Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

[Anrede],

am 12. Juli 2024 wurde die neue Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Verordnung über künstliche Intelligenz) im Amtsblatt der EU veröffentlicht. Die KI-Verordnung ist am 1. August 2024 in Kraft getreten und die Umsetzungsfristen haben begonnen. Grundsätzlich gelten die Regelungen der KI-Verordnung ab dem 2. August 2026. Abweichend davon gelten die allgemeinen Bestimmungen der Verordnung sowie Verbote für bestimmte KI-Systeme (Kapitel I und II der Verordnung) bereits ab dem 2. Februar 2025. Ab dem 2. August 2025 sind in der nächsten Stufe sodann insbesondere die Regelungen über KI-Modelle mit allgemeinem Verwendungszweck, Governance und Sanktionen (Kapitel III Abschnitt 4, V, VII, XII und Art. 78 mit Ausnahme von Art. 101) anwendbar. Lediglich eine Vorschrift zur Einstufung von Hochrisiko-KI-Systemen (Art. 6 Abs. 1) kommt erst nach allen anderen Vorschriften ab dem 2. August 2027 zur Anwendung.

Die Aufsichtsbehörden haben die Thematik ebenfalls erneut aufgegriffen. So hat der Hamburgische Datenschutzbeauftragte (HmbBfDI) ein neues Diskussionspapier veröffentlicht, das sich mit dem Verhältnis zwischen DSGVO und KI-Verordnung beschäftigt. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat zudem den Orientierungshilfe-Navigator KI & Datenschutz („ONKIDA“) erstellt, der die verschiedenen bisher erschienen Empfehlungen der Aufsichtsbehörden gegenüberstellt.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Gemeinsame Verantwortlichkeit im Konzern

Bei zahlreichen Unternehmen, die Teil einer Konzernstruktur sind, besteht das Bedürfnis, personenbezogene Daten innerhalb des Konzerns zu übermitteln oder in anderer Weise gemeinsam zu verarbeiten, etwa dann, wenn ein Unternehmen für alle anderen Unternehmen des Konzerns die Personalverwaltung oder Buchhaltung durchführt oder den IT-Support übernimmt. Von Relevanz ist dabei nicht nur der klassische Fall der Datenweitergabe im Sinne einer direkten Übermittlung, sondern auch der Abruf von Informationen oder der Zugriff einer Konzerngesellschaft auf Daten, die einer anderen Konzerngesellschaft als verantwortliche Stelle zugeordnet sind, etwa im Falle von gemeinsamen Datenbanken und Systemen sowie konzernweiten Verzeichnissen.

Sollen personenbezogene Daten innerhalb eines Konzerns ausgetauscht werden, wird hierfür eine Rechtsgrundlage benötigt. Konzernangehörige Unternehmen unterfallen dem datenschutzrechtlichen Begriff der „Unternehmensgruppe“ i.S.v. Art. 4 Nr. 19 DSGVO. Bei Unternehmen einer solchen Unternehmensgruppe handelt es sich vom Grundsatz her um jeweils eigenständige Stellen, sodass die Datenübermittlungen als Übermittlungen an ein anderes Unternehmen und damit als rechtfertigungsbedürftige Datenverarbeitung zu qualifizieren sind. Da eine besondere Rechtsgrundlage (sog. „Konzernprivileg“) oder eine sonstige privilegierende Regelung für Datenübermittlungen innerhalb des Konzerns weder in der DSGVO noch im BDSG zu finden sind, ist insoweit auf die allgemeinen Erlaubnistatbestände abzustellen.

Zum vollständigen Schwerpunktthema

EU-Kommission und Microsoft klagen gegen EDSB

Die Europäische Kommission und Microsoft haben im Mai jeweils Klage gegen den Europäischen Datenschutzbeauftragten (EDSB) eingereicht. Dieser hatte im März in Folge einer Untersuchung festgestellt, dass die Europäische Kommission durch die Nutzung von Microsoft 365 gegen mehrere Vorschriften der DSGVO verstößt und der Kommission in der Folge verschiedene Abhilfemaßnahmen auferlegt (wir berichteten im April 2024). Das Gericht der Europäischen Union wird sich nunmehr mit den Anforderungen an eine datenschutzkonforme Nutzung von Microsoft 365 zu beschäftigen haben.

