Die Datenschutzgrundverordnung (DSGVO) trat vor genau vier Jahren, am 25. Mai 2018, in Geltung. Ein völlig klares Bild davon, welche Rechte betroffenen Personen zustehen und wozu Unternehmen umgekehrt verpflichtet sind, fehlt jedoch nach wie vor. Alleine in Österreich wurden seit Inkrafttreten der DSGVO von den Höchstgerichten knapp 50 Entscheidungen, von den ordentlichen Gerichten um die 100 Rechtssätze, Beschlüsse und Urteile und von der Datenschutzbehörde bzw. dem Bundesverwaltungsgericht mehr als 500 Bescheide und Erkenntnisse veröffentlicht. Abgesehen davon wird europäisches Datenschutzrecht täglich auch in allen anderen EU-Mitgliedsstaaten sowie von den EU-Institution selbst interpretiert.

Wo nationale Gerichte in Auslegungsfragen nicht weiterkommen, ersuchen sie den Europäischen Gerichtshof um Vorabentscheidung zu unklaren Bestimmungen der DSGVO sowie nationalen Öffnungsklauseln. Sieht man sich die aktuell anhängigen Vorlagefragen an, könnten sich kritische Beobachter sogar die Frage stellen, wie es hier in durchaus wesentlichen Themenbereichen um die Rechtssicherheit bestellt ist.

Was der EuGH klären muss

So soll der EuGH nicht nur zur Rechenschaftspflicht, zur rechtmäßigen Verarbeitung von Gesundheitsdaten und von strafrechtlich relevanten Daten, dem Credit Scoring, Profiling und dem berechtigten Interesse von Wirtschaftsauskunfteien, der rechtsmissbräuchlichen Ausübung von Betroffenenrechten, dem Umfang des Löschungsrechts, zu technischen und organisatorischen Maßnahmen und der Pflicht zu Privacy by Design, sondern auch zum Umfang und der Reichweite von Schadenersatzansprüchen entscheiden.

Dem nicht genug, liegen auch Fragen zum zentralen Begriff des Verantwortlichen und zum Datenschutzbeauftragten sowie im Zusammenhang mit der Pflicht zum Einschreiten der nationalen Datenschutzbehörden und dem Erfordernis einer Zurechnung eines DSGVO-Verstoßes zu einer natürlichen Person bei den EU-Richtern in Luxemburg.

Nicht mehr nur eine Verpflichtung

Die anwaltliche Praxis zeigt dennoch, dass "der Datenschutz" in den Unternehmen angekommen ist und nicht mehr ausschließlich als beschwerliche Compliance-Verpflichtung verstanden wird. Das mag einerseits am beherzten Einschreiten der Datenschutzbehörde, der anspruchsvollen Verfahrensführung und zunehmenden schmerzhaften Strafbescheiden liegen. Andererseits sicherlich auch an der Erkenntnis, dass auch beim Datenschutz nur Transparenz und Wohlverhalten zu einer nachhaltigen Kundenzufriedenheit führen.

Zunehmende Aktivitäten im Bereich der Privacy Litigation und das konzertierte Vorgehen gegen Unternehmen beweisen, dass bereits der Anschein der datenschutzrechtlichen Non-Compliance ausreicht, um durch das Auslösen massenhafter Betroffenenanfragen den operativen Geschäftsbetrieb zu beeinträchtigen, umfangreiche Ressourcen für das Führen außergerichtlicher und gerichtlicher Verfahren zu binden und letztlich auch den guten Ruf eines Unternehmens in Frage zu stellen.

Im fünften Jahr der DSGVO sollten sich Unternehmen deshalb folgenden drei Projekten widmen:

1. Datentransfer auf die neuen EU-Standardvertragsklauseln (SCC 2021) umstellen

EU-Standardvertragsklauseln sind das mit Abstand beliebteste Instrument, um den internationalen Datentransfer in "unsichere Drittstaaten" zu ermöglichen. Eine schnelle Unterschrift reicht inzwischen jedoch nicht mehr – an dieser Praxis störte sich offenbar auch die Europäische Kommission, als sie die aktualisierten EU-Standardvertragsklauseln (SCC 2021) veröffentlichte und einen Countdown startete:

Seit Ende September 2021 dürfen die alten EU-Standardvertragsklauseln überhaupt nicht mehr vereinbart werden und bis spätestens 27. Dezember 2022 sind alle Übermittlungen auf den Stand SCC 2021 umzustellen.

