Datenschutz-Update (08/2024)

,

mit der heutigen Ausgabe unseres Datenschutz-Updates wollen wir Sie wieder über die aktuellen Entwicklungen im Datenschutzrecht informieren. Wie immer gehen wir auf aktuelle Urteile und Entscheidungen der Aufsichtsbehörden ein und berichten über die neuesten Veröffentlichungen der zuständigen Behörden und Gremien.

Viel Spaß bei der Lektüre wünschen Ihnen.

Inhalt:

I. Neues aus den Datenschutzbehörden und Aktuelles

1. KI-VO: Gesetzgebungsverfahren abgeschlossen

2. EDPB: Jahresbericht 2023 und Strategie für die Jahre 2024 bis 2027

3. EDPB: FAQ zum EU-US DPF

4. EDPB: Bericht über die Arbeit der ChatGPT-Taskforce

5. EDPB: Stellungnahme zu "Zustimmung oder Bezahlung-Modellen"

6. DSK: Orientierungshilfe KI und Datenschutz

7. Hamburg: Thesen zum Personenbezug in LLMs

8. Hamburg: Positionspapier zu Bewerberdatenschutz im Recruiting

9. Sachsen: Kontrolle von 30.000 Webseiten

10. BayLfD: Neue Orientierungshilfen

11. Brandenburg, Hessen, Niedersachsen, Saarland, Sachsen und Schleswig-Holstein: Tätigkeitsberichte 2023

12. NRW: Tätigkeitsbericht 2023 / geänderte Auffassung zur Anwendung des Fernmeldegeheimnisses bei privater E-Mail-Nutzung

13. Digitale-Dienste-Gesetz in Deutschland in Kraft getreten

14. Frankreich: Empfehlungen zur Entwicklung von KI-Systemen

II. Neue DSGVO-Bußgelder

1. Tschechien: Bußgeld in Höhe von EUR 13,9 Mio. wegen unrechtmäßiger Datenweitergabe

2. Italien: Bußgelder in Höhe von EUR 100.000 wegen Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung

3. Spanien: Bußgeld in Höhe von EUR 360.000 wegen unzureichender TOMs

4. Spanien: Bußgeld in Höhe von EUR 96.000 wegen unzureichender Zusammenarbeit mit der Datenschutzbehörde

5. Enforcement Tracker Report 2023/2024

III. Aktuelles aus der Rechtsprechung

1. EuGH: Verbandsklage wegen Verletzung von DSGVO-Rechten

2. EuGH: Entscheidung der Vorlage des AG Wesel zu Art. 82 DSGVO

3. EuGH: Entscheidung in den Scalable Capital-Verfahren zu Art. 82 DSGVO

4. Generalanwalt: Klagebefugnis von Wettbewerbern bei DSGVO-Verstößen

5. BGH: Nennung des Namens des Datenschutzbeauftragten nicht zwingend notwendig

6. Neues zum Social Media Scraping

7. LG München I: Abkehr von Rechtsprechung in Scalable Capital-Fällen

8. VG Magdeburg: Bestätigung des Verbots der Verarbeitung von Telefonnummern zu Werbezwecken für sog. Cold Calls

IV. Spannende Blog-Beiträge und Weiteres

I. Neues aus den Datenschutzbehörden und Aktuelles

1. KI-VO: Gesetzgebungsverfahren abgeschlossen

Das Gesetzgebungsverfahren der KI-Verordnung (KI-VO) ist abgeschlossen. Diese trat am 1. August 2024 in Kraft. Wir geben in unserem Blog einen Überblick über die zentralen Übergangsfristen: Ab wann die KI-VO gilt (cmshs-bloggt.de). Die Datenschutzbehörden haben bereits entsprechende Mitteilungen veröffentlicht und stellen sich auf ihre neuen Aufgaben ein, z.B.:

• Stellungnahme 3/2024 des Europäischen Datenschutzausschusses (European Data Protection Board, EDPB) zur Rolle der Datenschutzbehörden im Rahmen des Gesetzes über Künstliche Intelligenz (KI) vom 16. Juli 2024;
• Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 3. Mai 2024;
• Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) vom 12. Juli 2024;
• Q&A zur KI-VO der französischen Datenschutzbehörde (CNIL) vom 12. Juli 2024;
• Pressemitteilung der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) vom 25. Juli 2024;
• Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 1. August 2024.

