Sehr geehrte Damen und Herren,

jedes Jahr bringt verschiedene datenschutzrechtliche Entwicklungen und Herausforderungen mit sich. Traditionell fassen wir in der Januar-Ausgabe unseres Newsletters die datenschutzrechtlichen Geschehnisse des vergangenen Jahres zusammen. In dem Schwerpunktthema der ersten Ausgabe in diesem Jahr blicken wir deshalb wie gewohnt noch einmal zurück auf das datenschutzrechtliche Jahr 2024 und wagen einen Ausblick auf das neue Jahr 2025.

Gerne unterrichten wir Sie in gewohnter Weise auch im neuen Jahr über die aktuellen datenschutzrechtlichen Entwicklungen. In der aktuellen Ausgabe berichten wir etwa über die Entscheidung des EuGH zu den Ausnahmen von der Informationspflicht nach Art. 14 Abs. 5 DSGVO, die Entscheidung des österreichischen BVerwG zur Nutzung von Google reCAPTCHA, die Orientierungshilfe der DSK für Anbieter von digitalen Diensten, das Bußgeld des HmbBfDI in Höhe von 900.000 Euro sowie weitere Entscheidungen der Aufsichtsbehörden in Frankreich und Finnland.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Jahresrückblick 2024 und Ausblick 2025

Das Datenschutzrecht im Jahr 2024 war geprägt von verschiedenen Entscheidungen der Behörden und Gerichte zur Interpretation und Anwendung der Bestimmungen der DSGVO. Einen breiten Raum haben dabei Fragestellungen zum Umfang möglicher Schadensersatzansprüche nach Art. 82 DSGVO sowie zur Reichweite des Auskunftsanspruchs nach Art. 15 DSGVO eingenommen. Daneben wurden auch die rechtliche Einordnung verschiedener Techniken zum Nutzer-Tracking sowie die Zulässigkeit der Datenverarbeitung zu Werbezwecken weiterhin intensiv diskutiert. Im Juli 2024 ist außerdem die neue KI-Verordnung in Kraft getreten, die auch für die Verarbeitung personenbezogener Daten von Relevanz ist. Die neue Verordnung verfolgt einen risikobasierten Ansatz und legt unter anderem fest, welche Anforderungen Anbieter, Betreiber, Händler und Nutzer von KI-Systemen einzuhalten haben.

Am 24. Mai 2024 hat nunmehr schon zum fünften Mal unser BRANDI-Datenschutzrechtstag stattgefunden. Zu Gast bei BRANDI waren Herr Dr. Thilo Weichert, der ehemalige Leiter der Datenschutzaufsichtsbehörde in Schleswig-Holstein (ULD), und Herr Prof. Dr. Eckhard Koch, der Vizepräsident für Forschung, Entwicklung und Transfer der FHDW Paderborn. Wir haben uns mit Herrn Dr. Weichert und Herrn Prof. Dr. Koch zu verschiedenen Fragestellungen zum Thema „Sicherheit beginnt mit Datenschutz“ ausgetauscht. Im Gespräch mit Rechtsanwältinnen und Rechtsanwälten von BRANDI gaben die Gastreferenten spannende Einblicke in verschiedene datenschutzrechtliche Themen, aktuelle Verfahren der Aufsichtsbehörden und ihre tägliche Arbeit.

Den Jahreswechsel haben wir zum Anlass genommen, in unserem traditionellen Jahresrückblick die im vergangenen Jahr schwerpunktmäßig behandelten Themen und besonders relevanten Entwicklungen und Geschehnisse noch einmal Revue passieren zu lassen. Zudem wagen wir einen Ausblick auf das neue Jahr und die für 2025 zu erwartenden Entwicklungen.

Zum vollständigen Schwerpunktthema

Save the Date: BRANDI-Datenschutzrechtstag 2025

Wir laden Sie bereits jetzt herzlich zu unserem 6. BRANDI-Datenschutzrechtstag am 16. Mai 2025 ein. Die Veranstaltung wird in diesem Jahr in Herford stattfinden. Daneben wird es auch wieder die Möglichkeit geben, passiv online an unserem Datenschutzrechtstag teilzunehmen.

