Newsletter Datenschutz 10/2025

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Mitarbeiterexzess

Unternehmen setzen auf umfassende Compliance-Maßnahmen wie die Durchführung von Schulungsmaßnahmen oder die Erarbeitung von Datenschutzkonzepten, um eine datenschutzkonforme Verarbeitung personenbezogener Daten – insbesondere auch durch ihre Mitarbeitenden – sicherzustellen. Dennoch kann es vorkommen, dass Mitarbeitende ohne beruflichen Anlass auf personenbezogene Daten zugreifen. So ist es denkbar, dass Beschäftigte aus reiner Neugier etwa das Kaufverhalten des Nachbarn in den internen Systemen einsehen oder auf Kontoinformationen von Familienmitgliedern zugreifen. Solche Handlungen verstoßen regelmäßig gegen den Grundsatz der Zweckbindung aus Art. 5 Abs. 1 lit. b) DS-GVO. Verarbeiten Mitarbeitende die Daten für eigene Zwecke stellt sich die Frage, wann das eigenmächtige Handeln dem Unternehmen zugerechnet wird und wer gegebenenfalls für den Datenschutzverstoß haftet.

Zum vollständigen Schwerpunktthema

EuGH: Pseudonymisierung allein reicht nicht immer

Mit seinem Urteil vom 4. September 2025 konkretisierte der EuGH den Begriff der personenbezogenen Daten hinsichtlich der Übermittlung pseudonymisierter Daten an Dritte (EuGH, Urt. v. 04.09.2025 - Az. C-413/23 P).

In dem Ausgangsfall leitete der Einheitliche Abwicklungsausschuss (SRB) – ein Ausschuss der europäischen Bankenunion zur Abwicklung insolvenzbedrohter Finanzinstitute – ein Abwicklungsverfahren gegen die Banco Popular Español SA ein. Für die endgültige Entscheidung, ob Anteilseignern und Gläubigern, die von der Abwicklung betroffen waren, eine Entschädigung gewährt werden muss, konnten die Beteiligten ihre Stellungnahmen einreichen. Diese Stellungnahmen wurden als pseudonymisierte Daten an die Deloitte GmbH – eine Wirtschaftsprüfungs- und Beratungsgesellschaft – übermittelt. Über die Datenübermittlung wurden die Betroffenen nicht informiert.

Zunächst stellte der EuGH klar, dass eine Stellungnahme – welche eine persönliche Meinung enthält – als Ausdruck der Gedanken einer Person zwangsläufig eng mit dieser Person verknüpft und somit stets personenbezogen sei. Der Inhalt und Zweck der Stellungnahme müsse für die Qualifikation als personenbezogenes Datum nicht geprüft werden. Sofern die Stellungnahmen als pseudonymisierte Daten übermittelt werden, werde der Personenbezug nicht zwangsläufig aufgehoben. Die Pseudonymisierung sei eine technische und organisatorische Maßnahme und ziele darauf ab, zu verhindern, dass Betroffene ohne zusätzliche Informationen identifiziert werden können. Die verantwortliche Stelle verfüge regelmäßig über zusätzliche Informationen, die eine Zuordnung der Stellungnahmen zu einer bestimmten Person ermöglichen. Umgekehrt könnten nicht-personenbezogene Daten zu personenbezogenen Daten werden, wenn die verantwortliche Stelle die Daten an eine Person übermittelt, die über entsprechende Mittel oder Informationen verfügt, die eine Identifizierung ermöglichen. Infolgedessen komme es bei der Pseudonymisierung für die Qualifikation als personenbezogenes Datum darauf an, ob der Dritte tatsächlich in der Lage ist, die Pseudonymisierung aufzuheben und einen Personenbezug herzustellen.

Schließlich führte der EuGH aus, dass für die Zwecke der Anwendung der Informationspflichten über potenzielle Empfänger von personenbezogenen Daten nach Art. 13 Abs. 1 lit. e) DSGVO die Identifizierbarkeit des Betroffenen aus der Sichtweise der verantwortlichen Stelle und im Zeitpunkt der Datenerhebung zu beurteilen ist. Maßgeblich sei daher, ob die Stellungnahmen im Zeitpunkt der Erhebung und damit vor der Pseudonymisierung als personenbezogene Daten aus Sicht des SRB zu qualifizieren waren. Der SRB hätte die Betroffenen nach Auffassung des EuGH vor der Übermittlung der Daten an die Deloitte GmbH informieren müssen.