Die EU-Kommission führte zur Begründung ihrer Klage unter anderem an, dass die Zwecke und betroffenen Datenkategorien in den Verträgen ordnungsgemäß festgelegt worden seien und die Kommission ausreichend klar dokumentierte Anweisungen zur Verfügung gestellt habe. Im Übrigen habe die Kommission entgegen der Auffassung des EDSB auch sichergestellt, dass Microsoft die Daten nur nach dokumentierter Weisung verarbeitet. Microsoft führte zur Begründung ähnliche Gründe an und verwies außerdem darauf, dass der EDSB unverhältnismäßige Abhilfemaßnahmen angeordnet habe.

(Christina Prowald)

EuGH: Verbandsklagerecht gilt auch für Informationsrechte

In seinem Urteil vom 11. Juli 2024 hat der EuGH die Voraussetzungen für Verbandsklagen präzisiert (EuGH, Urt. v. 11.07.2024 - Az. C-757/22). Die Entscheidung betrifft einen Rechtsstreit zwischen Meta und dem Bundesverband der Verbraucherzentralen und Verbraucherverbände (vzbv), der verschiedene Datenschutzverstöße im „App Center“ von Facebook betrifft.

Der EuGH hat entschieden, dass Art. 80 Abs. 2 DSGVO so auszulegen ist, dass eine befugte Einrichtung eine Verbandsklage erheben kann, wenn sie geltend macht, dass die Rechte einer betroffenen Person ihres Erachtens „infolge einer Verarbeitung“ verletzt wurden. Eine beachtliche Verletzung könne sich insoweit aus der Missachtung der Pflicht zur Information nach Art. 12 Abs. 1 S. 1, 13 Abs. 1 lit. c) und e) DSGVO ergeben. Hiernach müsse die betroffene Person spätestens bei Datenerhebung Informationen über den Zweck der Datenverarbeitung und die Empfänger der Daten in präziser, transparenter, verständliche und leicht zugänglicher Form in klarer und einfacher Sprache erhalten. Der EuGH stützt sich unter anderem darauf, dass die Informationspflicht des Verantwortlichen logische Folge des Informationsrechtes der betroffenen Person sei, welches zu den Rechten gehöre, die über Art. 80 Abs. 2 DSGVO geschützt werden sollen. Des Weiteren setze auch eine wirksame Einwilligung voraus, dass die betroffene Person vorab die für die Einwilligung relevanten Informationen erhält. Das Informationsrecht ergebe sich auch insoweit aus Art. 12 und 13 DSGVO. Da eine Verarbeitung personenbezogener Daten unter Verletzung des Informationsrechts gegen die Vorgaben der DSGVO verstoße, sei die Verletzung dieses Rechts als Verstoß gegen die Rechte der betroffenen Person „infolge einer Verarbeitung“ i.S.v. Art. 80 Abs. 2 DSGVO anzusehen. In der Folge stelle das Informationsrecht und damit mittelbar auch die Informationspflicht ein Recht dar, bei dessen Verletzung von dem Verbandsklagemechanismus Gebrauch gemacht werden könne.

(Christina Prowald)

OLG Frankfurt: Microsoft haftet für Datenverstöße von Webseiten-Betreibern

Das OLG Frankfurt am Main hat am 27. Juni 2024 entschieden, dass Microsoft im Zusammenhang mit der Datenverarbeitung bei Werbeanzeigen („Microsoft Advertising“) für die einwilligungsfreie Speicherung von technisch nicht notwendigen Cookies über Webseiten Dritter haftet (OLG Frankfurt a. M., Urt. v. 27.06.2024 - Az. 6 U 192/23; Pressemitteilung v. 23.07.2024).