2. EDPB: Jahresbericht 2023 und Strategie für die Jahre 2024 bis 2027
Ende April hat der EDPB seinen Jahresbericht 2023 vorgelegt. Der EDPB nutzt den Bericht, um u.a. auf seinen Guide für kleine und mittlere Unternehmen (KMU) sowie auf den EU-U.S. Data Privacy Framework (DPF) hinzuweisen. Zudem blickt der EDPB in die Zukunft und hat am 18. April 2024 seine Strategie für die Jahre 2024 bis 2027 angenommen, in der die in vier Säulen aufgeteilten Prioritäten sowie die jeweils wichtigsten Maßnahmen zur Erreichung dieser Ziele festgelegt werden. Bei den vier Säulen handelt es sich um (1) die Verbesserung der Harmonisierung und Förderung der Einhaltung der datenschutzrechtlichen Vorschriften, (2) die Stärkung einer gemeinsamen Durchsetzungskultur und einer wirksamen Zusammenarbeit, (3) die Gewährleistung des Datenschutzes in einer sich entwickelnden digitalen und regulierungsübergreifenden Landschaft sowie um (4) einen Beitrag zum globalen Dialog über den Datenschutz. Hierzu sollen neue Leitlinien entwickelt werden. Als Topthemen identifiziert der EDPB dabei u.a. die Plattform-Regulierung durch den Digital Markets Act (DMA) und den Digital Services Act (DSA) sowie die Verbreitung von KI.

3. EDPB: FAQ zum EU-US DPF

Seit Mitte Juli stellt der EDPB ein FAQ zum DPF für Einzelpersonen und eines für Unternehmen bereit. Diese enthalten Informationen zur Funktionsweise des DPF, zum Einreichen von Beschwerden und dem Beitritt zum DPF sowie der Datenübermittlung in die USA.

4. EDPB: Bericht über die Arbeit der ChatGPT-Taskforce
Der EDPB hat im Mai dieses Jahres den ersten und vorläufigen Bericht über die Arbeit der ChatGPT-Taskforce vorgelegt. Hinsichtlich des Data Scrapings und eines möglichen berechtigten Interesses hieran hebt die Taskforce ein hohes Risiko für die Rechte der Betroffenen hervor und weist auf die Notwendigkeit besonders hoher Maßnahmen zum Datenschutz hin. Auch zu Fairness, Transparenzpflichten und Datenrichtigkeit nimmt der Bericht Stellung.

5. EDPB: Stellungnahme zu "Zustimmung oder Bezahlung-Modellen"
Im Frühling dieses Jahres veröffentlichte der EDPB zudem eine Stellungnahme zum den sog. "Consent or Pay Models", in welcher der EDPB die Gültigkeit von Einwilligungen zur Verarbeitung personenbezogener Daten zum Zwecke der verhaltensbezogenen Werbung im Rahmen der von großen Online-Plattformen eingesetzten "Zustimmungs- oder Bezahlungsmodelle" behandelt (Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms). Der EDPB fordert, dass den Nutzerinnen und Nutzern hierbei echte Wahlmöglichkeiten gegeben werden und dass große Online-Plattformen bei der Entwicklung von Alternativen in Erwägung ziehen, Einzelpersonen eine gleichwertige zahlungsfreie Alternative zur Verfügung zu stellen. Unter anderem der Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) hat sich zu der Stellungnahme des EDPB geäußert und diese begrüßt, da Nutzerinnen und Nutzer nicht gezwungen sein sollten, "in tiefgreifendes Tracking ihres Verhaltens für personalisierte Werbung einzuwilligen oder alternativ für ein Abo zahlen zu müssen".

6. DSK: Orientierungshilfe KI und Datenschutz
Die DSK hat im Mai 2024 eine Orientierungshilfe zum Thema KI und Datenschutz veröffentlicht. Laut dazugehöriger Pressemitteilung vom 6. Mai 2024 soll die Orientierungshilfe für Unternehmen, Behörden und andere Organisationen einen Leitfaden für nach der DSGVO Verantwortliche bei der Auswahl, Implementierung und Nutzung von KI-Anwendungen darstellen. Erstmals nimmt die DSK auch Stellung zu generativen KI-Modellen wie Large Language Modells (LLMs). Die LDI NRW ordnet die Orientierungshilfe in einer Meldung vom 8. Mai 2024 als "praxisnah" ein (ebenso der LfD Niedersachsen).

Seit Juli 2024 stellt der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) den Orientierungshilfen-Navigator KI & Datenschutz (ONKIDA) bereit, der einen Überblick über die verschiedenen Materialien gibt.

Weiteres zum Thema KI und Datenschutz erfahren Sie auch hier: KI-Nutzung und datenschutzrechtliche Verantwortlichkeit (cmshs-bloggt.de).

7. Hamburg: Thesen zum Personenbezug in LLMs
Der HmbBfDI hat Mitte Juli drei Thesen zum Personenbezug in LLMs aufgestellt. Diese lauten:

• Die bloße Speicherung eines LLMs stelle mangels personenbezogener Daten keine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO dar. Erst bei Verarbeitung personenbezogener Daten in einem auf einem LLM basierenden KI-System sind die Verarbeitungsvorgänge und insb. deren Output an die Anforderungen der DSGVO anzupassen.
• Betroffenenrechte wie der Anspruch auf Auskunft, Löschung oder Berichtigung können sich auf den In- und Output eines KI-Systems beziehen, nicht auf das Modell selbst.
• Sofern LLMs mit personenbezogenen Daten trainiert werden, besteht die Pflicht der datenschutzkonformen Ausgestaltung und der Wahrung der Betroffenenrechte. Die Rechtmäßigkeit des Einsatzes eines LLMs in einem KI-System bleibt von datenschutzrechtlichen Verstößen im Rahmen des Trainings unberührt.

