|
Inhalt:
I. Neues aus den Datenschutzbehörden und Aktuelles
1. EDPB: Koordinierte Aktion im Jahr 2025
2. EDPB: Leitlinien zur Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 lit. f) DSGVO
3. EDSA: Neue Leitlinien zu Art. 5 Abs. 3 ePrivacy-Richtlinie
4. EU-Kommission: Bericht über das EU-US-DPF
5. Bundestag: Verordnung zu Cookies auf Webseiten
6. Neuer Referentenentwurf: Beschäftigtendatengesetz
7. DSK: Neue Orientierungshilfe und Beschluss
8. Niedersachsen: Stabsstelle für KI
9. Rheinland-Pfalz: Informationskampagne zur datenschutzrechtlichen Notwendigkeit eines Gastzugangs
10. Baden-Württemberg: FAQ zu Deceptive Design Patterns
11. Bayern, Berlin, Rheinland-Pfalz und Thüringen: Tätigkeitsbericht 2023
II. Neue DSGVO-Bußgelder
1. Niederlande: Bußgeld in Höhe von EUR 290 Mio. wegen Nichteinhal-tung der allgemeinen Grundsätze der Datenverarbeitung
2. Irland: Bußgeld in Höhe von EUR 91 Mio. wegen unzureichender TOM
3. Niederlande: Bußgeld in Höhe von EUR 30,5 Mio. wegen Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung
4. Schweden: Bußgeld in Höhe von EUR 3,2 Mio. wegen unzureichender TOM
5. Norwegen: Bußgeld in Höhe von EUR 20.900 wegen unzureichender Rechtsgrundlage für die Datenverarbeitung
6. Rumänien: Bußgeld in Höhe von EUR 1.000 wegen unzureichender Zusammenarbeit mit der Aufsichtsbehörde
III. Aktuelles aus der Rechtsprechung
1. EuGH: Zum Begriff des „berechtigten Interesses“
2. EuGH: Keine zeitlich unbegrenzte und uneingeschränkte Verwendung von Daten durch Social Media Netzwerk
3. EuGH: Neues zum DSGVO-Schadensersatz
4. EuGH: Klagebefugnis von Wettbewerbern bei DSGVO-Verstößen
5. EuGH: Zur Verpflichtung der Aufsichtsbehörden, Abhilfemaßnahmen zu ergreifen und Bußgelder zu verhängen
6. BGH: Neues zum Social Media Scraping
IV. CMS Veranstaltungen, spannende Blog-Beiträge und Weiteres
I. Neues aus den Datenschutzbehörden und Aktuelles
1. EDPB: Koordinierte Aktion im Jahr 2025
Der Europäische Datenschutzausschuss (EDPB) hat im Oktober 2024 das Thema für die nächste Koordinierte Aktion der Datenschutzbehörden bekannt gegeben. Im Jahr 2025 werde man sich demnach auf die Umsetzung des Rechts auf Löschung gemäß Art. 17 DSGVO, das sog. „Recht auf Vergessenwerden“, durch die für die Verarbeitung Verantwortlichen befassen. Im Rahmen der Aktion sollen die von Verantwortlichen eingerichteten Prozesse analysiert und verglichen werden, um die wichtigsten Probleme bei der Einhaltung dieses Rechts zu identifizieren und um einen Überblick über Best Practices zu erhalten. Die Aktion solle im ersten Halbjahr 2025 starten. Zuvor war u.a. bereits das Auskunftsrecht aus Art. 15 DSGVO einer der Schwerpunkte der Koordinierten Aktionen der Aufsichtsbehörden.
2. EDPB: Leitlinien zur Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 lit. f) DSGVO
Am 8. Oktober 2024 hat der EDPB seine neuen Guidelines zur Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 lit. f) DSGVO zur öffentlichen Konsultation vorgelegt. Diese Leitlinien sind von entscheidender Bedeutung und enthalten Kriterien für Unternehmen, die personenbezogene Daten auf der Grundlage berechtigter Interessen verarbeiten, für Abwägungsprüfungen und für die Bewertung rechtlicher Interessen. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) begrüßte die Leitlinien in einer Pressemitteilung und erhoffe sich mehr Rechtssicherheit u.a. für Unternehmen. Interessant zu dem Thema ist außerdem das Urteil des Europäischen Gerichtshofs (EuGH) vom 4. Oktober in der Rechtssache C‑621/22 (mehr dazu unten).