Die Klägerin hatte zuvor geltend gemacht, dass sie verschiedene Webseiten Dritter besucht habe und hierbei jeweils ohne ihre Einwilligung Cookies im Zusammenhang mit dem Dienst Microsoft Advertising auf ihrem Gerät gesetzt worden seien. Sie forderte Microsoft in der Folge auf, es zu unterlassen, Cookies auf ihren Endgeräten ohne die hierfür erforderliche Einwilligung zu speichern. Das OLG Frankfurt hat nunmehr entschieden, dass der Klägerin ein Unterlassungsanspruch zusteht. Durch das Setzen der Cookies habe Microsoft gegen die gesetzlichen Vorgaben verstoßen. Diese verböten jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers. Microsoft sei Täterin der Rechtsverletzung, da sie die Informationen in Form von Cookies auf den Endeinrichtungen der Nutzer speichere und auf die hinterlegten Informationen zugreife, indem sie sich diese von den Betreibern der Internetseiten zur Verfügung stellen lasse, nachdem diese die Informationen ausgelesen hätten. Microsoft könne sich auch nicht dadurch entlasten, dass das Unternehmen die Betreiber der Webseiten vertraglich dazu verpflichte, für die erforderlichen Einwilligungen zu sorgen. Microsoft müsse vielmehr sicherstellen, dass die Einwilligungen vorliegen und sei insoweit darlegungs- und beweisbelastet. Die Entscheidung ist in zweiter Instanz im Eilverfahren ergangen und nicht weiter anfechtbar. Es ist daher abzuwarten, ob sich diese Sichtweise gegebenenfalls auch in einem Hauptverfahren durchsetzt, weil hierdurch die Verantwortlichkeit sehr weit ausgedehnt wird.

(Christina Prowald)

Neue Urteile zur Übermittlung von Positivdaten an die SCHUFA

Das LG Gießen hat sich erneut zur Übermittlung von Positivdaten an die SCHUFA geäußert (wir berichteten bereits im Juli 2024) und entschieden, dass die Mitteilung über den Abschluss eines Vertrages durch ein Telekommunikationsunternehmen keinen Anspruch auf Schadensersatz nach Art. 82 DSGVO rechtfertigt (LG Gießen, Urt. v. 31.05.2024 - Az. 9 O 530/23; GRUR-RS 2024, 12261). Das LG Gießen führte aus, dass in Rechtsprechung und Literatur grundsätzlich streitig sei, ob die von der Beklagten für die Übermittlung vorgetragenen berechtigten Interessen, konkret Betrugsprävention, Überschuldungsprävention, Präzision der Ausfallrisikoprognosen und Validierung der bei der SCHUFA vorhandenen Daten, das Recht des Klägers auf informationelle Selbstbestimmung überwiegen. Angesichts dessen, dass kein milderes und gleich geeignetes Mittel zur Erreichung der legitimen Interessen der Beklagten erkennbar sei, das dem hochautomatisierten Massengeschäft der Telekommunikationsdienstleister gerecht werde, hätten die Interessen der Beklagten allerdings nach Auffassung des Gerichts Vorrang, sodass eine Rechtsgrundlage für die Datenübermittlung gegeben sei und insoweit schon kein Verstoß gegen die DSGVO vorliege. Aus Sicht des LG Gießen fehlt es zudem an einem ersatzfähigen Schaden. Der formalhafte Vortrag des Klägers sei zur Begründung eines Schadens nicht ausreichend. Das seitens des Klägers behauptete Gefühl des Kontrollverlustes und der großen Sorge mit Blick auf seine Bonität seien nicht nachvollziehbar. Die Meldungen der Beklagten seien zudem nicht geeignet gewesen, die Bonität des Klägers zu verschlechtern.

Das LG Augsburg hat sich dieser Auffassung angeschlossen und geht ebenfalls davon aus, dass es schon an einem Verstoß gegen Art. 6 Abs. 1 DSGVO fehlt, da die Datenübermittlung auf Basis der Interessenabwägung des Art. 6 Abs. 1 S. 1 lit. f) DSGVO gerechtfertigt werden könne und es im Übrigen an einem Schaden fehle (LG Augsburg, Endurt. v. 06.06.2024 - Az. 114 O 4038/23). Zur Begründung führte das Gericht aus, dass die Beklagte mit der Übermittlung nicht nur eigene wirtschaftliche Interessen verfolge, sondern mittelbar auch Interessen der Verbraucher und damit auch des Klägers fördere. Ein weniger belastendes, aber ebenso effektives Mittel sei im Übrigen nicht erkennbar.

Das LG Mannheim (LG Mannheim, Urt. v. 07.06.2024 - Az. 9 O 381/23; GRUR-RS 2024, 16807), das LG Ansbach (LG Ansbach, Endurt. v. 20.06.2024 - 2 O 1111/23) und das LG Stade (LG Stade, Urt. v. 30.04.2024 - Az. 4 O 316/23; GRUR-RS 2024, 10218) haben sich in ähnlicher Weise zu der Thematik geäußert. Nach Auffassung der Gerichte könne dahinstehen, ob die Voraussetzungen des Art. 6 Abs. 1 S. 1 lit. f) DSGVO erfüllt seien, da es an einem kausalen Schaden fehle. Der Kläger beschreibe lediglich negative Folgen in Form des von ihm befürchteten Kontrollverlusts, aber keinen immateriellen Schaden. Die Befürchtung, es könnte ihm aufgrund der Übermittlung der Positivdaten ein Kredit verweigert werden, sowie diesbezügliche schlechte Erfahrungen aus der Vergangenheit könnten nicht zur Begründung des Schadens herangezogen werden. Dem Kläger stehe in der Folge auch kein Unterlassungsanspruch zu.

