Ein Sommerstart geprägt von Rekordsanktionen und neuen Unterstützungsmaßnahmen.

Legal Watch – Juli-August 2019.

Mit dem Sommeranfang steigen die Temperaturen, aber auch die Höhe der Bußgelder für Verstöße gegen Datenschutzbestimmungen.

Konkret kündigte die britische Aufsichtsbehörde ICO an, zwei Sanktionen („Notice of Intention to Fine“) in Höhe von insgesamt über 280 Millionen Pfund verhängen zu wollen: gegen die Hotelgruppe Marriott International in Höhe von umgerechnet 111 Millionen Euro und gegen British Airways in Höhe von über 200 Millionen Euro.

In beiden Fällen handelte es sich bei den DSGVO-Verstößen um Hackerangriffe, die durch Datensicherheitsmängel ermöglicht wurden und die Daten Hunderttausender Kunden offenlegten.

Das ICO verhängte am 19. Juli außerdem eine Geldstrafe von 80 Millionen Pfund gegen einen Londoner Immobilienmakler, weil dieser zwei Jahre lang nicht mehr als 18.000 Kundendaten gesichert hatte.

Es ist zu beachten, dass sich die jüngsten Sanktionen auf Sicherheitsverletzungen und illegalen Zugriff innerhalb und außerhalb von Unternehmen konzentrieren.

Auf der anderen Seite des Atlantiks hat die US-amerikanische Federal Trade Commission (FTC) mit Facebook einen Vergleich in Höhe von fünf Milliarden Dollar wegen Verletzung der Privatsphäre von Internetnutzern ausgehandelt.

Diese Geldstrafe ist in der Geschichte der FTC beispiellos und bleibt eine der höchsten, die der amerikanische Staat jemals verhängt hat.

Allerdings bleibt dieser Wert relativ, wenn man Facebooks Jahresumsatz von 55,8 Milliarden Dollar betrachtet. In ihrer Pressemitteilung vom 24. Juli erläutert die FTC die Gründe für ihr Vorgehen, die sich auf die Nichteinhaltung ihrer Datenschutzverfügungen aus dem Jahr 2012 beziehen.

Zusätzlich zu dieser Geldstrafe wird das Unternehmen gezwungen, sein Datenschutzmodell umzustrukturieren. Dazu gehören die Einrichtung eines unabhängigeren Aufsichtsgremiums durch den CEO sowie strengere Regeln für die Verwaltung von Anwendungen und Benutzerdaten von Drittanbietern, insbesondere im Hinblick auf Gesichtserkennung, Passwortverwaltung und Datenverschlüsselung.

Während die Aufsichtsbehörden zunehmend von ihren Kontrollbefugnissen Gebrauch machen, achten sie gleichzeitig darauf, dass sich das Handeln der Unternehmen am gesetzlichen Rahmen orientiert.

Die CNIL hat daher am 18. Juli die geltenden Regeln für Cookies bekannt gegeben. Dabei handelt es sich um Tracer, die auf den Endgeräten der Benutzer installiert werden und insbesondere die gezielte Ansteuerung von Werbung ermöglichen.

Die CNIL aktualisiert die Anforderungen für die Einholung der Einwilligung von Internetnutzern: Diese Einwilligung kann nicht mehr implizit erfolgen, sondern muss das Ergebnis einer eindeutigen Handlung des Einzelnen sein.

Cookie-Walls, die den Zugriff auf eine Site verhindern, wenn Sie keine Cookies akzeptieren, sind verboten.

Diese Auslegung der Gültigkeit einer Einwilligung wurde bereits vom Europäischen Datenschutzausschuss in einer Pressemitteilung vom Mai 2018 klargestellt.

Dies wird durch den Wortlaut der DSGVO bestätigt und sollte in der künftigen Verordnung „Datenschutz und elektronische Kommunikation“, die die Richtlinie 2002/58/EG „ePrivacy“ ersetzen wird, näher erläutert werden.

Eine neue Empfehlung der CNIL soll die praktischen Modalitäten für die Einholung der Zustimmung klären und den Unternehmen eine sechsmonatige Anpassungsfrist einräumen, um ihnen die Einhaltung des Gesetzes zu ermöglichen.

Und außerdem:

In Europa:

Am 24. Juli veröffentlichte die Europäische Kommission einen Bericht, in dem sie ein Jahr später eine Bilanz der Umsetzung der DSGVO zog.

Darin werden die von den Aufsichtsbehörden umgesetzten Maßnahmen, die Stärkung ihrer Zusammenarbeit sowie die Compliance-Bemühungen des privaten Sektors aufgezeigt.

Die Kommission kündigt ihre Absicht an, diese Bemühungen mit verschiedenen Instrumenten wie Standardvertragsklauseln, Verhaltenskodizes und Zertifizierungsmechanismen zu unterstützen, wobei sie KMU besondere Aufmerksamkeit schenken wird.

Aus internationaler Sicht könnte Südkorea das nächste Land sein, das von einem angemessenen Schutzniveau profitiert, das den Datentransfer erleichtert. Die Kommission erwägt weitere multilaterale Abkommen zur Erleichterung des internationalen Datenaustauschs.

In der Welt:

• VEREINIGTE STAATEN:

Im US-Senat gibt es Forderungen nach der Verabschiedung eines bundesweiten Datenschutzgesetzes.

Ein entsprechender Gesetzesentwurf wurde im November 2018 von Senator Ron Wyden eingebracht.

Auf Bundesstaatsebene ist Kalifornien Vorreiter: Der CCPA, California Consumer Privacy Act, tritt am 1. Januar 2020 in Kraft, befindet sich derzeit aber noch in der Überarbeitung durch den US-Senat. Er wird oft mit der DSGVO verglichen, insbesondere im Hinblick auf die Auskunfts- und Widerspruchsrechte der Betroffenen, unterscheidet sich jedoch insbesondere durch seinen Anwendungsbereich, der den Verbraucherschutz in den Mittelpunkt stellt.

Asien:

In der ersten Julihälfte fand in Singapur eine Reihe von Veranstaltungen zum Schutz personenbezogener Daten statt, bei denen Fachleute aus diesem Sektor an verschiedenen Orten zusammenkamen.

 Die Diskussionen beim Asia Pacific Forum wurden von der IAPP zusammengefasst.

Sie betonen die Verantwortung der Unternehmen und die Aufsicht durch Regulierungsbehörden.