Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

unser dritter BRANDI-Datenschutzrechtstag fand am 15.09.2022 statt. Auf der Veranstaltung gab es spannende Diskussionen zu dem Thema „Datenschutzvorfälle – Beteiligte, Konsequenzen und Absicherung“. Die Inhalte der Veranstaltung haben wir in diesem Monat in dem Schwerpunktthema unseres Datenschutz-Newsletters für Sie zusammengefasst. Passend zu dem Thema der Veranstaltung finden Sie in diesem Newsletter darüber hinaus Informationen zu zwei aktuellen Bußgeldern, die die irische und die spanische Datenschutzaufsichtsbehörde gegen Unternehmen verhängt haben, sowie zu weiteren aktuellen Geschehnissen aus dem Datenschutzrecht.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: BRANDI-Datenschutzrechtstag zum Thema „Datenschutzvorfälle“

Am 15.09.2022 war Herr Carl Christoph Möller zu Gast bei BRANDI in Bielefeld. Herr Möller betreut im Rahmen seiner Tätigkeit als Syndikusanwalt und Referent für Datenschutz & Datensicherheit bei der Verbraucherzentrale NRW insbesondere außergerichtliche und gerichtliche Verfahren der Verbraucherzentrale in datenschutzrechtlichen Fragen. Im Rahmen des diesjährigen Datenschutzrechtstags zu dem Thema „Datenschutzvorfälle – Beteiligte, Konsequenzen und Absicherung“ gab er im Gespräch mit Rechtsanwälten von BRANDI, darunter Herr Dr. Sebastian Meyer, Herr Dr. Christoph Rempe, Herr Dr. Daniel Wittig und Herr Dr. Christoph Worms, einen spannenden Einblick in verschiedene datenschutzrechtliche Themen, aktuelle Verfahren und die tägliche Arbeit der Verbraucherzentrale.

Im Rahmen der Veranstaltung wurden Fragestellungen rund um die Thematik „Datenschutzvorfälle“ aus verschiedenen Perspektiven beleuchtet. Im ersten Teil diskutierten die Teilnehmer unter anderem über den Begriff des Datenschutzvorfalls, die Geltendmachung und den Missbrauch von Betroffenenrechten, Schadensersatzansprüche sowie verfahrensrechtliche Aspekte. Zum Einstieg referierte Herr Möller zum Thema „Rechtsdurchsetzung als Verbraucherverband im Datenschutz – Update Verbandsklagemöglichkeiten und Fallbeispiel Cookies“. Im zweiten Teil wurden im Anschluss an den Impulsvortrag „Europaweit einheitliche Sanktionierung?“ von Herrn Dr. Daniel Wittig das Vorgehen bei Datenschutzvorfällen, die Maßstäbe für die Bemessung von Bußgeldern, die Rolle der Aufsichtsbehörden und die Zusammenarbeit von Unternehmen und Aufsichtsbehörden thematisiert.

Die wesentlichen Inhalte unseres Datenschutzrechtstags haben wir für Sie nachfolgend aufbereitet.

Zum vollständigen Schwerpunktthema

Irische Datenschutzbehörde: 405 Mio. Euro Bußgeld gegen Instagram

Die irische Datenschutzbehörde (Data Protection Commission, DPC) hat am 2. September 2022 ein Bußgeld in Höhe von 405 Mio. Euro gegen die Meta-Tochter Instagram verhängt (vgl. die Pressemitteilung der DPC vom 15. September 2022). Darüber hinaus ordnete die Datenschutzbehörde die Umsetzung verschiedener Abhilfemaßnahmen an. Grund für die Untersuchung und die Verhängung des Bußgeldes gegen Instagram war der aus Sicht der Aufsichtsbehörde unzureichende Schutz der Daten von Minderjährigen durch Instagram.

Instagram ermöglichte es auch jugendlichen Nutzern, sog. „Business-Accounts“ auf der Social-Media-Plattform zu betreiben. Hierbei wurden Kontaktdaten der Minderjährigen wie Telefonnummern und E-Mail-Adressen veröffentlicht. Auch wurden Profile von Minderjährigen im Rahmen des Registrierungsprozesses standardmäßig auf „öffentlich“ gesetzt und mussten eigenständig auf „privat“ geschaltet werden, wodurch die Daten der Minderjährigen für alle Nutzer einsehbar waren.