(Mira Husemann)

EuGH: Kein Unterlassungsanspruch aus DSGVO

Am 4. September 2025 entschied der EuGH, dass sich aus der DSGVO kein Unterlassungsanspruch ergibt für den Fall, dass die von einer unrechtmäßigen Datenverarbeitung betroffene Person nicht die Löschung ihrer Daten beantragt (EuGH, Urt. v. 04.09.2025 - Az. C-655/23). Außerdem betraf die Entscheidung einige Aspekte des immateriellen Schadensersatzes.

Der Kläger hatte sich im Ausgangspunkt bei der Quirin Privatbank über ein Online-Karrierenetzwerk beworben. Im Zuge des Bewerbungsprozesses versandte eine Mitarbeiterin der Bank über den Nachrichtendienst der Karriereplattform Xing eine eigentlich für den Kläger bestimmte Nachricht, mit der sie ihn über die Ablehnung seiner Gehaltsvorstellungen informieren und eine andere Vergütung anbieten wollte, an eine dritte, unbeteiligte Person, die den Kläger allerdings beruflich kannte. Dadurch entstand bei dem Kläger die Sorge, mindestens eine ihm bekannte dritte Person aus der gleichen Branche sei in die Lage versetzt worden, vertrauliche Daten an ehemalige und potenzielle Arbeitgeber weiterzugeben und hierdurch einen Vorteil in Konkurrenzsituationen zu erlangen. Zudem könnten sodann andere über das von ihm als demütigend empfundene Unterliegen in der Gehaltsverhandlung erfahren. Er verlangte deswegen Schadensersatz und Unterlassung jeder weiteren unbefugten Offenlegung. Der mit der Revision betraute BGH hatte hierzu einige Fragen dem EuGH vorgelegt, insbesondere hinsichtlich eines möglichen unionsrechtlichen Unterlassungsanspruchs.

Der EuGH stellte fest, dass die DSGVO keine Bestimmung enthalte, die ausdrücklich oder implizit vorsehe, dass die betroffene Person präventiv verlangen könne, dass der Verantwortliche der Datenverarbeitung einen künftigen Verstoß gegen die DSGVO zu unterlassen habe. Ein solches Recht ergebe sich auch nicht aus den Betroffenenrechten des Art. 17 und 18 DSGVO (Recht auf Löschung und Recht auf Einschränkung der Verarbeitung), wenn die betroffene Person keine Löschung ihrer Daten beantrage. Insbesondere aus dem Recht auf einen wirksamen gerichtlichen Rechtsbehelf gem. Art. 79 Abs. 1 DSGVO ergebe sich aber, dass die Mitgliedstaaten dennoch nicht gehindert seien, einen solchen präventiven Unterlassungsanspruch aus nationalem Recht zuzusprechen. Unabhängig von einer Öffnungsklausel im entsprechenden Kapitel der DSGVO sei eine umfassende Harmonisierung der Rechtsbehelfe bei Verstoß gegen die DSGVO nicht gewollt, ein nationaler Unterlassungsanspruch könne zudem die Ziele der DSGVO fördern.

Zudem bestätigte der EuGH seine Rechtsprechung, wonach ein immaterieller Schaden i.S.v. Art. 82 Abs. 1 DSGVO bereits im bloßen Kontrollverlust über die Daten liegen könne, ebenso in der Befürchtung einer zukünftigen missbräuchlichen Verwendung, sofern beides ordnungsgemäß nachgewiesen sei. Auch wenn Sorgen oder Ärger, wie der BGH anführt, Teil des allgemeinen Lebensrisikos sein können, können diese einen immateriellen Schaden darstellen, sofern sie kausal auf den in Rede stehenden Verstoß gegen die DSGVO zurück zu führen sind. Dies stünde im Einklang mit Wortlaut und Erwägungsgründen der Norm.

