Cyberroom

„Happy Data Protection Day!“ – vom Datenschutz zum Datenrecht

4 minute read 31 Jan. 2022
Related topics
Rechtsberatung

Seit nunmehr 15 Jahren wird Ende Januar der Datenschutztag gefeiert

Überblick

  • Auf Initiative des Europarates sowie der USA und Kanada soll im Kontext der am 28. Januar 1981 unterzeichneten Europäischen Datenschutzkonvention für die Bedeutung, den Wert und die Schutzbedürftigkeit von Daten sensibilisiert werden.
  • Betrachtet man jedoch heute Recht und Regulierung von Daten, rückt mehr und mehr die innovative und wirtschaftliche Nutzbarmachung von Daten in den Fokus. 
  • Das kann angesichts des im Internet of Things (IoT) stetig wachsenden Volumens von Daten kaum überraschen: Belief sich das jährliche Datenaufkommen im Jahr 2012 noch auf 6,5 Zettabyte, werden für das Jahr 2025 mehr als 180 Zettabyte an generierten und replizierten Daten erwartet (1 Zettabyte entspricht 1 Sextillion oder 2 hoch 70).

Deutlich lässt sich dieser Wandel an der ambitionierten Europäischen Datenstrategie beobachten. Mit dieser will sich die EU „an die Spitze einer datengesteuerten Gesellschaft“ bringen und einen dynamischen, sicheren und fairen Datenbinnenmarkt schaffen. Mit einer Reihe bereits abgeschlossener Gesetzesvorhaben wie dem Digital Services Act (DSA) oder dem Digital Markets Act (DMA) soll innerhalb der Europäischen Union ein weltweit als Benchmark geltender, freier und zugleich rechtssicherer Binnenmarkt für Daten entstehen, der auf der Grundlage eines einheitlichen Rechtsrahmens die Erhebung, den Austausch, die Nutzung und die Verarbeitung von Daten erleichtern soll.

So unterstützen wir Sie

  • Digital Law

    Die Digitalisierung transformiert nicht nur die Welt der Arbeit, Freizeit und Mobilität, sondern birgt auch immense rechtliche Herausforderungen. Mit unserer Practice Group Digital Law beraten wir unsere Mandanten dabei, die digitale Transformation rechtssicher zu gestalten.

    Mehr lesen

Schon bald wird der Data Governance Act diesbezüglich erste Schritte machen und Regelungen für solche Daten treffen, über die die öffentliche Hand zwar verfügt, die sie aber aus Gründen des Datenschutzes oder des geistigen Eigentums nicht veröffentlicht. Grundgedanke des EU-Rechtsaktes ist, dass solche Daten, die mit öffentlichen Mitteln erhoben oder gesammelt wurden, auch tatsächlich der Gesellschaft zugutekommen sollen. Der Data Governance Act legt daher einige Grundregeln fest, wie diese öffentlichen Daten unter Berücksichtigung ihrer besonderen Schutzbedürftigkeit rechtssicher genutzt werden können. Der Austausch dieser Daten soll gefördert und gemeinsame europäische Datenräume eingerichtet werden. Unternehmen sollen in der Lage sein, an diesen Datenräumen teilzuhaben, indem sie regulierte und sichere Datenvermittlungsdienste in Anspruch nehmen und die neu zur Verfügung gestellten öffentlichen Daten zur Entwicklung innovativer Dienste und Produkte nutzen.

