Das Dokument behandelt aktuelle Entwicklungen im Datenschutz, insbesondere den Angemessenheitsbeschluss der EU für das Vereinigte Königreich nach dem Brexit sowie die Einführung neuer Standardvertragsklauseln. Es werden Themen wie Schadensersatzansprüche gemäß Art. 82 DSGVO und das rechtliche Umfeld von Datenübermittlungen in Drittländer behandelt. Das Dokument bietet Überblick über rechtliche Rahmenbedingungen und Maßnahmen, die Unternehmen im Hinblick auf den Datenschutz ergreifen müssen.

1. Rev.
Stand
3.0
13. Juli 2021, 10.00 – 12.00 Uhr
Webinar
Datenschutz Update –
Aktuelle Entwicklungen
Inhaltlicher Stand: 07.07.2021 © RA Michael Rohrlich

2. Rev.
Stand
3.0
Rechtsanwalt Michael Rohrlich
Dozent
2
zugelassen als
Rechtsanwalt seit 03/2003
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
Vorstandsmitglied des
Webmasters Europe e.V.
seit 09/2010
Mitglied im Expertenrat
des Webmasters Europe
e.V. seit 03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012

3. Rev.
Stand
3.0
1. Angemessenheitsbeschluss UK
2. Neue Standardvertragsklauseln
3. Schadensersatz (Art. 82 DSGVO)
4. DSK-News
Agenda
3

4. Rev.
Stand
3.0
1. Angemessenheitsbeschluss UK
2. Neue Standardvertragsklauseln
3. Schadensersatz (Art. 82 DSGVO)
4. DSK-News
Agenda
4

5. Rev.
Stand
3.0
Angemessenheitsbeschluss UK
5
zum
01.01.2021
• EU-Austritt / Brexit
bis
30.04.2021
• UK kein unsicheres Drittland gem. „Brexit-
Abkommen“
bis
30.06.2021
• Verlängerung des status quo gem. „Brexit-
Handelsabkommen“
ab
01.07.2021
• UK = unsicheres Drittland
seit
28.06.2021
• Angemessenheitsbeschluss für UK in Kraft

6. Rev.
Stand
3.0
 eigentlich 2 Beschlüsse
 für „normale“ Datenverarbeitungen (DSGVO)
 für Strafverfolgung etc. (vgl. JI-Richtlinie*)
* Richtlinie vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten durch die zuständigen Behörden zum Zwecke der
Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der
Strafvollstreckung
Angemessenheitsbeschluss UK
6

7. Rev.
Stand
3.0
 und was bedeutet das jetzt?
Angemessenheitsbeschluss UK
7

8. Rev.
Stand
3.0
Angemessenheitsbeschluss UK
8
Datenverarbeitung
Vertragserfüllung
vorvertragliche Maßnahmen
Erfüllung gesetzl. Pflichten
lebenswichtige Interessen
Ausübung öffentl. Gewalt
berechtigte Interessen
Einwilligung
Datenübermittlung
innerhalb EU / EWR
Drittstaat mit Angemessenheitsb.
Drittstaat ohne Angemessenheitsb.

9. Rev.
Stand
3.0
Angemessenheitsbeschluss UK
9
Quelle: www.bpb.de/nachschlagen/lexika/lexikon-in-einfacher-sprache/286912/eu-mitgliedstaaten
- 27 EU-Mitgliedsstaaten,
inzwischen ohne UK
(Stand: 07/2021)
- EWR = EU + Island,
Lichtenstein & Norwegen

10. Rev.
Stand
3.0
Angemessenheitsbeschluss UK
10
Drittstaaten mit Angemessenheitsbeschluss
(Stand: 07/2021):
- Andorra
- Argentinien
- Kanada
- Färöer Inseln
- Großbritannien (gültig seit 1. Juli 2021)
- Guernsey
- Israel
- Isle of Man
- Japan
- Jersey
- Neuseeland
- Schweiz
- Uruguay
- geplant: Republik Süd-Korea
- weggefallen: USA (gem. „Schrems II“-Urteil des EuGH v. 16.07.2020)
Quelle: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

11. Rev.
Stand
3.0
Angemessenheitsbeschluss UK
11
angem.
Datenschutzniveau
in
unsicherem
Drittstaat?
„neue“ EU-
Standardvertragsklauseln
Risikoanalyse (Transfer
Impact Assessment)
zusätzl. Garantien
… ?