8. Hamburg: Positionspapier zu Bewerberdatenschutz im Recruiting
Am 6. Juni 2024 hat der HmbBfDI ein Positionspapier zum Thema Bewerberdatenschutz und Recruiting mit Bezug zu KI und Digitalisierung herausgegeben. Anlass für das Positionspapier ist die Entscheidung des Europäischen Gerichtshofs (EuGH) vom 30. März 2023 in der Rechtssache C-34/21 und die im Anschluss entfachte Diskussion um § 26 Abs. 1 BDSG. Der HmbBfDI weist darauf hin, dass im Bewerbungsprozess eine Vielzahl sensibler Daten anfalle und gibt u.a. Hinweise für den Einsatz KI-basierter Systeme im Recruiting-Prozess.

9. Sachsen: Kontrolle von 30.000 Webseiten
Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) gab mit Pressemitteilung vom 13. Juni 2024 bekannt, dass sie im Mai 2024 mithilfe eines IT-Labors ca. 30.000 sächsische Internetauftritte auf Datenschutzverstöße hin untersucht habe, u.a. zur Prüfung des Einsatzes des Webanalyse-Dienstes Google Analytics und einer entsprechenden Einwilligung. Die SDTB berichtet, über 2.000 Verstöße festgestellt und die betreffenden Unternehmen mit der Aufforderung angeschrieben zu haben, die DSGVO-Verstöße zu beseitigen und rechtswidrig erhobene Daten zu löschen. 

10. BayLfD: Neue Orientierungshilfen

Im Mai 2024 hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) eine Orientierungshilfe zum Data Governance Act (DGA) mit dem Titel "Daten-Governance-Rechtsakt: Auf dem Weg zu einem europäischen Binnenmarkt für Daten" herausgegeben. Die Orientierungshilfe stellt die drei großen Themen des DGA – Weiterverwendung bestimmter Kategorien geschützter Daten im Besitz öffentlicher Stellen, Datenvermittlungsdienste und das Thema Datenaltruismus – sowie deren rechtliche Rahmenbedingungen und ihr Verhältnis zur DSGVO dar. An einigen Stellen enthält das Papier Praxistipps für die Rechtsanwendung.

Außerdem hat der BayLfD eine neue Orientierungshilfe zu dem Thema "Gemeinsame Verantwortlichkeit" veröffentlicht. In dieser gibt der BayLfD Tipps und Handlungsempfehlungen rund um Art. 26 DSGVO. Außerdem wird die Rechtsprechung des EuGH dargestellt und die Gemeinsame Verantwortlichkeit anhand von Beispielen erläutert.

11. Brandenburg, Hessen, Niedersachsen, Saarland, Sachsen und Schleswig-Holstein: Tätigkeitsberichte 2023
Das Frühjahr 2024 nutzten einige der Behörden, um ihre Tätigkeitsberichte für das vorangegangene Jahr fertigzustellen und vorzustellen. Im Juni 2024 hat der LfD Niedersachsen den Tätigkeitsbericht für das Jahr 2023 vorgelegt. Sowohl in dem Jahr des Berichtszeitraums als auch in Zukunft sieht der LfD KI und Digitalisierung als einige der Schwerpunkte, aus denen sich neue Herausforderungen für den Datenschutz und ein gestiegener Beratungsbedarf ergeben. Der LfD meldet darüber hinaus eine gestiegene Zahl von Beschwerden und Datenschutzverletzungen.

Auch die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein hat im April den Tätigkeitsbericht für das Jahr 2023 vorgelegt. In diesem identifiziert sie die Verarbeitung von Gesundheitsdaten, Datenschutz in der Forschung, Drittstaaten-Datentransfers, Scoring, Chatkontrolle sowie den Beschäftigtendatenschutz als besonders relevante Themen. Ende April hat zudem die SDTB ihren Tätigkeitsbericht für das Jahr 2023 veröffentlicht. Die SDTB verzeichnet darin einen Zuwachs der gemeldeten Datenschutzverstöße von über 10 Prozent sowie einen Höchststand der bei der Behörde gemeldeten Datenpannen. Eine Zusammenfassung gibt die SDTB hierzu in einer Pressemitteilung vom 24. April 2024. Auch die saarländische Landesbeauftragte für Datenschutz und Informationsfreiheit meldet für das Unabhängige Datenschutzzentrum Saarland in ihrem Tätigkeitsbericht für das Jahr 2023 einen Höchststand der gemeldeten Datenpannen.