Instagram äußerte sich in einer Stellungnahme bereits dahingehend, dass die gerügten Prozesse veraltete Einstellungen beträfen, die bereits seitens des Konzerns überarbeitet worden seien. Es seien bereits im vergangenen Jahr Funktionen implementiert worden, um Minderjährige zu schützen und deren Daten privat zu halten. Die Nutzerkonten von Minderjährigen seien nun standardmäßig auf „privat“ voreingestellt. Zudem kündigte Instagram bereits an, gegen die Entscheidung der Aufsichtsbehörde vorzugehen.

Bereits im vergangenen Jahr hatte die irische Aufsichtsbehörde ein Bußgeld in Höhe von 225 Mio. Euro gegen die Meta-Tochter WhatsApp verhängt. Bei dem nunmehr verhängten Bußgeld handelt es sich um die zweithöchste Geldbuße, die bislang verhängt wurde.

(Christina Prowald)

Bußgeld wegen mangelnder Identitätsüberprüfung in Spanien

Die spanische Aufsichtsbehörde hat ein Bußgeld in Höhe von 48.000 Euro gegen das Energieunternehmen Naturgy Energy Group, S.A. verhängt. Grund für das Bußgeld waren eine unzureichende Identitätsprüfung und die anschließende Versendung personenbezogener Daten an eine unbekannte dritte Person.

In dem zugrunde liegenden Fall meldete sich ein Anrufer bei dem Unternehmen und gab sich als ein Verwandter eines Kunden aus. Der Anrufer veranlasste eine Änderung der E-Mail-Adresse und bat um Zusendung der letzten beiden Rechnungen. Zur Überprüfung der Identität fragte das Unternehmen den Namen, die Adresse, die Personalausweisnummer, die Vertragsnummer sowie die letzten vier Ziffern der Kontoverbindung ab. Im Nachgang stellte sich heraus, dass es sich bei dem Anrufer um einen unbeteiligten Dritten handelte.

Die spanische Aufsichtsbehörde war der Auffassung, die seitens des Unternehmens durchgeführte Identitätsprüfung verstoße mangels ausreichender technischer Sicherheit bei der Datenverarbeitung gegen Art. 5 Abs. 1 lit. f) und Art. 32 DSGVO. Das Unternehmen habe keine ausreichenden Sicherheitsmaßnahmen ergriffen, um die Daten seiner Kunden zu schützen und die Offenlegung von Daten gegenüber unberechtigten Dritten zu verhindern.

Das Unternehmen entgegnete, dass die zur Identitätsprüfung abgefragten Daten nur dem Kunden oder einer von ihm bevollmächtigten Person bekannt sein sollten. Insbesondere sei die Kontonummer des Kunden nicht auf anderweitigen Rechnungsunterlagen abgedruckt und auf diese Weise ermittelbar. Das Unternehmen war der Auffassung, dass sein Verhalten rechtmäßig war, zahlte das Bußgeld aber.

Offen bleibt bei dieser Entscheidung letztlich die Frage, welche Daten im Rahmen einer Identitätsprüfung abgefragt werden sollen, wenn wie die Aufsichtsbehörde davon ausgegangen wird, dass die Abfrage der oben genannten Daten nicht ausreichend sein soll.

(Christina Prowald)

ULD Schleswig-Holstein: Bedenken bei den E-Rezepten

Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hält die als Alternative zur Nutzung der E-Rezept-App vorgesehene Versendung der erforderlichen DataMatrix-Codes per E-Mail oder SMS an Patienten oder Apotheken für nicht datenschutzkonform (vgl. Einschätzung des ULD zur Verarbeitung vertragsärztlicher elektronischer Verordnungen vom 19.08.2022).

