EU-Parlament soll im Februar 2024 über Neuregelung zur Sanktionierung von DSGVO-Verstößen entscheiden

von Tim Wybitul und Dr. Isabelle Brams 

Die geplante Neuregelung soll im Februar im EU-Parlament verabschiedet werden. Sie wäre sehr nachteilig, wenn ihr euch gegen den Vorwurf möglicher DSGVO-Verstöße verteidigen müsstet. Das geplante Gesetzesvorheben dürfte die Entwicklung hin zu höheren Geldbußen bei DSGVO-Verstößen noch weiter erheblich verstärken. Unternehmen haben aber jetzt noch die Möglichkeit, auf diese Entwicklung Einfluss zu nehmen oder jedenfalls ihre Auswirkungen zu begrenzen. Hier wäre aber ein zeitnahes Handeln notwendig.

Überblick: Die EU-Kommission hat im Juli 2023 den Erlass der sog. Enforcement-Verordnung angekündigt. Die geplante Verordnung zur Ergänzung der DSGVO zielt vor allem darauf ab, die Durchführung von Bußgeldverfahren zu vereinheitlichen und zu beschleunigen. Dies betrifft vor allem grenzüberschreitende Sachverhalte. Zudem sieht der Entwurf eine weitreichende Ausweitung der Rechte von Beschwerdeführern und eine Ausweitung von Akteneinsichtsrechten für alle Beteiligten vor.

Auswirkungen: Sollten die geplanten Regelungen in dieser oder ähnlicher Form in Kraft treten, hätte dies für die Praxis weitreichende Folgen. Insbesondere würde es für Unternehmen erheblich schwieriger, sich effektiv in Bußgeldverfahren zu verteidigen. Gleichzeitig steigt durch die Enforcement-Verordnung das Risiko höherer Bußgelder für Unternehmen massiv an.

Von Tim Wybitul, Eren Basar und Timo Hager

Europäische Datenschutzbehörden verhängen immer höhere Geldbußen. Dementsprechend nimmt auch die Bedeutung einer effektiven Verteidigung von Unternehmen in Bußgeldverfahren wegen DS-GVO-Verstößen stetig zu. Verhängen die Datenschutzbehörden geldbußen nach Art. 83 DSGVO, müssen die nationalen Gerichte über eine komplexe Mischung aus Datenschutzrecht, Grundrechten und nationalem Prozessrecht entscheiden. Nicht selten liegen die datenschutzrechtlichen Anforderungen der Behörden und die wirtschaftliche Realität weit auseinander. Unternehmen sind daher gut beraten, sich durch eine geschickte Verteidigung in den verschiedenen Phasen solcher

von Tim Wybitul und Johannes Zhou

Aktuelle Rechtsprechung des EuGH zu Art. 15 und Art. 82 DSGVO

Unternehmen sehen sich immer mehr Auskunftsansprüchen über die Verarbeitung personenbezogener Daten nach Art. 15 DSGVO ausgesetzt. In der Praxis fordern Kläger dann später oft Ersatz immaterieller Schäden nach Art. 82 DSGVO wegen (vermeintlich) unvollständiger oder verspäteter Auskünfte. Der EuGH bestärkt diese Entwicklung, indem er die Voraussetzungen von Art. 15 und 82 DSGVO in seinen ersten Entscheidungen hierzu weit auslegt. Damit stellt der EuGH

von Tim WybitulDr. Isabelle Brams und Stefan Patzer

Der Europäische Gerichtshof („EuGH“) legt die Anforderungen für Schadensersatz nach Art. 82 EU Datenschutz-Grundverordnung („DSGVO“) in einem neuen Urteil weit aus (Urteil vom 4. Mai 2023, C-300/21). Zwar trifft der EuGH einige Aussagen, die Unternehmen eine Verteidigung gegen entsprechende Ansprüche erleichtern könnten. Dies gilt etwa im Hinblick auf den nach Art. 82 DSGVO geforderten Schadensnachweis. Im Ergebnis überwiegen aber die negativen Folgen der Entscheidung für Unternehmen, die wegen Datenpannen oder anderen DSGVO-Verstößen in Anspruch genommen werden.

von Tim Wybitul

Der Europäische Gerichtshof (EuGH) wird bald darüber entscheiden, ob europäische Datenschutzbehörden künftig leichter Bußgelder nach Art. 83 DSGVO gegen Unternehmen verhängen können. Diese Entscheidung kann großen Einfluss auf die künftige Bußgeldpraxis in der gesamten Europäischen Union haben. In dem vorliegenden Blogbeitrag fassen wir wesentliche Erfahrungen und Positionen aus Sicht der Verteidigung in diesem Verfahren zusammen. Wir zeigen auch die möglichen Risiken für Unternehmen und geben einen Ausblick auf das weitere Verfahren und die möglichen Folgen der anstehenden Entscheidung des EuGH.