12. Rev.
Stand
3.0
1. Angemessenheitsbeschluss UK
2. Neue Standardvertragsklauseln
3. Schadensersatz (Art. 82 DSGVO)
4. DSK-News
Agenda
12

13. Rev.
Stand
3.0
 Standardvertragsklauseln = Standard contractual clauses
(SCC)
 neue Fassung seit dem 4. Juni 2021 beschlossen
 Standarddatenschutzklauseln?
Standardvertragsklauseln
13

14. Rev.
Stand
3.0
Standardvertragsklauseln
14
Standard-
datenschutzklauseln
Standard-
vertragsklauseln
Norm Art. 46 Abs. 2 lit. c, d Art. 28 Abs. 7, 8
Zweck Datenübermittlung
in Drittland ohne
angemessenes
Datenschutzniveau
Datenübermittlung
innerhalb der EU;
einheitliche Regeln für
Verträge zwischen
Verantwortlichen und
Auftragsverarbeitern
Begrifflichkeit gem.
Beschl. der EU-
Kommission
 
verpflichtend?  

15. Rev.
Stand
3.0
 inzwischen einheitliche Nutzung des Begriffs „SCC“
 falsche / ungenaue Bezeichnung unerheblich
 aber: inhaltlich zu differenzieren zwischen…
 Standardbedingungen für Drittlandübermittlungen
 (optionale) Musterverträgen für Auftragsverarbeitungen
innerhalb der EU
Standardvertragsklauseln
15

16. Rev.
Stand
3.0
Standardvertragsklauseln
16
bis
26.09.2021
• Vereinbarung alter SCC
zulässig
ab
27.12.2022
• alte SCC verlieren
Gültigkeit
ab
01.01.2023
• neue SCC verpflichtend
Tipp: schon ab sofort neue SCC abschließen

17. Rev.
Stand
3.0
Standardvertragsklauseln
17
SCC-Konstellationen
Verantwortlicher -> Verantwortlicher
(C2C)
Verantwortlicher –>
Auftragsverarbeiter (C2P)
Auftragsverarbeiter –> (Unter-)
Auftragsverarbeiter (P2P)
Auftragsverarbeiter –>
Verantwortlicher (P2C)

18. Rev.
Stand
3.0
 SCC…
 dürfen nicht verändert werden
 haben Vorrang vor anderen Vereinbarungen
 können als individueller Vertrag oder als AGB-
Bestandteil vereinbart werden
 setzen eine Datenübermittlungs-Folgenabschätzung
voraus
Standardvertragsklauseln
18

19. Rev.
Stand
3.0
Standardvertragsklauseln
19
Modul Inhalt
Abschnitt I allg. Regelungen
Abschnitt II Pflichten der Vertragsparteien, spez. Regelungen
für Transferkonstellation
Abschnitt III Auswirkungen lokaler Gesetze, Pflichten des
Datenimporteurs
Abschnitt IV Schlussbestimmungen (z.B. Kündigungsregeln,
anwendbares Recht)
Anhang I Details zu Vertragsparteien, Daten, zust.
Aufsichtsbehörden, Übermittlungskonstellation
Anhang II Beschreibung der TOMs
Anhang III ggf. Angaben zu weiteren (Unter-)
Auftragnehmern

