EU-Parlament soll im Februar 2024 über Neuregelung zur Sanktionierung von DSGVO-Verstößen entscheiden

von Tim Wybitul und Dr. Isabelle Brams 

Die geplante Neuregelung soll im Februar im EU-Parlament verabschiedet werden. Sie wäre sehr nachteilig, wenn ihr euch gegen den Vorwurf möglicher DSGVO-Verstöße verteidigen müsstet. Das geplante Gesetzesvorheben dürfte die Entwicklung hin zu höheren Geldbußen bei DSGVO-Verstößen noch weiter erheblich verstärken. Unternehmen haben aber jetzt noch die Möglichkeit, auf diese Entwicklung Einfluss zu nehmen oder jedenfalls ihre Auswirkungen zu begrenzen. Hier wäre aber ein zeitnahes Handeln notwendig.

Überblick: Die EU-Kommission hat im Juli 2023 den Erlass der sog. Enforcement-Verordnung angekündigt. Die geplante Verordnung zur Ergänzung der DSGVO zielt vor allem darauf ab, die Durchführung von Bußgeldverfahren zu vereinheitlichen und zu beschleunigen. Dies betrifft vor allem grenzüberschreitende Sachverhalte. Zudem sieht der Entwurf eine weitreichende Ausweitung der Rechte von Beschwerdeführern und eine Ausweitung von Akteneinsichtsrechten für alle Beteiligten vor.

Auswirkungen: Sollten die geplanten Regelungen in dieser oder ähnlicher Form in Kraft treten, hätte dies für die Praxis weitreichende Folgen. Insbesondere würde es für Unternehmen erheblich schwieriger, sich effektiv in Bußgeldverfahren zu verteidigen. Gleichzeitig steigt durch die Enforcement-Verordnung das Risiko höherer Bußgelder für Unternehmen massiv an.

Von Tim Wybitul, Eren Basar und Timo Hager

Europäische Datenschutzbehörden verhängen immer höhere Geldbußen. Dementsprechend nimmt auch die Bedeutung einer effektiven Verteidigung von Unternehmen in Bußgeldverfahren wegen DS-GVO-Verstößen stetig zu. Verhängen die Datenschutzbehörden geldbußen nach Art. 83 DSGVO, müssen die nationalen Gerichte über eine komplexe Mischung aus Datenschutzrecht, Grundrechten und nationalem Prozessrecht entscheiden. Nicht selten liegen die datenschutzrechtlichen Anforderungen der Behörden und die wirtschaftliche Realität weit auseinander. Unternehmen sind daher gut beraten, sich durch eine geschickte Verteidigung in den verschiedenen Phasen solcher

von Tim WybitulDr. Isabelle Brams und Stefan Patzer

Der Europäische Gerichtshof („EuGH“) legt die Anforderungen für Schadensersatz nach Art. 82 EU Datenschutz-Grundverordnung („DSGVO“) in einem neuen Urteil weit aus (Urteil vom 4. Mai 2023, C-300/21). Zwar trifft der EuGH einige Aussagen, die Unternehmen eine Verteidigung gegen entsprechende Ansprüche erleichtern könnten. Dies gilt etwa im Hinblick auf den nach Art. 82 DSGVO geforderten Schadensnachweis. Im Ergebnis überwiegen aber die negativen Folgen der Entscheidung für Unternehmen, die wegen Datenpannen oder anderen DSGVO-Verstößen in Anspruch genommen werden.

von Tim Wybitul

Die deutschen Datenschutzbehörden fordern eine unmittelbare Unternehmenshaftung bei möglichen Verstößen gegen die DSGVO. Unter anderem wollen sie Geldbußen gegen Unternehmen verhängen können, ohne eine Aufsichtspflichtverletzung oder sonstiges schuldhaftes Handeln nachweisen zu müssen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat hierzu eine „Stellungnahme zu Grundsatzfragen zur Sanktionierung von Datenschutzverstößen von Unternehmen“ veröffentlicht. Eine kritische Einordnung der Stellungnahme der DSK zur geforderten unmittelbaren Unternehmenshaftung aus der aktuellen Zeitschrift für Datenschutz (ZD) können

von Tim Wybitul

Der Europäische Gerichtshof (EuGH) wird bald darüber entscheiden, ob europäische Datenschutzbehörden künftig leichter Bußgelder nach Art. 83 DSGVO gegen Unternehmen verhängen können. Diese Entscheidung kann großen Einfluss auf die künftige Bußgeldpraxis in der gesamten Europäischen Union haben. In dem vorliegenden Blogbeitrag fassen wir wesentliche Erfahrungen und Positionen aus Sicht der Verteidigung in diesem Verfahren zusammen. Wir zeigen auch die möglichen Risiken für Unternehmen und geben einen Ausblick auf das weitere Verfahren und die möglichen Folgen der anstehenden Entscheidung des EuGH.