von Tim Wybitul

Bußgelder wegen Verstößen gegen die komplexen Anforderungen des EU-Datenschutzrechts werden zu einem immer größeren Risiko für Unternehmen. Europäische Aufsichtsbehörden haben bereits mehrere dreistellige Millionenbußgelder verhängt. Pro Verstoß drohen bis zu vier Prozent des globalen Vorjahresumsatzes. Zudem haben die EU-Aufsichtsbehörden mittlerweile ein Modell zur Berechnung von DSGVO-Bußgeldern verabschiedet, das künftig wohl zu noch höheren Sanktionen führt. Gleichzeitig legen die Aufsichtsbehörden viele Anforderungen der DSGVO sehr weitgehend aus. Andererseits kann man sich gegen den Verdacht von Verstößen gegen datenschutzrechtliche

von Tim WybitulStefan Patzer Dr. Isabelle Brams und Constanze Köttgen

Das Umfeld für datenschutzrechtliche Sammelklagen wird seit Jahren immer klägerfreundlicher. Gerade die Geltendmachung von immateriellen Schadensersatzansprüchen nach Art. 82 DSGVO hat sich zu einem beliebten Geschäftsfeld entwickelt, das durch diverse Gerichtsentscheidungen und Maßnahmen des Gesetzgebers immer weiter beflügelt wurde. Die deutschen Datenschutzaufsichtsbehörden wollen die entsprechenden Klagebefugnisse von Verbraucherverbänden in Zukunft noch weiter stärken. Im Juni 2022 hatte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einstimmig den Beschluss gefasst, sich über weitere Klagemöglichkeiten mit der Verbraucherzentrale Bundesverband auszutauschen.

Die Schlussanträge des zuständigen Generalanwalts am EuGH Campos Sánchez-Bordona im Verfahren Rs. C-300/21 könnten insofern eine Trendwende einleiten, da sie strenge Anforderungen an die Geltendmachung von immateriellen datenschutzrechtlichen Schadensersatzansprüchen stellen.

von Tim WybitulDr. Isabelle Brams

Der Europäische Datenschutzausschuss (EDSA) hat am 12. Mai 2022 Leitlinien zur Berechnung von Bußgeldern wegen möglicher DSGVO-Verstöße veröffentlicht (Leitlinien). Die Leitlinien sollen das Bußgeldrecht in den einzelnen EU-Mitgliedstaaten vereinheitlichen. Es ist damit zu rechnen, dass die deutschen Datenschutzaufsichtsbehörden die neuen Vorgaben des EDSA zukünftig bei der Berechnung und Verhängung von Bußgeldern nach Art. 83 EU Datenschutzgrundverordnung (DSGVO) zugrunde legen werden. Der nachstehende Überblick zeigt die wesentlichen Inhalte des neuen Bußgeldkonzepts und seine möglichen Folgen für die Praxis. Weitere Informationen zu den neuen Leitlinien können Sie – mit freundlicher Unterstützung von Legal Tribune Online – auch hier abrufen.

Die wichtigsten Folgen für die Praxis auf einen Blick

von Stefan Patzer und Constanze Köttgen

Der EuGH hat Ende April die Klagebefugnisse von Verbraucherschutzverbänden gestärkt, weitere richtungsweisende Entscheidungen stehen bevor. 

Seit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) haben Massenklagen wegen Datenschutzverstößen kontinuierlich zugenommen. Neben den traditionell auf diesem Gebiet tätigen Verbraucherschutzverbänden tummeln sich seit einiger Zeit auch zahlreiche Rechtsdienstleister, Legal Tech-Unternehmen und Prozessfinanzierer, die Verbrauchern gegen eine Beteiligung am Erlös die Durchsetzung ihrer Ansprüche anbieten. Viele der damit zusammenhängenden Fragen warten indes noch auf Klärung durch den Europäischen Gerichtshof (EuGH). Die zeitnah anstehenden Entscheidungen werden Aufschluss geben, wie es mit dem neuen Geschäftsfeld der datenschutzbezogenen Sammelklagen weitergeht, und ob sich die privaten Anbieter dauerhaft etablieren können.

Darüber hinaus stehen aber auch für die Verbraucherschutzverbände grundlegende Änderungen an, insbesondere durch die anstehende Umsetzung der EU-Verbandsklage in deutsches Recht. In seinem Urteil vom 28. April 2022 (C-319/20) hat der EuGH die Rolle der Verbraucherschutzverbände vorerst gestärkt. Sie können Datenschutzverstöße fortan auch ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte der betroffenen Personen geltend machen.

von Tim WybitulDr. Isabelle Brams

Latham unterstützt MediaMarktSaturn vor EuGH gegen DSGVO-Schadensersatzforderung

Das Amtsgericht Hagen hat dem Europäischen Gerichtshof („EuGH“) verschiedene Fragen zur Geltendmachung von Schadensersatzforderungen nach Art. 82 DSGVO vorgelegt (Rs. C-687/21). Ein Kläger hatte von der Saturn Electro-Handelsgesellschaft Hagen mbH, einem Unternehmen der MediaMarktSaturn-Gruppe, Schadensersatz gefordert, da ihn betreffende Vertragsunterlagen versehentlich einem anderen Kunden ausgehändigt worden waren.

Der EuGH soll unter anderem entscheiden, ob Kläger bei der Geltendmachung von immateriellem DSGVO-Schadensersatz einen konkreten Schaden darlegen müssen. Zudem soll der EuGH die für die Praxis wichtige Frage beantworten, ob bereits bloßes Unbehagen einen erstattungsfähigen Schaden im Sinne von Art. 82 DSGVO begründen kann. Die anstehende Entscheidung des EuGH wird erhebliche Folgen für die Praxis haben.