Sehr geehrte Damen und Herren,

am 16. Mai 2025 findet unser 6. BRANDI-Datenschutzrechtstag statt. In mittlerweile bewährter Tradition laden wir Sie hierzu bereits jetzt herzlich ein!

Die Veranstaltung wird in diesem Jahr in Herford in den Räumlichkeiten des Marta stattfinden. Daneben wird es auch in diesem Jahr die Möglichkeit geben, passiv online an unserem Datenschutzrechtstag teilzunehmen.

Für die Veranstaltung konnten wir erneut einen renommierten Experten gewinnen. In diesem Jahr werden wir unter anderem mit Prof. Ulrich Kelber, ehemaliger Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), diskutieren.

Sie haben bereits jetzt die Möglichkeit, sich über unser Anmeldeformular für die Veranstaltung anzumelden. Die Möglichkeit zur Anmeldung finden Sie unter dem folgenden Link: Datenschutzrechtstag 2025

Über die weiteren Details und näheren Inhalte der Veranstaltung informieren wir Sie zeitnah.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Wann ist eine Auskunftsanfrage missbräuchlich?

Das verfassungsrechtlich verankerte Recht auf informationelle Selbstbestimmung besagt, dass Betroffene grundsätzlich selbst darüber entscheiden können, welche personenbezogenen Daten von ihnen von welchen Stellen zu welchen Zwecken verarbeitet werden dürfen. Um von diesem Recht Gebrauch machen zu können, ist es erforderlich, dass die Betroffenen wissen, was konkret mit ihren Daten passiert. Ausgehend von diesem Ansatz sieht die Datenschutz-Grundverordnung (DSGVO) verschiedene Informationspflichten für Daten verarbeitende Stellen wie Unternehmen sowie umfangreiche Rechte für Personen, die von einer Verarbeitung personenbezogener Daten betroffen sind, vor. Eines der zentralen Betroffenenrechte nach dem Konzept der DSGVO ist der Auskunftsanspruch, der in Art. 15 DSGVO verankert ist.

Zum vollständigen Schwerpunktthema

EuGH zu den für den Erwerb eines Bahn-Tickets erforderlichen Daten

Der EuGH hat am 9. Januar 2025 entschieden, dass die Geschlechtsidentität des Kunden keine für den Erwerb eines Fahrscheins erforderliche Angabe ist (EuGH, Urt. v. 09.01.2025 - Az. C-394/23). Die Erhebung von Daten zur Anrede des Kunden sei nicht objektiv unerlässlich, insbesondere dann nicht, wenn sie lediglich darauf abziele, die geschäftliche Kommunikation zu personalisieren.

Beim Online-Erwerb von Fahrscheinen des französischen Eisenbahnunternehmens SNCF Connect sind Kunden verpflichtet, ihre Anrede („Herr“ oder „Frau“) anzugeben. Diese Praxis wurde vom Verband Mousse beanstandet. Die bei der französischen Aufsichtsbehörde (CNIL) eingelegte Beschwerde hatte allerdings keinen Erfolg, da diese der Auffassung war, dass die Abfrage der Anrede keinen Verstoß gegen die DSGVO darstellt. In der Folge kam es zu einer gerichtlichen Auseinandersetzung zwischen den Beteiligten, im Rahmen derer der EuGH schließlich um Auskunft ersucht wurde.

Der EuGH hat nunmehr entschieden, dass die Erhebung von Daten zur Anrede des Kunden, die lediglich darauf abzielt, die geschäftliche Kommunikation zu personalisieren, weder objektiv unerlässlich noch wesentlich für die ordnungsgemäße Erfüllung eines Vertrags erscheint und insoweit nicht als zur Vertragserfüllung erforderlich angesehen werden kann. Eine unzutreffende Anrede habe keine Auswirkung auf die Erbringung der Beförderungsleistungen, weshalb die Anrede nicht objektiv unerlässlich sei, um den Hauptgegenstand des Vertrags zu erfüllen. Das betreffende Unternehmen könne sich insoweit genauso gut für eine Kommunikation entscheiden, die auf allgemeinen und inklusiven Höflichkeitsformeln beruht, die in keinem Zusammenhang mit der Geschlechtsidentität der Kunden stehen.

