I. Neues aus den Datenschutzbehörden und Aktuelles

1. EU, EDPS und DSK: Neues zur KI-Verordnung

Die zunehmende Verbreitung Künstlicher Intelligenz (KI) löst immer wieder datenschutzrechtliche Fragen aus. Der Europäische Datenschutzbeauftragte (European Data Protection Supervisor, EDPS) hat im Oktober 2023 finale Empfehlungen zur KI-Verordnung veröffentlicht. Besonderer Fokus wird dabei auf ein Verbot des Einsatzes von solchen KI-Systemen, die ein inakzeptables Risiko für Einzelpersonen und Grundrechte darstellen, sowie auf die Überwachung der Einhaltung der Vorschriften gelegt. Zudem begrüßt der EDPS die Einrichtung eines in der KI-Verordnung vorgesehenen KI-Büros (AI Office). Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat Forderungen zur KI-Verordnung veröffentlicht. In ihrer Pressemitteilung vom 29. November 2023 fordert die DSK insb. zum Schutz der Grundrechte von Betroffenen, deren personenbezogene Daten verarbeitet werden, klare Verantwortlichkeiten für Hersteller und Betreiber von KI-Systemen entlang der gesamten Wertschöpfungskette.

Mit Pressemitteilung vom 9. Dezember 2023 gab das Parlament der Europäischen Union (EU) dann bekannt, am Vortag mit dem Rat eine politische Einigung zur KI-Verordnung und ihrem risikobasierten Ansatz erzielt zu haben. Hiernach sollen u.a. biometrische sensible Merkmale verwendende Kategorisierungssysteme, ungezieltes Scraping von online verfügbaren Gesichtsbildern zur Erstellung von Gesichtserkennungsdatenbanken sowie eine Emotionserkennung am Arbeitsplatz und bestimmte Arten des Social Scoring, die zudem empfindliche Bußgelder vorsieht, verboten sein. Die erzielte Einigung muss nun noch von Rat und Parlament förmlich angenommen und veröffentlicht werden. In seiner Podcast-Folge vom 22. Dezember 2023 äußert sich der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) u.a. zum aktuellen Stand der KI-Verordnung. Mit unserer CMS Blog-Serie "KI" bleiben Sie zu aktuellen Fragen rund um das Thema stets auf dem Laufenden.

2. Data Law: Data Act auf der Zielgeraden

Mit 481 zu 31 Stimmen bei 71 Enthaltungen hat das Europäische Parlament am 9. November 2023 den Data Act, auf den sich Parlament und Rat bereits informell geeinigt hatten, angenommen. Nach der am 27. November 2023 erfolgten offiziellen Zustimmung des Rates wird das sog. Datengesetz am zwanzigsten Tag nach Veröffentlichung im Amtsblatt der EU in Kraft treten. Zusammen mit dem Data Governance Act ist der Data Act eine der wichtigsten Säulen der Europäischen Digital- und Datenstrategie, mit der ein Binnenmarkt für Daten in der EU geschaffen und der Datenaustausch gefördert werden sollen. Einen Überblick über das neue Datenrecht finden Sie hier (Data Law: Data Act, Data Governance Act & Co.) und in unserer CMS Blog-Serie "#CMSdatalaw".

3. EU-Kommission und EDPB: Initiative zur DSGVO-Evaluierung

Die EU-Kommission hat im Jahr 2023 eine Initiative zur Evaluierung der Anwendung der DSGVO-Vorschriften gestartet, die auf den im Jahr 2020 veröffentlichten Vorgängerbericht aufsetzen und im zweiten Quartal des Jahres 2024 erscheinen soll. Diesen mit Parlament und Rat abzustimmenden Bericht über die Bewertung und Überprüfung der DSGVO sieht Art. 97 Abs. 1 DSGVO in einem vierjährigen Turnus vor. Insbesondere aufgrund von Fortschritten in der Informationstechnologie kann die Kommission gemäß Art. 97 Abs. 5 DSGVO bei diesem Anlass Änderungen der DSGVO vorschlagen. Der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) hat seinen Beitrag hierzu bereits im Dezember 2023 veröffentlicht.

4. EDPB: Dritte koordinierte Durchsetzungsmaßnahme für 2024 angekündigt

Mit Meldung vom 17. Oktober 2023 hat der EDPB das Thema der dritten koordinierten Durchsetzungsmaßnahme angekündigt. Diese wird zum Jahr 2024 durchgeführt und konzentriert sich auf die Umsetzung des Auskunftsrechts aus Art. 15 DSGVO. Damit macht der EDPB das Thema zu einer Priorität für die nationalen Datenschutzbehörden im Jahr 2024. Die beiden vorangegangenen koordinierten Durchsetzungsmaßnahmen legten den Schwerpunkt auf die Benennung und Position von Datenschutzbeauftragten sowie auf die Nutzung cloudbasierter Dienste im öffentlichen Sektor.

