Newsletter zum Datenschutz

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: BRANDI-Datenschutzrechtstag zum Thema „Datenschutz und Digitalisierung“

Zum mittlerweile sechsten Datenschutzrechtstag am 16. Mai 2025 war Herr Prof. Ulrich Kelber, ehemaliger Bundesdatenschutzbeauftragter, zu Gast bei BRANDI. Im Rahmen der Veranstaltung zum Thema „Datenschutz und Digitalisierung“ gab Herr Prof. Kelber im Gespräch mit Juristinnen und Juristen von BRANDI, darunter Dr. Sebastian Meyer, Dr. Christoph Rempe, Dr. Daniel Wittig und Dr. Christoph Worms, einen interessanten Einblick in aktuelle Fragen und Entwicklungen im Bereich KI sowie in die Arbeit als Bundesdatenschutzbeauftragter. In diesem Schwerpunktthema wollen wir, wie angekündigt, noch einmal auf den Datenschutzrechtstag zurückblicken und im Rahmen einer Zusammenfassung einen Einblick in die fachlichen Diskussionen und Vorträge gewähren.

Zum vollständigen Schwerpunktthema

OLG Dresden, OLG Jena und KG Berlin zum DSGVO-Schadensersatz bei Facebook-Scraping

In den vergangenen Monaten haben sich mehrere Gerichte erneut mit dem Schadensersatzanspruch gemäß Art. 82 DSGVO befasst. Entscheidungen hierzu ergingen zuletzt unter anderem durch das OLG Dresden, das OLG Jena sowie das Kammergericht. In allen Verfahren ging es um die Frage, ob durch den Datenabfluss bei Facebook aufgrund unzureichender Schutzmaßnahmen des Anbieters ein ersatzfähiger Schaden bei den Nutzern entstanden ist.

Das OLG Dresden versagte einem betroffenen Facebook-Nutzer den Anspruch auf Schadensersatz insgesamt (OLG Dresden, Urt. v. 29.04.2025 - Az. 4 U 1385/24). Facebook habe zwar in mehrfacher Hinsicht gegen die datenschutzrechtlichen Bestimmungen der DSGVO verstoßen. Dem Kläger gelang jedoch nicht der Nachweis eines kausalen Schadens. Die Telefonnummer, die bei ihm betroffen war, hatte der Kläger bereits zuvor auf einer öffentlich zugänglichen Website selbst veröffentlicht, wodurch er bereits die Kontrolle über das Datum verloren habe. Ein darüberhinausgehender Schaden wurde vom Kläger nicht ausreichend glaubhaft gemacht.

Das Kammergericht in Berlin hat in einem ähnlich gelagerten Fall ebenfalls den Anspruch einer Klägerin auf Schadensersatz nach Art. 82 DSGVO verneint (KG Berlin, Urt. v. 03.04.2025 - Az. 1 U 44/23). Die Klägerin hatte hier die betroffenen personenbezogenen Daten bereits vor dem Jahr 2018 auf ihrem Blog veröffentlicht und damit die Kontrolle über diese Daten verloren. Einen kausalen Schaden konnte das Gericht daher nicht feststellen.

Das OLG Jena versagte ebenfalls einem Kläger unter anderem den Schadensersatzanspruch nach Art. 82 DSGVO (OLG Jena, Urt. v. 21.03.2025 - Az. 2 U 583/23). Der Anspruch bestehe nicht, da der Kläger nicht nachweisen konnte, dass der Datenabfluss der personenbezogenen Daten nach dem 25. Mai 2018 – dem Zeitpunkt des Inkrafttretens der DSGVO – stattgefunden habe. Die Beweispflicht liege hierfür beim Kläger. Indem die Beklagte schlüssig vorgetragen hat, über keine Log-Dateien mehr zu verfügen, die Aufschluss über den konkreten Zeitpunkt des Datenzugriffs geben könnten, hat sie ihrer sekundären Darlegungslast genügt. Die Unaufklärbarkeit der zeitlichen Einordnung des Scraping-Vorfalls gehe nach Auffassung des Senats demnach zu Lasten des Klägers.

Im Ergebnis lässt sich festhalten, dass die Gerichte mittlerweile mehrheitlich davon ausgehen, dass dem Grunde nach ein Schadensersatzanspruch bestehen kann, allerdings regelmäßig die Anforderungen zum Nachweis eines Schadens jedenfalls nicht mit einem pauschalen Vortrag erfüllt werden können.

