Datenschutzrecht in der Jahreswende - und was Unternehmen 2022 noch beschäftigt

Das Jahr 2021 neigt sich einem Ende zu. Während in Wirtschaft und Industrie allmählich die wohlverdiente Pause zwischen den Jahren ansteht, bleibt eine Vielzahl rechtlicher Themen höchst aktuell und sollte spätestens zu Beginn des Jahres 2022 - soweit dies nicht bereits geschehen ist - ernsthaft angegangen werden. Der digitale Umbruch ist in vollen Zügen und stellt Unternehmen mehr und mehr vor große Herausforderungen. Um diese These zu belegen, ist bereits der bloße Verweis auf die „neuen“ EU-Standardvertragsklauseln ausreichend.

Neben dem stetigen Wandel in der datenschutzrechtlichen Praxis rücken jedoch mehr und mehr auch weitere Themen in den Fokus. So sei an dieser Stelle bspw. auf die Neuerungen des digitalen Kaufrechts sowie das Lieferkettensorgfaltspflichtengesetz hingewiesen. Auch der Koalitionsvertrag von SPD, FDP und den Grünen lässt an einigen Stellen erkennen, dass verschiedene aktuelle Themen auf der Agenda der neuen Regierung stehen. Um vor lauter digitalen Bäumen noch den Wald zu sehen, möchten wir zur Jahreswende einen kurzen Überblick über aktuelle Themen liefern, welche im Jahre 2022 für Unternehmen (noch immer) von großer Bedeutung sein werden.

Immer wieder der Drittlandtransfer

Dass im Bereich des Datenschutzrechts niemals Stillstand herrscht, ist mittlerweile bekannt. So war das vergangene Jahr noch immer stark von der „Schrems-II“ Entscheidung des Europäischen Gerichtshofs geprägt. Die Implementierung der neuen EU-Standardvertragsklauseln (SCC) sowie die Durchführung eines Transfer Impact Assessments (TIA) gehören mittlerweile zum Alltag datenschutzrechtlicher Fragestellungen. Über die Verabschiedung der neuen SCC haben wir in unserem Beitrag vom 08. Juni 2021 („EU-Kommission verabschiedet neue Standarddatenschutzklauseln für internationalen Datentransfer“) bereits umfassend berichtet.

Während neue Drittlandtransfers bereits seit dem 28. September 2021 auf Grundlage der neuen SCC erfolgen müssen, haben Unternehmen noch bis zum 27. Dezember 2022 Zeit, ihre alten Drittlandtransfers entsprechend anzupassen. Neben der Frage, welches Modul im Hinblick auf den jeweiligen Drittlandtransfer zur Anwendung kommt, muss insbesondere sorgfältig überprüft werden, ob zusätzliche Maßnahmen erforderlich sind, um ein angemessenes Datenschutzniveau zu gewährleisten. Die Vertragsparteien müssen gemäß Klausel 14 lit. a) der SCC versichern, dass sie keine Zweifel daran haben, dass der Datenimporteur durch geltende Rechtsvorschriften und Gepflogenheiten im Drittland an der Erfüllung der sich aus den SCC ergebenden Pflichten gehindert wird. Dies betrifft aktuell vornehmlich Datentransfers in die USA. Wir haben aus diesem Anlass bereits in unserem Beitrag vom 23. Juni 2021 („Empfehlungen des EDSA für Drittlandtransfers aktualisiert“) auf das vom Europäischen Datenschutzausschuss (EDSA) aktualisierte sogenannte „6-Stufenmodell“ hingewiesen.

Ebenfalls haben wir in unserem Beitrag vom 01. Oktober 2021 („Standardisierung und Automatisierung eines Transfer Impact Assessment im Zusammenhang mit den neuen EU-Standardvertragsklauseln“) unsere standardisierte Lösung bei der Durchführung des TIA aufgezeigt. Dies bleibt auch im Jahr 2022 von höchster Relevanz, da - wie bereits aufgezeigt - die alten Drittlandtransfers entsprechend angepasst und ggf. um weitere Maßnahmen erweitert werden müssen.