3. EDSA: Neue Leitlinien zu Art. 5 Abs. 3 ePrivacy-Richtlinie
Zur Ergänzung vergangener Leitlinien hat der Europäische Datenschutzausschuss (EDSA) neue Leitlinien zu Art. 5 Abs. 3 der ePrivacy-Richtlinie zu der Speicherung und dem Zugriff auf Informationen in Nutzer-Endgeräten wie z.B. durch Cookies oder andere Tracking-Technologien verfasst. In den Leitlinien befasst sich der EDSA u.a. mit „use cases“ wie URL und pixel tracking sowie mit allgemeinen Begriffen wie z.B. dem der „Information“.
4. EU-Kommission: Bericht über das EU-US-DPF
Nachdem durch das EU-US Data Privacy Framework (EU-US-DPF) sichergestellt werden soll, dass personenbezogene Daten aufgrund des Angemessenheitsbeschlusses ungehindert aus der EU an teilnehmende US-Unternehmen übermittelt werden können, hat die EU-Kommission am 9. Oktober 2024 den Bericht zum EU-US-DPF angenommen. Innerhalb einer periodischen Überprüfung soll sichergestellt werden, dass sämtliche Bestandteile funktionieren. Der Bericht stellt die Ergebnisse dieser ersten periodischen Prüfung dar und kommt zu dem Ergebnis, dass die US-Behörden die notwendigen Strukturen und Prozesse installiert haben und das DPF effektiv funktioniere. Die EU-Kommission wird die relevanten Entwicklungen weiterhin monitoren.
5. Bundestag: Verordnung zu Cookies auf Webseiten
Am 17. Oktober 2024 hat der Bundestag der „Verordnung der Bundesregierung nach § 26 Abs. 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes und zur Änderung der Besonderen Gebührenverordnung Telekommunikation“ zugestimmt. Mithilfe der Verordnung sollen anwenderfreundliche anerkannte Dienste zur Einwilligungsverwaltung geschaffen werden, um die getroffenen Entscheidungen der Nutzer zur Einwilligung oder Nicht-Einwilligung gegenüber einem Anbieter digitaler Dienste verwalten zu können.
6. Neuer Referentenentwurf: Beschäftigtendatengesetz
Mit Bearbeitungsstand vom 8. Oktober 2024 liegt ein Referentenentwurf des Bundesministeriums für Arbeit und Soziales und des Bundesministeriums des Innern und für Heimat für ein „Gesetz zur Stärkung eines fairen Umgangs mit Beschäftigtendaten und für mehr Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt“ vor – das Beschäftigtendatengesetz (BeschDG). Das Gesetz soll der fortschreitenden Digitalisierung der Arbeitswelt Rechnung tragen und insbesondere dazu dienen, personenbezogene Daten von Mitarbeitern und in der Recruiting-Phase bei zunehmendem Einsatz von Künstlicher Intelligenz (KI) und anderen Technologien zu schützen. Der Entwurf sieht Informationspflichten von Arbeitgebern und Anforderungen an die Einwilligung in die Datenverarbeitung vor.
7. DSK: Neue Orientierungshilfe und Beschluss
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich in einem Beschluss vom 11. September 2024 zu Übermittlungen personenbezogener Daten an Erwerber eines Unternehmens im Rahmen eines Asset-Deals geäußert und damit ihren Beschluss aus dem Jahr 2019 ersetzt. In dem Beschluss erläutert die DSK die Voraussetzungen, unter denen eine Datenübermittlung zu verschiedenen Zeitpunkten eines Unternehmenskaufs erfolgen darf.