(Marc-Levin Joppek)

OLG Nürnberg: Nach Ausgleich offener Forderungen darf die SCHUFA Schuldnerdaten 3 Jahre aufbewahren

Zur Aufbewahrung von Schuldnerdaten entschied das OLG Nürnberg mit Beschluss vom 05. Mai 2025, dass die Erledigung einer Forderung keinen Anspruch auf Löschung des entsprechenden SCHUFA-Eintrags rechtfertigt und die Schuldnerdaten für drei Jahre aufbewahrt werden dürfen (OLG Nürnberg, Urt. v. 05.05.2025 - Az. 3 U 1670/24).

Dem Ausgangsverfahren liegt eine Rechnung über 329,94 Euro für erbrachte Telekommunikationsdienstleistungen zugrunde, die von dem Kläger – dem Schuldner dieser Forderung – trotz eines Vollstreckungsbescheides über sechs Jahre nicht bezahlt wurde. Sowohl über die ursprüngliche Nichtzahlung wie auch über die am 27.09.2022 erfolgte Erledigung dieser Forderung speicherte die Beklagte – die SCHUFA – einen entsprechenden Eintrag zur Erstellung einer Bonitätsauskunft. Der Schuldner klagte auf Löschung seiner Eintragung, Berichtigung des Score-Wertes und Unterlassung erneuter Speicherung durch die Beklagte.

Die Darlegungs- und Beweislast für eine unrechtmäßige Datenverarbeitung sei nach nationalen Regelungen zu bestimmen. Sofern es um die im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO zu berücksichtigenden Interessen ginge, würde diese bei der betroffenen Person liegen. Dies ergäbe sich insbesondere aus der Formulierung „[…] sofern nicht […]“, die ein Regel-Ausnahme-Verhältnis zugunsten des berechtigten Interesses des Verantwortlichen ausdrücke. Im Rahmen der Kreditwirtschaft bestehe für die Vertragspartner des Beklagten – und somit für den Beklagten ebenfalls – ein berechtigtes und nach Art. 8 der Richtlinie 2008/48/EG über Verbraucherkreditverträge besonders schützenswertes Interesse an Informationen über die Kreditwürdigkeit und damit über die Zuverlässigkeit des Klägers bei vergangenen Vertragsbeziehungen. Nach Auffassung des OLG rechtfertige die bloße Erledigung keinen Anspruch auf Löschung. Die Speicherdauer sei durch eine Interessenabwägung zu ermitteln, wobei eine Speicherfrist von drei Jahren, angelehnt an die dreijährige Regelfrist des Code of Conduct der Beklagten, unter Berücksichtigung der Nichtzahlung über einen Zeitraum von sechs Jahren, nicht zu beanstanden sei. Folglich lehnte das OLG einen Anspruch auf Löschung der Eintragung ab. Die Ansprüche des Klägers auf Berichtigung des Score-Wertes und Unterlassung erneuter Speicherungen wurden aufgrund der Rechtmäßigkeit der Datenverarbeitung ebenfalls abgelehnt.

(Mira Husemann)

LG Hannover: Pseudonymisierte Daten sind ohne Zuordnung zu einer bestimmten Person faktisch anonym

Das LG Hannover musste sich in seinem Beschluss vom 26. Februar 2025 anlässlich eines Bußgeldverfahrens des Landesbeauftragten für den Datenschutz Niedersachsen, in dessen Rahmen dem Betroffenen unter anderem die Verletzung datenschutzrechtlicher Vorschriften bei der Offenlegung von Daten vorgeworfen wurde, mit der Abgrenzung zwischen Pseudonymisierung und Anonymisierung auseinandersetzen (LG Hannover, Beschluss v. 26.02.2025 - Az. 128 OWiLG 1/24).

Von dem Betroffenen wurden mehrere Vergleiche zur Beendigung von Strafverfahren und zivilgerichtlichen Klagen im Zusammenhang mit der Manipulation von Abgaswerten in den Vereinigten Staaten von Amerika abgeschlossen. Von einem sogenannten „Compliance-Monitor“ bzw. „Compliance-Auditor“ wurde die Einhaltung der in den Vergleichen enthaltenen Regelungen zur Minimierung des Wiederholungsrisikos überprüft und überwacht. Insbesondere sollte kein Fehlverhalten einzelner Mitarbeiter des Betroffenen ermittelt werden. Zur Erfüllung dieser Aufgabe sind an diesen „Compliance-Monitor“ von dem Betroffenen personenbezogene Daten überwiegend pseudonymisiert übermittelt worden.