Verantwortlich heißt verantwortlich - Die Entscheidung „Cookiebot“

Für Aufsehen im Zusammenhang mit Drittlandtransfers hat jüngst ein Beschluss des VG Wiesbaden vom 01. Dezember 2021 gesorgt. Im einstweiligen Rechtsschutz wurde einem Antrag stattgegeben, welcher es der Hochschule RheinMain untersagt, den Dienst „Cookiebot“ - als sogenannte Consent Management Plattform - auf der eigenen Webseite einzusetzen, um verschiedene Einwilligungen der Nutzer einzuholen. Die hierbei erhobenen Daten der Nutzer (u.a. die ungekürzte IP-Adresse) unterliegen dabei dem Zugriff eines Anbieters eines sogenannten Content Delivery Network (CDN) Tools mit Sitz in den USA. Neben der - insoweit bereits bekannten - Aussage, dass es sich bei IP-Adressen regelmäßig um personenbezogene Daten handelt, rückt vor allem eine weitere Aussage der 6. Kammer des VG Wiesbaden in den Fokus: Verantwortlich heißt verantwortlich. Trotz des Umstands, dass im vorliegenden Fall nicht die Hochschule RheinMain den Zugriff auf personenbezogene Daten durch den US-amerikanischen Dienstleister ermöglicht, entscheidet diese nach Ansicht des VG Wiesbaden durch den Einsatz von „Cookiebot“ zumindest mittelbar über die Mittel und Zwecke der Datenübermittlung. Nach Ansicht des VG Wiesbaden handelt es sich vorliegend - insbesondere wegen der Regelungen des sogenannten Cloud-Acts - um einen Datentransfer in die USA ohne angemessenes Datenschutzniveau. Insbesondere seien solche Instrumente nicht implementiert worden, die dazu führen können, dass ein angemessenes Datenschutzniveau schlussendlich doch bejaht werden kann. Letzteres betrifft vornehmlich die neuen SCC, welche nicht zwischen dem Webseitenbetreiber und dem Anbieter von „Cookiebot“ abgeschlossen wurden.

Auch wenn die vorbezeichnete Entscheidung massive Auswirkungen auf eine Vielzahl von datenschutzrechtlich Verantwortlichen entfalten kann, möchten wir die aktuell aufkommende Panik etwas dämpfen. Nach unserer Einschätzung sollten zunächst die weiteren Verfahrensschritte abgewartet werden. Da es sich vorliegend „nur“ um eine Entscheidung im einstweiligen Rechtsschutz handelt, bleibt zu beobachten, wie sich der weitere Verfahrensgang entwickelt. Obgleich man dem VG Wiesbaden in einigen Punkten datenschutzrechtliche Ungenauigkeiten vorwerfen möchte - dies betrifft insbesondere den rechtlichen Umgang mit den SCC -, ist es Unternehmen anzuraten, zumindest mittelfristig nochmals ihre Auftragsverarbeitungsketten sowie Drittlandtransfers nachzuvollziehen. Werden personenbezogene Daten in die USA übermittelt, sollte geprüft werden, ob weiterer Handlungsbedarf besteht. Kommt eine - von dem Verantwortlichen durchzuführende - TIA Prüfung zu dem Ergebnis, dass weitere Maßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus ergriffen werden müssen, sollte auf dasjenige Glied in der Datenverarbeitungskette Einfluss genommen werden (bspw. durch konkrete Verpflichtungen in einem Auftragsverarbeitungsvertrag), welches den Drittlandtransfer unmittelbar veranlasst. Ist eine solche Einflussnahme dagegen nicht möglich, muss die verantwortliche Stelle - nimmt man die Entscheidung des VG Wiesbaden ernst - die vertraglichen Beziehungen zu dem Datenexporteur abbrechen.