(Gesche Kracht)

EU-Gericht weist Klage gegen Abkommen mit den USA ab

Mit Urteil vom 3. September 2025 wies das Gericht der Europäischen Union (EuG) eine Nichtigkeitsklage gegen den Angemessenheitsbeschluss der Europäischen Kommission, der am 10. Juli 2023 für die Datenübermittlung in die USA erlassen wurde, ab und bestätigte damit ein angemessenes Datenschutzniveau in den USA für den Zeitpunkt des Erlasses des angefochtenen Beschlusses (Pressemitteilung v. 03.09.2025).

Die Übermittlung personenbezogener Daten in Drittstaaten – also Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums – ist nach der Datenschutzgrundverordnung (DSGVO) nur zulässig, wenn ein gleichwertiges Datenschutzniveau in dem Drittstaat sichergestellt werden kann. Zur Sicherstellung eines gleichwertigen Datenschutzniveaus definiert die DSGVO verschiedene Schutzmechanismen, darunter den sogenannten Angemessenheitsbeschluss der Europäischen Kommission. Für die USA besteht ein solcher Angemessenheitsbeschluss seit dem 10.06.2023. Zwei Vorgängerregelungen wurden vom EuGH mit Urteil vom 06.10.2015 und 16.07.2020 für ungültig erklärt; das fehlende gleichwertige Schutzniveau führte der EuGH auf die weitrechenden Befugnisse der US-Nachrichtendienste zurück (EuGH, Urt. v. 06.10.2015 - Az. C-362/14; Urt. v. 16.07.2020 - Az. C-311/18). Der Grund für den erneuten Erlass eines Angemessenheitsbeschlusses ist ein Präsidialdekret vom 7. Oktober 2022, mit dem die Überwachungsmaßnahmen der US-Nachrichtendienste begrenzt und die Bestimmungen über das US-Datenschutzgericht (DPRC) geändert wurden.

Mit einer Nichtigkeitsklage wurde die Unparteilichkeit und Unabhängigkeit des DPRC sowie die Vorgehensweise der US-Nachrichtendienste bei der Sammelerhebung personenbezogener Daten beanstandet. In seinem Urteil stellte der EuGH zunächst fest, dass die Unabhängigkeit der Mitglieder des DPRC durch mehrere Garantien und Bedingungen zur Arbeitsweise des DPRC und zur Ernennung seiner Richter gewährleistet sei. Hinsichtlich der Vorgehensweise von US-Nachrichtendiensten unterliege die Genehmigung einer Sammelerhebung personenbezogener Daten der nachträglichen Überprüfung durch den DPRC und sei unter Beachtung der EuGH-Rechtsprechung ausreichend.

Das Urteil bezieht sich auf den Zeitpunkt, in dem der Angemessenheitsbeschluss erlassen wurde. Die Europäische Kommission habe die Entwicklung der Rechtslage in den USA fortlaufend zu überwachen und, soweit erforderlich, den Beschluss auszusetzen, zu ändern oder aufzuheben.

(Mira Husemann)

BGH: Kein Schadensersatz bei hypothetischem Risiko der missbräuchlichen Verwendung von Daten

Der BGH entschied mit einem Urteil vom 13. Mai 2025, dass ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten nicht zu einem Schadensersatzanspruch nach Art. 82 DSGVO führen kann (BGH, Urt. v. 13.05.2025 - Az. VI ZR 186/22).

Der Kläger widersprach gegenüber der beklagten Stadt der unverschlüsselten Übermittlung seiner personenbezogenen Daten. Nichtsdestotrotz versendete die Stadt mehrfach unverschlüsselte Schreiben per Fax, die unter anderem den Nachnamen des Klägers enthielten.