5. EDPB: Leitlinien zum technischen Anwendungsbereich von Art. 5 Abs. 3 der ePrivacy-Richtlinie

Der EDPB hat Leitlinien zum technischen Anwendungsbereich von Art. 5 Abs. 3 der ePrivacy-Richtlinie angenommen, die bei der Einordnung von unter den Anwendungsbereich der Richtlinie fallenden technischen Vorgängen und Techniken des Tracking unterstützen sollen. Die Leitlinien liegen für eine Dauer von sechs Wochen zur öffentlichen Konsultation vor. Im Gegensatz dazu gibt es zur ePrivacy-Verordnung weiterhin keine Neuigkeiten.

6. EDPB und EDPS: Gemeinsame Stellungnahme zum Digitalen Euro

Am 18. Oktober 2023 haben EDPB und EDPS eine gemeinsame Stellungnahme zu dem Vorschlag einer Verordnung zum Digitalen Euro abgegeben. Da der Digitale Euro, der eine neue digitale Zentralbankwährung werden und neben dem Bargeld als zusätzliches Zahlungsmittel das elektronische Zahlen online und offline ermöglichen soll (wir berichteten: Der digitale Euro – das Zahlungsmittel von morgen), viele datenschutzrechtliche Aspekte aufwirft, müsse dieser der Stellungnahme zufolge die höchsten Standards für den Schutz personenbezogener Daten aufweisen. Die Zahlung mittels Bargelds solle dabei stets eine den Bürgern offenstehende Option bleiben.

7. DSK und Rheinland-Pfalz: Positionspapiere und Entschließung zum Datenschutz in der Forschung

Mit Beschluss vom 6. November 2023 hat die DSK ein Positionspapier zu cloudbasierten digitalen Gesundheitsanwendungen veröffentlicht. Die DSK sieht hierin für Gesundheitsanwendungen, die nicht von den für digitale Gesundheitsanwendungen (DiGA) geltenden gesetzlichen Regelungen umfasst sind, u.a. Schwierigkeiten bei der datenschutzrechtlichen Verantwortlichkeit der Hersteller, Cloudfunktionen, der Datennutzung und -sicherheit sowie bei möglichen internationalen Datentransfers. Anlass des Positionspapiers der DSK sind gesetzliche Neuregelungen für DiGA. Hiernach müssen diese gemäß § 4 Abs. 7 DiGAV ab dem 1. Januar 2025 die durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemäß § 139e Abs. 10 SGB V festgelegten Anforderungen an die Datensicherheit erfüllen. Ab dem 1. August 2024 müssen digitale Gesundheitsanwendungen die gemäß § 139e Abs. 11 SGB V von dem Bundesinstitut für Arzneimittel und Medizinprodukte festgelegten Prüfkriterien für die von DiGA nachzuweisenden datenschutzrechtlichen Anforderungen umsetzen (§ 4 Abs. 8 DiGAV).

Am 23. November 2023 veröffentlichte die DSK außerdem eine Entschließung und Eckpunkte zum Datenschutz in der Forschung. Zugunsten der Forschung und Betroffenen sollen einheitliche Maßstäbe der datenschutzrechtlichen Anforderungen an den unterschiedlichen Forschungsstandorten sowohl durch den Bundes- als auch die Landesgesetzgeber gestärkt werden. So sei beispielsweise das Landesrecht hinsichtlich des Datenschutzes u.a. in Krankenhäusern und den öffentlichen Gesundheitsdiensten anzupassen, wobei stets ein hohes Datenschutzniveau einzuhalten sei. Die DSK verweist zudem erneut auf ihre Stellungnahmen zum Gesundheitsdatennutzungsgesetz (GDNG).

Das Thema Digitalisierung des Gesundheitswesens beschäftigt auch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, der am 7. Dezember 2023 mit der mit der Kassenärztlichen Vereinigung Rheinland-Pfalz, der Landesärztekammer und der Landespsychotherapeutenkammer ein gemeinsames Positionspapier der Initiative „Mit Sicherheit gut behandelt“ veröffentlichte.