Cookies und das TTDSG

Auch ohne einen Bezug zu einem Drittlandtransfer, ist der Einsatz von sogenannten Cookies von zentraler Bedeutung für eine Vielzahl von Unternehmen. Wie wir bereits in unserem Beitrag vom 06. Oktober 2021 („Gesetzliche Regelung für den Einsatz von Cookies“) angekündigt haben, ist zum 01. Dezember 2021 nun das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) in Kraft getreten. Da wir in dem verlinkten Beitrag bereits die wesentlichen Neuerungen aufgezeigt haben, möchten wir nun einen Blick auf ein weiteres zentrales Problem bei der Gesetzesanwendung richten: Unter welchen Voraussetzungen ist ein Cookie „unbedingt erforderlich“ im Sinne des § 25 Abs. 2 TTDSG? Dies ist deshalb von besonderer Bedeutung, da in einem solchen Fall ausnahmsweise keine Einwilligung des Nutzers einer sogenannten Endeinrichtung erforderlich ist.

Nochmal zur Erinnerung: Das TTDSG trennt - wie auch die e-Privacy-Richtlinie - zwischen verschiedenen Arten von Cookies. Einerseits sind Cookies denkbar, ohne die eine Bereitstellung der angebotenen Leistung nicht möglich ist. Andererseits greifen insbesondere App- und Webseitenbetreiber gerne auf solche Cookies zurück, die ausschließlich dem Betreiber selbst einen Vorteil verschaffen (bspw. um Reichweitenmessungen durchzuführen). Folgt man der Ansicht einiger deutscher Datenschutzaufsichtsbehörden, muss das Kriterium der unbedingten Erforderlichkeit sehr restriktiv verstanden werden. Nach einer Stellungnahme des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 30. November 2021 ist bspw. nur eine technische Notwendigkeit ausreichend, „nicht jedoch [eine] wirtschaftliche Notwendigkeit“. Als „unbedingt erforderlich“ wird man u.a. Cookies zur Speicherung der Cookie-Einstellungen, zur Erinnerung der Artikel im Warenkorb, zur (technischen) Ermöglichung von Videostreams, zur Personalisierung von Diensten sowie Cookies, die Sicherheitszwecken des Betreibers dienen, ansehen dürfen. Geht es dagegen um Cookies die der Werbung, Nachverfolgung oder Geolokalisierung dienen, muss der Anbieter zwingend eine Einwilligung vom jeweiligen Nutzer der Endeinrichtung einholen. Wie sich § 25 Abs. 1 S. 2 TTDSG entnehmen lässt, müssen Einwilligungen dabei den Maßstäben der DS-GVO entsprechen und insbesondere freiwillig und ohne das Vorliegen bereits vorangekreuzter Kästchen erfolgen. Abschließend sollten Betreiber von Endeinrichtungen unbedingt das „Zusammenspiel“ von TTDSG und DS-GVO beachten: Werden nach dem Einsatz eines Cookies personenbezogene Daten verarbeitet, muss dies mit den Anforderungen der DS-GVO im Einklang stehen. Dies erfordert insbesondere das Vorliegen einer datenschutzrechtlichen Rechtsgrundlage - regelmäßig auf Grundlage von Art. 6 DS-GVO.

Auch wenn das TTDSG wegen dem geplanten Erlass einer e-Privacy-Verordnung durch den Europäischen Gesetzgeber voraussichtlich nur einen begrenzten Zeitraum für den Einsatz von Cookies und vergleichbarer Tools herangezogen wird, sollten Unternehmen die Ausgestaltung ihrer Cookie-Banner nochmals gründlich überprüfen. Es liegt auf der Hand, dass das Inkrafttreten des TTDSG erneute Überprüfungen durch Aufsichtsbehörden provozieren wird.