Einen Schadensersatzanspruch haben auch das LG Bonn (LG Bonn, Urt. v. 03.05.2023 - Az. 19 O 221/23; GRUR-RS 2024, 10232) und das LG Aachen (LG Aachen, Urt. v. 11.07.2024 - Az. 1 O 388/23; GRUR-RS 2024, 16535) abgelehnt.

(Christina Prowald)

LDI NRW legt Tätigkeitsbericht 2023 vor

Bettina Gayk, die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LDI NRW), hat ihren 29. Tätigkeitsbericht für das Jahr 2023 veröffentlicht (Mitteilung v. 08.07.2024).

Die Datenschutzbeauftragte berichtet, dass im Jahr 2023 etwa 11.050 schriftliche Eingaben bei der Aufsichtsbehörde eingegangen seine. In der Folge seien 111 Bußgeldverfahren eingeleitet und 65 Bußgeldbescheide in Höhe von insgesamt 64.650 Euro erlassen worden, wobei das höchste Bußgeld im Berichtsjahr bei 10.000 Euro lag. Die LDI NRW betont, dass Kontrolle ein wichtiger Baustein ihrer Arbeit sei. Daneben hebt sie aber auch hervor, dass sie ebenso beratend tätig werde, um das Verständnis für Datenschutz zu verbessern. Insoweit werde unter anderem das Thema Cybersicherheit aufgegriffen. Nach Schätzungen seien im Jahr 2023 etwa 58 % der deutschen Unternehmen von einem Cyberangriff betroffen gewesen. Soweit hierbei personenbezogene Daten abfließen würden oder in anderer Weise gefährdet seien, sei dies auch für die Datenschutzbehörde relevant. Insbesondere kleine Unternehmen seien häufig überfordert, eigenständig und angemessen zu reagieren. Man habe deshalb einen Leitfaden für den Umgang mit entsprechenden Attacken erstellt. Insgesamt sei zu empfehlen, sich mittels eines Notfallplans auf entsprechende Situationen vorzubereiten.

Die Aufsichtsbehörde habe sich im vergangenen Jahr außerdem mit verschiedenen Beratungsanfragen zu KI-Verfahren auseinandergesetzt. Auch wenn die EU inzwischen die neue KI-Verordnung verabschiedet habe, werde die Bewertung der Datenschutzkonformität von KI-Anwendungen auch in Zukunft relevant sein. Datenschutz müsse bei der Implementierung von KI-Systemen von Anfang an mitgedacht werden. Daneben berichtet die LDI in ihrem Bericht auch über Themen wie den Einsatz von Microsoft 365, die Gestaltung von Cookie-Bannern, Datenübermittlungen in die USA und das Hinweisgeberschutzgesetz.

(Christina Prowald)

LfDI Rheinland-Pfalz zur Versendung von Newslettern und E-Mail-Werbung

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat eine Informationskampagne zu den Regeln des Datenschutzes bei Newslettern und E-Mail-Werbung gestartet (Mitteilung v. 17.06.2024). Unternehmen und Kultureinrichtungen in Rheinland-Pfalz werden dabei seitens des LfDI proaktiv mittels eines Informationsschreibens darüber informiert, welche Anforderungen bei der Versendung von Werbung per E-Mail gelten. Hierdurch sollen die Verantwortlichen für die Thematik sensibilisiert und die Anzahl von Verstößen verringert werden. Im vergangenen Jahr erhielt der LfDI 70 Beschwerden zu dieser Thematik.