Zudem veröffentlichte die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht aus Brandenburg im Mai dieses Jahres den Tätigkeitsbericht für das Jahr 2023. Auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat im April dieses Jahres seinen Tätigkeitsbericht für das Jahr 2023 vorgelegt und identifiziert dabei u.a. KI und Scoring als besonders relevante datenschutzrechtliche Themen.

12. NRW: Tätigkeitsbericht 2023 / geänderte Auffassung zur Anwendung des Fernmeldegeheimnisses bei privater E-Mail-Nutzung
Außerdem hat die LDI NRW ihren Tätigkeitsbericht für das Jahr 2023 vorgelegt und insb. mit einem Thema für datenschutzrechtliches Aufsehen gesorgt: Dem Tätigkeitsbericht zufolge (Seite 76f.) sieht die LDI NRW den Arbeitgeber, der seinen Arbeitnehmenden die private Nutzung von Internet und E-Mail am Arbeitsplatz gestattet oder duldet, entgegen der bisherigen Einordnung der Datenschutzbehörden als nicht an das Fernmeldegeheimnis gebunden und in der Folge nicht als möglichen Adressaten des § 206 StGB an. Eine weitere Folge dieser Einschätzung der LDI NRW wäre, dass der Arbeitgeber für einen Zugriff auf die Daten nicht mehr auf die Einwilligung des Arbeitnehmers angewiesen sein dürfte, sondern dass hierfür ausschließlich die DSGVO gilt. Die LDI NRW empfiehlt allerdings, ausdrückliche Regelungen im Arbeitsverhältnis zu treffen.

Daneben waren auch die Themen KI und Cybersicherheit relevant für die LDI NRW im Jahr 2023. So seien ihren Schätzungen zufolge 58 Prozent der deutschen Unternehmen im vergangenen Jahr das Ziel eines Cyberangriffs gewesen.

13. Digitale-Dienste-Gesetz in Deutschland in Kraft getreten
Nachdem das Digitale-Dienste-Gesetz (DDG) nach der Ausfertigung durch den Bundespräsidenten im Rahmen eines Mantelgesetzes im Bundesgesetzblatt verkündet wurdet, trat dieses am 14. Mai 2024 in Kraft. Hierdurch wird Handlungsbedarf für Homepage-Betreiber ausgelöst, denn gleichzeitig tritt das Telemediengesetz (TMG) außer Kraft. Außerdem werden viele weitere Gesetze durch das Mantelgesetz angepasst. Unter anderem wird der Begriff der "Telemedien" ersetzt durch "Digitale Dienste", sodass sich der Name des TTDSG in TDDDG ändert (Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten). Zudem bestehen ab dem 14. Mai 2024 offiziell Bußgeldregelungen und eine Aufsicht für die Durchführung des DSA in Deutschland. Bleiben Sie zum DSA auf dem Laufenden mit unserem DSA News Hub (cmshs-bloggt.de). 

14. Frankreich: Empfehlungen zur Entwicklung von KI-Systemen
Die französische Aufsichtsbehörde (CNIL) hat am 7. Juni 2024 Empfehlungen zur Entwicklung von KI-Systemen veröffentlicht. Hiermit möchte die CNIL dabei unterstützen, Innovation und verantwortungsvollen Einsatz von KI insb. in datenschutzrechtlicher Hinsicht in Einklang zu bringen. Die Empfehlungen wurden gemeinsam mit öffentlichen und privaten Interessengruppen entwickelt und sollen u.a. bei der rechtlichen Einordnung und der Festlegung einer Rechtsgrundlage sowie bei Tests, Kontrollen und Technikfolgenabschätzungen unterstützen. Die Empfehlungen sind Teil der KI-Strategie der Behörde und sollen fortlaufend ergänzt werden. 

II. Neue DSGVO-Bußgelder

1. Tschechien: Bußgeld in Höhe von EUR 13,9 Mio. wegen unrechtmäßiger Datenweitergabe   

Im April dieses Jahres hat die tschechische Datenschutzbehörde ein Bußgeld in Höhe von EUR 13,9 Mio. gegen ein Unternehmen verhängt, das die personenbezogene Daten von rund 100 Mio. Nutzerinnen und Nutzern einer Software an ein US-Unternehmen weitergegeben hatte. Die Daten wurden einschließlich des pseudonymisierten Internet-Browserverlaufs in Verbindung mit einer eindeutigen ID übertragen und fälschlicherweise als anonymisiert deklariert. Die Betroffenen wurden bzgl. der Übermittlung anonymisierter Daten informiert. Tatsächlich handelte es sich nicht um anonymisierte Daten, da teilweise eine Identifizierung der betroffenen Personen möglich war. 