Kaufrecht 4.0

Auch wenn wir liebend gerne weiter über das Datenschutzrecht als eines unserer Kernkompetenzen berichten würden, gibt es weitere spannende Neuerungen, die Unternehmen künftig beachten müssen. Wie wir bereits in unserem Beitrag vom 04. Oktober 2021 („Kaufrecht 4.0“) berichtet haben, treten zum 01. Januar 2022 einige weitreichende Neuerungen des Bürgerlichen Gesetzbuches (BGB) in Kraft. Neben Anpassungen des Kaufrechts findet sich künftig in den §§ 327 ff. BGB n.F. ein gänzlich neuer Vertragstypus über die Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen. Auch wenn viele der Neuerungen primär den B2C-Bereich adressieren, sollten die Änderungen in ihrer Gesamtheit nicht unterschätzt werden.

Zum einen ist die Überarbeitung des Mängelrechts in § 434 BGB n.F. ohne Einschränkungen auch im B2B-Bereich von Relevanz. Während ein Mangel einer Kaufsache bisher dann vorgelegen hat, wenn sich diese bspw. entweder zur vertraglich vereinbarten oder zur gewöhnlichen Verwendung nicht eignet, müssen künftig sogenannte subjektive und objektive Voraussetzungen kumulativ vorliegen, um den Verkäufer vor Gewährleistungsansprüchen zu bewahren. Für den Verkäufer heißt dies in der Konsequenz, dass er seine Vertragsmuster entsprechend anpassen muss, ohne jedoch die Grenzen des rechtlich zulässigen zu überschreiten. Tritt der Verkäufer dabei (auch) im B2C-Bereich auf, gelten strenge Maßstäbe.

Auf der anderen Seite werden wir in unserer anwaltlichen Praxis regelmäßig damit konfrontiert, dass sich Unternehmen häufig nicht darüber bewusst sind, welche Regelungen im B2C-Bereich gelten. Ist ein Unternehmen jedoch nicht für den Fall der Fälle vorbereitet, wird es die Vielzahl zu beachtender Voraussetzungen und Informationspflichten kaum erfüllen können. Dies gilt umso mehr, da gemäß § 312 Abs. 1a BGB n.F. künftig bereits das Bereitstellen personenbezogener Daten zu einem Widerrufsrecht des Verbrauchers führen kann. Man denke in diesem Zusammenhang nur an die pandemie-bedingte Vielzahl von Webinaren oder vergleichbaren Angeboten, in denen bspw. die Werbetrommel für das eigene Unternehmen gerührt wurde. Versteckt sich unter den Teilnehmern ein Verbraucher im Sinne des § 13 BGB und werden die bereitgestellten personenbezogenen Daten nicht ausschließlich verwendet, um das jeweilige Angebot (technisch) zu ermöglichen, kann dies ein Widerrufsrecht des Verbrauchers zur Folge haben.

Auch muss das Nebeneinander der verschiedenen Vertragstypen zumindest überblicksartig durchdrungen werden. Während ein Vertrag über die Bereitstellung von Cloud-Diensten im B2C-Bereich künftig über die §§ 327 ff. BGB n.F. abzuwickeln ist, gilt dies nicht auch im B2B-Bereich. In letzterem Fall bleibt es voraussichtlich wie gewohnt bei der Anwendbarkeit mietrechtlicher Vorschriften. Auch bei der Frage, welches Gewährleistungsrecht anwendbar ist, finden sich einige Finten im Detail.

Auch wenn solche Unternehmen, die vornehmlich im B2B-Bereich auftreten, etwas „gelassener“ an das Thema herangehen können, ist ein grober Überblick über die neuen Regelungen unerlässlich.

Compliance als wachsende Herausforderung

Unter dem Oberbegriff Compliance erwarten Unternehmen künftig gleich zwei große Baustellen.

