den Erlass der sog. Enforcement-Verordnung angekündigt. Die geplante Verordnung zur Ergänzung der DSGVO zielt vor allem darauf ab, die Durchführung von Bußgeldverfahren zu vereinheitlichen und zu beschleunigen. Dies betrifft vor allem grenzüberschreitende Sachverhalte. Zudem sieht der Entwurf eine weitreichende Ausweitung der Rechte von Beschwerdeführern und eine Ausweitung von Akteneinsichtsrechten für alle Beteiligten vor.

Auswirkungen: Sollten die geplanten Regelungen in dieser oder ähnlicher Form in Kraft treten, hätte dies für die Praxis weitreichende Folgen. Insbesondere würde es für Unternehmen erheblich schwieriger, sich effektiv in Bußgeldverfahren zu verteidigen. Gleichzeitig steigt durch die Enforcement-Verordnung das Risiko höherer Bußgelder für Unternehmen massiv an.

Von Tim Wybitul, Dr. Marc Philipp Weber, Tim Wybitul und Dr. Arne Klaas

Die Verhängung von Geldbußen nach Art. 83 DS-GVO nimmt in der Praxis eine immer wichtigere Stellung ein. Deutsche und andere europäische Aufsichtsbehörden verhängen immer mehr und höhere Bußgelder wegen Datenschutzverstößen.

Viele Fragen zur Verhängung solcher Geldbußen sind dabei sehr umstritten. Die Zeitschfit für Datenschutz (ZD) hat mit Dr. Marc Philipp Weber, Tim Wybitul und Dr. Arne Klaas drei Praktiker zum Interview gebeten, die sich in ihrer

Analyse und Einordnung der Schlussanträge der Generalanwälte

Von Tim Wybitul und Dr. Arne Klaas

Der Generalanwalt beim EuGH, Manuel Campos Sanchez-Bordona, hat am 27.4.2023 seine Schlussanträge in der Rechtssache C-807/21 gestellt. Das Verfahren betrifft grundsätzliche Fragen der Verhängung von DSGVO-Geldbußen gegen Unternehmen. Unter anderem ist die Frage entscheidend, ob Unternehmen ohne Feststellungen und Nachweise zu Aufsichtspflichtverletzungen oder sonstigen Verstößen haftbar sind.  Nur kurze Zeit später folgten am 4.5.2023 die Schlussanträge von Generalanwalt Nicholas Emiliou in dem ähnlich gelagerten Verfahren C-683/21. Der folgende Beitrag

Von Tim Wybitul, Eren Basar und Timo Hager

Europäische Datenschutzbehörden verhängen immer höhere Geldbußen. Dementsprechend nimmt auch die Bedeutung einer effektiven Verteidigung von Unternehmen in Bußgeldverfahren wegen DS-GVO-Verstößen stetig zu. Verhängen die Datenschutzbehörden geldbußen nach Art. 83 DSGVO, müssen die nationalen Gerichte über eine komplexe Mischung aus Datenschutzrecht, Grundrechten und nationalem Prozessrecht entscheiden. Nicht selten liegen die datenschutzrechtlichen Anforderungen der Behörden und die wirtschaftliche Realität weit auseinander. Unternehmen sind daher gut beraten, sich durch eine geschickte Verteidigung in den verschiedenen Phasen solcher

Hackerangriffe, Datendiebstahl, Ransomware, Datenpannen und sonstige Cybersecurity Incidents werden immer mehr zu einem zentralen Unternehmensrisiko. Dabei wird oft übersehen, dass dieses Thema nicht nur in technischer, sondern auch in rechtlicher Hinsicht einige Herausforderungen birgt. Der vorliegende Überblick zeigt die wichtigsten Aspekte, die Rechtsabteilungen bei der Vorbereitung und der Reaktion auf Datenpannen kennen sollten.