Nach Auffassung des LG sei für die Beurteilung, ob eine Pseudonymisierung oder Anonymisierung vorliege, auf die Sichtweise des Empfängers abzustellen. Soweit der im Ausland befindliche „Compliance-Monitor“ nicht in der Lage ist, die Personalnummern bestimmten Personen zuzuordnen, seien die dahinterstehenden Personen faktisch anonym (anonymisierende Pseudonymisierung). Ausreichend sei sogar, dass der „Compliance-Monitor“ zur Zuordnung der Pseudonyme zu einzelnen Personen keine Veranlassung hatte, weil er die Offenlegung der Klarnamen hätte verlangen können und sich mit den pseudonymisierten Daten zufrieden gab.

(Mira Husemann)

LG Koblenz: Zahlung auf Fremdkonto nach Hackerangriff

In seinem Urteil vom 26. März 2025 hatte sich das LG Koblenz mit der Frage zu befassen, ob ein Werkunternehmer, dessen E-Mail Account gehackt und gegenüber dem Kunden manipuliert wurde, sich Zahlungen seines Kunden auf das Konto eines Betrügers anrechnen lassen muss (Pressemitteilung).

Das Landgericht hat einer Klage auf Zahlung des Werklohns im Umfang von 75 % stattgegeben und im Übrigen mit einem Umfang von 25 % abgewiesen. Der Kläger - ein Werkunternehmer - führte Zaunbauarbeiten für den Beklagten aus. Dass die letzte E-Mail mit einer Mitteilung über eine neue Bankverbindung für die Zahlung der Werklohnrechnung mutmaßlich von dem E-Mail-Account des Werkunternehmers verschickt wurde, begründe nicht die Vermutung, dass diese E-Mail tatsächlich von dem Werkunternehmer (oder mit dessen Einverständnis) verschickt wurde. Vielmehr sei den Parteien bekannt, dass es sich bei E-Mail-Korrespondenz um einen unsicheren und fälschungsanfälligen Kommunikationsweg handele und würden dies zwecks Vereinfachung bewusst in Kauf nehmen.

Demgegenüber stehe nach Auffassung des Landgerichts ein datenschutzrechtlicher Schadensersatzanspruch des Beklagten aus Art. 82 DSGVO wegen unzureichendem Schutz sensibler Daten, wie den in der Rechnung enthaltenen personenbezogenen Angaben und seine E-Mail-Adresse. Allerdings müsse sich der Beklagte ein erhebliches Mitverschulden anrechnen lassen, indem die neue Bankverbindung einen fremden Zahlungsempfänger auswies und dementsprechend kritisch hinterfragt worden sein müsste. Auch die Screenshots, welcher die Überweisungen anzeigte, wurde lediglich über WhatsApp verschickt und ermögliche damit keine sorgfältige Prüfung seitens des Werkunternehmers.

 (Mira Husemann)

DSK: Technische und organisatorische Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen

Die DSK hat eine Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen veröffentlicht. Die Orientierungshilfe unterscheidet zwischen den verschiedenen Lebenszyklusphasen eines KI-Systems, die von Design über Entwicklung bis hin zu Einführung und Betrieb reichen. Wesentliche Punkte sind die Gewährleistungsziele wie Vertraulichkeit, Integrität, Intervenierbarkeit, Transparenz und Nichtverkettung, die in jeder Phase mitbedacht werden sollten. Insgesamt wird eine proaktive Herangehensweise an den Datenschutz empfohlen, um die Rechte und Freiheiten von natürlichen Personen zu schützen. Die Empfehlungen sind darauf ausgelegt, sowohl rechtliche Anforderungen zu erfüllen als auch das Vertrauen der Nutzer in KI-Technologien zu stärken.

 (Marc-Levin Joppek)

DSK: Datenschutz bei Onlinebuchungen von Arztterminen

Die DSK hat ein Positionspapier zum datenschutzkonformen Einsatz von Dienstleistern für Online-Terminbuchungen und das Terminmanagement veröffentlicht, in dem es die Positionen der Datenschutzaufsichtsbehörden des Bundes und der Länder zu diesem Thema zusammenfasst.

Nach Auffassung der Aufsichtsbehörden ist die Auslagerung der Terminverwaltung durch Heilberufspraxen an ein externes Unternehmen, welches als Auftragsverarbeiter gem. Art. 28 DSGVO agiert, grundsätzlich zulässig. Das Eintragen der Patientendaten in den Terminkalender kann auch ohne Einwilligung erfolgen, sofern nur solche Daten vermerkt werden, die für die Wahrnehmung des Termins erforderlich sind, also insbesondere Name, Geburtsdatum, behandelnder Arzt, Art des Termins sowie eine Kontaktmöglichkeit. Insoweit kann die Datenverarbeitung auf die gesetzlichen Rechtsgrundlagen Art. 6 Abs. 1 lit. b) und Art. 9 Abs. 2 lit. h) DSGVO gestützt werden. Terminerinnerungen sind hingegen nicht zwingend für die Wahrnehmung des Termins erforderlich und sollten daher nur mit Einwilligung des Patienten erfolgen. Die Eintragungen im Terminkalender unterliegen nicht der berufsrechtlichen Dokumentationspflicht und sollten daher kurz nach dem Termin gelöscht werden.