8. Baden-Württemberg und Hamburg: Diskussionspapier zu Rechtsgrundlagen im Datenschutz beim Einsatz von KI und Checkliste zum Einsatz LLM basierter Chatbots

Das Thema KI beschäftigt weiterhin die deutschen Datenschutzbehörden. So stellt der LfDI Baden-Württemberg seit November 2023 ein Diskussionspapier zu Rechtsgrundlagen im Datenschutz beim Einsatz von KI zur Verfügung. Einer Pressemitteilung des LfDI vom 13. November 2023 zufolge haben Unternehmen bis zum 1. Februar 2024 Zeit, sich an der Diskussion zu beteiligen und das Papier zu kommentieren. Ziel dieser nicht-abschließenden Arbeitshilfe sei es, Unternehmen sowohl auf die KI-Verordnung vorzubereiten als auch auf die datenschutzrechtlichen Zusammenhänge des Einsatzes von KI aufmerksam zu machen. Das Diskussionspapier behandelt u.a. Themen wie KI-Trainingsdaten, Fragen der Verantwortlichkeit und einschlägiger möglicher Rechtsgrundlagen. Außerdem stellt der LfDI am Ende eine kurze Checkliste zur Verfügung. Mehr dazu erfahren Sie auch in der Podcast-Folge des LfDI vom 6. Dezember 2023.

Zudem hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) im November 2023 eine Checkliste zum Einsatz von Large Language Models (LLM) basierter Chatbots veröffentlicht. Diese Checkliste beschäftigt sich mit den datenschutzrechtlichen Risiken der Sprachmodelle, die teilweise in Clouds betrieben werden, und möchte Unternehmen Tipps geben zur Bereitstellung, dem KI-Training und der Vermeidung von DSGVO-Verstößen oder Diskriminierung.

II. Neue DSGVO-Bußgelder

1. Italien: Bußgeld in Höhe von EUR 10 Mio. wegen Verstoßes gegen die Grundsätze der Datenverarbeitung

Gegen einen Strom- und Gasversorger erging in Italien ein Bußgeld in Höhe von EUR 10 Mio., nachdem die italienische Datenschutzbehörde zahlreiche Beschwerden von Betroffenen darüber erhalten hatte, dass Strom- und Gasverträge in deren Namen ohne ihr Wissen aktiviert worden waren, während die Betroffenen hierüber erst nach Erhalt von Kündigungsschreiben des vorherigen Lieferanten oder Mahnungen zur Zahlung ausstehender Rechnungen informiert wurden. In diesem Zuge kam es zudem zur Verarbeitung falscher oder veralteter personenbezogener Daten (z. B. E-Mail-Adresse, Telefonnummer und Versorgungsnummer). Die Datenschutzbehörde stellte im Rahmen der daraufhin eingeleiteten Untersuchung fest, dass der Verantwortliche neue Strom- und Gaslieferverträge über ein Netzwerk von ca. 280 Anbietern erworben hatte, ohne sicherzustellen, dass die von den Anbietern in die Datenbank eingegebenen Daten den tatsächlichen Nutzern der Versorgungsunternehmen entsprachen. Die italienische Behörde bejahte Verstöße gegen Art. 5 Abs. 1 lit. a), d), Art. 5 Abs. 2 und Art. 24 Abs. 2 DSGVO.

2. Kroatien: Bußgeld in Höhe von EUR 5,47 Mio. wegen Datenverarbeitung ohne ausreichende Rechtsgrundlage

In Kroatien hat die Datenschutzbehörde ein Bußgeld in Höhe EUR 5,47 Mio. nach der DSGVO ausgesprochen. Das Bußgeld traf ein Inkassounternehmen, das ohne rechtliche Grundlage sensible (u.a. gesundheitsbezogene) Daten von Schuldnern sowie Daten von Personen sammelte, die nicht in einem Schuldner-Gläubiger-Verhältnis standen (v.a. Telefonnummer, Vor- und Nachname, Adresse). Zudem kam es neben weiterer Verstöße zur unrechtmäßigen Aufzeichnung von Telefongesprächen mit Betroffenen.

3. Spanien: Bußgeld in Höhe von EUR 800.000 wegen unzureichender TOM

Ein Bußgeld in Höhe von EUR 800.000 musste eine Bank in Spanien gegen sich ergehen lassen, nachdem eine betroffene Person den Verlust ihrer Bankkarte meldete und die Bank aufforderte, sämtliche Bankprodukte zu sperren. Da die Bank der Aufforderung nicht ausreichend nachkam, erlangten Dritte Zugriff auf die Bankprodukte der Betroffenen und es gelang ihnen, einen Geldbetrag unter falscher Identität anzuweisen. Während der darauffolgenden Untersuchung der Datenschutzbehörde stellte sich heraus, dass die Verantwortliche es versäumt hatte, geeignete technische und organisatorische Maßnahmen (sog. TOM) zum Schutz personenbezogener Daten für solche Fälle bereitzustellen. Die spanische Behörde bejahte daher Verstöße gegen Art. 25 und Art. 32 DSGVO.

