Von Rechtsanwalt Dr. Jan-Peter Ohrtmann und Rechtsanwalt Dr. Alexander Golland. Im vergangenen Jahrzehnt wurden Daten vielfach als das „neue Öl“ proklamiert. 2018 folgte die Datenschutz-Grundverordnung (DSGVO) und mit ihr europaweit weitreichende Konsequenzen für Prozesse und Geschäftsmodelle. Und während Unternehmen noch fortlaufend die DSGVO-Anforderungen implementieren, gedeiht zusätzlich eine vielfältige
Rechtsprechung bis hin zum Europäischen Gerichtshof (EuGH). Zugleich arbeiten der nationale und der europäische Gesetzgeber im Bereich ePrivacy an einer stärkeren Regulierung des Datenumgangs. Ob sich das kommende Jahrzehnt tatsächlich zu den „goldenen Zwanzigern“ für datengetriebene Geschäftsmodelle entwickeln kann, wird sich zeigen.
Der DSGVO-konforme Umgang mit Daten stellt Unternehmen vor große Herausforderungen. Jüngst wurde gegenüber der Modekette H&M ein Bußgeld in Höhe von 35,3 Millionen Euro verhängt. Auch schießt die Zahl der Auskunfts- und Schadensersatzklagen durch Verbraucher, insbesondere nach Datenpannen, in die Höhe. Zudem haben sich mehrere Legal-Tech-Anbieter in Stellung gebracht und sind bereit, Unternehmen mit massenhaft geltend gemachten Ansprüchen zu konfrontieren.
Vor dem bereits erwähnten Bedrohungsszenario drastisch erhöhter Bußgelder wurden in vielen Unternehmen sämtliche Datenverarbeitungsvorgänge – insbesondere vor dem Hintergrund der geänderten Erlaubnistatbestände – neu bewertet – oder erstmals aufgenommen. Für zahlreiche Unternehmen hat damit das nächste Kapitel der DSGVO-Umsetzung begonnen.
Während die Wirtschaft die DSGVO noch verdaut, ist ein zweites, weitreichendes EU-Gesetzgebungsvorhaben auf dem Weg: die Verordnung über Privatsphäre und elektronische Kommunikation (ePrivacy-VO). Die ePrivacy-VO soll die ePrivacy-Richtlinie ablösen und unmittelbar geltende Regelungen – unter anderem für den Umgang mit Cookies – schaffen. Da aber eine Einigung im Europäischen Rat auch unter der aktuellen deutschen Ratspräsidentschaft bislang nicht in Sicht ist und die ePrivacy-VO eine Übergangsphase von einem Jahr vorsieht, ist von ihrer Anwendbarkeit nicht vor 2023 auszugehen. Für Unternehmen bleiben daher die allgemeinen Vorschriften der DSGVO sowie die nationalen Umsetzungen der ePrivacy-Richtlinie weiterhin maßgeblich.
Auf nationaler Ebene ist im August 2020 der Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetzes und weiterer Gesetze (TTDSG-E) bekannt geworden. Der nicht offiziell veröffentlichte Gesetzesentwurf enthält auch eine neue Bestimmung zum Einsatz von Cookies und vergleichbaren Technologien.
Derweil gedeiht die Rechtsprechung zu der geltenden Rechtslage weiter: So werden Unternehmen beispielsweise (noch) deutlicher zwischen Targeting- und Werbecookies und Cookies, die zum Betrieb einer Webseite erforderlich sind, unterscheiden und ihre Technologien anpassen müssen. Vor allem für die Verlags- und Werbebranche, die große Umsätze mittels zielgruppenspezifischer Werbung erzielt, tun sich massive Herausforderungen auf. Die Beeinträchtigung der Werbeeinnahmen aufgrund des Einwilligungserfordernisses beschleunigt parallel den Druck bei Medienunternehmen, alternative Erlösmodelle zu finden. Presseunternehmen stehen im besonderen Fokus: Die Datenschutzaufsichtsbehörden haben sich verstärkt auf die „Prüfung des Einsatzes von Tracking-Tools auf Websites von Online-Mediendiensten“ verständigt. Auch Internetpräsenzen der Verlage sind verstärkt betroffen.
Im Juli 2019 knüpfte der EuGH an ein viel beachtetes Urteil zu Facebook-Fanpages aus dem Jahr zuvor an und ergänzte, dass nicht nur die Betreiber einer Fanpage gemeinsam mit dem Betreiber eines sozialen Netzwerks für die über das Netzwerk vorgenommene Datenverarbeitung verantwortlich sind, sondern auch Websitebetreiber und Anbieter eines Social Plug-in, wie beispielsweise Facebooks Like-Button. Es empfiehlt sich, beim Eingehen einer solchen Kooperation die Zuständigkeiten der Beteiligten konkret zu definieren und die verfolgten Zwecke zu dokumentieren.
Im internationalen Geschäft müssen Unternehmen sämtliche Datentransfers, die auf das EU-US Privacy Shield gestützt werden, ab sofort unterlassen. Da der EuGH feststellte, dass die Rechtslage in den USA kritisch zu bewerten ist, sind auch Datentransfers auf Grundlage der Standardvertragsklauseln mit Rechtsrisiken behaftet. Unternehmen müssen zusätzliche Maßnahmen implementieren, die zu den Standardvertragsklauseln hinzutreten. Die Datenschutzaufsichtsbehörden haben bereits angekündigt, keine Schonfrist zu gewähren.
Von Nial Moore und Bennet von Skarczinski. Bereits im Jahr 2018 warnte das Bundesamt für Verfassungsschutz vor „besonders hochwertigen Angriffen“ auf deutsche Medienhäuser, vermutlich auch mit Beteiligung staatlicher Akteure. Die Intentionen solcher Angriffe sind so gefährlich wie divers. Sie reichen von der Erlangung von Informationsvorsprüngen und Wettbewerbsvorteilen über das gezielte Offenlegen von Informationsquellen bis hin zur Machtdemonstration und Störung bestimmter Dienste. Bedenklich ist zudem der damit einhergehende Versuch, das Vertrauen der Bevölkerung in die Medienbranche zu untergraben.
Von Rechtsanwalt Dr. Tobias von Tucher, LL.M. Eur, Rechtsanwältin Charlotte Schaber und Rechtsanwalt Phillip Limbek. Die rechtlichen Anforderungen in der Medienbranche steigen kontinuierlich. Unsere Experten haben die wichtigsten Gesetzesnovellen und wegweisende Entscheidungen der obersten Gerichte Deutschlands beleuchtet.