Ein Anspruch auf Schadensersatz nach Art. 82 DSGVO wurde durch den BGH mangels Darlegung eines immateriellen Schadens abgelehnt. Der bloße Verstoß gegen die DSGVO sei für die Begründung eines Schadensersatzanspruches nach Art. 82 DSGVO nicht ausreichend, vielmehr würden auch ein materieller oder immaterieller Schaden sowie ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden vorausgesetzt. Der Anspruchssteller müsse nachweisen, dass ihm durch den Verstoß gegen die DSGVO ein Schaden entstanden sei. Dabei könne die durch einen Verstoß ausgelöste Befürchtung eines Betroffenen, seine personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen immateriellen Schaden darstellen; die bloße Behauptung – ohne nachgewiesene negative Folgen – reiche indes nicht aus. Ohne einen Nachweis durch den Kläger bestehe kein haftungsauslösender Kontrollverlust, sondern ein rein hypothetisches Risiko. Auch dass der Kläger aufgrund seiner beruflichen Tätigkeit Gefahren für Leib und Leben ausgesetzt sei, lasse nicht zwangsläufig eine konkrete Gefährdung seiner Person erkennen.

(Mira Husemann)

OLG München: E-Mail-Hosting-Anbieterin muss keine Auskunft über Nutzerdaten erteilen

Mit Beschluss vom 26. August 2025 entschied das OLG München, dass eine E-Mail-Hosting-Anbieterin keine Auskunft über die Bestandsdaten der Nutzer erteilen muss, weil ein E-Mail-Hosting-Dienst keinen digitalen Dienst im Sinne des § 21 Telekommunikations-Digitale-Dienste-Datenschutzgesetz (TDDDG) anbiete, sondern einen interpersonellen Informationsdienst, der ausschließlich dem Regelungsbereich des Telekommunikationsgesetzes (TKG) unterliege, für den ein solcher (privatrechtlicher) Auskunftsanspruch nicht bestünde (OLG München, Beschluss v. 26.08.2025 – 18 W 677/25 Pre e).

Ausgangspunkt der gerichtlichen Auseinandersetzung waren zwei äußerst negative und rechtswidrige Rezensionen, die von ihrem Autor auf einer Bewertungsplattform veröffentlicht worden waren und gegen die die Klägerin – ein Automobilunternehmen – sich zu wehren suchte. Die beiden Rezensionen waren vom Bertreiber der Bewertungsplattform zwar schon entfernt worden, das Automobilunternehmen intendierte aber auch, rechtliche Schritte gegen den Autor einzuleiten. Im Gerichtsverfahren gegen die Betreiberin der Bewertungsplattform erreichte die Klägerin zunächst, eine Auskunft über die E-Mail-Adresse des Autors zu erhalten. Im Folgeverfahren gegen die E-Mail-Hosting-Anbieterin versuchte sie nunmehr den Namen, die Anschrift und das Geburtsdatum des Autors in Erfahrung zu bringen. Nachdem die Klägerin vor dem Landgericht München I mit diesem Anspruch noch obsiegte, legte die E-Mail-Hosting-Anbieterin gegen diese erstinstanzliche Entscheidung mit Erfolg Rechtsmittel vor dem OLG München ein.

Nach Ansicht des Gerichts erlaube § 21 Abs. 2 TDDDG Anbietern von digitalen Diensten im Einzelfall zwar, eine Auskunft über bei ihnen vorhandene Bestandsdaten zu erteilen. Die beklagte E-Mail-Hosting-Anbieterin sei aber schon keine Anbieterin von digitalen Diensten in diesem Sinne. Vielmehr würde es sich bei derartigen E-Mail-Hosting-Diensten um elektronische Kommunikationsdienste handeln, für die das Telekommunikationsgesetz (TKG) das maßgebliche Regelwerk sei. Daher könne die E-Mail-Hosting-Anbieterin allenfalls nach § 174 TKG zur Auskunft verpflichtet sein, wobei sich weder Privatpersonen noch juristische Personen – wie die Klägerin – auf diese Norm berufen könnten. Anders als von der Klägerin behauptet, sei § 21 TDDDG auch nicht dahingehend zu verstehen, dass die begehrte „Kettenauskunft“ bis hin zum letzten Anbieter in der Kette, bei dem in den Bestandsdaten Name und Adresse der Person gespeichert sind, die wegen der Rechtsverletzung in Anspruch genommen werden soll, verlangt werden könne. Für die Klägerin ergebe sich damit zwar eine Schutzlücke. Um diese zu schließen, müsse aber der Gesetzgeber tätig werden. Insbesondere könne nicht von der E-Mail-Hosting-Anbieterin verlangt werden, sich zusätzlich zu den Vorschriften über den Datenschutz in der Telekommunikation, denen sie als Betreiberin eines interpersonellen Kommunikationsdienstes nach dem TKG unterliegt, auch noch dem Regelungsregime für Anbieter digitaler Dienste zu unterwerfen, obwohl nach der Systematik des TDDDG unterschiedliche Anforderungen für die beiden Bereiche Telekommunikation und Digitale Dienste gelten sollen.