Seit dem Inkrafttreten der DSGVO konnten einige datenschutzrechtliche Fragestellungen im Zusammenhang mit der Anwendung der DSGVO ganz oder zumindest teilweise geklärt werden. Andere Fragen und Probleme stellen sich nach wie vor oder sogar gänzlich neu.

Für die Veranstaltung konnten wir erneut einen renommierten Experten gewinnen. In diesem Jahr werden wir unter anderem mit Prof. Ulrich Kelber, ehemaliger Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), diskutieren.

Freuen Sie sich schon jetzt auf interessante Vorträge und spannende Diskussionen. Über die näheren Inhalte der Veranstaltung sowie die Anmeldemöglichkeiten werden wir Sie zeitnah auf unserer Homepage sowie in unserem Datenschutz-Newsletter informieren.

EKD-Synode evaluiert Datenschutzgesetz

Die Synode der Evangelischen Kirche in Deutschland (EKD) hat bereits am 14. November 2024 das EKD-Datenschutzgesetz (DSG-EKD) evaluiert sowie Änderungen und Anpassungen beschlossen, die zum 1. Mai 2025 in Kraft treten werden (Mitteilung v. 14.11.2024). Die EKD verfügt über ein eigenes Datenschutzgesetz, das vor sechs Jahren in Kraft trat und an die Datenschutz-Grundverordnung angelehnt ist. Angepasst wurden insbesondere verschiedene Klauseln im Kontext der Auftragsverarbeitung sowie Regelungen zur Mitgliederkommunikation. Die in der Vergangenheit kritisierte „Unterwerfungsklausel“ für nicht-kirchliche Auftragsverarbeiter unter das kirchliche Datenschutzrecht wurde gestrichen. Außerdem eröffnet das angepasste DSG-EKD nunmehr die Möglichkeit, Software zentral zu beschaffen und in den Gliedkirchen einzusetzen, ohne dass es hierfür zusätzlicher interner Vereinbarungen zum Datenschutz bedarf.

Michael Jacob, Beauftragter für den Datenschutz der EKD, äußerte sich wie folgt zu den Änderungen: „Wir begrüßen die rechtlich gebotenen und dem evangelischen Profil dienenden Änderungen und Anpassungen im EKD-Datenschutzgesetz sehr! Wir sind überzeugt, mit diesem Gesetz die Datenschutz-Herausforderungen in Kirche und Diakonie zukünftig noch besser im Sinne der hinter den Daten stehenden Menschen und der verantwortlichen evangelischen Stellen lösen zu können.“

(Christina Prowald)

EuGH zu den Ausnahmen von der Informationspflicht nach Art. 14 Abs. 5 DSGVO

In seiner Entscheidung vom 28. November 2024 hat der EuGH sich mit den Ausnahmen von der Informationspflicht nach Art. 14 Abs. 5 DSGVO auseinandergesetzt (EuGH, Urt. v. 28.11.2024 - Az. C-169/23).

In dem der Entscheidung zugrundeliegenden Fall hatte die zuständige ungarische Behörde ein Immunitätszertifikat, das die Impfung gegen Covid-19 bescheinigte, ausgestellt. Die hierbei verwendeten personenbezogenen Daten waren in einem eigenen Verfahren von der Behörde erstellt worden. Der Betroffene beschwerte sich in der Folge bei der Aufsichtsbehörde und vertrat den Standpunkt, dass er seitens der Behörde nicht ordnungsgemäß nach Art. 14 Abs. 1 DSGVO belehrt worden sei. Die Behörde war hingegen der Auffassung, dass sie von der Informationspflicht nach Art. 14 Abs. 5 lit. c) DSGVO befreit gewesen sei. Das in der Folge angerufene ungarische Gericht führte aus, dass die Ausnahmeregelung des Art. 14 Abs. 5 DSGVO nicht anwendbar ist, da die verwendeten Daten teilweise nicht von einer anderen Stelle erlangt, sondern von der Behörde selbst im Rahmen der Erfüllung ihrer Aufgaben erzeugt worden seien, wogegen sich die Behörde wiederum wehrte.