Ebenso wenig kann die Verarbeitung aus Sicht des Gerichts als zur Wahrung der berechtigten Interessen erforderlich angesehen werden, wenn den Kunden das verfolgte Interesse nicht mitgeteilt wurde oder sich die Verarbeitung nicht innerhalb der Grenzen des unbedingt Notwendigen bewegt oder die Interessen der Kunden überwiegen, insbesondere wegen der Gefahr einer Diskriminierung. Im vorliegenden Fall sei es Sache des vorlegenden Gerichts zu überprüfen, ob die genannten Voraussetzungen erfüllt sind. Der EuGH könne insoweit aber die folgenden Hinweise geben. Das nationale Gericht habe zunächst zu überprüfen, ob den Betroffenen bei der Erhebung ihrer Daten alle erforderlichen Daten, vor allem das verfolgte berechtigte Interesse, mitgeteilt wurden. Es habe weiter zu beachten, dass sich eine Personalisierung kommerzieller Direktwerbung im Regelfall und vorbehaltlich einer Überprüfung auf die Verarbeitung von Name und Vorname beschränken lasse, da eine zusätzliche Anrede nicht unbedingt notwendig erscheine. Im Rahmen der Abwägung der Interessen von Betroffenem und Verantwortlichem seien zudem die vernünftigen Erwartungen des Betroffenen sowie der Umfang der fraglichen Verarbeitung und die Auswirkungen auf die Person zu berücksichtigen. Das Gericht habe insbesondere auch zu prüfen, ob die Gefahr einer Diskriminierung aufgrund der Geschlechteridentität besteht.

Unabhängig von dem konkreten Fall zeigen die Ausführungen des EuGH schon jetzt, dass bei der Abfrage von Kundendaten immer sehr genau geprüft werden muss, ob abgefragte Kundendaten wirklich auf das notwendige Maß beschränkt werden und alle weiteren Informationen möglichst auf freiwilliger Basis abgefragt werden.

(Christina Prowald)

EuGH: Entschuldigung als Kompensation eines Schadens

In seinem Urteil vom 4. Oktober 2024 hatte sich der EuGH erneut mit Fragen zum Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu beschäftigen, insbesondere mit der Frage, ob ein immaterieller Schaden auch durch Entschuldigung des Verantwortlichen kompensiert werden kann (EuGH, Urt. v. 04.10.2024 – Az. C-507/23).

Im Ausgansstreit machte der Kläger einen Anspruch auf Ersatz seines immateriellen Schadens geltend, der ihm dadurch entstanden war, dass das lettische Verbraucherschutzzentrum in einer Kampagne zur Sensibilisierung über Risiken bei Gebrauchtwagenkauf auf mehreren Webseiten eine Videosequenz verbreitete, in der eine Person den Kläger ohne dessen Zustimmung imitierte. Mit einer Beschwerde vor dem Obersten Gericht wendet sich der Kläger nun gegen ein ihm finanzielle Entschädigung aberkennendes Urteil. Das Gericht hat hierzu unter anderem die Frage vorgelegt, ob wenn keine Möglichkeit zur Wiederherstellung des Zustands vor Schadenseintritt besteht, als Schadensersatz die Verpflichtung auferlegt werden kann, sich zu entschuldigen.