Außerdem hat die DSK im August 2024 eine neue Orientierungshilfe zum Thema „Datenverarbeitung im Zusammenhang mit funkbasierten Zählern“ veröffentlicht, die als Hilfestellung für die rechtmäßige Datenverarbeitung beim Einsatz der Zähler dienen soll. Die Orientierungshilfe gibt Auskunft u.a. über mögliche Rechtsgrundlagen bei dem Einsatz von Zählern für Strom, Heizung und Wasser sowie über Sicherheitsmaßnahmen und Speicherdauer. Zum Thema Smart Meter fahren Sie auch mehr in unserem Blog: Digitalisierung der Energiewende–Neustart für Smart Meter?
8. Niedersachsen: Stabsstelle für KI Der Landesbeauftragte für den Datenschutz Niedersachsen hat in der Behörde eine Stabsstelle für KI eingerichtet, welche die Verbreitung und Nutzung von KI datenschutzrechtlich begleiten und den mit dem Datenschutzrecht im Einklang erfolgenden Einsatz von KI sicherstellen soll. Im Mittelpunkt stünde hier die faire, transparente und rechtskonforme Nutzung, um personenbezogene Daten in einer zunehmend digitalisierten Welt zu sichern. Als Kompetenzzentrum soll die Stabstelle zum einen für Fragen zu KI zur Verfügung stehen und mit Behörden, Wissenschaft sowie mit privaten und öffentlichen Stellen zusammenarbeiten, wobei die Schwerpunkte auf der Entwicklung sog. „Leitplanken“ zur Nutzung und Prüfung von KI, Forschungsprojektbegleitung und Risikobewertung liegen sollen. Zum anderen sei die Sensibilisierung der Einrichtungen für die mit dem Einsatz von KI im Zusammenhang stehenden Risiken eine weitere maßgebliche Aufgabe der Stabstelle.
9. Rheinland-Pfalz: Informationskampagne zur datenschutzrechtlichen Notwendigkeit eines Gastzugangs
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat im August dieses Jahres eine Informationskampagne für rheinland-pfälzische Online-Shops veranstaltet, wobei auf den Grundsatz der Datensparsamkeit und auf die datenschutzrechtliche Notwendigkeit eines Gastzugangs aufgrund der Art. 5f. DSGVO hingewiesen wurde. Zuvor hatte die Behörde stichprobenartig Online-Shops kontrolliert und diese bei Verstößen informatorisch angeschrieben. Der Landesbeauftragte wies darauf hin, dass jeder zehnte der überprüften Online-Shops dahingehende Mängel aufwies. Die Pressemitteilung des Landesbeauftragten vom 28. August 2024 finden Sie hier. Mehr zu dem Thema erfahren Sie auch in unserem Blog: Pflicht zur Einrichtung eines Gastzugangs im Online-Handel? (cmshs-bloggt.de).
10. Baden-Württemberg: FAQ zu Deceptive Design Patterns
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hat im Oktober 2024 ein FAQ zu Deceptive Design Patterns veröffentlicht, also zu trügerischen Gestaltungsmustern auf Benutzeroberflächen, um Nutzer zu bestimmten Verhaltensweisen wie z.B. der Erteilung einer datenschutzrechtlichen Einwilligung zu verleiten. Dies erfolgt z.B. über das Interface-Design durch eine bestimmte Farbwahl oder die Platzierung von Inhalten. Die Leitlinien des LfDI enthalten neben allgemeinen Informationen u.a. Ausführungen zum Overloading, Skipping und Stirring und schließen sich an die Leitlinien zum Umgang mit Deceptive Design Patterns des EDSA aus dem Jahr 2023 an.
11. Bayern, Berlin, Rheinland-Pfalz und Thüringen: Tätigkeitsbericht 2023
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat im September dieses Jahres den Tätigkeitsbericht für 2023 vorgestellt. Neben KI hat sich die Behörde im vergangenen Jahr u.a. auf Themen wie Personaldatenschutz oder die Folgen des Angemessenheitsbeschlusses zum EU-US-DPF für Verantwortliche des bayerischen öffentlichen Sektors konzentriert. Auch der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) hat im September den Tätigkeitsbericht für 2023 vorgelegt, in dem dieser die Schwerpunkte wie Digitalisierung, KI und Videoüberwachung identifiziert. Die Zahl der Bußgeldverfahren sei im Vergleich zum Vorjahr leicht gestiegen. Der Tätigkeitsbericht 2023 der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) benennt ebenfalls den großen Einfluss von KI und Digitalisierung auf die Arbeit der Behörde.