Der EuGH hat nun entschieden, dass Art. 14 Abs. 5 lit. c) DSGVO so auszulegen ist, dass die vorgesehene Ausnahme von der Informationspflicht unterschiedslos alle personenbezogenen Daten betrifft, die der Verantwortliche nicht unmittelbar bei der betroffenen Person erhoben hat. Dies gelte unabhängig davon, ob der Verantwortliche sie von einer anderen Stelle erlangt oder selbst erzeugt habe. Zur Begründung führt das Gericht an, dass der Wortlaut der Vorschrift im Rahmen der Aufgabenerfüllung selbst erzeugte Daten, die auf von Dritten bereitgestellten Daten beruhen, nicht ausschließt. Aufgrund der Zweiteilung der Art. 13 und 14 DSGVO müssten grundsätzlich alle Daten in den Anwendungsbereich des Art. 14 DSGVO fallen, die nicht von Art. 13 DSGVO erfasst werden, sodass auch die in Rede stehenden Daten erfasst würden. Weiter entschied der EuGH, dass die Aufsichtsbehörde im Rahmen eines Beschwerdeverfahrens prüfen darf, ob das Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, für die Zwecke der Anwendung der in Art. 14 Abs. 5 lit. c) DSGVO vorgesehenen Ausnahme geeignete Maßnahmen zum Schutz der berechtigten Interessen der Betroffenen vorsieht. Diese Prüfung betrifft jedoch nicht die Geeignetheit der Maßnahmen, zu deren Durchführung der Verantwortliche nach Art. 32 DSGVO verpflichtet ist, um die Sicherheit der Verarbeitung zu gewährleisten.

(Christina Prowald)

Österreichisches BVerwG zur Nutzung von Google reCAPTCHA

Das Österreichische BVerwG hat am 13. September 2024 entschieden, dass der Dienst Google reCAPTCHA nur nach vorheriger ausdrücklicher Einwilligung des Nutzers verwendet werden darf (BVerwG Österreich, Urt. v. 13.09.2024 - Az. W298 2274626-1/8E).

Das Gericht führte aus, dass im Zusammenhang mit der Nutzung von Google reCAPTCHA Cookies gesetzt würden, mittels derer es den Webseitenbetreibern möglich sei, die Webseitenbesucher voneinander zu unterscheiden. Für die Nutzung entsprechender Cookies sei vom Grundsatz her eine Einwilligung erforderlich. Eine solche sei im vorliegenden Fall allerdings nicht eingeholt worden. Die Datenverarbeitung könne auch nicht ersatzweise auf berechtigte Interessen des Webseitenbetreibers i.S.v. Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden. Nach Auffassung des Senats seien Cookies, die vom Google-Dienst reCAPTCHA gesetzt werden, für den Betrieb einer Webseite nicht erforderlich, auch wenn das Verhindern von Bot-Eingaben für den Webseitenbetreiber prinzipiell vorteilhaft sei. Die Implementierung des Dienstes sei technisch nicht notwendig, da sie keinen Einfluss auf die Funktionalität der Webseite habe. In der Folge fehle es an einem berechtigten Interesse, weshalb es aus Sicht des Gerichts einer Einwilligung in die Nutzung des Dienstes bedurft hätte. Grundsätzlich bleibt es aber wohl möglich, entsprechende CAPTCHA-Dienste alleine auf ein berechtigtes Interesse zu stützen, solange nicht zugleich weitere Datenverarbeitungsaktivitäten in diesem Zusammenhang (wie bei Google reCAPTCHA) erfolgen.

(Christina Prowald)

LG Duisburg zur Verjährung von datenschutzrechtlichen Schadensersatzansprüchen

Am 7. Oktober 2024 hat das LG Duisburg entschieden, dass Schadensersatzansprüche nach Art. 82 Abs. 1 DSGVO der allgemeinen Verjährungsfrist der §§ 195, 199 Abs. 1 BGB unterliegen (LG Duisburg, Urt. v. 07.10.2024 - Az. 2 O 31/24; GRUR-RS 2024, 31634).