4. Frankreich und Italien: Bußgelder u.a. in Höhe von EUR 600.000 und EUR 100.000 im Zusammenhang mit rechtswidriger Werbung

Der Versand von Werbung ohne Einwilligung beschäftigt die europäischen Datenschutzbehörden immer wieder. Die französische Datenschutzbehörde verhängte im Oktober 2023 ein Bußgeld in Höhe von EUR 600.000 gegen ein Medienunternehmen wegen der unzureichenden Erfüllung von Betroffenenrechten u.a. im Zusammenhang mit der Versendung elektronischer Werbebotschaften ohne Einwilligung. Darüber hinaus mangelte es der Behörde zufolge neben weiterer Verstöße an ausreichenden Informationen über die Aufbewahrungsfristen personenbezogener Daten in der Datenschutzerklärung, an vertraglichen Regelungen für die Verarbeitung personenbezogener Daten durch Auftragsverarbeiter sowie an der angemessenen Beantwortung der Anfragen Betroffener.

Auch in Italien hat die Datenschutzbehörde u.a. gegen zwei Unternehmen ein Bußgeld nach der DSGVO ausgesprochen. In einem Fall hat die italienische Datenschutzbehörde im Juli 2023 ein Bußgeld in Höhe von EUR 100.000 gegen ein Unternehmen verhängt, das während eines Zeitraums von vier Monaten Werbung an mehr als 160.000 Kunden ohne deren Einwilligung oder sonstige Rechtsgrundlage versendet hatte und dabei nicht den Informationspflichten nachkam, die Verantwortliche nach der DSGVO treffen. In einem weiteren Fall aus dem Oktober 2023 traf ein Unternehmen in Italien ein Bußgeld in Höhe von EUR 70.000, weil dieses unaufgeforderte Marketinganrufe durchführte und keine TOM ergriffen hatte, um die Rechtmäßigkeit der verarbeiteten personenbezogenen Daten, z.B. durch eine Überprüfung der sog. Opt-Out-Register, zu gewährleisten.

5. Spanien: Bußgelder in Höhe von EUR 140.000 und EUR 70.000 wegen fehlerhafter Paketzustellung

In Spanien hat die dort zuständige Datenschutzbehörde im November 2023 gegen ein Logistikunternehmen ein Bußgeld in Höhe von EUR 70.000 wegen der Zustellung eines Paketes an eine Person, die nicht der Empfänger war, verhängt. Ein weiteres Bußgeld in Höhe von EUR 140.000 musste ein Logistikunternehmen Ende August 2023 gegen sich ergehen lassen, weil Pakete nicht wie bestimmt zu den Betroffenen nach Hause geliefert, sondern ohne deren Einwilligung an ein Kurierdienstbüro weitergeleitet wurden. Die spanische Datenschutzbehörde hat in der Vergangenheit in ähnlichen Fällen eine unrechtmäßige Weitergabe personenbezogener Daten gesehen. Bereits im Jahr 2022 wurde ein Paketzusteller wegen der Abgabe eines Pakets bei einem Nachbarn des Betroffenen Adressat eines Bußgelds in Höhe von EUR 70.000. Im Juli 2023 verhängte die spanische Behörde ein Bußgeld in Höhe von EUR 84.000 wegen der Weiterleitung eines Pakets an ein Geschäft statt der Zustellung an der Wohnung des Betroffenen ohne dessen Einwilligung, was die Behörde als Verstoß gegen Art. 5 Abs. 1 lit. f) und Art. 32 DSGVO wertete. Das ursprünglich in diesem Fall verhängte Bußgeld von EUR 140.000 wurde durch die Behörde reduziert.

III. Aktuelle Gerichtsentscheidungen

1. EuGH: Zur Ausgleichsfunktion des Art. 82 DSGVO für konkret erlittene Schäden

Ende 2023 hat der Gerichtshof der Europäischen Union (EuGH) in mehreren Verfahren geurteilt, zu denen die Entscheidungen des obersten Gerichts der EU mit Sitz in Luxemburg aufgrund ihrer hohen Relevanz für die datenschutzrechtliche Praxis lange erwartet wurden. In der Rechtssache (C-667/21) zur Verarbeitung von Gesundheitsdaten beantwortete der EuGH mit Urteil vom 21. Dezember 2023 Vorlagefragen aus Deutschland zu Art. 82 DSGVO u.a., ob es bei der Höhe des immateriellen Schadensersatzes (es geht um EUR 20.000) auf den Verschuldensgrad des Verantwortlichen (oder Auftragsverarbeiters) ankommt und ob dessen fehlendes oder geringes Verschulden zu seinen Gunsten berücksichtigt werden darf. Seit Mai 2023 liegen hierzu die Schlussanträge des Generalanwalts vor.

