EU-Parlament soll im Februar 2024 über Neuregelung zur Sanktionierung von DSGVO-Verstößen entscheiden

von Tim Wybitul und Dr. Isabelle Brams 

Die geplante Neuregelung soll im Februar im EU-Parlament verabschiedet werden. Sie wäre sehr nachteilig, wenn ihr euch gegen den Vorwurf möglicher DSGVO-Verstöße verteidigen müsstet. Das geplante Gesetzesvorheben dürfte die Entwicklung hin zu höheren Geldbußen bei DSGVO-Verstößen noch weiter erheblich verstärken. Unternehmen haben aber jetzt noch die Möglichkeit, auf diese Entwicklung Einfluss zu nehmen oder jedenfalls ihre Auswirkungen zu begrenzen. Hier wäre aber ein zeitnahes Handeln notwendig.

Überblick: Die EU-Kommission hat im Juli 2023 den Erlass der sog. Enforcement-Verordnung angekündigt. Die geplante Verordnung zur Ergänzung der DSGVO zielt vor allem darauf ab, die Durchführung von Bußgeldverfahren zu vereinheitlichen und zu beschleunigen. Dies betrifft vor allem grenzüberschreitende Sachverhalte. Zudem sieht der Entwurf eine weitreichende Ausweitung der Rechte von Beschwerdeführern und eine Ausweitung von Akteneinsichtsrechten für alle Beteiligten vor.

Auswirkungen: Sollten die geplanten Regelungen in dieser oder ähnlicher Form in Kraft treten, hätte dies für die Praxis weitreichende Folgen. Insbesondere würde es für Unternehmen erheblich schwieriger, sich effektiv in Bußgeldverfahren zu verteidigen. Gleichzeitig steigt durch die Enforcement-Verordnung das Risiko höherer Bußgelder für Unternehmen massiv an.

Von Tim Wybitul, Dr. Marc Philipp Weber, Tim Wybitul und Dr. Arne Klaas

Die Verhängung von Geldbußen nach Art. 83 DS-GVO nimmt in der Praxis eine immer wichtigere Stellung ein. Deutsche und andere europäische Aufsichtsbehörden verhängen immer mehr und höhere Bußgelder wegen Datenschutzverstößen.

Viele Fragen zur Verhängung solcher Geldbußen sind dabei sehr umstritten. Die Zeitschfit für Datenschutz (ZD) hat mit Dr. Marc Philipp Weber, Tim Wybitul und Dr. Arne Klaas drei Praktiker zum Interview gebeten, die sich in ihrer

Von Tim Wybitul, Eren Basar und Timo Hager

Europäische Datenschutzbehörden verhängen immer höhere Geldbußen. Dementsprechend nimmt auch die Bedeutung einer effektiven Verteidigung von Unternehmen in Bußgeldverfahren wegen DS-GVO-Verstößen stetig zu. Verhängen die Datenschutzbehörden geldbußen nach Art. 83 DSGVO, müssen die nationalen Gerichte über eine komplexe Mischung aus Datenschutzrecht, Grundrechten und nationalem Prozessrecht entscheiden. Nicht selten liegen die datenschutzrechtlichen Anforderungen der Behörden und die wirtschaftliche Realität weit auseinander. Unternehmen sind daher gut beraten, sich durch eine geschickte Verteidigung in den verschiedenen Phasen solcher

von Tim Wybitul

Die deutschen Datenschutzbehörden fordern eine unmittelbare Unternehmenshaftung bei möglichen Verstößen gegen die DSGVO. Unter anderem wollen sie Geldbußen gegen Unternehmen verhängen können, ohne eine Aufsichtspflichtverletzung oder sonstiges schuldhaftes Handeln nachweisen zu müssen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat hierzu eine „Stellungnahme zu Grundsatzfragen zur Sanktionierung von Datenschutzverstößen von Unternehmen“ veröffentlicht. Eine kritische Einordnung der Stellungnahme der DSK zur geforderten unmittelbaren Unternehmenshaftung aus der aktuellen Zeitschrift für Datenschutz (ZD) können

von Tim Wybitul

Der Europäische Gerichtshof (EuGH) wird bald darüber entscheiden, ob europäische Datenschutzbehörden künftig leichter Bußgelder nach Art. 83 DSGVO gegen Unternehmen verhängen können. Diese Entscheidung kann großen Einfluss auf die künftige Bußgeldpraxis in der gesamten Europäischen Union haben. In dem vorliegenden Blogbeitrag fassen wir wesentliche Erfahrungen und Positionen aus Sicht der Verteidigung in diesem Verfahren zusammen. Wir zeigen auch die möglichen Risiken für Unternehmen und geben einen Ausblick auf das weitere Verfahren und die möglichen Folgen der anstehenden Entscheidung des EuGH.

von Tim Wybitul, Dr. Wolf-Tassilo Böhm

Deutsche Datenschutzbehörden und Aktivisten ermitteln wegen Cookie-Einsatz. Unternehmen sollten die Entwicklungen genau verfolgen. Drohen Webseitenbetreibern neben Bußgeldern und Nachteilen für das Geschäftsmodell „amerikanische Verhältnisse“ hinsichtlich Massenklagen auf Schadensersatz?

