Herzlich willkommen!
Im Workplace Blog schreiben wir über Themen aus der Workplace Law und HR Welt: Wir besprechen wichtige Gerichtsentscheidungen, nehmen uns Glaubenssätze vor, geben praktische Tipps und vieles mehr…
Unser Workplace Blog lebt von Ihren Kommentaren und Feedback. In diesem Sinne freuen wir uns auf den Austausch mit Ihnen!
Ihr PWWL-Redaktionsteam
Seit Inkrafttreten der DS-GVO am 25. Mai 2018 hat sich im europäischen und deutschen Datenschutzrecht viel verändert. Über die ersten Jahre hinweg haben wir viel Erfahrung mit der Auslegung der Vorschriften durch die Datenschutzbehörden und Gericht gewonnen. Es ist bei weitem noch nicht alles geklärt, aber auch in 2022 wird sich dieser Trend fortsetzen.
Wir versuchen einen Ausblick auf abzusehende Entwicklungen im europäischen und deutschen Datenschutzrecht in diesem Jahr:
Es vergeht kaum ein Tag ohne Meldungen über Bußgelder wegen Datenschutzverstößen. Die Höhe der Bußgelder ist im Vergleich zur Rechtslage vor Inkrafttreten der DS-GVO erheblich angestiegen. Genauso war es auch prognostiziert worden.
Die Datenschutzbehörden in der Europäischen Union legen nach wie vor aber sehr unterschiedliche Maßstäbe bei der Bemessung der Bußgelder an. Von einer einheitlichen Anwendung der DSGVO sind wir daher weit entfernt, auch wenn die deutschen Datenschutzbehörden Leitlinien für eine einheitliche Bemessung der Bußgelder entwickelt haben. Dabei zählt es zu den Aufgaben des Europäischen Datenschutzausschusses (EDSA) Leitlinien für die nationalen Aufsichtsbehörden in Bezug auf die Festsetzung von Geldbußen auszuarbeiten (vgl. Art. 70 Abs. 1 S. 1 DS-GVO). Ob der EDSA dieser Verpflichtung im Jahr 2022 endlich nachkommt, bleibt abzuwarten.
Die Entscheidungen der Gerichte zu verhängten Geldbußen zeigen aber eindeutig, dass es sich lohnt, Geldbußen nicht einfach hinzunehmen, sondern dagegen vorzugehen. Fehler im Bußgeldverfahren, die zu einer Aufhebung oder Absenkung der Bußgelder führen, können dabei sowohl im Datenschutzrecht liegen als auch im Verfahrensrecht. Oftmals werden Bußgeldbescheide nämlich nicht nur wegen einer fehlerhaften Beurteilung des Datenschutzrechts aufgehoben, sondern wegen Verfahrensfehlern im Bußgeldverfahren.
Bei Verstößen gegen das Datenschutzrecht drohen nicht nur Geldbußen, sondern auch Schadensersatzforderungen der betroffenen Personen.
Nach Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz.
Es hat auch 2021 neuerlich viele Entscheidungen zu Art. 82 DS-GVO gegeben. Häufig stehen nicht materielle Schäden im Mittelpunkt, sondern der Ersatz sog. immaterieller Schäden, besser bekannt als Schmerzensgeld. Dabei ist insbesondere umstritten, ob der Anspruch auf Schmerzensgeld mehr als einen bloßen Datenschutzverstoß erfordert oder ob dieser bereits ausreicht.
Mittlerweile liegen dem EuGH – nicht nur aus Deutschland – mehrere Rechtsfragen rund um den Schadensersatzanspruch aus Art. 82 DS-GVO zur Entscheidung vor (u.a aus Deutschland – BAG, Beschluss vom 26.08.2021 – 8 AZR 253/20, Rumänien und Österreich).
Im Interesse der Rechtssicherheit wäre es wünschenswert, eine schnelle Entscheidung des EuGH zu diesen Rechtsfragen zu bekommen. Ob dies bereits in 2022 der Fall sein wird, ist offen.
