EuGH zum immateriellen Schadensersatz
Der Europäische Gerichtshof (EuGH) hat in mehreren Entscheidungen (C-687/21, C-741/21) verdeutlicht, dass das Vorliegen eines tatsächlichen Schadens eine Voraussetzung für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO ist. Demnach genügt allein die anhaltende Sorge, die eigenen Daten könnten missbräuchlich verwendet werden, nicht für einen Anspruch auf immateriellen Schadensersatz nach Art. 82 DS-GVO. Das Verlangen von Schadensersatz erfordert demnach neben dem Nachweis eines Verstoßes gegen datenschutzrechtliche Vorschriften auch das Vorliegen eines nachweisbaren Schadens.
Haften Unternehmen für ihre Mitarbeiter?
Lange Zeit war umstritten, ob Art. 83 DS-GVO und die Erwägungen des EU-Gesetzgebers dazu führen, dass die nationalen Bußgeldregelungen – in Deutschland die §§ 30, 130 OWiG – grundsätzlich keine Anwendung finden. Nach § 30 OWiG kann eine Ordnungswidrigkeit nur von einer natürlichen Person und nicht von einer juristischen Person begangen werden. Einer juristischen Person kann nur ein Handeln ihrer Organmitglieder oder Repräsentanten zugerechnet werden. Zwar kann nach § 30 Abs. 4 OWiG gegen juristische Personen unter bestimmten Voraussetzungen ein selbständiges Bußgeldverfahren durchgeführt werden. Aber auch dieses erfordert eine Ordnungswidrigkeit eines Organmitglieds oder Repräsentanten der betreffenden juristischen Person. Der EuGH urteilte schließlich in der Rechtssache Deutsche Wohnen (C-807/21), Art. 83 DS-GVO sei dahin auszulegen, dass ein Bußgeld unmittelbar gegen juristische Personen verhängt werden kann, wenn diese als Verantwortliche einzustufen sind und einen der in Art. 83 Abs. 4-6 DS-GVO genannten Verstöße schuldhaft begangen haben. Dabei wird der juristischen Person jedes Handeln eines Mitarbeiters, nicht nur solches von Führungspersonen, zugerechnet und es muss keine konkret handelnde Person festgestellt werden.
Endlich Rechtssicherheit betreffend Datentransfer in die USA
Nachdem der EuGH 2020 den sogenannten Privacy Shield zu Fall gebracht hatte, bestand lange Zeit Rechtsunsicherheit bezüglich des Datentransfers in die USA. Nach Ansicht des EuGH enthielt der Privacy Shield datenschutzrechtliche Garantien, die von den US-amerikanischen Unternehmen gar nicht gewährleistet werden konnten. Man versuchte sich mit Standarddatenschutzklauseln (SCC) als Sicherungsinstrument für den Datentransfer außerhalb des EU-Gebietes zu behelfen. Eine umfängliche Rechtssicherheit boten die SCC jedoch nicht, da Verantwortliche in der Regel zusätzlich eine Risikoanalyse bezüglich der außereuropäischen Datenverarbeitung durchführen mussten.
Im Juli 2023 hat die EU-Kommission einen Angemessenheitsbeschluss nach Art. 45 DS-GVO für das EU-US Data Privacy Framework erlassen. Damit hat die EU-Kommission festgestellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die innerhalb dieses neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. US-Unternehmen können sich nun dem EU-US Data Privacy Framework anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten.
Auf amerikanischer Seite kümmert sich das U.S. Department of Commerce (DOC) um die Anträge auf Zertifizierung und die Überwachung der Einhaltung der Datenschutzpflichten – im Bereich der Human Resources ist eine zusätzliche Zertifizierung erforderlich. Werden sämtliche Anforderungen nach Prüfung durch das DOC erfüllt, erklären die jeweiligen US‐Organisationen öffentlich (z. B. auf ihrer Website), dass sie sich zur Einhaltung der Vorgaben des EU‐US Data Privacy Framework verpflichten, ihre Datenschutzrichtlinien zur Verfügung stellen und diese vollständig umsetzen. Eine entsprechende Liste mit den zertifizierten Unternehmen wird vom DOC zur Verfügung gestellt. EU-Unternehmen müssen demnach zunächst prüfen, ob das amerikanische Unternehmen, an das Daten übermittelt werden sollen, zertifiziert ist. Wenn das der Fall ist, können Daten an dieses Unternehmen übermittelt werden. Die Liste ist abrufbar unter: Data Privacy Framework.
Ist ein US-Unternehmen nicht nach dem EU‐US Data Privacy Framework zertifiziert, ist ein Datentransfer dennoch vorbehaltlich des Abschlusses von Standarddatenschutzklauseln und zusätzlicher Garantien (z. B. einer Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die von US-Geheimdiensten nicht gebrochen werden kann oder einer Anonymisierung) möglich.
KI-Verordnung und Datenschutz
Das Thema Künstliche Intelligenz (KI) hat in den letzten Jahren zunehmend an Bedeutung gewonnen und ist mittlerweile aus dem Alltag der Menschen nicht mehr wegzudenken. Neben zahlreichen Chancen birgt der Umgang mit KI jedoch auch gewisse Risiken. Auch immer mehr Datenschutzaufsichtsbehörden beschäftigen sich mit dem Thema KI und äußern sich dazu.
Anlässlich der fortschreitenden Entwicklung künstlicher Intelligenz hat das Europäische Parlament am 13. März 2024 die KI-Verordnung (engl. AI-Act) verabschiedet. Zur Gültigkeit fehlt nur noch die Zustimmung des EU-Ministerrats, die in Kürze erwartet wird. Die KI-Verordnung soll auf zivile KI-Systeme und alle Betreiber von KI-Systemen, die im EU-Binnenmarkt tätig sind, Anwendung finden. Die Verordnung betont, dass sie die DS-GVO nicht ersetzt (Art. 2 Abs. 7 AI Act). Das betrifft insbesondere die Rechte im Zusammenhang mit der automatisierten Entscheidungsfindung nach Art. 22 DS-GVO. Für Unternehmen, die KI nutzen, um personenbezogene Daten zu verarbeiten, ändert sich nichts. Sie müssen weiterhin die DS-GVO erfüllen. Art. 5 des AI Act regelt verbotene KI-Bereiche. Dazu gehören unter anderem manipulative Techniken, die Ausnutzung von Personen, diskriminierende Beurteilungen und bestimmte Formen der Gesichtserkennung und Emotionsanalyse ohne klare Rechtfertigung.
Fazit
Der Datenschutz unterliegt einer stetigen Entwicklung. Im Zuge fortschreitender Digitalisierung und Innovationen wie die KI müssen Unternehmen neben den datenschutzrechtlichen Anforderungen auch weitere regulatorische Entwicklungen im Blick haben. Auch sechs Jahre nach Inkrafttreten der DS-GVO zeigen sich noch immer Unsicherheiten bezüglich ihrer Auslegung. Für Unternehmen ist es daher von großer Bedeutung, sich über die aktuelle Rechtsprechung nationaler Gerichte und des EuGH auf dem Laufenden zu halten.