“Was erwartet uns 2022 im IT- und Datenschutzrecht, Herr Engelhardt?”

Welche datenschutzrechtlichen Fragen bewegten die Branche in diesem Jahr und worauf sollten sich Unternehmen 2022 einstellen? Wir haben bei Christian Engelhardt, Partner der Baker Tilly Rechtsanwaltsgesellschaft mbH, nachgefragt.

Was waren 2021 die beherrschenden Themen Ihrer Beratungspraxis?

In der datenschutzrechtlichen Beratung war 2021 das EuGH-Urteil „Schrems II“ einer der wesentlichen Schwerpunkte. Der EuGH hat den US/EU-Privacy Shield gekippt. Eine Übergangsfrist gab es nicht. In der Folge sehen sich Unternehmen aus allen Branchen mit der Herausforderung konfrontiert, Transfers personenbezogener Daten in Länder außerhalb der EU, insbesondere die USA, neu bewerten und gestalten zu müssen. Angesichts der praktischen Schwierigkeiten, Datentransfers insbesondere in die USA zu vermeiden oder zu minimieren und der rechtlichen Schwierigkeit, eine möglichst risikoarme Lösung zu finden, um praktisch notwendige Datentransfers weiterhin durchführen zu können, bestand und besteht weiterhin erheblicher Beratungs- und Gestaltungsbedarf.

Im IT-Recht lagen Schwerpunkte in der Begleitung agiler Softwareentwicklungsprojekte, Plattform-Projekten und von Virtual Reality- und Token-Projekten. Die klare Tendenz der Digitalisierung aller Lebensbereiche spiegelt sich auch in dem zunehmenden juristischen Beratungsbedarf technologiebezogener Fragestellungen wider. Auch die Beratung zu Open Source-Lizenzen wird immer wichtiger. Gerade Start-ups, aber auch andere Unternehmen, möchten von den Vorteilen der Open Source-Lizenzen, wie z.B. der meist hohen Qualität der Software, profitieren. In juristischer Hinsicht muss dabei genau geprüft werden, welche Open Source-Lizenz verwendet wurde. Die Lizenzbedingungen der eingesetzten Open Source-Software können stark voneinander abweichen. Zudem ist darauf zu achten, dass manche Lizenzbedingungen eine Offenlegung des Quellcodes erforderlich machen – dies kann häufig gerade in der Weitervermarktung der Software zu Problemen führen.

Was war in diesem Jahr ihr „kniffligster“ Fall und hat Sie am meisten herausgefordert? 

Die größte Herausforderung blieb 2021 die Beratung und Begleitung bei der Umsetzung der Vorgaben der DSGVO unter Berücksichtigung des Schrems II-Urteils. Ein in dieser Hinsicht besonders hervorzuhebender Fall betrifft die Post M&A-Integration einer deutschen Gesellschaft in die Strukturen eines neuen Mutterunternehmens mit Sitz außerhalb der EU. Dabei stellen sich neben den rechtlichen und technischen Herausforderungen bei einer möglichst risikoarmen Umsetzung der Schrems II-Vorgaben weitere Herausforderungen zum Gleichlauf mit anderen Rechtsordnungen und die Vermittlung europäischer Rechtsvorstellungen und -regelungen an Mandanten aus Jurisdiktionen mit weniger stringenten bzw. anders gestalteten Datenschutzregularien. Für uns spielt daher die enge Zusammenarbeit mit unseren ausländischen Kollegen, insbesondere denjenigen in den USA eine immer wichtigere Rolle.

Unsere Beratungspraxis bestätigt dabei einen allgemeinen Trend: Die DSGVO und Datenschutz generell spielen außerhalb Europas eine immer wichtigere Rolle. Immer mehr Unternehmen verstehen, dass die DSGVO auch auf Unternehmen außerhalb Europas anwendbar ist, wenn sie personenbezogenen Daten von Personen verarbeiten, die sich in Europa aufhalten. Zudem ziehen viele Staaten beim Thema Datenschutz nach. Während die US-Staaten Kalifornien und Virginia bereits ein erhöhtes Datenschutzniveau geschaffen haben, ist nun auch China mit einem neuen Datenschutzgesetz gefolgt. Auch Kanada plant zukünftig die personenbezogenen Daten von Verbrauchern stärker zu schützen.

Welche neue Fragenstellungen erwarten Sie im kommenden Jahr? Was raten Sie Ihren Mandanten, worauf sollten sie sich einstellen?

Ab dem 1. Dezember 2021 gilt das neue Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG). Dies könnte Auswirkungen auf die allseits unbeliebten Cookie-Banner haben. Das TTDSG ermöglicht die Nutzung von Diensten zur Einwilligungsverwaltung. Durch Einwilligungsverwaltungssysteme sollen User zukünftig zentral eine Vorauswahl dazu treffen können, welche Analyse-Tools und Tracking-Tools sie zulassen bzw. ausschließen möchten. Allerdings müssen die Anbieter solcher Einwilligungsverwaltungssysteme für den Markt zugelassen werden. Es bleibt abzuwarten, wer dieses Zulassungsverfahren erfolgreich durchlaufen wird.

Daneben erwarten wir weiterhin hohen Beratungsbedarf in Zusammenhang mit der Umsetzung datenschutzrechtlicher Vorgaben nach „Schrems II“ und ggf. bei der Verteidigung gegen Bußgelder. Mandanten müssen sich u.E. darauf einstellen, dass die Behörden umso genauer und umso öfter DSGVO-Compliance hinterfragen und ggf. Bußgelder verhängen, desto länger die Entscheidung des EuGHs zurückliegt.

Auch die Geltendmachung von DSGVO-Schadensersatzansprüchen nach Art. 82 DSGVO wird immer wichtiger. Betroffene Personen von Unternehmen verlangen Schmerzensgeld, wenn ein DSGVO-Verstoß vorliegt. Die deutschen Gerichte geben ihre Zurückhaltung bei dem Thema auf und werden bei der Bestimmung der Schadenshöhe immer mutiger. Verstärkend kommt hinzu, dass die EU-Mitgliedsstaaten bis Ende 2022 eine Richtlinie umsetzen müssen, die Sammelklagen im Bereich des DSGVO-Schadensersatzanspruchs ermöglicht. Gerade Unternehmen, die online tätig sind und deren Datenverarbeitungen leicht nachvollzogen werden können, müssen ab Ende des kommenden Jahres mit einem größeren Risiko durch Sammelklagen rechnen.

Christian Engelhardt ist Partner der Baker Tilly Rechtsanwaltsanwaltsgesellschaft mbH und berät von Hamburg aus Mandanten zu Fragen des Gewerblichen Rechtsschutzes, des IT- und Datenschutzrechts sowie des Wettbewerbsrechts.