Wer personenbezogene Daten in Staaten außerhalb der EU übermittelt, muss durch geeignete Garantien sicherstellen, dass ein dem europäischen Niveau vergleichbares Datenschutzniveau auch beim Empfänger der Daten besteht. Abgesehen von den Übermittlungen in Länder, für die es ein Angemessenheitstestat der EU-Kommission gibt, stellt diese Vorgabe die Verantwortlichen vor große Probleme.
In der Praxis hat sich die Anwendung der sogenannten Standardvertragsklauseln als ein vergleichsweise einfach umzusetzendes Instrument zur Herstellung eines gleichwertigen Datenschutzniveaus etabliert. Die EU-Kommission hat am 4. Juni 2020 neue Vertragsmuster beschlossen. Bereits seit dem 27. September 2021 dürfen für Neuabschlüsse nur noch diese Muster und nicht mehr die alten verwendet werden. Wurden vor dem Stichtag die alten Standardvertragsklauseln genutzt, kann die Übermittlung auf Basis dieser Standardvertragsklauseln noch bis 27. Dezember 2022 erfolgen. Nach diesem Datum stellen sie keine wirksame Garantie für ein ausreichendes Datenschutzniveau beim Empfänger mehr dar. Es besteht daher Handlungsbedarf für alle, die noch auf Basis der alten Standardvertragsklauseln personenbezogene Daten in ein Drittland übermitteln.
Daneben werden die Auswirkungen des schon 2020 ergangenen Schrems-II Urteils auch hier immer wichtiger. Der EuGH hatte im Hinblick auf die Standardvertragsklauseln entschieden, dass diese zwar weiterhin verwendet werden dürfen, der Verwender aber weitere Maßnahmen ergreifen muss, um sicherzustellen, dass auch im konkreten Fall die Anwendung der Standardvertragsklauseln zu einem angemessenen Datenschutzniveau führt. Das heißt, man kann sich nicht mehr einfach darauf berufen, dass man die Verträge abgeschlossen hat und einhält, sondern man muss konkret nachweisen, dass damit ein ausreichendes Datenschutzniveau auch tatsächlich gesichert ist. In der Praxis erreicht man dies durch die Durchführung sog. Transfer Impact Assessments. Letztlich erfolgt im Rahmen dieses Transfer Impact Assessments eine Risikobewertung anhand des Datenschutzrechts und des dadurch vermittelten Schutzes personenbezogener Daten im Drittland.
Auch im Jahr 2022 werden uns die Coronathemen weiter beschäftigen. Durch die Einführung von 3G am Arbeitsplatz (vgl. § 28b IfSG) und der Verpflichtung, in bestimmten Branchen einen Immunitätsnachweis zu erbringen (auch als bereichsspezifische Impfpflicht bezeichnet), kommen auf Arbeitgeber viele Pflichten zu. Diese gehen häufig mit der Verarbeitung personenbezogener Daten einher. Welche Nachweise muss der Arbeitgeber erheben? Was darf oder muss er davon speichern? Wem gegenüber muss er bestimmte Informationen weitergeben? Die datenschutzrechtlichen Fragen rund um diese Thematik werden uns im Jahr 2022 sicher begleiten.
Die Ampelkoalition hat in ihrem Koalitionsvertrag folgendes angekündigt:
„Wir schaffen Regelungen zum Beschäftigtendatenschutz, um Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu erreichen und die Persönlichkeitsrechte effektiv zu schützen.“
Es ist nicht zu erwarten, dass dieses Vorhaben bereits 2022 umgesetzt werden wird, aber möglicherweise sehen wir dieses Jahr noch einen ersten Gesetzentwurf. Ob sich dieser an dem Entwurf orientiert, den der damalige Bundesarbeitsminister Olaf Scholz im September 2009 vorgelegt hat, bleibt abzuwarten. Sollte dies der Fall sein, kämen auf die Arbeitgeber erhebliche Einschränkungen zu.