In dem der Entscheidung zugrundeliegenden Fall hatte die Klägerin mit dem beklagten Telekommunikationsanbieter Vodafone im Jahr 2020 einen Mobilfunkvertrag abgeschlossen, der eine Klausel enthielt, nach der personenbezogene Daten des Kunden standardmäßig zur Durchführung von Bonitätsprüfungen an eine Wirtschaftsauskunftei weitergegeben werden. Zusätzlich erhielt die Klägerin ein datenschutzrechtliches Informationsblatt, in dem ebenfalls auf die Datenübermittlung hingewiesen wurde. Nachdem die Klägerin Ende 2023 eine Kopie der bei der Wirtschaftsauskunftei gespeicherten Daten erhielt, in der die im Kontext des Mobilfunkvertrags übermittelten Positivdaten auftauchten, verlangte sie Anfang 2024 Schadensersatz in Höhe von 4.000 Euro von der Beklagten.

Das Gericht wies die Klage ab, da etwaige Schadensersatzansprüche jedenfalls bereits am 31.12.2023 verjährt seien. Die Klägerin habe von den den Anspruch begründenden Umständen und der Person des Schuldners bereits mit Vertragsabschluss Kenntnis erlangt bzw. erlangen müssen. Die Beklagte habe in dem geschlossenen Vertrag sowie den beigefügten Datenschutzhinweisen ausdrücklich auf die Datenübermittlung hingewiesen. Zudem bestehe auch abseits der Frage der Verjährung kein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO, da es bereits an einem Verstoß gegen die DSGVO und ebenso an einem Schaden fehle.

(Christina Prowald)

Zur Verjährung des Auskunftsanspruchs

Das AG Chemnitz hat am 22. November 2024 entschieden, dass der Auskunftsanspruch des Art. 15 Abs. 1 DSGVO keiner Verjährung unterliegt und als eigenständiger Primäranspruch auch bei fehlender Verarbeitung personenbezogener Daten bestehen bleibt (AG Chemnitz, Urt. v. 22.11.2024 - Az. 16 C 1063/24; GRUR-RS 2024, 33206). Das Europarecht sehe keine Verjährung des Anspruchs aus Art. 15 DSGVO vor. Der Anspruch könne auch seiner Natur nach nicht verjähren, da er keine Entstehungsvoraussetzungen kenne, sondern jederzeit voraussetzungslos geltend gemacht werden könne. Dies gelte auch dann, wenn gar keine personenbezogenen Daten verarbeitet wurden, da insoweit zumindest ein Anspruch auf Negativauskunft bestehe.

Nach Auffassung des LAG Hamburg können datenschutzrechtliche Ansprüche wie der Anspruch auf Auskunft nach Art. 15 DSGVO aber durch arbeitsvertragliche Ausschlussfristen erfasst und damit ausgeschlossen werden (LAG Hamburg, Urt. v. 11.06.2024 - Az. 3 SLa 2/24). Die DSGVO selbst enthalte keine Regelung zur Disposivität der Betroffenenrechte. Der EuGH habe für einen solchen Fall entschieden, dass es Sache der Mitgliedstaaten sei, die Verfahrensmodalitäten auszugestalten, die den Schutz der dem Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleisten. Im Rahmen der Ausgestaltung müssten lediglich der Äquivalenz- und der Effektivitätsgrundsatz beachtet werden. Vertragliche Ausschlussfristen seien mit den Grundsätzen vereinbar, weshalb datenschutzrechtliche Ansprüche diesen unterworfen werden dürften. Das Verfahren ist derzeitig anhängig beim Bundesarbeitsgericht.

(Christina Prowald)

ArbG Duisburg: 10.000 Euro Schadensersatz wegen Veröffentlichung von Gesundheitsdaten

Das Arbeitsgericht Duisburg hat einem Arbeitnehmer einen Schadensersatzanspruch in Höhe von 10.000 Euro gegen seinen Arbeitgeber zugesprochen, weil letzterer unberechtigterweise Gesundheitsdaten des Arbeitnehmers in einer E-Mail veröffentlichte (ArbG Duisburg, Urt. v. 26.09.2024 - Az. 3 Ca 77/24).