Im Rahmen des Verfahrens des E-Rezepts wurden auf Bundesebene zwei verschiedene Wege vorgesehen, auf denen die elektronische Verordnung sicher zu den Patienten gelangen soll. Möglich ist einmal die Nutzung der E-Rezept-App und zum anderen der Ausdruck eines DataMatrix-Codes. Im Juli 2022 bat die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) die Datenschutzbehörde um eine Einschätzung, inwieweit es datenschutzrechtlich zulässig sei, die DataMatrix-Codes alternativ per E-Mail oder SMS an die Patienten zu versenden. Es wurde insoweit davon ausgegangen, dass die unverschlüsselte Versendung der Codes kein Risiko für die Betroffenen darstelle, da der Code keine sensiblen Daten enthalte.

Nach Prüfung des Verfahrens kam die Aufsichtsbehörde zu dem Ergebnis, dass diese Annahme nicht richtig und das angedachte Vorgehen dementsprechend auch nicht datenschutzkonform sei, da jeder, der im Besitz des Codes ist, auch auf die zentral gespeicherte vollständige ärztliche Verordnung, einschließlich der mitunter sensiblen Gesundheitsdaten, zugreifen könne; hierfür würde lediglich eine der frei auf dem Markt verfügbaren Apps aus dem Apothekenumfeld benötigt. Bei der Übertragung des DataMatrix-Codes sei aber auf ein sicheres Verfahren zurückzugreifen, bei dem nicht das Risiko bestehe, dass die enthaltenen Daten abgefangen oder kopiert würden. Die angedachte unverschlüsselte Übertragung scheide insofern aus. Als alternative Versendungsmöglichkeiten zur Nutzung der E-Rezept-App oder dem Ausdruck des Codes verwies das ULD auf die Nutzung des Systems „Kommunikation im Medizinwesen“ oder den digitalen Versand, etwa per E-Mail mit Ende-zu-Ende-Verschlüsselung.

(Christina Prowald)

Google Analytics: Mehrere europäische Aufsichtsbehörden untersagen den Einsatz

Das Risiko einer Übermittlung personenbezogener Daten in Drittstaaten wie die USA wird unter datenschutzrechtlichen Gesichtspunkten immer wieder diskutiert und war bereits mehrfach Thema in unserem Datenschutz-Newsletter, beispielsweise im April und Juli diesen Jahres. Insbesondere Google Analytics gelangt bei derartigen Diskussionen oftmals in den Fokus, da es von vielen Webseitenbetreibern genutzt wird. Durch das Webseitenanalyse-Tool wird jeder Besucher einer Seite erfasst und diesem wird eine eindeutige Kennung zugewiesen. Die ermittelten Daten werden von Google an Server in den USA übermittelt.

Die französische Datenschutzaufsicht (CNIL) hat mit Hilfe anderer europäischer Aufsichtsbehörden analysiert, unter welchen Voraussetzungen Daten beim Einsatz von Google Analytics in die USA übermittelt werden. Grund für die umfassende Analyse der Datenübermittlung von Google Analytics war eine Beschwerde der Datenschutzorganisation NOYB („none of your business“), gegründet unter anderem von dem österreichischen Aktivisten Max Schrems, die bei der Aufsichtsbehörde über die Datenübermittlung von Google Analytics einging. Ziel war es, das „Schrems II“-Urteil des EuGH, womit das EU-US Privacy Shield aufgehoben wurde, in der Praxis umzusetzen und Konsequenzen daraus zu ziehen. Laut CNIL sei die Datenübermittlung von Google Analytics rechtswidrig. Die CNIL ging sogar so weit, dass sie einen Webseitenbetreiber aufforderte, die Nutzung des Dienstes unter den aktuellen Bedingungen einzustellen. Da kein Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO für die USA besteht, seien andere geeignete Garantien nach der DSGVO notwendig, um ein gewisses Datenschutzniveau sicherzustellen und ein Zugriff von US-Sicherheitsbehörden auf Daten auszuschließen. Diese können Google Analytics allerdings nicht hinreichend liefern. Vergleichbare Aufforderungen gegen Webseitenbetreiber, Google Analytics nicht weiter unter den aktuellen Bedingungen zu nutzen, haben Aufsichtsbehörden in Österreich und Italien getroffen. Es bleibt abzuwarten, ob weitere Aufsichtsbehörden dem Beispiel folgen und den Einsatz von Google Analytics verbieten. Durch diesen Druck könnte Google gehalten sein, das Datenschutzniveau des Dienstes anzupassen.