(Habib Majuno)

LG Lübeck legt EuGH Fragen zur Übermittlung von Daten an SCHUFA vor

Das LG Lübeck war mit einem Fall der Datenübermittlung an die SCHUFA befasst und setzte das Verfahren zur Durchführung eines Vorabentscheidungsverfahrens aus (LG Lübeck, Beschl. v. 04.09.2025 – Az. 15 O 12/24).

Ein Telekommunikationsunternehmen übermittelte nach Abschluss eines Mobilfunkvertrages persönliche Daten des Vertragspartners ohne dessen Einwilligung an die SCHUFA Holding AG, der Betreiberin eines Bonitätsauskunftssystems. Dabei handelte es sich um Informationen, die keine negativen Zahlungserfahrungen oder sonstiges vertragsgemäßes Verhalten zum Inhalt hatten, sondern die Beauftragung, Durchführung und Beendigung eines Vertrags betrafen (sogenannte Positivdaten).

Das LG bezweifelt, dass die Übermittlung von Positivdaten auf die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO gestützt werden kann. Der Begriff des berechtigen Interesses sei hinsichtlich der Anforderungen an massenhafte Übermittlungen von Positivdaten nicht hinreichend bestimmt. Zudem sieht das LG die Verwendung der Positivdaten zur Erstellung eines Persönlichkeitsprofils in Gestalt eines Score-Wertes als problematisch an. Der Score-Wert sei durch die weitestgehend intransparente Verbindung von Datenpunkten geeignet, bei dem Betroffenen das Gefühl einer kontinuierlichen Überwachung ohne Einflussmöglichkeiten auszulösen. Schließlich ist für das LG unklar, ob die beanstandete Datenübermittlung und -speicherung einen Kontrollverlust und damit einen Schaden nach Art. 82 DSGVO begründet.

(Mira Husemann)

Landesdatenschutzbeauftragte kritisieren Schwächung des Grundrechtsschutzes bei KI-Kontrolle

Die unabhängigen Datenschutzaufsichtsbehörden der Länder haben Kritik an einem aktuellen Gesetzesvorhaben des Bundesministeriums für Digitales und Staatsmodernisierung geübt (Pressemitteilung v. 04.09.2025). Dieses will die Marktüberwachung für bestimmte grundrechtsrelevante Künstliche Intelligenz der Bundesnetzagentur übertragen, obwohl diese Aufgabe nach der KI-Verordnung bereits den Datenschutzaufsichtsbehörden zugewiesen ist. Hierdurch sollen laut des Entwurfs Hemmnisse für Innovationen abgebaut werden. Betroffen sind insbesondere KI-Systeme aus dem Hochrisikobereich, die für Zwecke der Strafverfolgung, das Grenzmanagement sowie Justiz und Demokratie eingesetzt werden.

Meike Kamp, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, äußerte sich hierzu wie folgt: „Die Datenschutzaufsichtsbehörden, die die Grundrechte der Bürgerinnen und Bürger wahren und stärken, sollen also eben deswegen künftig keine Rolle spielen bei der Aufsicht, und das in diesem sehr sensiblen Bereich. Das lässt ein merkwürdiges Verständnis der Bedeutung von Grundrechten und auch über die Aufgaben der Datenschutzaufsicht erkennen.“ Weiter merkte sie an: „Grundrechtsschutz ist kein Makel, sondern eine demokratische Notwendigkeit. Gerade angesichts der weitreichenden Auswirkungen, die die Nutzung von Künstlicher Intelligenz potenziell auf die Gesellschaft hat, müssen die Grundrechte der Bürgerinnen und Bürger geachtet werden.“

Die Landesdatenschutzbehörden machten weiter deutlich, dass die von der KI-Verordnung vorgesehene Verteilung der Kompetenzen zwischen Bundesnetzagentur und Datenschutzaufsichtsbehörden sinnvoll sei und die Bundesregierung diesem Weg folgen sollte.