Wer mit der Umstellung noch nicht begonnen hat, blickt somit stressigen sieben Monaten entgegen. Das zentrale Element des SCC 2021 ist die Garantieerklärung des Datenexporteurs, sich vergewissert zu haben, dass der Datenimporteur die Pflichten aus den SCC 2021 einhalten kann. Dies bedeutet eine aktive Compliance-Pflicht für jeden Verantwortlichen oder Auftragsverarbeiter, der personenbezogene Daten in ein Drittland übermittelt – und zwar im Umfang von nicht weniger als 50 konkreten Obliegenheiten.

Dies schließt folgende weitreichende Zusicherung mit ein: "Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für […] den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland […] den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern." Mit anderen Worten: Das Recht im Drittland darf dem Europäischen Datenschutz nicht entgegenstehen.

Die hier vorzunehmende Gesamtbeurteilung umfasst nicht nur die Übermittlungsumstände, die Verarbeitungskette, den Wirtschaftszweig und Speicherort sowie die Rechtsordnung im Drittland, sondern auch die ergriffenen vertraglichen, technischen oder organisatorischen Garantien. Für den letzten Punkt hat wiederum der Europäische Datenschutzausschuss Empfehlungen veröffentlicht.

Um die mit der Garantieerklärung verbundenen Compliance-Pflichten nach den SCC 2021 im laufenden Betrieb sinnvoll zu managen, ist die regelmäßige Durchführung eines Transfer Impact Assessment (TIA). empfohlen Ein risikobasierter Datenschutz-Managementansatz, der durch Checks und Plausabilitätsprüfung einen rechtskonformen Datentransfer sicherstellt. Eine praxisnahe Kommentierung und ein Vorschlag für den Aufbau eines TIA sind in einer Publikation unserer Kanzlei, dem Praxiskommentar zu den SCC 2021 veröffentlicht.

Der Umstieg auf die SCC 2021 bringt immerhin eine kleine, aber feine Erleichterung: Werden die SCC 2021 mit einem Auftragsverarbeiter vereinbart, so decken die Klauseln bereits die Mindestanforderungen an den Auftragsverarbeitervertrag (Art 28 DSGVO) ab. Sollten keine darüber hinausgehenden Regelungsinhalte erforderlich sind, erspart man sich somit einen ganzen Vertrag.

2. Branchentypische Datenverarbeitungen durch Verhaltensregeln absichern

Branchen und Sektoren können durch datenschutzrechtliche Verhaltensregeln typische Datenverarbeitungen und Situation regeln und vorab von der Datenschutzbehörde prüfen und genehmigen lassen. Von diesem Vorteil profitieren bereits zahlreiche Branchen, wie Direktmarketingunternehmen und Adressverlage, private Bildungseinrichtungen oder Versicherungsmakler.

Neben den immer komplexer werdenden Datenverarbeitungen und der immer stärkeren Vernetzung wird das zu beachtende Datenschutzrecht durch Entscheidungen und Urteile jedoch immer kleingliedriger. Gleichzeitig verlangt die Datenschutzbehörde von jeder Unternehmensorganisation vollständige Datenschutz-Compliance und schreckt auch nicht vor empfindlichen Geldstrafen zurück. Der Aufbau und das Aufrechterhalten einer effektiven Datenschutz-Compliance stellt jedoch gerade in Branchen mit vornehmlich kleinen und mittleren Unternehmen eine große Herausforderung in organisatorischer, personeller und budgetärer Hinsicht dar. Datenschutzrechtliche Verhaltensregeln können hier jedoch eine effiziente und kostengünstige Abhilfe schaffen.

Die gemeinsame Interessenvertretung oder eine Vereinigung unterbreiten dabei einen Vorschlag "guter datenschutzrechtlicher Branchenpraxis" an die Datenschutzbehörde. Darin enthalten sind Vorschläge, wie sie facheinschlägige – und oftmals in der Branche wiederkehrende – Fragen zur Datenschutzorganisation, guter betrieblicher Datenschutzpraxis und tätigkeitsspezifischen Datenverarbeitungen einschätzen, bewerten und angehen. Die Datenschutzbehörde prüft und genehmigt solche Verhaltensregeln, wenn sie der Ansicht ist, dass diese mit den Vorgaben der DSGVO und den nationalen Gesetzen vereinbar sind.