20. Rev.
Stand
3.0
 Datenübermittlungs-Folgenabschätzung = Data Transfer
Impact Assessment oder kurz: (D)TIA
 vgl. SCC Abschnitt III, Klausel 14: „Durchführung einer
Prüfung des Bestimmungsdrittlands auf Grundlage
spezifischer Umstände der Rechtsordnung des Drittlandes“
 Datenexporteur muss sich davon überzeugen, dass
Datenimporteur seinen SCC-Pflichten nachkommen kann
und nicht durch lokale Gesetze daran gehindert wird (vgl.
z.B. CLOUD Act oder FISA in den USA)
Standardvertragsklauseln
20

21. Rev.
Stand
3.0
 insbesondere bei TIA zu berücksichtigen:
 die Zwecke der Verarbeitung
 Kategorien & Format der personenbezogenen Daten
 Länge der Verarbeitungskette & Anzahl der beteiligten
Akteure
 Übertragungskanäle & beabsichtigte Datenweiterleitungen
 tatsächliche Umstände der Übermittlung, z.B. ob Daten
im Drittland gespeichert werden oder es lediglich zu
Zugriffen aus dem Drittland kommt
 alle relevanten vertraglichen, technischen oder
organisatorischen Garantien & angewandte Maßnahmen
Standardvertragsklauseln
21

22. Rev.
Stand
3.0
Standardvertragsklauseln
22
1. Bestandsaufnahme
• know your transfers
• einschl. Auftragnehmer + ggf.
Unterauftragnehmer
• Differenzierung nach
Übermittlungsland
• auch Cloud-Dienste, Remote-
Zugriff etc.
2. Grundlage
• innerhalb EU / EWR?
• Angemessenheitsbeschluss?
• SCC + zusätzl. Maßnahmen?
• in Einzelfällen: Art. 49 Abs. 1
(z.B. Einwilligung, Vertrags-
erfüllung…)
3. TIA (SCC)
• Ermittlung möglicher Risiken im
Drittland
• Risikoabwägung
• Umsetzung
• Dokumentation
4. Konstellation
• C2C?
• C2P?
• P2P?
• P2C?

23. Rev.
Stand
3.0
 Bsp. zusätzlicher Maßnahmen*
 vertraglich
 organisatorisch
 technisch
 Verschlüsselung
 Pseudonymisierung
 Anonymisierung
 …
* EDSA: „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von
Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für
personenbezogene Daten“
(https://edpb.europa.eu/sites/default/files/consultation/edpb_
recommendations_202001_supplementarymeasurestransferstools_de.pdf)
Standardvertragsklauseln
23

24. Rev.
Stand
3.0
1. Angemessenheitsbeschluss UK
2. Neue Standardvertragsklauseln
3. Schadensersatz (Art. 82 DSGVO)
4. DSK-News
Agenda
24

25. Rev.
Stand
3.0
Schadensersatz
25
datenschutzrechtliche
Sanktionen
Bußgeld (o.a.
Maßnahmen von
Aufsichtsbehörden)
Schadensersatz Schmerzensgeld Abmahnung?

26. Rev.
Stand
3.0
 Art. 82 Abs. 1
 „Jede Person, der wegen eines Verstoßes gegen diese
Verordnung ein materieller oder immaterieller Schaden
entstanden ist, hat Anspruch auf Schadenersatz gegen
den Verantwortlichen oder gegen den
Auftragsverarbeiter.“
Schadensersatz
26

27. Rev.
Stand
3.0
 Art. 82 Abs. 2
 „Jeder an einer Verarbeitung beteiligte Verantwortliche
haftet für den Schaden, der durch eine nicht dieser
Verordnung entsprechende Verarbeitung verursacht wurde.
Ein Auftragsverarbeiter haftet für den durch eine
Verarbeitung verursachten Schaden nur dann, wenn er
seinen speziell den Auftragsverarbeitern auferlegten
Pflichten aus dieser Verordnung nicht nachgekommen ist
oder unter Nichtbeachtung der rechtmäßig erteilten
Anweisungen des für die Datenverarbeitung
Verantwortlichen oder gegen diese Anweisungen
gehandelt hat.“
Schadensersatz
27