Denselben Grundgedanken eines dynamischen europäischen Datenmarktes folgt der im Februar 2022 von der Europäischen Kommission vorgeschlagene EU Data Act. Eines seiner Hauptziele ist es, durch Lock-in-Effekte verursachte Datenmonopole zulasten kleiner und mittlerer Unternehmen aufzulösen, um eine dynamische und faire Datenwirtschaft durch eine gerechtere Verteilung des Datenwertes zu stärken. Nach Schätzungen der Europäischen Kommission würde dies ein wirtschaftliches Wachstum von bis zu 270 Milliarden Euro freisetzen. Die von IoT-Geräten erhobenen personenbezogenen und nicht personenbezogenen Daten sollen besser verfügbar werden. Hierfür wagt sich die Europäische Kommission weit an die Frage nach dem „Eigentum von Daten“ heran und ermöglicht es Nutzern, Zugang zu den von ihnen erzeugten Daten zu erhalten. Datennutzungs- und Lizenzverträge werden so immer wichtiger. Darüber hinaus wird der Data Act es den Nutzern ermöglichen, zwischen Datendiensten und Cloud-Anbietern zu wechseln und die zuvor von ihnen erzeugten Daten „mitzunehmen“. In dringenden Fällen wird zudem auch öffentlichen Stellen ein Recht auf Zugang zu Daten des privaten Sektors eingeräumt.

Datenschutz und Datenrecht als Teil von ESG

Auch der Megatrend ESG (Environmental, Social, Governance) ist mit der rechtssicheren Sammlung, Verwertung und Verknüpfung von Daten verbunden. Ob nun Umweltschutz, „grüne“ Investitionsbemühungen oder die Analyse von Menschenrechtsrisiken entlang der Lieferketten – der Erfolg unternehmerischer ESG-Bemühungen ist von den zugrunde gelegten Informationen und Daten abhängig.

So werden etwa in der Immobilienwirtschaft durch Smart Metering große Mengen an Daten erhoben, um Energiebedarfe zu optimieren und den Ausstoß von Treibhausgasen zu minimieren. Öffentliche Stellen analysieren Daten, um Budgets bzw. Fördergelder für den Umweltschutz an effiziente und wirksame Gesetzesmaßnahmen bzw. Förderprojekte zu verteilen. Die Aufbereitung von Daten, gerade auch unter transparentem Rückgriff auf künstliche Intelligenz und Algorithmen, ermöglicht es, diskriminierende Entscheidungs- und Verhaltensmuster aufzudecken und zu vermeiden. Mit dem Wert der Daten wird aber der Zugang künftig immer häufiger monopolisiert und es werden Datennutzungsverträge erforderlich. Umgekehrt muss auch der klimatologische Fußabdruck der Data Economy selbst reduziert werden, sei es durch die Ermöglichung dezentralen Arbeitens ohne die Notwendigkeit aufwendiger Arbeitswege oder durch die Reduktion des immensen Energiebedarfs moderner Data Centers, in denen energieintensive Datentechnologien wie Blockchain eingesetzt werden.

Neben der ESG-Komponente „Environmental“ wird auch „Social“ durch das klassische Datenschutzrecht relevant. Nach europäischem Verständnis sind personenbezogene Daten unmittelbarer Bestandteil des Persönlichkeitsrechts. Auch die UN begreift Datenschutz als fundamentales Menschenrecht, wie Art. 12 der UN-Menschenrechtserklärung belegt. Damit ist der Datenschutz unmittelbarer Gegenstand der sozialen Nachhaltigkeitsverpflichtung eines jeden Unternehmens.

DSGVO – der Vollzugsdruck steigt

Kurz vor dem fünften Jahrestag der DSGVO im Mai 2023 wurde die Durchsetzung datenschutzrechtlicher Verpflichtungen nunmehr in der gesamten EU verstärkt: Die Zahl der wegen Datenschutzverstößen verhängten Bußgelder ist kontinuierlich angestiegen und beläuft sich für 2022 auf fast 3 Mrd. Euro. Am 4. Januar 2023 verhängten die irischen Behörden mit 405 Mio. Euro die dritthöchste Geldbuße in der Geschichte der DSGVO. Insgesamt scheinen die Aufsichtsbehörden sich auf die Frage unzulässiger Werbung zu konzentrieren – ein seit Jahren immerwährender Dauerbrenner der Datenschutzberatungspraxis.