von Tim Wybitul, Dr. Wolf-Tassilo Böhm, Gail CrawfordMyria SaarinenCharlotte Guerin, Amy Smyth

Die Datenschutzorganisation noyb droht mit über 10.000 Beschwerden wegen möglicher rechtswidriger Verwendung von Cookies.

Am 31. Mai 2021 startete die Datenschutzorganisation noyb (die Abkürzung steht für „none of your business“) eine groß angelegte Kampagne, um möglicherweise rechtswidrige Cookie-Banner und unzulässigen Einsatz von Cookies und vergleichbaren Tracking-Technologien zu bekämpfen. In einer Pressemitteilung gab noyb an, bereits den Betreibern von mehr als 500 vielbesuchter Webseiten Entwürfe für Beschwerden übersandt zu haben. Noch im Laufe dieses Jahres planen die Datenschutzaktivisten nach eigenen Angaben, noch bis zu 10.000 weitere Beschwerden einzureichen.

Von Tim WybitulDr. Isabelle Brams

Die Frage, wie weit das Recht auf Erhalt einer Kopie nach Art. 15 Abs. 3 Satz 1 DSGVO reicht, ist in der Praxis heftig umstritten. Mit dem Bundesarbeitsgericht (BAG) hat nunmehr erstmalig ein oberstes Bundesgericht zu dieser Frage Stellung genommen. Mit seinem Urteil vom 27. April 2021 hat der 2. Senat des BAG eine Revision abgewiesen, die auf „Überlassung einer Kopie von E-Mails“ gerichtet war. Ein solcher Klageantrag sei nicht hinreichend bestimmt und damit unzulässig (Az. 2 AZR 342/20). Das BAG konnte damit offenlassen, wie weit das Recht auf Erhalt einer Kopie in der Praxis konkret auszulegen ist. Zudem konnte der Senat so auf eine Vorlage zum Europäischen Gerichtshof (EuGH) verzichten. Damit wird die Rechtsfrage weiterhin für Diskussionen sorgen.

von Tim Wybitul

In den USA bezeichnet der Begriff „Data Privacy Litigation“ Gerichtsverfahren, in denen der Datenschutz eine entscheidende Rolle spielt. Auch in Deutschland und den anderen Mitgliedstaaten der EU nimmt die Anzahl solcher Prozesse stetig zu. Im Mittelpunkt stehen hier die besonderen haftungsrechtlichen Regelungen der DSGVO, insbesondere Bußgelder und Schadensersatzverfahren. Ein in der aktuellen Zeitschrift für Datenschutz (ZD) veröffentlichter Überblick fasst wesentliche aktuelle Entwicklungen zusammen und gibt einen Ausblick über künftige Brennpunkte.

Der Abdruck erscheint mit freundlicher Genehmigung des

by Tim Wybitul,  Dr. Christoph Baus,  Dr. Isabelle Brams

The German Federal Constitutional Court has ruled that the Court of Justice of the European Union (CJEU) needs to clarify if the General Data Protection Regulation (GDPR) provides for a materiality threshold for GDPR damage claims. The decision overturns a judgment of the Goslar Local Court of 27 September 2019 regarding the unlawful sending of an advertising email.

The fact that the Federal Constitutional Court took the insignificant case

von Tim Wybitul

Die Latham DSGVO-Schadensersatztabelle gibt einen Überblick über aktuelle Entscheidungen deutscher Gerichte zu Schmerzensgeldern nach der EU-Datenschutz-Grundverordnung (DSGVO).

Die Tabelle fasst Urteile übersichtlich zusammen, die Klägern immateriellen Schadensersatz wegen Datenschutzverstößen zusprechen. Zudem zeigt sie, welche Verstöße zu welchen Schadenssummen führen. Darüber hinaus zeigt die Latham DSGVO-Schadensersatztabelle auch weitere Entscheidungen, die wichtige Fragestellungen bei der Geltendmachung von DSGVO-Schadensersatz betreffen. Die Tabelle finden Sie hier – diese wird auch künftig regelmäßig mit neuen Entscheidungen aktualisiert.