Datenschutz-Ausblick 2024 mit Michael Will (BayLDA)
19.12.2023
Zusammenfassung
Am 13.12.2023 fand das mit über 1000 Teilnehmern ausgebuchte Web-Seminar mit Herrn Michael Will, Präsident des bayerischen Landesamts für Datenschutzaufsicht, statt. Wir nutzten diese Gelegenheit für einen Rückblick auf das Jahr 2023 und eine Vorausschau auf die anstehenden Datenschutz-Themen in 2024. Im Folgenden finden Sie eine Zusammenfassung der diskutierten Themen
7 Minuten Lesezeit
Am 13.12.2023 fand das mit über 1000 Teilnehmern ausgebuchte Web-Seminar mit Herrn Michael Will, Präsident des bayerischen Landesamts für Datenschutzaufsicht, statt. Wir nutzten diese Gelegenheit für einen Rückblick auf das Jahr 2023 und eine Vorausschau auf die anstehenden Datenschutz-Themen in 2024. Im Folgenden finden Sie eine Zusammenfassung der diskutierten Themen.
Bußgelder und Schadenersatz bei Datenschutz-Verletzungen
Herr Will begrüßte insb. die durch das Urteil des EuGH in Sachen „Deutsche Wohnen“ (EuGH C-807/21) eintretende Klarheit, unter welchen Voraussetzungen Datenschutz-Aufsichtsbehörden Bußgelder gegen Unternehmen verhängen können.
Ob es letztlich zu Massenklagen nach Datenschutzverletzungs-Meldungen kommen werde sei derzeit noch abzuwarten (vgl. EuGH C-340/21). Häufig werde versucht, hier im Wege der Akteneinsicht durch interessierte Parteien direkten Zugriff auf die Datenschutzverletzungsmeldungen der Unternehmen zu erlangen, was das BayLDA aber verweigere.
Datentransfers zwischen EU und USA; Ausblick Brasilien & Asien
In Bezug auf die Datentransfers begrüßte Herr Will den Umstand, dass durch die Angemessenheitsentscheidung in Bezug auf das US Data Privacy Framework nun Rechtsklarheit für die Unternehmen eingetreten sei. Er zeigte sich vorsichtig optimistisch, dass der nun gefundene Kompromiss auch langfristig das Placet des EuGH finden könnte.
Pseudonymisierung & Anonymisierung von personenbezogenen Daten
Die Datenschutz-Aufsichtsbehörden planen nach aktuellem Stand, in der ersten Jahreshälfte 2024 einen Leitfaden zum Thema Anonymisierung zu veröffentlichen. Es wird für nächstes Jahr zudem ein Urteil des EuGH erwartet, in dem dieser klären soll, ob der Ansatz des EuG (EuG T-557/20) zum relativen Personenbezug Bestand haben wird. Die Aufsichtsbehörden selbst scheinen hier eher zum „absoluten Personenbezug“ zu tendieren.
“Pay or OK”: Einwilligungslösung bei Facebook und Verlagen
Das als „Pay or OK” bezeichnete Modell insb. des Meta-Konzerns stellt Nutzer vor die Wahl, entweder für eine trackingfreie Variante zu bezahlen oder in die Analyse personenbezogener Daten zur Ausspielung von Werbung zuzustimmen. Wenngleich das Modell grundsätzlich aus datenschutzrechtlicher Sicht zulässig sei, hatte Herr Will hier offene Fragen insb. zur Granularität und Transparenz einer solchen Einwilligung. Auch zeigte er sich überrascht, dass es noch kein Angebot – auch nicht im Bereich der Verlage – gebe, hier eine Ausgestaltung als vertragliche Austauschleistung zu wählen.
KI und datenschutzrechtliche Rahmenbedingungen
Den aktuell im sogenannten Trilog-Verfahren auf europäischer Ebene gefundenen Kompromiss zur Schaffung einer KI-Verordnung konnten wir – mangels veröffentlichtem Text – noch nicht inhaltlich besprechen. Herr Will teilte die Kritik am Zustandekommen des (zuletzt unter großem Zeitdruck ausgehandelten) Verordnungsentwurfs aber ausdrücklich nicht.
Er betonte die Wichtigkeit der noch zu klärenden künftigen Rolle der Datenschutz-Aufsichtsbehörden in diesem Zusammenhang.
Bis zum Wirksamwerden der KI-Verordnung bildet vorerst Art. 22 DSGVO die maßgebliche datenschutzrechtliche Linie für die Nutzung von KI-Systemen im Unternehmen. Diese Ansicht wurde zuletzt auch durch das Urteil des EuGH in Sachen Schufa (EuGH C-634/21) gestärkt. Es sei durchaus denkbar, dass die Aufsichtsbehörden hier noch eine gemeinsame Anwendungshilfe zur Umsetzung des Schufa-Urteils und der Auslegung des Begriffs der „Maßgeblichkeit“ veröffentlichen würden. Für den Moment verwies Herr Will auf eine Veröffentlichung der Datenschutz-Aufsichtsbehörde aus Hamburg.
Prüfschwerpunkte der Aufsichtsbehörden in 2024
Man plant auch für das Jahr 2024 eine Teilnahme an dem vom Europäischen Datenschutzausschuss gemeinsam ausgewählten Prüfthema. Für das kommende Jahr steht hierbei die Prüfung der Unternehmensprozesse zur Beantwortung von Betroffenenanfragen auf der Agenda. Es ist zu erwarten, dass sich von deutscher Seite diesmal neben dem BayLDA auch andere Landesaufsichtsbehörden an der Prüfung beteiligen werden. Man plant, den entsprechenden Prüfbogen auf der Webseite zu veröffentlichen.
Weitere Informationen
Wenn Sie regelmäßig Datenschutz-Informationen erhalten möchten trag Sie sich in unseren Newsletter ein.
Herzlichen Dank auch an Stephan Hansen-Oest für den Hinweis auf das Webinar in seinem Newsletter.