LfDI Prof. Dr. Dieter Kugelmann äußerte sich zu der Informationskampagne wie folgt: „Newsletter und Werbe-E-Mails sind für Unternehmen ein wichtiges Mittel in der Kommunikation mit Ihren Kundinnen und Kunden. Das ist grundsätzlich legitim. Aber es gelten Regeln, die die potentiellen Empfänger der Nachrichten in ihren Rechten schützen. Diese Regeln sind gar nicht so kompliziert, aber wohl nicht allen bekannt. Leider stellen wir in diesem Bereich immer wieder Defizite fest und uns erreichen zahlreiche Beschwerden. Wir setzen auch auf einen Multiplikationseffekt, also darauf, dass die adressierten Unternehmen und Kultureinrichtungen die Informationen in ihre Branchen weitertragen. Das ist nicht nur aus Sicht des Datenschutzes und meiner Behörde wünschenswert, sondern auch für die betroffenen Branchen ein Gewinn. Denn Verstöße können im Fall von Beschwerden zu aufsichtsbehördlichen Maßnahmen bis hin zu Bußgeldern führen.“

Der LfDI stellte auf seiner Webseite auch weitergehende Informationen zu diesem Thema sowie eine Orientierungshilfe Direktwerbung zur Verfügung.

(Christina Prowald)

Belgien: Verantwortlicher muss Datenschtuzbeauftragten unterstützen

Die belgische Aufsichtsbehörde (APD) hat in einer Entscheidung vom 3. Juni 2024 die Unterstützungspflichten des Verantwortlichen gegenüber seinem Datenschutzbeauftragten hervorgehoben (Mitteilung v. 03.06.2024). Sei es dem Datenschutzbeauftragten nicht möglich, seine Aufgaben vollumfänglich zu erfüllen, weil es an Unterstützung durch den Verantwortlichen fehle, und komme es in der Folge zu Datenschutzverstößen, könne sich der Verantwortlich nicht durch den Hinweis auf Versäumnisse des Datenschutzbeauftragten entlasten.

Im Rahmen des Verfahrens verhängte die APD auch eine Geldbuße gegen das verantwortliche Unternehmen, weil dieses die Daten eines Betroffenen im Zusammenhang mit Direktmarketing trotz Aufforderung nicht löschte und es dem bei ihm in Teilzeit beschäftigten und überlasteten Datenschutzbeauftragten nicht ermöglichte, seine Aufgaben wirksam wahrzunehmen. Die APD stellte außerdem fest, dass der Datenschutzbeauftragte in alle Angelegenheiten im Zusammenhang mit Datenschutz einbezogen werden müsse, der Verantwortliche die Rolle seines Datenschutzbeauftragten anerkennen müsse, dem internen Datenschutzbeauftragten ausreichend Zeit zur Erfüllung seiner Aufgaben zu gewähren sei, die Bestellung des Datenschutzbeauftragten gegenüber allen Mitarbeitern kommuniziert werden müsse und der Verantwortliche regelmäßig für Schulungen und Fortbildungen des internen Datenschutzbeauftragten zu sorgen habe.

(Christina Prowald)

Italien: GPDP verhängt Bußgeld wegen unrechtmäßiger Werbeanrufe

Die italienische Aufsichtsbehörde (GPDP) hat am 6. Juni 2024 ein Bußgeld in Höhe von 6.419.631 Euro sowie verschiedene andere Maßnahmen gegen das Unternehmen Eni Plenitude S.p.A. Società Benefrit wegen unerwünschter Telefonanrufe verhängt (Mitteilung v. 06.06.2024).

Das Unternehmen, das im Bereich Vermarktung von Gas- und Stromverträgen tätig ist, kontaktierte zahlreiche Personen telefonisch, um für seine Produkte zu werben. Nachdem 108 Meldungen und 7 Beschwerden über unerwünschte Werbeanrufe bei der Aufsichtsbehörde eingingen, machte diese ein Auskunftsersuchen gegen das Unternehmen geltend. Im Rahmen der Untersuchung stellte die GPDP sodann fest, dass diverse telefonische Kontaktaufnahmen erfolgten, ohne dass die Betroffenen zuvor ihre Zustimmung erteilt hatten. Teilweise hatten diese ihre Telefonnummer sogar im öffentlichen Einspruchsregister hinterlegt. Die stichprobenhafte Untersuchung einer konkreten Woche ergab außerdem, dass 657 von 747 abgeschlossenen Verträgen aus einem unzulässigen Kontakt stammten. Die GDPD stellte in der Folge Verstöße gegen Art. 5 (Grundsätze der Datenverarbeitung), 6 (Rechtmäßigkeit der Verarbeitung), 24 (Verantwortung des Verantwortlichen), 25 (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) und 28 (Auftragsverarbeitung) DSGVO fest.