In Rheinland-Pfalz wurde der Tätigkeitsbericht für 2023 des Landesbeauftragten für den Datenschutz und die Informationsfreiheit im Oktober dieses Jahres vorgestellt. Auch hier stand das Thema KI im Mittelpunkt. Die Anzahl der Daten-Vorfälle und Beschwerden ordnet der Landesbeauftragte als weiterhin hoch ein.
II. Neue DSGVO-Bußgelder
1. Niederlande: Bußgeld in Höhe von EUR 290 Mio. wegen Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung
Die niederländische Datenschutzbehörde ein Bußgeld in Höhe von EUR 290 Mio. gegen ein Personenbeförderungsunternehmen wegen Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung verhängt. Grund hierfür sei der Behörde zufolge, dass das Unternehmen während eines Zeitraums von zwei Jahren personenbezogene Daten europäischer Fahrer wie Standortinformationen, Zahlungsdetails, Ausweisdokumente und Gesundheitsdaten ohne ausreichende Datenschutzvorkehrungen in die USA übermittelt und auf US-Servern gespeichert habe. Hierfür seien in dem betroffenen Zeitraum keine ausreichenden Garantien wie die sog. Standardvertragsklauseln (SCC) verwendet worden. Erst seit Anwendung des EU-US-DPF sei die Übermittlung abgesichert gewesen.
2. Irland: Bußgeld in Höhe von EUR 91 Mio. wegen unzureichender TOM In Irland ist Meta Platforms Adressat eines Bußgeldes in Höhe von EUR 91 Mio. wegen fehlender geeigneter technischer und organisatorischer Maßnahmen (TOM) geworden. Der irischen Datenschutzbehörde zufolge seien Benutzerpasswörter unverschlüsselt auf internen Systemen gespeichert worden, allerdings ohne dass externe Parteien Zugriff auf diese Kennwörter hatten.
3. Niederlande: Bußgeld in Höhe von EUR 30,5 Mio. wegen Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung
Gegen ein Unternehmen für Gesichtserkennungssoftware wurde in den Niederlanden ein Bußgeld in Höhe von EUR 30,5 Mio. ausgesprochen, nachdem die Datenschutzbehörde festgestellt hatte, dass in dem Unternehmen durch Social Media-Scraping erlangte personenbezogene Daten in einer Datenbank mit über 30 Milliarden Bildern unrechtmäßig, ohne gültig Rechtsgrundlage und unter Verstoß gegen das Transparenzgebot verarbeiten worden seien. Auch Betroffenenrechte und die Pflicht, einen Vertreter innerhalb der EU zu benennen, seien nicht ordnungsgemäß erfüllt worden.
4. Schweden: Bußgeld in Höhe von EUR 3,2 Mio. wegen unzureichender TOM Die schwedische Datenschutzbehörde hat gegen einen Arzneimittelhändler ein DSGVO-Bußgeld in Höhe von EUR 3,2 Mio. verhängt. Der für die Verarbeitung Verantwortliche hatte auf seiner Internetseite sog. Meta-Pixel verwendet, welche aufgrund falscher Einstellungen dazu führten, dass personenbezogene Daten von Kunden an Meta übermittelt wurden. Ziel des Einsatzes des Tools war die Verbesserung des Marketings und nicht die Datenübermittlung. Während ihrer Untersuchung stellte die Datenschutzbehörde fest, dass der für die Verarbeitung Verantwortliche es versäumt hatte, geeignete TOM zum Schutz personenbezogener Daten zu ergreifen, um einen solchen Vorfall zu vermeiden.
