Datenschutztrends: Die aktuell wichtigsten Datenschutztrends in Europa
Dr. Alesch Staehelin
Alesch Staehelin ist selbständiger Rechtsanwalt in Zürich. Mit seiner Kanzlei Digital Lawyer & Counsel (DLC) ist er in den Bereichen "Data, IT/IP & Media" tätig: Er entwirft, prüft und verhandelt Verträge aller Art (insbesondere komplexe, zeitkritische und grenzüberschreitende Tech-Deals), er berät in Fragen des Datenschutzes, der IT-Sicherheit, der digitalen Transformation, der neuen Technologien, der sozialen Medien, des Urheber-, Unterhaltungs- und Medienrechts, des Marken-, Design- und Patentrechts (inkl. Know-how-Schutz), des unlauteren Wettbewerbs, des e-Commerce usw., er vermittelt in strittigen Projekten, und er führt Gerichts- und Schiedsverfahren. Zuvor war Alesch Staehelin über ein Jahrzehnt Partner in einer schweizerischen Anwaltskanzlei und Senior Corporate Counsel bei IBM.
Passende Arbeitshilfen
1. Internationale Datentransfers
Projekte im Zusammenhang mit Schrems II (dem EuGH-Urteil vom Sommer 2020) sollten für Unternehmen weiterhin Priorität haben, insbesondere angesichts des jüngsten Fokus der Aufsichtsbehörden auf internationale Datentransfers. So hat die österreichische Datenschutzbehörde Anfang 2022 Beschwerden gegen Unternehmen wegen des unrechtmässigen Exports personenbezogener Daten von EU-Website-Besuchern in nicht adäquate Jurisdiktionen (darunter die USA) geschützt. Unternehmen sollten sich auch weiterhin darüber im Klaren sein, dass Länder, die nicht als "angemessen" gelten, zusätzliche Schutzmassnahmen für die Übermittlung von Daten aus der EU ergreifen müssen, z.B. durch die Verwendung der neuen Standardvertragsklauseln (SCC) oder der verbindlichen unternehmensinternen Vorschriften (BCR) der EU.
2. Verstärkte Rechtsdurchsetzungsmassnahmen
Bereits 2021 wurden rekordverdächtige Bussgelder im Zusammenhang mit der europäischen Datenschutzgrundverordnung (DSGVO; auf Englisch: "GDPR") verhängt – darunter das bisher höchste Bussgeld in Höhe von 746 Millionen Euro. Das wird so weitergehen. Bisher scheinen diese Geldbussen zwar einigen der grössten Akteure im Technologiebereich vorbehalten zu sein, doch die daraus gezogenen Lehren lassen sich auf andere Branchen übertragen. Insbesondere ein Verfahren vor dem Europäischen Gerichtshof (EuGH) könnte letztlich Änderungen an den Datenschutzhinweisen erforderlich machen.
3. Datenschutzverletzungen und Cybersicherheit
Cybersicherheit und die Meldepflicht für Datenschutzverletzungen bleiben sowohl für Unternehmen als auch für Regulierungsbehörden vorrangige Themen. Ransomware und Distributed-Denial-of-Service (DDoS)-Angriffe sind nach Angaben des Europäischen Rats auf dem Vormarsch. Wie ein Bericht von Verizon aufzeigt, sind alle Arten und Grössen von Unternehmen in nahezu gleichem Mass Ziel finanziell motivierter Angriffe. Im Gegenzug bemühen sich die Regulierungsbehörden, auf die zunehmende Bedrohung zu reagieren. So haben sich die EU-Länder darauf geeinigt, die Cybersicherheitsmassnahmen in einer Reihe von Branchen durch den Entwurf der EU-Cybersicherheitsrichtlinie ("NIS2") und einen Vorschlag für ein Gesetz über die Widerstandsfähigkeit im Bereich der Cybersicherheit zu stärken. Die Unternehmen sollten sich ihrerseits bemühen, proaktiv starke, hochmoderne Sicherheitssysteme zu unterhalten.
4. Aufstrebende Technologien und AdTech
Ein Hauptaugenmerk für Unternehmen (und Regulierungsbehörden) wird auf der Nutzung neuer Technologien wie etwa der Künstlichen Intelligenz (KI bzw. auf Englisch "AI") liegen. Zurzeit gibt es eine Reihe laufendern/vorgeschlagener Gesetzesreformen in diesem Bereich, einschliesslich des von der EU vorgeschlagenen Gesetzes über KI. Ausserdem hat Spanien kürzlich als erster EU-Mitgliedstaat eine Aufsichtsbehörde speziell für KI eingerichtet. Während Unternehmen diese regulatorischen Entwicklungen weiterhin beobachten sollten, sollten sie jetzt Massnahmen ergreifen, um sicherzustellen, dass ihre Nutzung dieser neuen Technologien im Einklang mit den bestehenden Datenschutzgesetzen erfolgt.
Seminar-Empfehlungen
5. Cookies
Die EU setzt sich auch weiterhin mit der Einhaltung von Cookies auseinander. Anfang 2022 verabschiedete der "European Data Protection Board" (EDPB) ein Schreiben, in dem er eine einheitliche Auslegung der Cookie-Einwilligung fordert. Zu diesem Zweck hat der EDSB eine Taskforce für Cookie-Banner eingerichtet, um die Reaktion auf Beschwerden über die Einhaltung der Cookie-Banner zu koordinieren und weitere Leitlinien für die Einwilligung zu verabschieden. In naher Zukunft sind weitere Durchsetzungsmassnahmen der Datenschutzbehörden in Bezug auf die Einhaltung von Cookies zu erwarten.
6. ePrivacy, Plattformregulierung und Werbetechnologie oder AdTech"-Regulierung
ePrivacy, Plattformregulierung und Werbetechnologie oder AdTech"-Regulierung werden künftig ebenfalls im Fokus der EU stehen, da ein Paket von Reformen erwartet wird – einschliesslich einer endgültigen Einigung über die vorgeschlagene ePrivacy-Verordnung. Die Unternehmen müssen sich auf die sich ändernden Erwartungen in dieser Hinsicht einstellen und möglicherweise neue dynamische Methoden zur Einholung der Zustimmung und zur Benachrichtigung von Einzelpersonen erforschen, um sicherzustellen, dass die Daten auf konforme Weise behandelt werden.
Die oben genannten, knapp umrissenen Eckpunkte geben einigermassen einen Eindruck darüber, wo in naher Zukunft wohl die wichtigsten Entwicklungen und Debatten stattfinden werden, insbesondere im Hinblick auf die Frage, wie Datenschutz und Innovation in Einklang gebracht werden können. Eines ist klar: Die Zukunft des Datenschutzes wird für Unternehmen, Gesetzgeber und Aufsichtsbehörden gleichermassen äusserst dynamisch sein.