Über die Einbindung eines externen Dienstleisters zur Terminvergabe sind die Patienten gem. Art. 13 f. DSGVO zu informieren. Im Übrigen sind geeignete technische und organisatorische Maßnahmen zu treffen, um den Schutz der Patientendaten zu gewährleisten. Die entsprechenden Maßnahmen sind in der vertraglichen Vereinbarung mit dem Dienstleister verbindlich festzuhalten.

Die Ausführungen in dem Positionspapier sind auch für andere Branchen und Berufsgruppen hilfreich, insbesondere für sonstige Berufsgeheimnisträger wie Rechtsanwälte, Steuerberater oder Wirtschaftsprüfer.

(Marc-Levin Joppek)

Frankreich: Bußgeld i.H.v. 80 Tsd. Euro gegen Caloga

Wegen datenschutzrechtlicher Verstöße im Zusammenhang mit der Nutzung personenbezogener Daten zu Werbezwecken hat die französische Datenschutzbehörde CNIL am 15. Mai 2025 gegen Caloga ein Bußgeld in Höhe von 80.000 Euro verhängt (Pressemitteilung v. 27.05.2025).

Das französische Unternehmen hat personenbezogene Daten unter anderem von Datenhändlern erworben, welche diese Daten wiederum aus Teilnahmeformularen für Gewinnspiele oder Online-Produkttests gewonnen haben. Diese Daten nutzte Caloga, um im Auftrag seiner Kunden Werbemails zu versenden. Nach Auffassung der CNIL lag keine wirksame Einwilligung der Betroffenen für die Nutzung der Daten zum Versand der Werbemails vor. Zudem stellte die Behörde fest, dass es für die Betroffenen schwierig war, die erteilte Einwilligung zu widerrufen. Darüber hinaus rügte die Aufsichtsbehörde zusätzliche Verstöße im Hinblick auf die datenschutzkonforme Speicherung der betroffenen Daten.

(Marc-Levin Joppek)

Irland: Bußgeld i.H.v. 550 Tsd. Euro gegen Department of Social Protection

Die irische Datenschutzbehörde verhängte ein Bußgeld in Höhe von 550.000 Euro gegen das Department of Social Protection (DSP) (Pressemitteilung v. 12.06.2025). Der Verhängung des Bußgeldes ging eine Untersuchung voraus, die die Verarbeitung von Gesichtstemplates durch das DSP und die damit verbundene Verwendung von Gesichtserkennungstechnologien im Rahmen des Registrierungsprozesses für die Public Services Card zum Gegenstand hatte.

Die Aufsichtsbehörde stellte unter anderem fest, dass für die Erhebung biometrischer Daten keine geeignete Rechtsgrundlage durch das DSP benannt wurde. Zudem erhielten die betroffenen Personen keine hinreichenden und transparenten Informationen über die Verarbeitung ihrer Daten. Die Datenschutz-Folgenabschätzung wurde ebenfalls nur unzureichend durchgeführt.

(Marc-Levin Joppek)

Deutschland: Geldbußen i.H.v. 45 Mio. Euro gegen Vodafone

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, hat gegen die Vodafone GmbH zwei Geldbußen in Höhe von insgesamt 45 Millionen Euro verhängt (Pressemitteilung v. 06/2025).

Die Verhängung der Geldbuße in Höhe von 15 Millionen Euro erfolgte, weil das Unternehmen seiner Pflicht zur datenschutzrechtlichen Kontrolle der beauftragten Auftragsverarbeiter nicht in ausreichendem Maße nachkam. Mitarbeiter der Partneragenturen hatten die Möglichkeit - zulasten der betroffenen Kunden - unberechtigt neue Verträge zu erstellen oder bestehende Verträge zu manipulieren. Aufgrund gravierender Sicherheitslücken im Authentifizierungsprozess bei der kombinierten Nutzung des Onlineportals „MeinVodafone“ und der Kundenhotline wurde eine weitere Geldbuße in Höhe von 30 Millionen Euro verhängt. Die mangelhafte Absicherung ermöglichte es Unbefugten beispielsweise, eSIM-Profile abzurufen.

Zudem wurde durch die BfDI eine Verwarnung ausgesprochen, da die vorhandenen technischen und organisatorischen Maßnahmen nicht den Anforderungen an einen angemessenen Schutz der verarbeiteten Daten entsprachen.

 (Marc-Levin Joppek)