5. Norwegen: Bußgeld in Höhe von EUR 20.900 wegen unzureichender Rechtsgrundlage für die Datenverarbeitung
Im September dieses Jahres hat die norwegische Datenschutzbehörde eine Gemeinde mit einer Bußgeld in Höhe von EUR 20.900 belegt, nachdem diese zwei ehemaligen Mitarbeitern Zugang zu einer Whistleblower-Meldung gewährt hatte, ohne sensible Gesundheits- und Finanzdaten zu schwärzen. Die Datenschutzbehörde stellte fest, dass sich die Gemeinde auf keine Rechtsgrundlage für die Verarbeitung dieser Informationen berufen konnte und zuvor vertrauliche Informationen über den Hinweisgeber veröffentlicht hatte.
6. Rumänien: Bußgeld in Höhe von EUR 1.000 wegen unzureichender Zusammenarbeit mit der Aufsichtsbehörde
Die rumänische Datenschutzbehörde hat gegen ein dort ansässiges Unternehmen ein Bußgeld in Höhe von EUR 1.000 nach der DSGVO verhängt, weil das Unternehmen von der Datenschutzbehörde angeforderte Informationen nicht zur Verfügung gestellt hat.
III. Aktuelles aus der Rechtsprechung
1. EuGH: Zum Begriff des „berechtigten Interesses“
In der Rechtssache C‑621/22 hat der EuGH mit Urteil vom 4. Oktober 2024 entschieden, dass Art. 6 Abs. 1 Unterabs. 1 lit. f) DSGVO dahingehend auszulegen ist, dass eine Verarbeitung personenbezogener Daten, die darin besteht, personenbezogene Daten der Mitglieder eines Sportverbands in Verfolgung des wirtschaftlichen Interesses des Verantwortlichen gegen Entgelt offenzulegen, lediglich dann als erforderlich zur Wahrung berechtigter Interessen des Verantwortlichen angesehen werden kann, wenn eine absolute Notwendigkeit der Verarbeitung zur Verwirklichung des in Rede stehenden berechtigten Interesses besteht. Zudem dürfen dem EuGH zufolge die Interessen oder Grundrechte und Grundfreiheiten der Mitglieder gegenüber dem berechtigten Interesse in Anbetracht aller relevanten Umstände nicht überwiegen. Der EuGH stellt außerdem fest, dass Art. 6 Abs. 1 Unterabs. 1 lit. f) DSGVO nicht verlangt, dass ein solches Interesse gesetzlich bestimmt wird, aber die Vorschrift erfordert dem Gerichtshof zufolge dennoch, dass das geltend gemachte berechtigte Interesse rechtmäßig ist. Damit schließt sich der EuGH einer nicht sehr engen Auslegung der Vorschrift und des Begriffs der „berechtigten Interessen“ an.
Bereits in seinem Urteil vom 12. September 2024 (C‑17/22 und C‑18/22) hat der EuGH betont, dass eine Verarbeitung nur dann auf ein berechtigtes Interesse gestützt werden kann, wenn die Verarbeitung zur Verwirklichung des berechtigten Interesses absolut notwendig ist und die Interessen bzw. Grundrechte und -freiheiten des Betroffenen das berechtigte Interesse des Verantwortlichen unter Würdigung aller Umstände nicht überwiegen.
2. EuGH: Keine zeitlich unbegrenzte und uneingeschränkte Verwendung von Daten durch Social Media Netzwerk
Mit Urteil vom 4. Oktober 2024 (C-446/21) hat der EuGH in einem durch den Datenschutzaktivisten Maximilian Schrems angestoßenen Verfahren entschieden, dass ein soziales Online-Netzwerk nicht sämtliche personenbezogenen Daten, die dieses zum Zwecke zielgerichteter Werbung erhalten hat, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art verwenden darf. Laut EuGH steht dies dem Grundsatz der Datenminimierung entgegen. Nicht ausgeschlossen sei, dass auf einer Podiumsdiskussion getätigte Aussagen zur sexuellen Orientierung offensichtlich öffentlich gemacht wurden, was allerdings das zuständige Gericht in Österreich zu beurteilen habe. Dass ein Betroffener Daten zu seiner sexuellen Orientierung offensichtlich öffentlich gemacht hat, führe dem EuGH zwar dazu, dass die Daten unter Einhaltung der DSGVO verarbeitet werden können, was aber nicht allein dazu berechtige, andere personenbezogene Daten zu verarbeiten, die sich auf die sexuelle Orientierung dieser Person beziehen. Die Stellungnahme der Organisation NOYB, der Maximilian Schrems angehört, zu dem Verfahren finden Sie hier.