(Christina Prowald)

Microsoft stellt neue Datenschutzdokumente zu MS365 zur Verfügung

Der Technologiekonzern Microsoft hat neue Datenschutzdokumente für den Einsatz der cloudbasierten Plattform Microsoft 365 in seinem Service Trust Portal bereitgestellt.

Der datenschutzkonforme Einsatz von Microsoft 365 ist insbesondere in Bezug auf die Datenübermittlung in Drittstaaten und die fehlende Transparenz hinsichtlich der Datenverarbeitung kritisch. Um die Rechtssicherheit bei dem Einsatz von Microsoft 365 zu erhöhen und kleinen oder mittleren Unternehmen eine Hilfestellung bei dem datenschutzkonformen Umgang mit dieser Plattform zu bieten, hat Microsoft unter Zusammenarbeit mit den Datenschutzaufsichtsbehörden aus Bayern und Hessen neue Datenschutzdokumente veröffentlicht. Dazu gehören ein Deckblatt für ein M365 Toolkit, Beispieleinträge für ein Verzeichnis der Verarbeitungstätigkeiten, Schwellwertanalysen, Rechtsgrundlagen für typische Einsatzszenarien von Microsoft 365, eine beispielhafte Datenschutzerklärung und Erläuterungen zur Anonymisierung von Daten. Eine individuelle Prüfung und Risikoabschätzung bei dem Einsatz von Microsoft 365 wird hierdurch nicht entbehrlich.

(Mira Husemann)

Der EU-Data Act

Seit dem 12. September 2025 gilt der Data Act, welcher den Zugang, den Austausch und die Nutzung von Daten fördert. Der Data Act betrifft Hersteller, Dateninhaber und Nutzer von vernetzten Produkten und verbundenen Dienstleistungen. Dabei werden das Recht auf Zugang und Bereitstellung von Daten sowie das Recht auf Weitergabe der Daten an Dritte geregelt. Ferner definiert der Data Act neue verpflichtend abzuschließende Vertragstypen, darunter den Datennutzungsvertrag über die Verarbeitung nicht-personenbezogener Daten (Art. 4 Abs. 13 Data Act), den Bereitstellungsvertrag zwischen Dateninhaber und Datenempfänger (Art. 8 f. Data Act) und den Vertrag zur Erleichterung des Wechsels zwischen Datenverarbeitungsdiensten (Art. 23 ff. Data Act). Unternehmen sollten in einem ersten Schritt prüfen, ob sie unter den Anwendungsbereich fallen; insbesondere für Kleinunternehmen gelten Ausnahmen. Ist dies der Fall, haben Unternehmen gegebenenfalls, Geschäftsgeheimnisse zu kennzeichnen und Schutzmechanismen für diese zu implementieren, einen Datenzugang (mittels Schnittstellen) einzurichten, sowie Verträge und Informationstexte vorzubereiten. In Deutschland wurde der Data Act bislang noch nicht in nationales Recht umgesetzt, es liegt lediglich ein Referentenentwurf vor. Konkrete Regelung über die behördlichen Zuständigkeiten oder Sanktionen bleiben daher abzuwarten. Die Europäische Kommission hat bereits Leitlinien zur Unterstützung der Umsetzung des Data Act veröffentlicht.

(Mira Husemann)

Frankreich: Bußgeld gegen Google wegen Cookies und Inbox-Werbung

Die französische Datenschutzbehörde (CNIL) hat ein Bußgeld i. H. v. 325 Millionen € gegen Google verhängt, weil das Unternehmen den Nutzern des E-Mail-Dienstes Gmail ohne deren Zustimmung Werbung zwischen ihren E-Mails anzeigte und bei der Erstellung neuer Google-Konten Cookies setzte, ohne die Einwilligung seiner französischen Nutzer einzuholen (Pressemitteilung v. 03.09.2025).