28. Rev.
Stand
3.0
 Art. 82 Abs. 3
 „Der Verantwortliche oder der Auftragsverarbeiter wird von
der Haftung gemäß Absatz 2 befreit, wenn er nachweist,
dass er in keinerlei Hinsicht für den Umstand, durch den
der Schaden eingetreten ist, verantwortlich ist.“
Schadensersatz
28

29. Rev.
Stand
3.0
 Art. 82 Abs. 4
 „Ist mehr als ein Verantwortlicher oder mehr als ein
Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als
auch ein Auftragsverarbeiter an derselben Verarbeitung
beteiligt und sind sie gemäß den Absätzen 2 und 3 für
einen durch die Verarbeitung verursachten Schaden
verantwortlich, so haftet jeder Verantwortliche oder jeder
Auftragsverarbeiter für den gesamten Schaden, damit
ein wirksamer Schadensersatz für die betroffene Person
sichergestellt ist.“
 -> Differenzierung zwischen Außen- & Innenverhältnis
Schadensersatz
29

30. Rev.
Stand
3.0
 Voraussetzungen Ersatzanspruch
 Sachverhalt: dezidierte Angaben zur Verletzung & den
betroffenen personenbezogenen Daten
 Verstoß: (gerichtlich) festgestellter Verstoß gegen die
DSGVO (Pflichtverletzung + haftungsbegründende
Kausalität)
 Verantwortlichkeit: Ausführungen zur Verantwortlichkeit &
zur Frage des Entlastungsbeweises (Art. 82 Abs. 3)
 Schadensersatz / Schmerzensgeld: Angaben zur geltend
gemachten Höhe des Ersatzanspruchs & zur Frage, worin
der genaue Schaden besteht (über den DSGVO-Verstoß
hinaus)
Schadensersatz
30

31. Rev.
Stand
3.0
 Geltendmachung:
 Individualklage durch einen Geschädigten
 „Zessions-Sammelklage“, d.h. Dienstleister lassen sich
Ansprüche auf Schadensersatz abtreten und machen diese
gegen Provision auch gerichtlich geltend (umstr.)
 Musterfeststellungsklage, d.h. bestimmte Verbände (z.B.
Verbraucherzentrale) können Musterprozess führen (die daran
Beteiligten müssen im Nachgang jeweils ihre individuellen
Ansprüche separat geltend machen)
 EU-Verbandsklage („DSGVO-Sammelklage“), d.h. bestimmte
Verbände (z.B. Verbraucherzentrale) können konkrete Ansprüche
von vielen „Geschädigten“ für diese geltend machen (ab
frühestens zum 01.01.2023)
Schadensersatz
31

