News

Die Benennung eines potenziellen Bußgelds für einen Datenschutzverstoß fällt in der Praxis regelmäßig schwer. Bekannt sind in den meisten Fällen die Maximalgrenzen von 2% bzw. 4% oder 10 Millionen bzw. 20 Millionen, je nachdem, welcher Betrag höher ist (vgl. Art. 83 EU-DSGVO). Allerdings führt nicht jeder Verstoß gegen das Datenschutzrecht zu einer Maximalstrafe. Gleichzeitig gibt das europäische Datenschutzrecht kein Berechnungsmodell für Bußgelder vor, sondern benennt lediglich Kriterien, die für die Bewertung des Einzelfalls herangezogen werden können (vgl. Art. 83 Abs. 2 EU-DSGVO).

In unserer letzten Ausgabe haben wir berichtet, dass die französische Datenschutzbehörde (CNIL) am 06.01.2022 gleich zwei Bußgelder gegen Google (150 Million) und Facebook (60 Million) für die mangelhafte Ausgestaltung des Cookies-Banners ausgesprochen hat. Kritisiert wurde vor allem, dass die Ablehnung der Cookies nicht so einfach seit wie die Annahme. Die Kritik richtet sich dabei an die Erteilung der damit verbundenen Einwilligung, die freiwillig erfolgen muss (vgl Art. 7 Abs. 4 EU-DSGVO), und dass Nutzer entmutigt werden Cookies abzulehnen. CNIL gab Google – und auch Facebook – im Januar drei Monate, um den Umgang mit Cookies entsprechend anzupassen.

Im April 2022 veröffentlichte der Landesdatenschutzbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg (LfDI) eine Entscheidung, die Verwendung des Cloud-Diensts Microsoft 365 an Schulen zu verbieten. Alternativlösungen sollen nun gemeinsam an 40 Schulen in Baden-Württemberg in Zusammenarbeit zwischen Kultusministerium und dem LfDI erarbeitet werden.

Spätestens seit den Veröffentlichungen von Edward Snowden im Sommer 2013 ist der Begriff „Whistleblower“ kein fremder Begriff mehr. Whistleblower ist der englische Begriff für Hinweisgebender; eine Person, die für die Öffentlichkeit wichtige Informationen aus dem geheimen und geschützten Zusammenhang z.B. zu Straftaten, Skandalen und Korruption veröffentlicht. Solche Veröffentlichungen können dabei nicht nur, wie im Fall Snowden, Informationen zu Geheimdiensten oder Staatsgeheimnissen betreffen, sondern auch die Privatwirtschaft. Im Oktober 2021 zeigten beispielsweise die Enthüllungen einer Ex-Facebook-Mitarbeiterin in Form der sogenannten „Facebook Files“, welche Wirkung eine Einzelperson erzielen kann.

Mit dem Ziel, den digitalen Binnenmarkt in Europa zu stärken und auszubauen, hatte die Europäische Kommission Ende 2020 einige Gesetzentwürfe veröffentlicht. Diese waren unter anderem der Data Governance Act, der Digital Services Act und der Digital Markets Act. Damit sollen einheitliche Rahmenbedingungen für den Austausch und Umgang mit Daten geschaffen werden, um den höchstmöglichen Nutzen aus Daten innerhalb der EU zu erreichen. Am 30. November 2021 kam es durch eine politische Einigung des Europäischen Parlaments, des Rats und der Europäischen Kommission zum ersten Gesetz: dem Data Governance Act.