2. Italien: Bußgelder in Höhe von EUR 100.000 wegen Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung
Die italienische Datenschutzbehörde hat im April 2024 eine Geldbuße in Höhe von EUR 100.000 verhängt. Bei einer Untersuchung stellte diese fest, dass betroffene Personen ohne ihre Zustimmung oder trotz Eintragung in einem Widerspruchsregister Werbeanrufe im Namen des für die Verarbeitung Verantwortlichen erhielten. Die Datenschutzbehörde kam zu dem Schluss, dass der für die Verarbeitung Verantwortliche keine geeigneten technischen und organisatorischen Maßnahmen (TOMs) ergriffen hat, um sicherzustellen, dass die Verarbeitung der personenbezogenen Daten in der gesamten Kette in Übereinstimmung mit den Datenschutzbestimmungen erfolgte. Aus demselben Grund belegte die Behörde ein weiteres italienisches Unternehmen mit einem Bußgeld in derselben Höhe.

3. Spanien: Bußgeld in Höhe von EUR 360.000 wegen unzureichender TOMs  

Anfang Mai dieses Jahres hat die spanische Datenschutzbehörde ein Bußgeld in Höhe von EUR 360.000 gegen einen Finanzdienstleister verhängt. Bei dem für die Datenverarbeitung Verantwortlichen kam es zu einem Data Breach, der zu einem unrechtmäßigen Zugriff auf Kundenprofile führte. Während ihrer Untersuchung stellte die Datenschutzbehörde fest, dass der Verantwortliche es versäumt hatte, geeignete TOMs zum Schutz personenbezogener Daten zu ergreifen, um einen solchen Vorfall zu verhindern. Das ursprüngliche DSGVO-Bußgeld in Höhe von EUR 600.000 wurde aufgrund der freiwilligen Zahlung und Anerkennung der Verantwortung auf EUR 360.000 reduziert.

4. Spanien: Bußgeld in Höhe von EUR 96.000 wegen unzureichender Zusammenarbeit mit der Datenschutzbehörde
Die spanische Datenschutzbehörde hat im Mai dieses Jahres ein Unternehmen mit einem DSGVO-Bußgeld belegt, weil die von der Datenschutzbehörde angeforderten Informationen nicht zur Verfügung gestellt wurden. Nachdem sich das ursprüngliche Bußgeld auf eine Höhe von EUR 160.000 Euro belief, wurde dieses aufgrund der freiwilligen Zahlung und Anerkennung der Verantwortung auf einen Betrag in Höhe von EUR 96.000 reduziert.

5. Enforcement Tracker Report 2023/2024
Die neueste Ausgabe des CMS GDPR Enforcement Tracker Report 2023/2024 ist erschienen. Hier erhalten Sie eine Zusammenfassung sämtlicher nach der DSGVO ausgesprochenen und öffentlich bekannten Bußgelder der deutschen und weiteren europäischen Datenschutzbehörden, die sich in dem betrachteten Zeitraum auf insgesamt EUR 4,48 Mrd. belaufen.

III. Aktuelles aus der Rechtsprechung

1. EuGH: Verbandsklage wegen Verletzung von DSGVO-Rechten
In der vor dem EuGH anhängigen Rechtssache C-757/22, zu der seit dem 25. Januar 2024 die Schlussanträge des Generalanwalts vorliegen, hat der EuGH am 11. Juli 2024 das Urteil gesprochen. In derselben Sache hatte der EuGH bereits im Frühling 2022 (C-319/20) entschieden, dass eine Klage von Verbraucherschutzverbänden auch dann zulässig sei, wenn kein konkreter Auftrag eines Verbrauchers vorliege. Der BGH legte dem EuGH gegen Ende des Jahres 2022 mit Beschluss vom 10. November 2022 (I ZR 186/17) allerdings erneut eine Frage vor, die sich dieses Mal um die Voraussetzung "infolge einer Verarbeitung" des Art. 80 Abs. 2 DSGVO dreht. Hierzu wollte der BGH wissen, ob eine Rechtsverletzung "infolge einer Verarbeitung" geltend gemacht wird, wenn ein Verbraucherschutzverband eine Klage darauf stützt, die Rechte einer betroffenen Person seien durch nicht Erfüllung der Pflichten aus Art. 12 Abs. 1 S. 1 und Art. 13 Abs. 1 lit. c) und e) DSGVO verletzt. Der EuGH kommt, wie auch schon der EuGH-Generalanwalt in seinen Schlussanträgen, zu dem Ergebnis, dass Verbraucherschutzverbände die Verletzung von diesen Informationspflichten klageweise geltend machen können.