Der EuGH verwies in seinem Urteil aus Dezember 2023 hinsichtlich des Zwecks von Art. 82 DSGVO auf die Ausgleichsfunktion der Norm: Diese solle eine Entschädigung in Geld zum Ersatz eines aufgrund eines DSGVO-Verstoßes konkret erlittenen Schadens ermöglichen, ohne dass ihr dabei eine Abschreckungs- oder Straffunktion zukomme. Der EuGH hat Art. 82 DSGVO zudem dahingehend ausgelegt, dass das Verschulden des Verantwortlichen vermutet werde, sofern dieser nicht nachweist, dass ihm die schadensverursachende Handlung nicht zuzurechnen ist. Zur Bemessung der Höhe einer Entschädigung für einen immateriellen Schaden führte der Gerichtshof aus, dass Art. 82 DSGVO nicht verlange, dass der Grad des Verschuldens dabei berücksichtigt werde.

2. EuGH: Weitere Entscheidungen zu Art. 82 DSGVO

In einem Vorlageverfahren aus Bulgarien hat der EuGH mit Urteil vom 14. Dezember 2023 (C-340/21) zu Cyberattacken entschieden, dass die Befürchtung eines möglichen Missbrauchs personenbezogener Daten für sich genommen einen immateriellen Schaden des Betroffenen im Sinne von Art. 82 DSGVO darstellen könne. Der Nachweis obliege dem Betroffenen und wenn er sich auf die Befürchtung beruft, dann müsse das nationale Gericht prüfen, "ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann". Die Behauptung von Ängsten bedeutet also nicht automatisch, dass ein Schaden nachgewiesen wurde, sondern es ist immer noch eine Prüfung des Einzelfalls erforderlich. In diesem Zuge betont der EuGH auch, dass der für die betreffende Verarbeitung Verantwortliche einen Schaden ersetzen müsse, der durch einen mit dieser Verarbeitung im Zusammenhang stehenden DSGVO-Verstoß verursacht wurde, und dass der Verantwortliche nur dann von seiner Haftung befreit werden könne, wenn dieser den Nachweis erbringe, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Das Handeln von Cyberkriminellen könne dem Verantwortlichen vor dem Hintergrund von Art. 82 DSGVO nur zugerechnet werden, wenn dieser das kriminelle Handeln durch Missachtung der Regeln der DSGVO ermöglicht habe.

An demselben Datum hat der EuGH unter Verweis auf sein Urteil vom 4. Mai 2023 zudem in der Rechtssache C‑456/22 auf Vorlagefragen aus Deutschland zu Art. 82 DSGVO erneut der Annahme einer sog. Erheblichkeitsschwelle oder Bagatellgrenze eine deutliche Absage erteilt und nochmals betont, dass ein Verstoß gegen die DSGVO nicht automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO auslöse. Der immaterielle Schadensersatz setze keinen spürbaren Nachteil voraus, das Vorliegen nachteiliger Folgen des DSGVO-Verstoßes, die zu einem immateriellen Schaden führen, habe der Betroffene jedoch nachzuweisen.

3. EuGH: Die DSGVO steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen

Auch in der Rechtssache C-634/21 (SCHUFA Holding (Scoring)) sowie in den verbundenen Rechtssachen C-26/22 und C-64/22 (SCHUFA Holding (Restschuldbefreiung)) hat der EuGH zum Jahresende 2023 noch eine Entscheidung gefällt. Mit Urteil vom 7. Dezember 2023 entschied der EuGH, dass die Datenverarbeitungspraktiken der Wirtschaftsauskunfteien nicht mit den Vorgaben der DSGVO vereinbar seien. Der EuGH führte aus, dass das Scoring nur unter bestimmten Voraussetzungen zulässig und der SCHUFA-Score nicht der einzige Faktor bei der Bonitätsprüfung sein könne, während die Speicherung von Informationen über die Erteilung einer Restschuldbefreiung der DSGVO widerspreche, wenn sie länger andauere als die Speicherung im öffentlichen Insolvenzregister. Nach sechs Monaten seien diese Daten unverzüglich zu löschen. Vor Ablauf der sechs Monate habe eine Abwägung der Interessen der Wirtschaftsauskunftei und des Betroffenen zu erfolgen. Die Verfahren gehen nun zurück an das Verwaltungsgericht (VG) Wiesbaden, das dem EuGH Fragen zur Auslegung der DSGVO vorgelegt hatte.