Wie wir in unserem Beitrag vom 02. Dezember 2021 („Aktueller Stand der Whistleblower-Richtlinie“) erst jüngst berichtet haben, hat Deutschland - zumindest nach jetzigem Stand - die Umsetzungsfrist zur Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (sog. Whistleblower-Richtlinie) „verschlafen“. Wir rechnen jedoch damit, dass ein Umsetzungsgesetz nicht lange auf sich warten lassen wird, sobald sich der Gesetzgeber auf eine finale Fassung geeinigt hat. Die Richtlinie sieht vor, dass Unternehmen mit einer Beschäftigtenzahl von mindestens 250 Mitarbeitern bis spätestens zum 17. Dezember 2021 ein Meldesystem für Compliance-Hinweise durch Whistleblower einrichten müssen. Unternehmen mit einer Beschäftigtenzahl von 50 bis 249 Mitarbeitern müssen die jeweiligen Vorgaben dagegen erst bis zum 17. Dezember 2023 umsetzen. Um von dem zu erwartenden Umsetzungsgesetz nicht „kalt erwischt“ zu werden, sollten Unternehmen tunlichst damit beginnen, ernsthaft an der Implementierung eines entsprechenden Meldesystems zu arbeiten. Mit „SKWhistle“ haben wir eine modulare Beratungslösung geschaffen, die Sie beim Aufbau, bei der Einrichtung sowie beim operativen Betrieb eines Hinweisgebersystems unterstützt. Die einzelnen Module können dabei wahlweise zu vereinbarten Festpreisen oder individuell nach dem jeweiligen Aufwand gebucht werden. Bei Bedarf beraten wir Sie auch gerne bei der Wahl einer technischen Lösung. Über weitere Einzelheiten in diesem Kontext haben wir in unserem Beitrag vom 11. Mai 2021 („SKWhistle: Hinweisgebersystem rechtssicher implementieren“) unterrichtet.

Als zweites großes Thema im Zusammenhang mit Compliance sollte das - unseres Erachtens weit unterschätzte - Lieferkettensorgfaltspflichtengesetz (LkSG) auf der Agenda von Unternehmen stehen. Vorbehaltlich einiger Sonderregelungen tritt das Gesetz in seiner endgültigen Fassung am 01. Januar 2023 in Kraft. Durch das Gesetz sollen Menschenrechte auch in arbeitsteilig funktionierenden Lieferketten besser gewahrt und deren Einhaltung effektiv durchgesetzt werden. So wird in § 2 Abs. 2 LkSG eine Vielzahl denkbarer „menschenrechtlicher Risiken“ aufgelistet, welche potenzielle Adressaten des Gesetzes künftig auch außerhalb der eigenen Arbeitsstrukturen beachten müssen. Exemplarisch zu nennen sind in diesem Zusammenhang insbesondere die Verbote von Kinder- und Zwangsarbeit, der Sklaverei, der Ungleichbehandlung in Beschäftigtenverhältnissen sowie die Beachtung der jeweils geltenden Pflichten des Arbeitsschutzes. Da neben weiteren zu beachtenden umweltbezogenen Risiken auch 11 dem Gesetz als Anlage beigefügte Übereinkommen zum Schutz der Menschenrechte Teil des Schutzkonzepts sind, kann der hierbei zu beachtende Sorgfaltsmaßstab als sehr weitreichend angesehen werden.

In § 1 LkSG werden die Adressaten des Gesetzes näher definiert. Primär betroffen sind hierbei Unternehmen -ungeachtet ihrer Rechtsform-, deren Hauptverwaltung, -niederlassung oder Sitz im Inland liegt, sofern darüber hinaus in der Regel mindestens 3.000 Arbeitnehmer im Inland beschäftigt werden. Ins Ausland entsandte Arbeitnehmer sind hierbei ebenfalls erfasst. Sofern ein Unternehmen lediglich eine Zweigniederlassung gemäß § 13d des Handelsgesetzbuches im Inland betreibt und in der Regel ebenso mindestens 3.000 Arbeitnehmer im Inland beschäftigt, ist es gleichwohl Adressat des Gesetzes. Ab dem 01. Januar 2024 muss zudem beachtet werden, dass die Schwellenwerte der beschäftigten Arbeitnehmer bei nur noch 1.000 liegen.