  • Unternehmensjuristen müssen vor und nach Cybersecurity Incidents handeln
  • Datenpannen oder Angriffe auf die Daten eines Unternehmens führen rechtlich zu einem erheblichen Handlungsbedarf. Auch in rechtlicher Hinsicht ist

von Tim Wybitul und Johannes Zhou

Aktuelle Rechtsprechung des EuGH zu Art. 15 und Art. 82 DSGVO

Unternehmen sehen sich immer mehr Auskunftsansprüchen über die Verarbeitung personenbezogener Daten nach Art. 15 DSGVO ausgesetzt. In der Praxis fordern Kläger dann später oft Ersatz immaterieller Schäden nach Art. 82 DSGVO wegen (vermeintlich) unvollständiger oder verspäteter Auskünfte. Der EuGH bestärkt diese Entwicklung, indem er die Voraussetzungen von Art. 15 und 82 DSGVO in seinen ersten Entscheidungen hierzu weit auslegt. Damit stellt der EuGH

von Tim WybitulDr. Isabelle Brams und Stefan Patzer

Der Europäische Gerichtshof („EuGH“) legt die Anforderungen für Schadensersatz nach Art. 82 EU Datenschutz-Grundverordnung („DSGVO“) in einem neuen Urteil weit aus (Urteil vom 4. Mai 2023, C-300/21). Zwar trifft der EuGH einige Aussagen, die Unternehmen eine Verteidigung gegen entsprechende Ansprüche erleichtern könnten. Dies gilt etwa im Hinblick auf den nach Art. 82 DSGVO geforderten Schadensnachweis. Im Ergebnis überwiegen aber die negativen Folgen der Entscheidung für Unternehmen, die wegen Datenpannen oder anderen DSGVO-Verstößen in Anspruch genommen werden.

von Tim Wybitul

Die deutschen Datenschutzbehörden fordern eine unmittelbare Unternehmenshaftung bei möglichen Verstößen gegen die DSGVO. Unter anderem wollen sie Geldbußen gegen Unternehmen verhängen können, ohne eine Aufsichtspflichtverletzung oder sonstiges schuldhaftes Handeln nachweisen zu müssen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat hierzu eine „Stellungnahme zu Grundsatzfragen zur Sanktionierung von Datenschutzverstößen von Unternehmen“ veröffentlicht. Eine kritische Einordnung der Stellungnahme der DSK zur geforderten unmittelbaren Unternehmenshaftung aus der aktuellen Zeitschrift für Datenschutz (ZD) können

von Tim Wybitul

Der Europäische Gerichtshof (EuGH) wird bald darüber entscheiden, ob europäische Datenschutzbehörden künftig leichter Bußgelder nach Art. 83 DSGVO gegen Unternehmen verhängen können. Diese Entscheidung kann großen Einfluss auf die künftige Bußgeldpraxis in der gesamten Europäischen Union haben. In dem vorliegenden Blogbeitrag fassen wir wesentliche Erfahrungen und Positionen aus Sicht der Verteidigung in diesem Verfahren zusammen. Wir zeigen auch die möglichen Risiken für Unternehmen und geben einen Ausblick auf das weitere Verfahren und die möglichen Folgen der anstehenden Entscheidung des EuGH.

von Tim Wybitul

Bußgelder wegen Verstößen gegen die komplexen Anforderungen des EU-Datenschutzrechts werden zu einem immer größeren Risiko für Unternehmen. Europäische Aufsichtsbehörden haben bereits mehrere dreistellige Millionenbußgelder verhängt. Pro Verstoß drohen bis zu vier Prozent des globalen Vorjahresumsatzes. Zudem haben die EU-Aufsichtsbehörden mittlerweile ein Modell zur Berechnung von DSGVO-Bußgeldern verabschiedet, das künftig wohl zu noch höheren Sanktionen führt. Gleichzeitig legen die Aufsichtsbehörden viele Anforderungen der DSGVO sehr weitgehend aus. Andererseits kann man sich gegen den Verdacht von Verstößen gegen datenschutzrechtliche