Die ersten deutschen Datenschutzbehörden haben sich bereits geäußert: Der HmbBfDI und der LfDI Baden-Württemberg erläutern in einer Pressemitteilung vom 7. Dezember 2023 bzw. einer Podcast-Folge vom 22. Dezember 2023 außerdem die Bedeutung des Urteils für Entscheidungen, die auf dem Einsatz von KI basieren. Der Landesbeauftragte für den Datenschutz Niedersachsen sowie der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) sehen den Datenschutz durch die EuGH-Entscheidungen gestärkt. Auch der TLfDI erkennt die Relevanz für KI-Systeme. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), der die ursprünglichen Beschwerden von Betroffenen in den o.g. Verfahren abgelehnt hatte und gegen dessen ablehnende Entscheidung sich die Klagen vor dem VG richteten, fasst das Verfahren in einer Pressemitteilung vom 7. Dezember 2023 zusammen.

4. EuGH: Nur ein schuldhafter DSGVO-Verstoß kann zu einer DSGVO-Geldbuße führen

Genauso erwartet und von besonders hoher Praxisrelevanz ist das Urteil des EuGH vom 5. Dezember in den Rechtssachen C-683/21 und C-807/21, in dem sich dieser zu den Voraussetzungen geäußert hat, unter denen die nationalen Datenschutzbehörden Bußgelder nach der DSGVO gegen Unternehmen verhängen können. Nun hat der EuGH festgestellt, dass die Verhängung einer solchen Geldbuße ein schuldhaftes Verhalten voraussetze, sodass ein zu ahndender DSGVO-Verstoß vorsätzlich oder fahrlässig begangen worden sein muss, was zu bejahen sei, wenn "sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt". Bei juristischen Personen sei es für ein Bußgeld nicht erforderlich, dass der Verstoß gegen die DSGVO von einem leitenden Organ selbst begangen wurde oder ob dieses hiervon Kenntnis hatte. Dem EuGH zufolge haften diese "sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt". Eine vorherige Feststellung des Begehens eines Verstoßes durch eine identifizierbare natürliche Person sei nicht notwendig. Zudem könnte der Verantwortliche für ihm zurechenbare und von Auftragsverarbeitern durchgeführte Verarbeitungsverstöße haften. In Fällen, in denen der Bußgeld-Adressat Teil eines Konzerns ist, sei auf den wettbewerbsrechtlichen Unternehmensbegriff sowie auf den gesamten weltweiten Jahresumsatz des Konzerns aus dem vorherigen Geschäftsjahr abzustellen.

Hintergrund des Vorlageverfahrens aus Deutschland war ein Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI), die sich in einer Pressemitteilung vom 5. Dezember 2023 zu der Entscheidung äußert und die Praxis der deutschen Datenschutzbehörden durch den EuGH bestätigt sieht. Auch der HBDI und der LfDI Baden-Württemberg begrüßen die Entscheidung in einer Pressemitteilung vom 5. Dezember 2023 bzw. in der Podcast-Folge vom 22. Dezember 2023.

5. EuGH: Zur Rechtsverbindlichkeit von Beschlüssen, die eine Aufsichtsbehörde im Rahmen der mittelbaren Ausübung von Betroffenenrechten erlässt

Mit Urteil vom 16. November 2023 hat der EuGH auf Vorlagefragen eines belgischen Gerichts entschieden (C-333/22), dass Beschlüssen, die von einer Aufsichtsbehörde im Rahmen der mittelbaren Ausübung von Rechten der betroffenen Person erlassen werden, Rechtsverbindlichkeit zukomme, wobei die dahinter stehenden Gründe und Beweise der gerichtlichen Überprüfung zugänglich seien. Der Betroffene müsse die Beurteilung der Rechtmäßigkeit der Datenverarbeitung durch die Aufsichtsbehörde und die Entscheidung zugunsten oder gegen die Ausübung von Abhilfebefugnissen anfechten und eine Interessensabwägung vornehmen können.