Das Gericht stellte Verstöße gegen Art. 5 Abs. 1 lit. a), Art. 6 Abs. 1 und Art. 9 Abs. 1 DSGVO fest, da es an einer Rechtsgrundlage für die Veröffentlichung und Weitergabe der Informationen über die andauernde Erkrankung des Klägers fehlte. Darüber hinaus liege auch ein immaterieller Schaden vor. Dieser sei darin begründet, dass knapp 10.000 Empfänger der versendeten E-Mail von der Erkrankung des Klägers, der Dauer der Erkrankung und dem vermeintlichen Vortäuschen der Erkrankung Kenntnis erlangt hätten und der Kläger sogar in seiner Freizeit auf die Vorgänge angesprochen werde. Hierdurch sei seine Reputation beschädigt und sein Ruf geschwächt worden. Vor diesem Hintergrund hielt das Gericht eine Entschädigung von 10.000 Euro für angemessen.

(Christina Prowald)

VG Düsseldorf zu Maßnahmen gegen einen Datenschutzverstoß

Mit Urteil vom 11. November 2024 hat das VG Düsseldorf entschieden, dass die Ergreifung von Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO ausgeschlossen ist, wenn sich ein Verantwortlicher für den Datenschutzverstoß nicht feststellen lässt (VG Düsseldorf, Urt. v. 11.11.2024 - Az. 29 K 4853/22). Die Aufsichtsbehörde hat aber grundsätzlich die Pflicht, den Sachverhalt zu ermitteln und alle zur Ermittlung und Überprüfung des Verstoßes erforderlichen Umstände aufzuklären. Dazu gehört auch die Klärung, wer den Datenschutzverstoß begangen hat.

In einem Strafverfahren gegen den Kläger, einen ehemaligen zivilen Mitarbeiter von Polizei und Geheimdiensten, waren Gerichtsakten an die Medien weitergegeben worden, die zu verschiedenen Presseberichten führten. In der Folge verlangte der Kläger von der Landesdatenschutzbehörde, Maßnahmen gegen den Vorfall zu ergreifen und die Weitergabe seiner Daten künftig zu verhindern. Die Aufsichtsbehörde stellte das Verfahren allerdings ein, da sie trotz verschiedener Anfragen an die beteiligte Staatsanwaltschaft und das beteiligte Gericht keinen Verantwortlichen für den Verstoß ermitteln konnte.

Das VG entschied, dass der Kläger keinen Anspruch gegenüber der Beklagten auf das Ergreifen von Maßnahmen hat. Es führte aus, dass Aufsichtsbehörden zwar verpflichtet sind, sich mit den bei ihnen eingehenden Beschwerden zu befassen und diese in angemessenen Umfang zu untersuchen. Werde ein Verstoß festgestellt, müsse die Aufsichtsbehörde auch in angemessener Weise hierauf reagieren, um dem Verstoß abzuhelfen. Welche Maßnahmen konkret zu ergreifen seien, liege im Ermessen der Behörde. Das Gericht stellte sodann aber fest, dass die Übermittlung der Gerichtsakten zwar eine rechtswidrige Datenverarbeitung darstellen dürfte, der Kläger jedoch keinen Anspruch auf den Erlass aufsichtsrechtlicher Maßnahmen habe, da der für die Verletzung des Schutzes seiner personenbezogenen Daten Verantwortliche nicht mit zu vertretendem Aufwand festgestellt werden konnte und deshalb nicht bekannt sei.

(Christina Prowald)

DSK: Orientierungshilfe für Anbieter von digitalen Diensten

Die Datenschutzkonferenz (DSK), der Zusammenschluss der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat im November 2024 eine aktualisierte Version der Orientierungshilfe für Anbieter von digitalen Diensten veröffentlicht.