Datenschutzrechtliche Verhaltensregeln entlasten ganze Branchen nach dem sog. Musketier-Prinzip: Wenn alle für einen stehen, dann steht auch der eine für alle. Um das Ansehen der eigenen datenschutzrechtlichen Verhaltensregeln wie auch der übrigen Mitglieder nicht zu gefährden, wird eine sogenannte Überwachungsstelle eingerichtet, die ähnlich einer Konformitätsbewertungsstelle darauf achtet, dass alle sich den Verhaltensregeln unterstellenden Unternehmen die Vorgaben in den Verhaltensregeln halten. Gleichzeitig stellen die teilnehmenden Unternehmen damit in ihrer Branche den Führungsanspruch in puncto Datenschutz-Compliance, etablieren als Vorreiter einen Mindeststandard und heben sich schon allein dadurch gegenüber Geschäftspartnern und Kunden von Konkurrenten ab.

3. Strategische Vorkehrungen gegen Privacy Litigation treffen

Die steigende Anzahl an zivilrechtlichen Streitigkeiten und damit verbundenen Vorlagefragen an den EuGH sowie der Trend zu Massenverfahren nach US-amerikanischem Vorbild unterstreichen auch hierzulande die zunehmende Bedeutung von Privacy Litigation.

Privacy Litigation beginnt mit dem ersten Medienbericht, dem ersten negativen Posting in den sozialen Medien und mit der Gewissheit eines Data Breach. Die Kunst der Privacy Litigation liegt ab diesem Zeitpunkt in der Festlegung aller weiteren Schritte gegenüber Behörden, Gerichten, der Staatsanwaltschaft, betroffenen Personen und der Öffentlichkeit. Schon der bloße Anschein der datenschutzrechtlichen Non-Compliance kann zur Lähmung des operativen Geschäftsbetriebs durch ausgeübte Betroffenenrechte, Ermittlungsschritte und gerichtliche sowie verwaltungsbehördliche Verfahren führen.

Zunehmend sind betroffene Personen rechtsschutzversichert, sodass auch voraussichtlich nicht zustehende Ansprüche vor den ordentlichen Gerichten geltend gemacht werden. Selbst wenn die betroffene Person in letzter Instanz nicht durchdringt, sind bis dahin gegebenenfalls schon hohe interne Kosten und Aufwendungen für Rechtsberatung und -vertretung angefallen, die vom unterlegenen Kläger oftmals nur zu einem kleinen (tariflichen) Teil ersetzt werden. Hinzu kommen oftmals Beschwerden an die Datenschutzbehörde oder gar ein amtswegiges Tätigwerden. Zusammengefasst ein extremer Aufwand, nur um zu beweisen, dass man nichts falsch gemacht hat.

Gegen derartige Privacy Litigation können jedoch strategische Vorkehrungen getroffen werden: eine für die Größe und Tätigkeit Ihres Unternehmens angemessene, dokumentierte Datenschutzorganisation. Nur wer nachweisen kann, dass alle erforderlichen Schritte gesetzt wurden und daher angemessene Sorgfalt eingehalten wird, kann sich gegen solche Beschuldigungen sinnvoll verteidigen. Frei nach dem Motto "wer schreibt, der bleibt" ist bereits im laufenden Betrieb ein Maximum an Dokumentation zu erstellen. Umstände der Vergangenheit, die nicht nachgewiesen werden können, sind vor der Datenschutzbehörde und den ordentlichen Gerichten schwer glaubhaft zu machen. Im Zentrum der internen strategischen Vorkehrung steht hierbei insbesondere eine klare Vorgabe, wie mit Aufforderungen der Datenschutzbehörde, amtswegigen Prüfverfahren, Klagedrohungen, strafrechtlichen Ermittlungen oder zivilrechtlichen Massenverfahren grundsätzlich umgegangen werden soll.

Oftmals liegt der Ursprung von Privacy Litigation in medialer Berichterstattung oder Vorhalten in sozialen Medien. Dementsprechend sollten auch Vorgaben für den Umgang mit Medienanfragen und die Moderation auf sozialen Medien bestehen. Diese Vorgaben sollten sich auch an die eigenen Mitarbeiter richten. Sofern das Unternehmen keinen eigenen Datenschutzbeauftragten hat, sollte jedes Unternehmen vorab eine externe Ansprechperson festlegen, die das Unternehmen bereits kennt und im Ernstfall als zentrale Stelle fachlich und koordinierend zur Verfügung steht. Denn Privacy Litigation kann vom Unternehmen nicht auch noch zusätzlich zum Tagesgeschäft erledigt werden.

Die Erfahrung zeigt, dass kein Unternehmen vor Privacy Litigation gefeit ist. Sowie man Budgets, Personal, Investitionen und Projekte plant, sollte jedes Unternehmen auch darauf vorbereitet sein, sich gegenüber betroffenen Personen, der Datenschutzbehörde, einem Richter oder einem Staatsanwalt erklären zu müssen. (Maximilian Kröpfl, 25.5.2022)