Die CNIL hat im Juni 2022 nach ihrer Entscheidung, ein FAQ über die Nutzung von Google Analytics herausgebracht.

(Eva Ritterswürden)

LDI NRW: Angaben zu Abwesenheitsgründen in Dienstplan

Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LDI NRW) hat sich mit der konkreten Benennung von Abwesenheitsgründen in Dienstplänen auseinandergesetzt und dazu eine kurze Stellungnahme im 27. Datenschutzbericht veröffentlicht.

Hintergrund der Stellungnahme des LDI NRW war eine eingereichte Beschwerde eines Arbeitnehmers, der in einer Rettungs- und Feuerwache arbeitete. In dieser Wache hingen für alle dort Beschäftigen die Dienstpläne sichtbar aus. Darauf wurden tagesaktuell die Abwesenheiten vermerkt und mit einem „K“ für Abwesenheit aufgrund von Krankheit gekennzeichnet. Das LDI stellte klar, dass es für die Planung des Personals nicht erforderlich sei, den genauen Grund für die Abwesenheit zu kennen. Es reiche aus, wenn die Abwesenheit als solche gekennzeichnet werde. Das LDI stützte sich dabei auf § 18 Abs. 1 S. 1 DSG NRW, wonach personenbezogene Daten von Beschäftigten nur unter bestimmten Voraussetzungen verarbeitet werden dürfen, etwa wenn dies zur Durchführung des Beschäftigtenverhältnisses oder zum Zweck der Personalplanung erforderlich ist.

Eine Kennzeichnung erfolgt seit der Aufforderung des LDI NRW in der einschlägigen Rettungs- und Feuerwache nur noch mit „A“ für abwesend. Darüber hinaus hat nur noch derjenige Zugriff, der diese Informationen auch tatsächlich dienstlich benötigt, womit der Grundsatz der Datenminimierung eingehalten wird. Diese Vorgaben lassen sich generell auf alle Branchen übertragen, bei denen Mitarbeiter die Dienstpläne einsehen können.

(Eva Ritterswürden)

EuGH: Sonderkündigungsschutz für Datenschutzbeauftragte mit DSGVO vereinbar

Im Rahmen einer Kündigungsschutzklage wurde dem EuGH die Frage vorgelegt, ob eine nationale Vorschrift mit der DSGVO vereinbar sei, die eine ordentliche Kündigung des Arbeitsverhältnisses eines Datenschutzbeauftragten generell ausschließt, unabhängig davon, ob sie wegen der Erfüllung seiner Aufgaben erfolgt.

Der EuGH hat die Frage dahingehend beantwortet, dass ein nationaler Sonderkündigungsschutz den Regelungen der DSGVO nicht entgegensteht (EuGH, Urt. v. 22.06.2022 – C 534/20). Die Entscheidung wird im Wesentlichen mit den Zielen der DSGVO und des BDSG sowie den Gesetzgebungskompetenzen begründet. Nach Art. 38 Abs. 3 S. 2 DSGVO darf ein Datenschutzbeauftragter vom Verantwortlichen oder Auftragsverarbeiter nicht wegen Erfüllung seiner Aufgaben benachteiligt oder abberufen werden. Sinn und Zweck ist die funktionelle Unabhängigkeit des Datenschutzbeauftragten sowie die Gewähr, dass Bestimmungen der DSGVO eingehalten werden. Durch eine Kündigung wird das Arbeitsverhältnis und damit auch die Stellung im Unternehmen beendet, was zur Verringerung des Datenschutzniveaus und damit nicht mehr zur Erreichung der Ziele der DSGVO führen kann.