Die deutschen Aufsichtsbehörden für den Datenschutz gehen gegen Unternehmen vor, die Daten über das Surf-Verhalten ihrer Nutzer in unzulässiger Weise verarbeiten. Viele Unternehmen verwenden Tracking-Technologien, um die Besucher ihrer (und anderer) Websites zu identifizieren und Nutzerprofile zu bilden. Aussagekräftige Informationen über besuchte Websites sowie angesehene oder gekaufte Produkte sind zum Bespiel oft bares Geld wert. Allerdings stellt das Datenschutzrecht hohe Anforderungen an das Sammeln und Auswerten solcher Nutzerdaten. Erst kürzlich hatten Europäischer Gerichtshof (EuGH) und Bundesgerichtshof gleich mehrere Urteile gefällt, die Online-Tracking und vor allem auch die grenzüberschreitende Nutzung oder Übermittlung personenbezogener Daten vor hohe Hürden stellen. Der vorliegende Beitrag beschreibt, welche Risiken drohen und mit welchen konkreten Schritten Unternehmen sie vermeiden oder reduzieren können.

Fragen, Antworten und Praxistipps zum weiteren Einsatz von Standardvertragsklauseln 

von Tim Wybitul, Valentino Halim

Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil vom 16. Juli 2020, Rechtssache C-311/18 („Schrems II“) die Rahmenbedingungen für internationale Datentransfers neu geordnet. Danach ist der Privacy Shield für Datenübermittlungen in die USA ungültig. Unternehmen dürfen den Privacy Shield nicht mehr als Transfermechanismus nutzen, um personenbezogene Daten rechtskonform in die USA zu übermitteln. Doch die Folgen der Entscheidung haben über den Privacy Shield hinaus weitere gravierende Folgen. Zwar dürfen Unternehmen die in der Praxis besonders wichtigen EU-Standarddatenschutzklauseln („Standardvertragsklauseln“) weiterhin für Datenübermittlungen in die USA oder andere Drittländer einsetzen. Allerdings in eigener Verantwortung. Sie müssen nun eine Einzelfallprüfung durchführen, ob im Rahmen der konkreten Übermittlung personenbezogener Daten ein gleichwertiges Schutzniveau wie in der Europäischen Union (EU) gewährleistet ist. Weitere Einzelheiten zum Schrems II-Urteil sowie erste Handlungsempfehlungen finden Sie in unserem Client Alert „Das Schrems II-Urteil des EuGH: Was müssen Unternehmen bei internationalen Datentransfers ändern?“.

von Tim Wybitul

Im Gespräch mit der ZD diskutieren Michael Will, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht in Ansbach, und unser Partner und Datenschutzexperte Tim Wybitul die Nutzung der RKI-App – zur anhaltenden Datenschutz-Diskussion, zum Konzept der Freiwilligkeit und zum Handlungsspielraum der Arbeitgeber.

Lesen Sie den vollständigen Beitrag hier.

by Tim Wybitul, Dr. Wolf-Tassilo Böhm, Isabelle Brams, Dr. Tarik Arabi, Joachim Grittmann, Valentino Halim

Effective measures to combat data risks resulting from COVID-19 include processing personal data, but companies must balance privacy rights and employee health.

German data protection authorities have published initial guidance to companies that process personal data, outlining how they should protect their employees and their businesses from risks resulting from COVID-19. Under the EU General Data Protection Regulation (GDPR), health data or other information about virus infections is treated as sensitive data according to Art. 9(1) GDPR. Such sensitive data may only be processed if the controller meets strict requirements with regard to such processing. Such data processing may be lawful if the processing is necessary for carrying out the controller’s obligations in the field of employment law. Obviously, employers have a fiduciary duty to protect their employees from exposure to COVID-19, however, the respective use cases and the potentially applicable provisions of the GDPR are complex and challenging. Moreover, employers in Germany need to observe additional requirements stipulated in the German Federal Data Protection Act (Bundesdatenschutzgesetz – BDSG). Companies should also observe respective guiding principles deriving from well-established German case law with regard to employee data privacy.

Interview der Zeitschrift für Datenschutz mit der Landesbeauftragten für den Datenschutz Niedersachsen Barbara Thiel und Latham-Partner Tim Wybitul

Auch die deutschen Datenschutzbehörden machen von ihrem deutlich erweiterten Befugnissen bei DSGVO-Bußgeldern Gebrauch. Erst kürzlich hat die Berliner Beauftragten für den Datenschutz und Informationsfreiheit ein Bußgeld von etwa 14,5 Millionen Euro gegen ein deutsches Unternehmen der Immobilienbranche verhängt. Nur wenig später verhängte der Bundesbeauftragte für den Datenschutz und Informationsfreiheit ein Bußgeld in Höhe von 9,5 Millionen Euro gegen ein Telekommunikationsunternehmen. Beide