6. EuGH: DSGVO-Vereinbarkeit der Pflicht von Fahrzeugherstellen zur Bereitstellung von Fahrzeug-Identifizierungsnummern an unabhängige Wirtschaftsakteure

Der EuGH hat am 9. November 2023 geurteilt (C-319/22), dass Fahrzeughersteller unabhängigen Wirtschaftsakteuren (d.h. Reparaturbetrieben, Ersatzteilhändlern und Herausgebern technischer Informationen u.a.) Fahrzeug-Identifizierungsnummern bereitstellen müssen, wenn diese für die Reparatur und Wartung der Fahrzeuge erforderlich sind. Sofern diese Fahrzeug-Identifizierungsnummer es ermöglicht, den Halter eines Fahrzeugs zu identifizieren und aus diesem Grunde ein personenbezogenes Datum darstellt, sei diese Verpflichtung dem EuGH zufolge mit der DSGVO vereinbar. Weitere Informationen zu dieser Entscheidung finden Sie in der Pressemitteilung des EuGH vom 9. November 2023.

7. EuGH: Zum Recht eines Patienten, unentgeltlich eine erste Kopie der Patientenakte zu erhalten

Im Herbst entschied der EuGH mit Urteil vom 26. Oktober 2023 (C-307/22) auf Vorlage des Bundesgerichtshofs (BGH), dass einem Patienten aus Art. 15 DSGVO das Recht zustehe, unentgeltlich eine erste Kopie seiner vollständigen Patientenakte inklusive Diagnosen, Untersuchungsergebnissen, Befunden, Angaben zu Behandlungen oder Eingriffen zu erhalten. Dies gelte auch dann, wenn der Betroffene einen anderen als den in Satz 1 des 63. Erwägungsgrundes der DSGVO genannten, d.h. einen datenschutzfremden, Zweck verfolge. In dem zugrundeliegenden Fall verlangte ein Patient die unentgeltliche Zurverfügungstellung einer Kopie seiner Patientenakte von seiner Zahnärztin zur Geltendmachung etwaiger Haftungsansprüche wegen einer möglicherweise fehlerhaften Behandlung, während die Ärztin diese nur gegen Übernahme der Kopierkosten gemäß § 630g Abs. 2 Satz 2 BGB bereitstellen wollte. Dem EuGH zufolge seien Kosten nur dann zu erstatten, wenn der Patient ein über diese erste unentgeltliche Auskunft erneut einen Antrag auf Einsicht stelle. Der HBDI sowie der HmbBfDI fassen die Entscheidung zusammen.

8. EuGH: Schlussanträge des Generalanwalts in den Vorlageverfahren zu Scalable Capital zu Art. 82 DSGVO

In den verbundenen Rechtssachen C-182/22 und C-189/22 mit Vorlagefragen aus Deutschland (C-182/22, C-189/22) zu den Scalable Capital-Verfahren (wir berichteten in unserem Blog) liegen die auf die fünfte Vorlagefrage beschränkten Schlussanträge des Generalanwalts vor, die im Oktober 2023 veröffentlicht wurden. Die vorlegenden Gerichte möchten vom EuGH u.a. Antworten auf die Fragen, ob für die Geltendmachung des immateriellen Schadensersatzes nach Art. 82 DSGVO ein Identitätsdiebstahl im Sinne des 75. Erwägungsgrundes der DSGVO erst dann vorliegt, wenn die Identität des Betroffenen angenommen wurde, oder ob der Umstand, dass Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, zur Bejahung eines Identitätsdiebstahl ausreicht.

Der Generalanwalt kommt zu dem Ergebnis, dass der Diebstahl sensibler personenbezogener Daten eines Betroffenen durch unbekannte Straftäter zu einem Anspruch auf immateriellen Schadensersatz führen könne, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines konkreten erlittenen Schadens und eines Kausalzusammenhangs zwischen Schaden und DSGVO-Verstoß erbracht werde. Als nicht erforderlich sieht es der Generalanwalt an, dass Straftäter die Identität des Betroffenen angenommen haben. Der Besitz von Daten, die zur Identifizierbarkeit des Betroffenen genügen, stelle dem Generalanwalt zufolge für sich genommen keinen Identitätsdiebstahl dar.

9. OLG Köln: Zum EU-US Data Privacy Framework

Das Oberlandesgericht (OLG) Köln äußert sich nach dem Angemessenheitsbeschluss der EU-Kommission aus dem Juli 2023 mit Urteil vom 3. November 2023 (6 U 58/23) zum EU-US Data Privacy Framework (DPF). In dem Verfahren waren Datenübermittlungen vor und nach Geltung des DPF durch das OLG zu beurteilen. Zu den Übermittlungen nach dem Angemessenheitsbeschluss nach Art. 45 DSGVO führt das Gericht unter Verweis auf die Notwendigkeit der Einhaltung der sonstigen Voraussetzungen der DSGVO aus, dass es in dem durch das OLG zu entscheidenden Fall an einer wirksamen und informierten Einwilligung fehle. Wegen grundsätzlicher Bedeutung der Angelegenheit hat das OLG eine Revision zum BGH zugelassen. Die Entscheidung aus Köln bringt neue Brisanz in das Thema internationale Datentransfers mit den USA. Zudem äußert sich das OLG Köln in der Entscheidung zu § 25 TTDSG.