3. EuGH: Neues zum DSGVO-Schadensersatz
Nachdem sich der EuGH in der vergangenen Zeit wiederholt zum Schadensersatz nach Art. 82 DSGVO geäußert hat, stand im Oktober 2024 in einem weiteren Verfahren eine Entscheidung des Gerichtshofs zu Vorlagefragen aus Lettland in der Rechtssache C-507/23 an. Hierzu hat der EuGH entschieden, dass Art. 82 DSGVO dahin auszulegen ist, dass eine Entschuldigung einen angemessenen Ersatz eines immateriellen Schadens darstellen kann. Dies sei insb. dann der Fall, wenn die Wiederherstellung der Lage vor Schadenseintritt nicht mehr möglich ist, und sofern diese Form des Schadenersatzes – vor dem Hintergrund der Ausgleichsfunktion der Norm – geeignet ist, den der betroffenen Person entstandenen Schaden in vollem Umfang auszugleichen. Nicht möglich sei es, die Haltung und die Beweggründe des Verantwortlichen zu berücksichtigen, um dem Betroffenen gegebenenfalls einen Schadenersatz in einer Höhe zu gewähren, die geringer ist als der konkret entstandene Schaden.
Auch zum Begriff des Kontrollverlustes hat sich der EuGH geäußert: Laut eines Urteils des Gerichtshofs vom 4. Oktober 2024 (C-200/23) ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass ein Kontrollverlust, der für einen begrenzten Zeitraum andauerte und den ein Betroffener aufgrund einer online erfolgten Zugänglichmachung von Daten in einem Handelsregister eines Mitgliedsstaats erlitten hat, einen immateriellen Schaden darstellen kann. Dies setzt aber voraus, dass der Betroffene den Nachweis erbringt, dass der Schaden – so minimal er auch sein möge – tatsächlich erlitten worden ist. Das bedeute aber nicht, dass der Begriff des immateriellen Schadens den Nachweis des Vorliegens zusätzlicher konkreter nachteiliger Folgen erfordert, so der EuGH weiter.
4. EuGH: Klagebefugnis von Wettbewerbern bei DSGVO-Verstößen
In der Rechtssache C‑21/23 lagen seit dem 25. April 2024 die Schlussanträge des zuständigen Generalanwalts vor. Nun hat der EuGH im Oktober sein Urteil gefällt. In diesem Verfahren geht es u.a. um die Frage, ob datenschutzrechtliche Verstöße durch Konkurrenten des nach der DSGVO Verantwortlichen über die Vorschriften des Gesetzes gegen den unlauteren Wettbewerb (UWG) statt durch betroffene Personen als Klagebefugte geltend gemacht werden können. Hierzu hat der EuGH nunmehr entschieden, dass die EU-Mitgliedstaaten Mitbewerbern eines mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Möglichkeit einräumen können, diesen Verstoß als verbotene unlautere Geschäftspraxis gerichtlich zu beanstanden. Geklagt hatte jeweils ein Wettbewerber eines Apothekers mit Versandhandelserlaubnis, da dieser nach dessen Ansicht gegen die DSGVO verstoße. Der EuGH bejahte zudem die Frage, ob bei einer Bestellung von nicht verschreibungs-, aber apothekenpflichtigen Arzneimitteln über eine Online-Plattform Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO übermittelt werden.