32. Rev.
Stand
3.0
Schadensersatz
32
 Anspruch bejaht  Anspruch verneint
ArbG Münster, Urt. v. 25.03.2021, Az. 3 Ca
391/20 (5.000,-)
OLG Stuttgart, Urt. v. 31.03.2021, Az. 9 U
34/21
LG Meiningen, Urt. v. 23.12.2020, Az. 3 O
363/20 (10.000,-)
ArbG Mannheim, Urt. v. 25.03.2021, Az. 8 Ca
409/20
AG Hildesheim, Urt. v. 05.10.2020, Az. 43 C
145/19 (800,-)
LArbG Baden-Württemberg, Urt. v.
25.02.2021, Az. 17 Sa 37/20
LArbG Köln, Urt. v. 14.09.2020, Az. 2 Sa
358/20 (300,-)
LG Karlsruhe, Urt. v. 09.02.2021, Az. 4 O
67/20
ArbG Dresden, Urt. v. 26.08.2020, Az. 13 Ca
1046/20 (1.500,-)
LG Landshut, Urt. v. 06.11.2020, Az. 51 O
513/20
ArbG Neumünster, Urt. v. 11.08.2020, Az. 1
Ca 247 c/20 (1.500,-)
LG Köln, Urt. v. 07.10.2020, Az. 28 O 71/20
LG Lüneburg, Urt. v. 14.07.2020, Az. 9 O
145/19 (1.000,-)
LG Frankfurt a.M., Urt. v. 18.09.2020, Az. 2-
27 O 100/20
LG Darmstadt, Urt. v. 26.05.2020, Az. 13 O
244/19 (1.000,-)
LG Hamburg, Urt. v. 04.09.2020, Az. 324 S
9/19
AG Pforzheim, Urt. v. 25.03.2020, Az. 13 C
160/19 (4.000,-)
LG Frankfurt a.M., Urt. v. 03.09.2020, Az. 2-
03 O 48/19
ArbG Düsseldorf, Urt. v. 05.03.2020, Az. 9 Ca
6557/18 (5.000,-)
OLG Dresden, Urt. v. 20.08.2020, Az. 4 U
784/20
ArbG Lübeck, Beschl. v. 20.06.2019, Az. 1
Ca 538/19 (1.000,-)
LG Karlsruhe, Urt. v. 02.08.2019, Az. 8 O
26/19
exemplarische
Auswahl
einiger
Entscheidungen

33. Rev.
Stand
3.0
1. Angemessenheitsbeschluss UK
2. Neue Standardvertragsklauseln
3. Schadensersatz (Art. 82 DSGVO)
4. DSK-News
Agenda
33

34. Rev.
Stand
3.0
 DSK-Protokoll der 101. Konferenz (April 2021)
 Aufsichtsbehörden konzentrieren sich bei der Prüfung von
Windows 10 erstmal auf den öffentlichen Bereich
 Erstellung & Veröffentlichung der Orientierungshilfe zu
den Anforderungen der E-Mail-Verschlüsselung
 Umsetzung der „Schrems II“-Entscheidung des EuGH
(-> Ankündigung einer bundeslandübergreifenden Prüfung
von Unternehmen auf Datenübermittlungen in Drittstaaten)
DSK-News
34

35. Rev.
Stand
3.0
 DSK-Orientierungshilfe „E-Mail-Verschlüsselung“ (16.06.2021)
 E-Mails müssen nicht grdsl. verschlüsselt werden
 Unterscheidung zwischen Transport- (TLS) & Inhalts-
verschlüsselung (E2EE)
 Abwägung der Rechte des Verantwortlichen und der Betroffenen
unter Berücksichtigung u.a. des aktuellen Stands der Technik
(vgl. Art. 32)
 bei rein organisatorischen Abstimmungen (z.B. Terminabsprachen)
reicht Transportverschlüsselung, bei Versand sensibler Daten (vgl.
Art. 9, 10) müssen auch Inhalte verschlüsselt werden (S/MIME,
PGP…) -> Risikoabwägung
 Sorgfaltspflicht bei Auswahl des E-Mail-Hosters (Anforderungen
der TR 03108-1 des BSI beachten)
 DSK-Arbeitsgruppe: ob und inwieweit können Betroffene auf eigenen
Wunsch auf TOMs nach Art. 32 verzichten? (vgl. z.B. Berufsrecht
der Anwälte)
DSK-News
35

36. Rev.
Stand
3.0
 Ankündigung einer bundeslandübergreifenden Prüfung von
Unternehmen auf Datenübermittlungen in Drittstaaten:
 Pressemitteilung vom 02.06.2021*
 Fragenkataloge an…
 Bewerberportale
 Konzerne (konzerninterner Datenverkehr)
 Mailhoster
 Webhoster
 Nutzer von Tracking-Tools
* z.B. www.baden-wuerttemberg.datenschutz.de/koordinierte-pruefung-
internationaler-datentransfers
DSK-News
36