In den §§ 3 - 10 des Gesetzes werden die verschiedenen von den Adressaten zu beachtenden Sorgfaltspflichten näher dargestellt. Unterfällt ein Unternehmen dem Anwendungsbereich des Gesetzes, muss es künftig u.a. ein Risikomanagement, eine Risikoanalyse, Abhilfe- und Präventionsmaßnahmen sowie wiederum ein Beschwerdeverfahren unternehmensintern implementieren. Hier wird schnell klar: Das Thema Compliance wird aktuell sowohl auf europäischer als auch auf nationaler Ebene großgeschrieben.

Auch IT-Sicherheitsrisiken rücken in den Fokus

Unter dem höchst aktuellen Begriff der Java-Sicherheitslücke „Log4Shell“ rückt auch das Thema IT-Sicherheit immer mehr in den Fokus. Die Java-Protokollierungsbibliothek „Log4j“ ist Bestandteil einer Vielzahl kommerzieller Produkte. Da zudem auch Open-Source Produkte betroffen sein können, sind die Auswirkungen der kürzlich entdeckten Sicherheitslücke beachtlich. Zusammengefasst ermöglicht es die identifizierte Sicherheitslücke Angreifern über das Internet bestimmte Programmcodes auszuführen, um auf diese Weise weitere Angriffe auf ein System zu ermöglichen. Grund genug, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Sicherheitswarnung mit der „Warnstufe Rot“ vergeben hat. Auf der Webseite des BSI wurde eine eigene Kategorie mit mehreren verlinkten Dokumenten veröffentlicht, in der weitere Informationen sowie Handlungsempfehlungen aufgezeigt werden. Auch das Bayerische Landesamt für Datenschutzaufsicht hat auf seiner Webseite eine Handreichung zur Erstanalyse veröffentlicht, um Verantwortlichen und deren betrieblichen Datenschutzbeauftragten gebotene Abhilfemaßnahmen an die Hand zu geben.

Die aktuellen Gegebenheiten zeigen erneut die nicht zu unterschätzende Bedeutung der in Art. 32 DS-GVO enthaltenen Vorgaben zur Sicherheit der Datenverarbeitung auf. Je nach konkreten Fall, kann die Identifizierung einer Sicherheitslücke auf eigenen Systemen zu einer meldepflichtigen Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 33 DS-GVO führen. Auch wenn der Fokus regelmäßig auf das Vorliegen einer datenschutzrechtlichen Rechtsgrundlage gelegt wird, sollten Verantwortliche auch gerade der IT-Sicherheit ein angemessenes Gewicht beimessen.

Was ist noch neues geplant?

Dass die neue Ampel einiges zum Thema Digitalisierung in der Planung hat, haben wir bereits in unserem Beitrag vom 01. Dezember 2021 („Mehr Digitalisierung wagen – was plant die künftige Ampelkoalition?“) aufgezeigt. Für Unternehmen heißt dies umso mehr, wachsam zu bleiben und die aktuellen Fokusthemen im Visier zu haben.

Auch wenn der vorliegende Beitrag den Eindruck vermitteln mag, dass man kaum Herr all dieser Themen werden kann, möchten wir Sie an dieser Stelle beruhigen. Es ist nachvollziehbar und auch nicht erforderlich, dass alle vorgenannten Themen gleichzeitig beherrscht und im eigenen Unternehmen berücksichtigt werden können. Dies erwartet auch niemand von Ihnen. Wir möchten Sie mit diesem kurzen Aufriss jedoch zum Ende des Jahres noch einmal sensibilisieren und auf die anstehenden Themen wappnen.

Beschäftigt man sich frühestmöglich mit dem neuen Handlungsbedarf, ist ein reibungsloser Übergang in eine neue Praxis zu bewältigen. Wie Sie es von uns gewohnt sind, stehen wir Ihnen im Falle von Fragen sowie bei der konkreten Umsetzung eines neuen Gesetzes jederzeit zur Verfügung.

Zum Abschluss des Jahres wünschen wir Ihnen jedoch nur noch ein besinnliches Fest und einen guten Start ins neue Jahr 2022.

Dieser Beitrag entstand mit der freundlichen Unterstützung von Herrn Rechtsreferendar Marius Drabiniok.