10. OLG Köln und Stuttgart: Kein DSGVO-Schadensersatz in Scraping-Fall

Nachdem das OLG Hamm im August (7 U 19/23), September (7 U 77/23) und November (7 U 71/23) 2023 einen Anspruch der Betroffenen auf Schadensersatz nach Art. 82 DSGVO in den sog. Scraping-Fällen, zu denen es auf einer Social Media-Plattform gekommen war, mangels Nachweises eines (immateriellen) Schadens abgelehnt und den angegebenen "völligen Kontrollverlust" nicht hatte ausreichen lassen, schließen sich das OLG Stuttgart mit Urteilen vom 22. November 2023 (4 U 17/23 und 4 U 20/23) und das OLG Köln mit Urteil vom 7. Dezember 2023 (15 U 33/23) weitgehend an. In einem der Verfahren bejahte das OLG Stuttgart allerdings den Feststellungsantrag des Klägers, dass die Beklagte verpflichtet sei, dem Kläger alle künftigen durch den unbefugten Zugriff Dritter auf das Datenarchiv während des betroffenen Zeitraums entstehenden materiellen und immateriellen Schäden zu ersetzen. Mit Pressemitteilung aus November 2023 informiert das OLG Stuttgart darüber, dass in dem zuletzt genannten Fall die Revision zugelassen wurde und dass vor dem 4. Zivilsenat des OLG bereits 100 Fälle dieser Art anhängig seien, während sich die Zahl der bundesweit anhängigen Verfahren auf über 6.000 belaufe.

In einem ähnlichen Verfahren hat das LG Freiburg für denselben Scraping-Vorfall mit Urteil vom 15. September 2023 (8 O 184/22) einen Schadensersatz in Höhe von EUR 500 zugesprochen. Das LG bejahte Verstöße gegen Art. 13, Art. 6, Art. 24, Art. 32 Abs. 1 und Art. 5 Abs. 1 lit. f) DSGVO. Der Betroffene hatte in dem Fall aufgrund einer Vielzahl von Spam-Anrufen seine Telefonnummer gewechselt. Einen Überblick zu den Scraping-Fällen und weiteren gerichtlichen Verfahren geben wir hier: DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert) (cmshs-bloggt.de).

11. LAG Düsseldorf: Keine Entschädigung für verspätete und unvollständige Auskunft gemäß Art. 15 DSGVO

Anfang 2023 hatte das Arbeitsgericht (ArbG) Duisburg mit Urteil vom 23. März 2023 (3 Ca 44/23) einem Betroffenen Schadensersatz nach der DSGVO in Höhe von EUR 10.000 zugesprochen, nachdem dessen ehemaliger Arbeitgeber ein Auskunftsverlangen nach Art. 15 DSGVO verspätet und vollständig beantwortete. Das ArbG zog zur Ermittlung der Höhe des Schadensersatzes Art. 83 Abs. 2 DSGVO heran und legte der für solche Fälle im Vergleich hohen Summe die Erwägung zugrunde, dass dem Betroffenen für zwei inhaltliche Verstöße gegen Art. 15 Abs. 1 DSGVO jeweils EUR 2.500 und für die vorsätzliche Verspätung der Auskunft EUR 5.000 zustünden.

Nun ging das Verfahren in die nächste Instanz vor das Landesarbeitsgericht (LAG) NRW in Düsseldorf, welches die Klage des Betroffenen mit Urteil vom 28. November 2023 (3 Sa 285/23) insgesamt abwies. Zwar bejaht auch das LAG den DSGVO-Verstoß durch den Beklagten, allerdings löse dieser keinen Schadensersatzanspruch nach Art. 82 DSGVO aus. Dies begründet das LAG mit bereits aus der Rechtsprechung zur zentralen datenschutzrechtlichen Schadensersatznorm bekannten Argumenten einiger anderer Gerichte: Es fehle bei dem Verstoß an einer "Datenverarbeitung" und der Kläger habe nicht ausreichend zu einem immateriellen Schaden vorgetragen.

IV. CMS Veranstaltungen, spannende Blog-Beiträge und Weiteres