2. EuGH: Entscheidung der Vorlage des AG Wesel zu Art. 82 DSGVO

Mit zwei weiteren Entscheidungen hat der EuGH seine Rechtsprechung zu Art. 82 DSGVO fortgeführt. In einem Urteil vom 20. Juni 2024 hat der EuGH zu Vorlagefragen des AG Wesel entschieden (C‑590/22). In dem diesem Verfahren zugrundeliegenden Sachverhalt erfolgte eine versehentliche Versendung von Steuerunterlagen durch die beklagte Steuerberaterkanzlei an eine alte Adresse der klagenden Mandanten, obwohl diese der Beklagten ihre neue Adresse zuvor mitgeteilt hatte. Die Betroffenen fordern Schadensersatz nach Art. 82 DSGVO in Höhe von EUR 15.000.

Zu einigen Vorlagefragen konnte der EuGH auf seine Entscheidungen aus der jüngsten Vergangenheit verweisen und bestätigte erneut, dass allein ein DSGVO-Verstoß nicht ausreiche, um einen Schadensersatzanspruch gemäß Art. 82 DSGVO zu begründen. Vielmehr müsse ein kausal auf dem Verstoß beruhender Schaden durch den Betroffenen nachgewiesen werden, der allerdings keinen gewissen Schweregrad erreichen oder eine Erheblichkeitsschwelle überschreiten müsse. Auch könne nicht der für Bußgelder geltende Art. 83 DSGVO zur Auslegung von Art. 82 DSGVO herangezogen werden. Der EuGH wiederholte zudem seine Auffassung, dass Art. 82 DSGVO keine Abschreckungsfunktion zukomme.

In der Entscheidung führte der Gerichtshof zudem aus, dass es für den Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO ausreiche, die Befürchtung des Betroffenen, dass personenbezogenen Daten im Rahmen eines DSGVO-Verstoßes an Dritte weitergegeben wurden, sowie deren negativen Folgen ordnungsmäßig nachzuweisen. Dabei müsse nicht nachgewiesen werden, dass dies tatsächlich der Fall war. Darüber hinaus stellte der EuGH klar, dass bei der Bemessung des Betrags eines Anspruchs auf Schadenersatz gemäß Art. 82 DSGVO zugleich verwirklichte Verstöße gegen nationale Vorschriften, die sich zwar auf den Schutz personenbezogener Daten beziehen, aber nicht die Präzisierung der DSGVO bezwecken, unberücksichtigt bleiben sollten.

3. EuGH: Entscheidung in den Scalable Capital-Verfahren zu Art. 82 DSGVO
In den verbundenen Rechtssachen C-182/22 und C-189/22, die auf Vorlagefragen aus Deutschland zu den Scalable Capital-Fällen beruhen, hat der EuGH ebenfalls am 20. Juni 2024 ein Urteil gefällt. Die Vorlagen bezogen sich insb. auf die Fragen, ob für die Geltendmachung des immateriellen Schadensersatzes nach Art. 82 DSGVO ein Identitätsdiebstahl im Sinne des 75. und 85. Erwägungsgrunds der DSGVO erst dann zu bejahen sei, wenn die Identität des Betroffenen angenommen wurde, oder ob der Umstand, dass Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, zur Bejahung eines Identitätsdiebstahls ausreicht. In dem Verfahren liegen seit Oktober 2023 die Schlussanträge des Generalanwalts vor (wir berichteten in unserem Blog).

Ein Identitätsdiebstahl sei dem EuGH zufolge nur dann zu bejahen, wenn ein Dritter tatsächlich die Identität der betroffenen Person angenommen habe, wobei der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens gemäß Art. 82 DSGVO nicht auf die Fälle beschränkt werden könne, in denen nachgewiesen werde, dass der Diebstahl von Daten anschließend zu einem Identitätsdiebstahl oder Identitätsbetrug geführt habe. Der EuGH führt zu der Festlegung der Höhe eines für einen immateriellen Schaden geschuldeten Schadenersatzes gemäß Art. 82 Abs. 1 DSGVO außerdem aus, dass ein Schaden, der durch eine Verletzung des Schutzes personenbezogener Daten verursacht wurde, seiner Natur nach nicht weniger schwerwiegend als eine Körperverletzung sei. Sofern allerdings ein geringfügiger Schadensersatz geeignet ist, den erlittenen Schaden, dem die Schwere fehlt, in vollem Umfang auszugleichen, so stehe der Zuspruch dessen den nationalen Gerichten offen. Zu weiteren Vorlagefragen konnte der EuGH auch in diesem Verfahren auf seine vorherigen Urteile zu Art. 82 DSGVO verweisen.

Das LG München I hat mit Urteil vom 19. April 2024 in einem ähnlichen Fall entschieden (siehe hierzu unten). 