Die Orientierungshilfe setzt sich ausführlich mit dem Anwendungsbereich von § 25 TDDDG, den Anforderungen an die für die Nutzung von Cookies und ähnlichen Technologien erforderliche Einwilligung des Nutzers sowie den Ausnahmen von der Einwilligungsbedürftigkeit auseinander. Daneben geht sie auf die Rechtmäßigkeit der Verarbeitung und die insoweit in Betracht kommenden Rechtsgrundlagen des Art. 6 DSGVO sowie die Betroffenenrechte der Art. 13, 15 und 17 DSGVO (Informationsrecht, Auskunftsrecht und Löschrecht) ein. Außerdem enthält die Orientierungshilfe eine Zusammenfassung der im Rahmen der Gestaltung eines Cookie-Banners einzuhaltenden Anforderungen. Die neue Orientierungshilfe ergänzt die Hinweise der im Dezember 2021 in einer überarbeiteten Version veröffentlichten Orientierungshilfe für Anbieter von Telemedien.

(Christina Prowald)

HBDI schreitet gegen Deutsche Bahn ein

Die Deutsche Bahn hat zum Fahrplanwechsel am 15. Dezember 2024 ihre Bedingungen zum Erwerb von Sparpreistickets geändert. Kunden müssen nicht länger eine E-Mail-Adresse oder Mobilfunknummer angeben, um ein entsprechendes Ticket zu erwerben (Mitteilung v. 09.12.2024).

Hintergrund der Änderungen ist ein Aufsichtsverfahren des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI), das durch zahlreiche Beschwerden von Kunden veranlasst wurde. Die Kunden kritisierten, dass der Erwerb von Sparpreistickets sogar am Schalter nur unter Angabe einer E-Mail-Adresse oder Mobilfunknummer möglich war und Kunden ohne Internetanschluss oder Smartphone insoweit vom Erwerb der vergünstigten Tickets ausgeschlossen wurden. HBDI Prof. Dr. Alexander Roßnagel äußerte sich zu den Änderungen wie folgt: „Wir begrüßen, dass der Datenschutzkonflikt auf konstruktive Weise gelöst werden konnte.“

(Christina Prowald)

HmbBfDI: Bußgeld i.H.v. 900.000 Euro verhängt

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat im November 2024 ein Bußgeld in Höhe von 900.000 Euro gegen einen Hamburger Dienstleister aus der Forderungsmanagement-Branche verhängt, weil dieser personenbezogene Daten ohne Rechtsgrundlage bis zu fünf Jahre aufbewahrte, obwohl die Löschfristen abgelaufen waren (Mitteilung v. 12.11.2024).

Der Verstoß war unabhängig von einer Beschwerde im Rahmen einer Schwerpunktprüfung aufgefallen. Der HmbBfDI hatte hierbei überprüft, wie Daten von Schuldnern bei den jeweiligen Dienstleistern verarbeitet und aufbewahrt werden. Die Unternehmen erhielten im Rahmen der Prüfung Fragebögen und wurden zudem aufgefordert, verschiedene datenschutzrechtliche Dokumente, wie das Verzeichnis der Verarbeitungstätigkeiten und die Übersicht der technischen und organisatorischen Maßnahmen, vorzulegen. Teilweise wurden die Unternehmen von den Mitarbeitern der Aufsichtsbehörde auch vor Ort besucht.

Im Rahmen einer Überprüfung stellte der HmbBfDI fest, dass das Unternehmen eine sechsstellige Zahl an Datensätzen ohne entsprechende Rechtsgrundlage speicherte und insoweit gegen Art. 5 Abs. 1 lit. a) und 6 Abs. 1 DSGVO verstieß. Das Unternehmen hat den Verstoß eingeräumt und das Bußgeld akzeptiert. Die Kooperation des Unternehmens mit der Aufsichtsbehörde wurde bei der Bemessung des Bußgelds berücksichtigt. Ein zweites Verfahren gegen ein weiteres geprüftes Unternehmen dauert aktuell noch an.

HmbBfDI Thomas Fuchs äußerte sich wie folgt zu der Sache: „Wenn die Kundenbeziehung endet, sind die erhobenen Daten sofort beziehungsweise nach festgelegten Fristen zu löschen. Deshalb sollten Unternehmen bereits bevor sie Daten erheben eine Bestandsaufnahme machen, welche Daten gesammelt und wie lange sie vorgehalten werden dürfen. Es ist nicht akzeptabel, wenn Unternehmen, die in datengetriebenen digitalen Branchen arbeiten, kein kohärentes Löschkonzept entwickelt haben.“

(Christina Prowald)

Frankreich: Verzicht auf „Dark Patterns“

Als Reaktion auf zahlreiche Beschwerden hat die französische Aufsichtsbehörde (CNIL) am 12. Dezember 2024 mehrere Herausgeber von Websites förmlich aufgefordert, keine sog. „Dark Patterns“ zu verwenden und ihre insoweit als irreführend eingestuften Cookie-Banner innerhalb eines Monats zu ändern (Mitteilung v. 12.12.2024).