Erleichterungen in der Vermeidung dieser Bußgelder verspricht sich die Praxis von der seit Ende 2022 möglichen DSGVO-Zertifizierung von Verarbeitungen insbesondere digitaler Produkte und Dienstleistungen. Verantwortliche und Auftragsverarbeiter können diese Verarbeitungen nach dem ersten nach DSGVO anerkannten Zertifizierungsstandard Europrivacy zertifizieren lassen, einschließlich neuer Technologien wie künstlicher Intelligenz, IoT, Blockchain etc. Die Zertifizierung ermöglicht eine unkomplizierte, in allen Mitgliedstaaten der EU anerkannte Möglichkeit zur Dokumentation der Einhaltung datenschutzrechtlicher Pflichten.

Datenschutz und die USA

Eine weitere lang ersehnte Erleichterung darf man im Bereich der seit der EuGH-Entscheidung Schrems II ungelösten Frage der Datentransfers in die USA erhoffen. Mit der am 7. Oktober 2022 von US-Präsident Biden unterzeichneten Executive Order ist ein wesentlicher Schritt hin zum neuen EU-US Data Privacy Framework, dem Nachfolger des EU Privacy Shield, erfolgt. Am 13. Dezember 2022 leitete nun auch die EU-Kommission das Verfahren zur Annahme eines neuen Angemessenheitsbeschlusses nach Art. 45 DSGVO ein. Die Kommission ist zuversichtlich, aufgrund des mit den USA vereinbarten „auf ein notwendiges und verhältnismäßiges Maß“ reduzierten Zugangs der US-Nachrichtendienste auf europäische Daten und aufgrund des neuen unabhängigen und unparteiischen Rechtsbehelfsverfahrens nunmehr eine rechtssichere, den Anforderungen des EuGH genügende Rechtsgrundlage schaffen zu können. Dies wäre ein für weite Teile der Wirtschaft maßgeblicher Schritt, um in der täglichen Arbeit wieder rechtssichere Datenverarbeitungen mit gebräuchlichen Tools von US-amerikanischen Herstellern vornehmen zu können.

Die medienwirksame Auseinandersetzung mit der Europäischen Union dürfte dazu beigetragen haben, dass der Datenschutz auch in den USA zunehmend als relevantes Thema wahrgenommen wird. In mehr als der Hälfte der Bundesstaaten wurden in den vergangenen zwei Jahren datenschutzrechtliche Regelwerke in das Gesetzgebungsverfahren gebracht, in immerhin zwei Bundesstaaten wurden Gesetze auch tatsächlich erlassen. Die Entwicklung des amerikanischen Datenschutzrechts wird jedoch insbesondere von der Zukunft des Federal American Data Privacy and Protection Act (H.R. 8152) abhängen. Die Gesetzesinitiative auf Bundesebene wurde überparteilich von Repräsentantenhaus und Senat erarbeitet; ihr werden vergleichsweise gute Chancen auf Umsetzung eingeräumt.

Fazit

Festzuhalten bleibt: Auch wenn datenschutzrechtlichen Fragestellungen weiterhin große Bedeutung zukommt, belegen die Europäische Datenstrategie sowie der Zugang zu und die Lizenzierung von personenbezogenen und nicht personenbezogenen Daten die Entwicklung eines neuen, ganzheitlichen Datenrechts.

Über diesen Artikel

Related topics
Rechtsberatung

Wiederholte Verstöße gegen Rückkehrpflicht rechtfertigen Genehmigungswiderruf

Seit nunmehr 15 Jahren wird jährlich am 28. Januar der Datenschutztag gefeiert. Auf Initiative des Europarates sowie der USA und Kanada soll im Kontext der am 28. Januar 1981 unterzeichneten Europäischen Datenschutzkonvention für die Bedeutung, den Wert und die Schutzbedürftigkeit von Daten sensibilisiert werden. Betrachtet man jedoch heute Recht und Regulierung von Daten, rückt mehr und mehr die innovative und wirtschaftliche Nutzbarmachung von Daten in den Fokus.

    Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.