Corona und viele andere Themen haben die Nachrichten in den letzten Wochen und Monaten dominiert. Da kann schon der Eindruck entstehen, dass sich in Sachen Datenschutz offensichtlich nichts mehr tut. Doch dieser Eindruck täuscht gewaltig! Referenten der Datenschutzaufsichten (DSA) haben in Seminaren mehr als deutlich gemacht, dass die Zeit des "Welpenschutzes" vorbei ist. Nach einer Übergangsfrist von zwei Jahren ist die DSGVO am 25. Mai 2018 wirksam geworden und die DSA sind gesetzlich aufgefordert, die Einhaltung sicherzustellen. Ein großer Anteil der DSGVO-Artikel ist an die Behörden adressiert! Diese haben aufgerüstet und weisen allein in Deutschland nun eine Personalstärke von gut 1.000 Köpfen auf.
Was unternehmen die DSA denn nun konkret?
- Nach dem EuGH-Urteil vom 1. Oktober 2019 (Az. C-673/17) dürfen Tracking-Aktivitäten nur noch nach einer aktiven Einwilligung ausgeübt werden. Am 28. Mai 2020 hat der BGH dieses Urteil bestätigt (Az. I ZR 7/16). Dies wird mittels Consent-Banner hervorgehoben und ermöglicht (auf die Urteilsbegründung gehe ich hier nicht ein). Doch genau an dieser Stelle versagen die meisten Websites hierzulande. Zum Beispiel liest man oft den Satz "Mit Ihrem weiteren Besuch auf dieser Website bestätigen Sie die Datenschutzbedingungen." Das ist genauso falsch wie eine voreingestellte Einwilligungsoption oder das schlichte Wegklicken des Consent-Banners.
- Die DSA recherchieren solche Websites "in Häppchen" zu 100 oder 150 Stück (so eine ehem. Mitarbeiterin der bayerischen DSA) und hinterfragen zum Beispiel auch, warum ein Verantwortlicher sein berechtigtes Interesse nach Art. 6 Abs. 1 Buchst. f DSGVO über dem von Betroffenen stellt und wie genau er das ermittelt hat.
- Mehrere DSA haben sich zusammengetan und kontrollieren bundesweit die Websites der Medienwirtschaft. Dort scheinen die Datenschutzverstösse besonders häufig aufzutreten.
- Hinsichtlich des aktuellen Urteils, nämlich Übermittlungen personenbezogener Daten in Drittländer zu untersagen, wenn keiner der Artikel 44 bis 49 DSGVO eingehalten werden kann (und in den meisten Fällen ist das so), halten die Behörden noch still und wollen zunächst untereinander das weitere Vorgehen absprechen. Allerdings werden sie auf Beschwerden und Klagen von Betroffenen und deren Anwälten eingehen müssen, die bei ihnen eingereicht werden. Dazu sind sie gesetzlich verpflichtet. Allein beim Datenschutzteam der Sozietät Latham & Watkins ist eine vierstellige Zahl von Klagen in Bearbeitung.
- Die EU-Kommission und das US-Wirtschaftsministerium sind in Verhandlungen über eine neue Vereinbarung getreten.
Rechts finden Sie die überarbeitete Empfehlung des Landesdatenschutzbeauftragten von Baden-Württemberg. Ich rate dringend, die dortigen Hinweise einzuhalten.