Mit Art. 38 Abs. 3 S. 2 DSGVO wird zudem gerade kein Beschäftigtenverhältnis geregelt, ein solches ist allenfalls beiläufig betroffen. Dies wird durch die Gesetzgebungskompetenzen bestätigt. Die DSGVO wurde auf Grundlage von Art. 16 Abs. 2 AEUV erlassen. Danach war der Verordnungsgeber befugt, Regelungen zum Schutz natürlicher Personen bei Datenverarbeitung von Organen, Einrichtungen und sonstigen Stellen der EU zu erlassen. Bei der Regelung von Beschäftigtenverhältnissen geht es hingegen um Sozialpolitik. Dabei haben die Union sowie die Mitgliedstaaten eine geteilte Zuständigkeit nach Art. 4 Abs. 2 lit. b) AEUV. Es steht daher jedem Mitgliedstaat frei, strengere Vorschriften für eine Kündigung eines DSB zu erlassen, soweit diese mit den Bestimmungen der DSGVO vereinbar sind.

(Eva Ritterswürden)

EuGH: Vorratsdatenspeicherung in Deutschland ist rechtswidrig

In seiner Entscheidung vom 20. September 2022 hat der Europäische Gerichtshof (EuGH) entschieden, dass die deutsche Regelung zur Vorratsdatenspeicherung gegen das Unionsrecht verstößt (EuGH, Urt. v. 20. September 2022, C-793/19, C 794/19). Der EuGH bestätigt, dass eine allgemeine und unterschiedslose Vorratsdatenspeicherung von Verkehrs- und Standortdaten nicht mit dem Unionsrecht vereinbar ist, soweit nicht eine ernste Bedrohung für die nationale Sicherheit vorliegt.

Konkret antwortete er dem vorlegenden Bundesverwaltungsgericht, dass das Unionsrecht nationalen Rechtsvorschriften entgegensteht, die präventiv zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen. Begründend führt der EuGH unter anderem aus, dass die im TKG vorgesehene Pflicht zur Vorratsdatenspeicherung einen umfangreichen Satz an Verkehrs- und Standortdaten erfasst, der unter Berücksichtigung der Speicherdauer von zehn bzw. vier Wochen sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten gespeichert wurden – z.B. auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen und das soziale Umfeld – ermöglichen und vor allem die Erstellung von Profilen dieser Personen zulassen.

Dagegen steht das Unionsrecht nicht solchen nationalen Bestimmungen entgegen, die eine Vorratsdatenspeicherung von Verkehrs- und Standortdaten sowie IP-Adressen und Daten, die die Identität der Nutzer elektronischer Kommunikation betreffen, zum Schutz der nationalen Sicherheit vorsehen; konkret dann, wenn sich ein Mitgliedstaat einer als real und aktuell oder vorhersehbar einzustufenden ernsten Bedrohung für die nationale Sicherheit gegenübersieht. Entsprechende Fälle sind kontrollierbar und auf das absolut notwendige Maß zu begrenzen. Gleiches soll vor allem für die Bekämpfung schwerer Kriminalität gelten.

In dem der Entscheidung zugrunde liegenden Verfahren hatten SpaceNet und Telekom Deutschland gegen die ihnen durch das deutsche Telekommunikationsgesetz (TKG) auferlegte Pflicht, Verkehrs- und Standortdaten ihrer Kunden auf Vorrat speichern zu müssen, geklagt.

(Christina Prowald)

OLG Karlsruhe: Datenschutzkonformer Einsatz von Subunternehmern in Drittstaaten im Rahmen der Auftragsverarbeitung

Das OLG Karlsruhe hat entschieden, dass Verantwortliche sich unter bestimmten Voraussetzungen auf die Zusage eines Auftragsverarbeiters, dass personenbezogene Daten nicht in Drittstaaten übertragen werden, verlassen dürfen (OLG Karlsruhe, Beschl. v. 7. September 2022, 15 Verg 8/22).

Das OLG Karlsruhe führte aus, dass sich Auftraggeber auf bindende Zusagen des Auftragnehmers zum Ort der Datenverarbeitung verlassen dürfen. Dies gilt jedoch nur dann, wenn die ausschließliche Datenverarbeitung in der EU auch eindeutig vertraglich vereinbart wurde. Die Zusage eines europäischen Rechenzentrums oder Serverstandorts reicht hingegen gerade nicht aus. Auch der Verweis darauf, dass der Dienstleister seinen Firmensitz innerhalb der EU hat, ist nicht ausreichend, soweit etwa der Mutterkonzern seinen Sitz in einem Drittstaat hat und Daten gegebenenfalls dorthin übertragen werden. Maßgeblich ist insofern die Zusage, dass auch außerhalb der regelmäßigen Datenverarbeitung ein Zugriff auf die verarbeiteten Daten von außerhalb der EU bzw. des EWR nicht vorgesehen oder möglich ist.