Anlass für die Untersuchung des E-Mail-Dienstes von Google und des Registrierungsprozesses bei der Erstellung eines Google-Nutzer-Kontos durch die CNIL war eine Beschwerde der österreichischen Organisation „NOYB - Europäisches Zentrum für digitale Rechte“ vom 24. August 2022. Im Ergebnis resümierte die CNIL, dass Google gegen französisches Recht verstoße, indem das Unternehmen in den Postfächern der Gmail-Nutzer Werbung in Form von E-Mails einblende. Dazu sei nach Art. L 34-5 des französischen Telekommunikationsgesetzes (CPCE) die Einwilligung der Nutzer erforderlich, an der es im vorliegenden Fall fehlen würde. Darüber hinaus habe Google ohne die wirksame Einwilligung der Nutzer bei der Erstellung eines Google-Kontos Cookies gesetzt, mit denen personalisierte Werbung eingeblendet werden könne. Für die wirksame Einwilligung hätten Nutzer insbesondere auf eindeutige Weise darüber informiert werden müssen, dass man Google-Dienste nicht nutzen könne, ohne zuzulassen, dass Google Cookies für Werbezwecke setze. Den französischen Nutzern von Google habe diese Information gefehlt, sodass die in diesem Zusammenhang eingeholten Einwilligungen unwirksam seien. Damit habe Google gegen Art. 82 des französischen Datenschutzgesetzes verstoßen. Die CNIL verhängte daher ein Bußgeld i. H. v. insgesamt 325 Millionen € und forderte Google – unter Androhung eines Zwangsgeldes i.H.v. 100.000 € pro Tag der Zuwiderhandlung – zur Beseitigung der Regelverstöße innerhalb von sechs Monaten auf.

(Habib Majuno)

Frankreich: Bußgeld wegen der Verwendung von Cookies ohne die Einwilligung der Nutzer

Die französische Datenschutzbehörde CNIL hat am 1. September 2025 ein Bußgeld i. H. v. 150 Millionen € gegen die Infinite Styles Services Co. Limited, die irische Tochtergesellschaft der Shein-Gruppe, wegen Verstoßes gegen die Anforderungen, die bei der Nutzung von Cookies auf Websites zu beachten sind, verhängt (Mitteilung v. 03.09.2025). Die CNIL überprüfte die Website „shein.com“ im August 2023 und stellte dabei fest, dass die Vorgaben von Art. 82 des französischen Datenschutzgesetzes nicht eingehalten wurden. Insbesondere seien für die Cookie-Nutzung erforderliche Einwilligungen der Nutzer nicht eingeholt worden. Verschiedene technisch nicht notwendige Cookies seien bereits gesetzt worden, bevor der Nutzer die Möglichkeit gehabt habe, mit dem Cookie-Banner zu interagieren. Die Cookie-Banner seien zudem unvollständig gewesen, da sie nicht alle dem Nutzer bereitzustellende Informationen – etwa zum Zweck der Datenverarbeitung – enthielten. Die Datenschutzbehörde kritisierte außerdem die mangelnde Information über eingesetzte Drittanbieter sowie den unzureichenden Mechanismus zur Ablehnung und zum Widerruf der Einwilligung.

Bei der Bemessung des Bußgelds berücksichtigte die Datenschutzbehörde unter anderem die Mehrzahl an Verstößen sowie das enorme Ausmaß der betreffenden Datenverarbeitungen. Die Webseite der Shein-Gruppe werde jeden Monat von durchschnittlich 12 Millionen in Frankreich lebenden Personen besucht. Der verantwortliche Ausschuss erinnerte außerdem daran, dass bereits im Jahr 2020 wiederholt Unternehmen wegen ähnlicher Verstöße sanktioniert und die zugehörigen Entscheidungen veröffentlicht wurden.

(Christina Prowald)