4. Generalanwalt: Klagebefugnis von Wettbewerbern bei DSGVO-Verstößen

In der vor dem EuGH anhängigen Rechtssache C‑21/23 liegen seit dem 25. April 2024 die Schlussanträge des zuständigen Generalanwalts vor. In diesem Verfahren geht es u.a. um die Frage, ob datenschutzrechtliche Verstöße durch Konkurrenten des nach der DSGVO Verantwortlichen über die Vorschriften des Gesetzes gegen den unlauteren Wettbewerb (UWG) statt durch betroffene Personen als Klagebefugte geltend gemacht werden können. Geklagt hatte jeweils ein Wettbewerber eines Apothekers mit Versandhandelserlaubnis, der nach dessen Ansicht gegen die DSGVO verstoße. Nach Einschätzung des Generalanwalts stehen die Bestimmungen des Kapitels VIII der DSGVO etwaigen nationalen Vorschriften, welche Unternehmen das Recht einräumen, sich auf Grundlage eines Verbots von Handlungen unlauteren Wettbewerbs darauf zu berufen, dass die Mitbewerber gegen die DSGVO verstoßen hätten, nicht entgegen.

In dem Verfahren geht es zudem um die Frage, ob bei einer Bestellung von nicht verschreibungs-, aber apothekenpflichtigen Arzneimitteln über eine Online-Plattform Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO übermittelt werden. Dies verneint der Generalanwalt in seinen Schlussanträgen, da hier lediglich hypothetische oder ungenaue Rückschlüsse auf den Gesundheitszustand des Bestellenden gezogen werden könnten. Ob sich der EuGH der Ansicht des Generalanwalts anschließen wird, bleibt abzuwarten. Die Vorlage an den EuGH stammt vom Bundesgerichtshof (BGH) (wir berichteten zu dem Thema: Verfolgung von datenschutzrechtlichen Verstößen durch Wettbewerber (cmshs-bloggt.de)).

5. BGH: Nennung des Namens des Datenschutzbeauftragten nicht zwingend notwendig
Mit Urteil vom 14. Mai 2024 (VI ZR 370/22) hat der BGH entschieden, dass bei der Mitteilung der Kontaktdaten des Datenschutzbeauftragten nach Art. 13 Abs. 1 lit. b) DSGVO die namentliche Nennung nicht zwingend sei, solange die Erreichbarkeit ohne Namensnennung gewährleistet bleibt. Ausreichend sei die Mitteilung der für die Erreichbarkeit der zuständigen Stelle erforderlichen Informationen.

6. Neues zum Social Media Scraping
Die meisten deutschen Gerichte sind in den sog. Social Media Scraping-Fällen unseren Auswertungen zufolge dazu übergegangen, die von den Klägern geltend gemachten Schadensersatzansprüche gemäß Art. 82 DSGVO mangels nachgewiesenen ersatzfähigen Schadens abzuweisen, weil dieser entweder in den Klageschriften lediglich durch wortgleiche Musterschreiben und mit Klauselbausteinen zur parallelen Verwendung in mehreren Verfahren oder durch Anhörung des Betroffenen durch das Gericht nicht individuell nachgewiesen werden konnte (so z.B. OLG Saarbrücken, Urteil vom 3. Mai 2024 – 5 U 72/23; OLG München, Urteil vom 24. April 2024 – 34 U 2306/23 e). Demgegenüber hat das OLG Oldenburg den Anspruch der Betroffenen gegen den Betreiber des Sozialen Netzwerks in einigen Fällen in Höhe von EUR 250 bejaht, da in diesen Fällen ein individueller ersatzfähiger Schaden nachgewiesen worden sei (vgl. OLG Oldenburg, Urteile vom 30. April 2024 – 13 U 108/23; 13 U 89/23; 13 U 109/23). Mit Urteilen vom 16. April 2024, die einen Anspruch des Betroffenen in vergleichbaren Fällen ablehnten, betonte OLG Oldenburg noch, dass für den Schadensersatzanspruch allein das Betroffensein von dem Scraping-Vorfall nicht ausreiche (13 U 59/23; 13 U 79/23; 13 U 60/23).

Zeitnah wird der BGH zu den Social Media Scraping-Fällen entscheiden: Zunächst steht am 8. Oktober 2024 der Verhandlungstermin in dem Verfahren VI ZR 22/24 an. Bei den Vorinstanzen handelt es sich um die Entscheidungen des OLG Stuttgart (Urteil vom 13. Dezember 2023 – 4 U 51/23) und des OLG Köln (Urteil vom 7. Dezember 2023 – 15 U 108/23). Das OLG Stuttgart hatte lediglich festgestellt, dass künftige kausal auf das Scraping zurückzuführende Schäden zu ersetzen seien, während das OLG Köln den Schadensersatzanspruch in einem vergleichbaren Fall insgesamt ablehnte.

Mit unserer laufend aktualisierten Tabelle zur Rechtsprechung zu dem Anspruch aus Art. 82 DSGVO bleiben Sie stets über die neuesten Entwicklungen informiert: DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert) (cmshs-bloggt.de).