(Christina Prowald)

Schweden: Bußgeld wegen Nutzung des Facebook-Pixel

Am 25. Juni 2024 hat die schwedische Aufsichtsbehörde (IMY) ein Bußgeld in Höhe von 15 Mio. SEK wegen Verstoßes gegen Art. 5 Abs. 1 lit. f), 32 Abs. 1 DSGVO gegen die schwedische Bank Avanza Bank AB verhängt, weil diese den Facebook-Pixel nutzte und im Zeitraum zwischen dem 15. November 2019 und dem 2. Juni 2021 wegen falscher Einstellungen Daten von bis zu einer Millionen Kunden an Meta übermittelte (Mitteilung v. 24.06.2024).

Die Bank hatte den Facebook-Pixel zu Marketingzwecken sowohl auf ihrer Webseite als auch in ihrer App genutzt. Durch die nachträgliche Aktivierung neuer Funktionen wurden zahlreiche Daten der Kunden, darunter Wertpapierbestände, Kontonummern und Darlehensbeträge, an Meta übermittelt, ohne dass dies dem Unternehmen nach eigenen Angaben bewusst war. IMY war der Ansicht, das Unternehmen habe keine ausreichenden Sicherheitsmaßnahmen ergriffen, um die Datenübermittlung zu verhindern oder jedenfalls frühzeitig zu erkennen. Avanza deaktivierte nach Bekanntwerden des Vorfalls den Facebook-Pixel und teilte mit, dass Meta die Daten gelöscht habe.

(Christina Prowald)

Frankreich: Bußgeld in Höhe von 2,3 Mio. Euro verhängt

Die litauische Datenschutzbehörde hat in Zusammenarbeit mit der französischen Aufsichtsbehörde (CNIL) am 2. Juli 2024 ein Bußgeld in Höhe von 2.385.276 Euro gegen das Unternehmen Vinted UAB wegen mehrerer datenschutzrechtlicher Verstöße verhängt (Mitteilung v. 03.07.2024).

Bei Vinted handelt es sich um einen Online-Marktplatz, auf dem Nutzer gebrauchte Kleidung verkaufen, kaufen und tauschen können. Die Plattform kann per App oder Webbrowser erreicht werden. Nachdem seit 2020 zahlreiche Beschwerden bei der CNIL eingegangen waren, leitete diese die Beschwerden an die nach den Vorschriften der DSGVO zuständige litauische Aufsichtsbehörde weiter, die sodann die weiteren Ermittlungen federführend übernahm. Die Untersuchung ergab, dass Vinted nicht ordnungsgemäß mit eingehenden Löschanfragen umging. Eine Löschung könne insbesondere nicht deshalb abgelehnt werden, weil der Betroffenen in seinem Antrag keines der in der DSGVO vorgesehen Kriterien nennt. Die Behörde stellte zudem fest, dass den Betroffenen die Gründe für die Ablehnung ihrer Anträge nicht umfassend offengelegt worden seien. Sie sprach sich außerdem gegen sog. „Stealth Banning“ (Bestrafung von als bösartig eingestuften Nutzern durch heimliches Unsichtbar-Machen ihrer Aktivität) aus. Durch die fehlende Information würden die Rechte der Nutzer übermäßig beeinträchtigt. Außerdem könnte die Praktik zu Diskriminierungen führen. Die Ziele des heimlichen Bannens könnten in gleicher Weise durch ein offenes Sperren des Accounts erreicht werden.

(Christina Prowald)

In eigener Sache: Vorstellung von Lukas Ingold

Lukas Ingold ist seit seinem 1. Staatsexamen im Jahr 2023 als Wissenschaftlicher Mitarbeiter im Team IT- und Datenschutzrecht aktiv. Herr Ingold hat an der Universität Bielefeld, der Università degli Studi di Firenze (Florenz) und der Paris-Lodron-Universität (Salzburg) studiert. Aufgrund seiner Promotion im Markenrecht bei Herrn Prof. Dr. Frank Weiler war er vorübergehend auch für unser Team im Gewerblichen Rechtsschutz tätig. Herr Ingold übt zudem eine Lehrtätigkeit an der Universität Hamburg und Korrekturtätigkeiten an den Universitäten Heidelberg und Bielefeld aus. Ausgleich im Privatleben findet Herr Ingold beim Joggen, beim Austausch mit Freunden und bei der Lektüre von Büchern.