Die Beschwerdeführer hatten vorgetragen, dass die Cookie-Banner so ausgestaltet waren, dass sie Nutzer zur Erteilung ihrer Einwilligung verleiteten. Die CNIL führte hierzu aus, dass das Gesetz zwar keine bestimmte Art der Darstellung von Auswahlmöglichkeiten auf dem Cookie-Banner vorgebe, die für die Webseite Verantwortlichen aber ein Design wählen müssten, das die betroffenen Personen nicht in die Irre führt. Für den Nutzer müsse es genauso einfach sein, Cookies abzulehnen, wie diese zu akzeptieren. Die über den Cookie-Banner bereit gestellten Informationen müssten außerdem klar und vollständig sein und den Nutzer über den Zweck der Datenverarbeitung sowie die Mittel zur Ablehnung der Cookies informieren.

Die CNIL forderte die Unternehmen in der Folge auf, ihre Cookie-Banner so abzuändern, dass die Möglichkeiten zum Akzeptieren und zum Ablehnen der Cookies gleich gewichtig sind und die Nutzer durch die Gestaltung des Cookie-Banners nicht zur Erteilung ihrer Einwilligung verleitet werden. Dies bedeute, dass die Ablehnen-Option nicht in Form eines anklickbaren Links, der gegenüber der Annehmen-Option zurücktritt, dargestellt werden dürfe, die Ablehnen-Option nicht so in die Informationen eingebettet werden dürfe, dass sie nicht ohne weiteres erkennbar ist, die Ablehnen-Option nicht so platziert werden dürfe, dass sie von den anderen Informationen nicht unterschieden werden könne und die Ablehnen-Option nicht nur einmal und in nicht expliziter Form dargestellt werden dürfe, während die Annehmen-Option mehrfach im Banner dargestellt werde.

(Christina Prowald)

Finnland: Bußgeld i.H.v. 2,4 Mio. Euro gegen Posti verhängt

Die finnische Aufsichtsbehörde hat am 13. November 2024 ein Bußgeld in Höhe von 2,4 Mio. Euro gegen das Unternehmen Posti verhängt (Mitteilung v. 06.12.2024). Die Aufsichtsbehörde hatte zuvor die Verarbeitung personenbezogener Daten im Zusammenhang mit der Einrichtung eines elektronischen Postfachs bei Posti untersucht, nachdem sie verschiedene Beschwerden von Nutzern erhielt.

Das Unternehmen hatte automatisch und ohne gesonderten Antrag elektronische Postfächer für Kunden, die andere Dienste des Unternehmens nutzten, eingerichtet, die wiederum mit den übrigen Diensten verknüpft waren. Die Kunden selbst konnten nicht wählen, ob sie das elektronische Postfach nutzen wollen oder nicht, da alle Dienste in einem Vertrag miteinander verbunden waren. Den Kunden war es insoweit auch nicht möglich, auf das Postfach zu verzichten, ohne dass auch die anderen Dienste wegfielen.

Die Aufsichtsbehörde war der Auffassung, dass die vom Kunden gewünschten sonstigen Dienstleistungen auch ohne die automatische Einrichtung eines elektronischen Postfachs hätten erbracht werden können. Zudem seien die Kunden auch nicht eindeutig über die Einrichtung des Postfachs informiert worden und die technischen Einstellungen des Postfachs seien nicht datenschutzkonform gewesen. In der Folge stellte die finnische Aufsichtsbehörde Verstöße gegen Art. 5 und 6 DSGVO (Grundsätze der Datenverarbeitung und Rechtmäßigkeit der Verarbeitung), Art. 13 DSGVO (Informationspflichten) sowie Art. 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen).

(Christina Prowald)