7. LG München I: Abkehr von Rechtsprechung in Scalable Capital-Fällen

Das LG München I hat sich mit Urteil vom 19. April 2024 (31 O 2122/23) von seiner vergangenen Rechtsprechung in den sog. Scalable Capital-Fällen abgewendet. Diesen Fällen lag der folgende Sachverhalt zugrunde: Bei einem Betreiber einer Webseite, der u.a. Wertpapier- und Brokeragedienstleistungen anbietet, kam es zu einem Abfluss personenbezogener Daten aufgrund eines Datenlecks. Zu diesem Datenabfluss kam es u.a. nachdem Admin-Passwörter nach Beendigung von Vertragsbeziehungen zu einem IT-Dienstleister nicht geändert wurden. Dieser Dienstleister wurde im Nachgang zum Ziel eines Hackerangriffs, woraufhin die personenbezogenen Daten von über 30.000 Kunden im Darknet angeboten wurden.

Während das LG München I mit Urteil vom 9. Dezember 2021 (31 O 16606/20) vor über zwei Jahren noch einen Schadensersatzanspruch eines Betroffenen gemäß Art. 82 DSGVO in Höhe von EUR 2.500 bejahte (wir berichteten in unserem Blog), verneinte es in dem o.g. Urteil aus April dieses Jahres den Anspruch nun mangels Nachweises eines Schadens, der sich kausal auf den Datenvorfall zurückführen lasse. Das LG führt hierzu aus, dass formelhafte allgemeine Ausführungen, welche in mehreren Gerichtsverfahren wortgleich vorgebracht werden, nicht ausreichten. Es sei beispielsweise gerichtsbekannt, dass auch Personen, die nicht Kunde des Beklagten seien, unerwünschte Kontaktversuche, Kurznachrichten oder betrügerische Anrufe erhielten, sodass hierin kein kausal nachgewiesener Schaden zu sehen sei. Anhaltspunkte für einen erlittenen Kontrollverlust bzgl. Daten, über die der Kläger bis zu dem Vorfall die Kontrolle gehabt hätte, seien laut LG München I nicht ersichtlich, während unangenehme Gefühle und bloße Unannehmlichkeiten keine haftungsrelevante Beeinträchtigung seien. Zudem stehe der Behauptung eines erlittenen immateriellen Schadens entgegen, dass der Kläger weiterhin Kunde des Beklagten sei. Auf diese Abkehr von der eigenen Rechtsprechung aus dem Jahr 2021 geht das LG München I in dem neuen Urteil aus 2024 nicht weiter ausdrücklich ein.

8. VG Magdeburg: Bestätigung des Verbots der Verarbeitung von Telefonnummern zu Werbezwecken für sog. Cold Calls 

Der sächsische Landesbeauftragte hatte einem Portalbetreiber mit Anordnung untersagt, die Telefonnummern natürlicher Personen zu Werbezwecken zu verarbeiten und diese anzurufen, sofern keine vorherige Einwilligung vorliegt oder sich der Betreiber nicht aufgrund konkreter Umstände auf ein sachliches Interesse der Personen berufen könne. Der Betreiber hatte Anbieter von Ferienunterkünften, die in keinem Verhältnis zu der Plattform standen, mit dem Ziel kontaktiert, dass diese auf dem Portal Inserate veröffentlichen. Die Anordnung des Landesbeauftragten hat das Verwaltungsgericht (VG) Magdeburg im Juni 2024 bestätigt. Der Landesbeauftragte und nun auch das VG sahen weder eine ausdrückliche noch eine mutmaßliche Einwilligung, insb. liege kein Interesse dahingehend vor, auf gerade der in Frage stehenden Plattform Inserate zu veröffentlichen.

IV. Spannende Blog-Beiträge und Weiteres

1. CMS Client Academy | Einführung in den Datenschutz | E-Learning.

2. CMS GDPR Enforcement Tracker Report 2023/2024.

3. Art. 82 DSGVO: Haftungsfalle datenschutzrechtlicher Auskunftsanspruch (cmshs-bloggt.de).

4. Umfang und Umsetzung des datenschutzrechtlichen Auskunftsanspruchs (cmshs-bloggt.de).

5. Datenschutzrechtliche Fallstricke interner Ermittlungen (cmshs-bloggt.de).

6. Podcast: CMS To Go – Virtuelle Welten, Metaverse, KI: Rechtliche Fragestellungen.

7. Neues in unserer CMS Blog-Serie KI: Ab wann die KI-VO gilt (cmshs-bloggt.de); Viel hilft viel (?): Die KI-Governance Struktur nach der KI-VO  (cmshs-bloggt.de) und Durchsetzung der KI-VO auf europäischer Ebene: EU AI Office (cmshs-bloggt.de).

8. Unsere Übersicht zur Rechtsprechung zum DSGVO-Schadensersatz wurde aktualisiert: DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert) (cmshs-bloggt.de).