5. EuGH: Zur Verpflichtung der Aufsichtsbehörden, Abhilfemaßnahmen zu ergreifen und Bußgelder zu verhängen
Mit Urteil vom 26. September 2024 hat sich der EuGH auf Vorlagefragen aus Deutschland in der Rechtssache C-768/21 zur Pflicht von Aufsichtsbehörden geäußert, bei DSGVO-Verstößen Abhilfemaßnahmen gemäß Art. 58 Abs. 2 DSGVO zu ergreifen und Bußgelder zu verhängen. Eine solche Pflicht, in jedem Fall zu Maßnahmen oder Bußgeldern zu greifen, hat der EuGH verneint. Insbesondere können Aufsichtsbehörden dem Gerichtshof zufolge hiervon absehen, wenn die erforderlichen Maßnahmen bereits durch den Verantwortlichen von sich aus ergriffen wurden. In diesem Fall ging es um eine Bank-Mitarbeiterin, die wiederholt unbefugt auf personenbezogene Kundendaten zugriffen hatte, worüber die Bank den Kunden nicht informierte, aber u.a. Disziplinarmaßnahmen gegen die Mitarbeiterin einleitete und den Vorfall bei der zuständigen Datenschutzbehörde meldete. Der betroffene Kunde erlangte Kenntnis von dem Vorfall und verlangte ein Einschreiten der Datenschutzbehörde. Der EuGH stärkte nun den Ermessenspielraum der Behörde in diesen Fällen, was aber stets vor dem Hintergrund der Gewährleistung eines gleichmäßigen und hohen Schutzniveaus zu sehen sei. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit begrüßt in seiner dazugehörigen Pressemitteilung vom 26. September 2024 die Entscheidung des EuGH und betont, dass hierdurch ein positiver Anreiz zur Überwachung der Einhaltung von Datenschutzvorgaben und zur unmittelbaren Reaktion bei Verletzungen gesetzt werde.
6. BGH: Neues zum Social Media Scraping
Der vor dem BGH für den 8. Oktober 2024 geplante Verhandlungstermin zu den Social Media Scraping-Fällen in den Verfahren VI ZR 7/24 und VI ZR 22/24 ist aufgehoben, da die Revisionen in beiden Verfahren zurückgenommen wurden. Bei den Vorinstanzen handelte es sich um die Entscheidungen des OLG Stuttgart (Urteil vom 13. Dezember 2023 – 4 U 51/23) und des OLG Köln (Urteil vom 7. Dezember 2023 – 15 U 108/23) zu den sog. Scraping-Fällen auf einer Social Media-Plattform. Das OLG Stuttgart hatte festgestellt, dass künftige kausal auf das Scraping zurückzuführende Schäden nach Art. 82 DSGVO zu ersetzen seien, während das OLG Köln den Schadensersatzanspruch in einem vergleichbaren Fall insgesamt ablehnte.
Trotzdem wird der BGH wohl zeitnah zu den Scraping-Fällen entscheiden, da in der Zwischenzeit Verfahren aus anderen Vorinstanzen aus demselben Scraping-Komplex beim BGH liegen. Hierfür wurde der Termin für den 11. November 2024 zur Verhandlung anberaumt (VI ZR 10/24 und VI ZR 186/24). Bei den Vorinstanzen handelt es sich dieses Mal um OLG Köln, Urteil vom 7. Dezember 2023 – 15 U 67/23 und OLG Dresden, Urteil vom 30. April 2024 – 4 U 1969/23.
IV. Spannende Blog-Beiträge und Weiteres 1. CMS Client Academy | Einführung in den Datenschutz | E-Learning. 2. CMS GDPR Enforcement Tracker Report 2023/2024.
3. Klagebefugnis von Verbraucherverbänden bei DSGVO-Verstößen (cmshs-bloggt.de). 4. Webinar: KI-Kompetenz i.S.d. KI-VO – wie Sie Mitarbeitende richtig schulen. 5. Webinar: Be our Guest - Datacenter. 6. Unsere Übersicht zur Rechtsprechung zum DSGVO-Schadensersatz wurde aktualisiert: DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert) (cmshs-bloggt.de). 7. Mit CMS Digital Laws können Sie neuerdings neben dem DSA und dem Data Governance Act auch mit den Volltexten der KI-Verordnung und der P2B-Verordnung in deutscher und englischer Sprache arbeiten. Weitere Inhalte werden folgen!
|