In dem der Entscheidung zugrunde liegenden Fall war fraglich, ob der Anbieter eines digitalen Entlassmanagements für Patienten aus einem Vergabeverfahren schon deshalb auszuschließen ist, weil dieser die europäische Tochtergesellschaft eines amerikanischen Unternehmens für Hosting-Dienstleistungen einbinden wollte oder man sich insoweit auf die Zusage des Anbieters verlassen darf, dass die Daten trotz des amerikanischen Mutterkonzerns ausschließlich in Deutschland verarbeitet und nicht in ein Drittland übermittelt werden. Das Vergabeverfahren sah insofern vor, dass die sich aus der DSGVO und dem BDSG ergebenden Anforderungen einzuhalten sind. Das Gericht führte hierzu aus, dass nicht davon ausgegangen werden muss, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehme kommen wird.

(Christina Prowald)

LAG Baden-Württemberg: Datenschutzbeauftragter als Erfüllungsgehilfe bei Auskunftserteilung

Die verantwortliche Stelle ist dafür verantwortlich, Mitteilungspflichten gegenüber den Betroffenen zu erfüllen. Dazu gehört auch die Erteilung von Auskünften bei Ausübung des Auskunftsrechts nach Art. 15 DSGVO. Das LAG Baden-Württemberg hat sich mit der Frage auseinandergesetzt, ob diese Verpflichtung auch von einem Dritten, in diesem Fall dem Datenschutzbeauftragten, erfüllt werden könne (LAG Baden-Württemberg, Urt. v. 01.06.2022 – 4 Sa 65/21).

Dazu hat das Gericht anhand des Wortlauts von Art. 12 Abs. 1 DSGVO herausgearbeitet, dass der Verantwortliche nur „geeignete Maßnahmen“ treffen müsse, damit die Mitteilungspflicht nach Art. 15 DSGVO erfüllt werde. Eine persönliche Beantwortung des Mitteilungsverlangens des Betroffenen sei dabei nicht zwingend erforderlich. Zur Erfüllung könne sich der Verantwortliche daher auch eines geeigneten Erfüllungsgehilfen bedienen. Der Datenschutzbeauftragte stelle einen geeigneten Erfüllungsgehilfen dar.

(Eva Ritterswürden)

EU-Kommission: Der Begriff des berechtigten Interesses

Die Europäische Kommission hat ein Schreiben über die Auslegung des berechtigten Interesses im Sinne der DSGVO an den Vorsitzenden der niederländischen Datenschutzaufsicht, Aleid Wolfsen, verfasst. Anlass war die klare Äußerung der Datenschutzbehörde, rein kommerzielle Interessen fielen nicht unter das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO.

Durch das Schreiben stellte die EU-Kommission klar, dass wirtschaftliche Interessen, entgegen der Äußerung der niederländischen Datenschutzbehörde, ein legitimes Interesse im Sinne der DSGVO darstellen können. Die Wirtschaftsfreiheit ist ein in der EU-Charta verankertes Grundrecht. Aus Erwägungsgrund 4 der DSGVO ergibt sich, dass das Recht auf Schutz von personenbezogenen Daten kein uneingeschränktes Recht darstellt. Es müsse im Hinblick auf seine gesellschaftliche Funktion gesehen werden und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte, wie auch die Wirtschaftsfreiheit, abgewogen werden. Eine derart strenge Auslegung, wie sie die niederländische Aufsichtsbehörde vorgenommen hat, sei nicht mit den Leitlinien des Europäischen Datenschutzausschusses (EDPB) sowie der Rechtsprechung des Europäischen Gerichtshofs (EuGH) vereinbar.

(Eva Ritterswürden)