Das Gericht hat zunächst darauf hingewiesen, dass es mangels eigener Regelung in der DSGVO Sache der innerstaatlichen Rechtsordnungen sei, den Umfang der finanziellen Entschädigung festzulegen, sofern die unionsrechtlichen Grundsätze der Äquivalenz und Effektivität beachtet werden. Der Schadensersatz müsse folglich vollständig und wirksam den entstandenen Schaden ersetzen, wobei auch ein geringfügiger Schadensersatz bei fehlender Schwere des entstandenen Schadens ausreichend sein könne. Art. 82 Abs. 1 DSGVO schließe es nicht aus, dass eine Entschuldigung einen eigenständigen oder ergänzenden Ersatz eines immateriellen Schadens darstellen kann, sofern der immaterielle Schaden vollumfänglich ausgeglichen wird. Ob dies vorliegend der Fall ist, sei durch das nationale Gericht zu beurteilen.

(Gesche Kracht)

EuG: EU-Kommission muss Schadensersatz zahlen

Das EuG verurteilte die EU-Kommission am 8. Januar 2025 zur Zahlung von 400 Euro Schadensersatz für den durch Übermittlung personenbezogener Daten an ein in den USA ansässiges Unternehmen entstandenen immateriellen Schaden (EuG, Urt. v. 08.01.2025 – Az. T-354/22).

Der Kläger hatte in den Jahren 2021 und 2022 mehrmals die Webseite der Konferenz zur Zukunft Europas, die von der EU-Kommission betrieben wird, aufgesucht. Die Webseite läuft über das Content Delivery Network „Amazon CloudFront“, was auf Grundlage eines entsprechenden Vertrags zwischen der Kommission und der in Luxemburg ansässigen Amazon Web Services EMEA geschah. Bei einem Besuch der Webseite hatte der Kläger sich über den Authentifizierungsdienst „EU Login“ zu der Veranstaltung „GoGreen“ angemeldet, wobei er eine Anmeldung über sein Facebook-Konto gewählt hatte. Der Kläger macht geltend, dass seine Daten, insbesondere die IP-Adresse, aufgrund der Einbindung dieser Dienste an Server in den USA übermittelt worden seien, wodurch ihm ein immaterieller Schaden durch den Kontrollverlust über seine Daten entstanden sei. Der Kläger macht nun unter anderem einen Schadensersatzanspruch nach Art. 65 der Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstige Stellen der Union geltend.

Hinsichtlich der streitigen Datenübermittlung an Server der „Amazon CloudFront“ in den USA stellte das Gericht fest, dass der Dienst grundsätzlich einen nach dem Prinzip der Proximität funktionierenden Routing-Mechanismus verwende, der die Nutzer immer auf die Server mit der geringsten Zeitverzögerung in Bezug auf das jeweilige Gerät weiterleitet. Hierbei habe die Kommission grundsätzlich eine räumliche Konfiguration gewählt, die auch das Gebiet Nordamerika mit umfasste, grundsätzlich würden aber Abrufe von Nutzern aus der Union normalerweise auf Server weitergeleitet, die sich in der Union befinden. Tatsächlich sei eine Übermittlung der IP-Adresse des Klägers in die USA aufgrund dieser Einstellung ermöglicht worden, direkte Ursache des diesbezüglich geltend gemachten Schadens sei aber eine Einstellung des Klägers gewesen, um seinen online angezeigten Standort zu ändern. Ebenfalls in Bezug auf „Amazon CloudFront“ nahm das Gericht für einen anderen Zeitpunkt schon gar keine Datenübermittlung in die USA als bewiesen an.

Allerdings sei dem Kläger durch Übermittlung von Daten an Server von Meta Platforms in den USA ein immaterieller Schaden entstanden. Durch das Klicken auf den Link der eine Anmeldung über Facebook bei „EU Login“ ermöglichte, sei die IP-Adresse des Klägers an die in den USA ansässige Gesellschaft Meta Platforms übermittelt worden. Darin liege eine Übermittlung personenbezogener Daten an ein Drittland im Sinne von Art. 46 DSGVO, die mangels zu dem Zeitpunkt vorliegenden Angemessenheitsbeschlusses unzulässig gewesen sei. Der dem Kläger in Form des Kontrollverlustes entstandene Schaden sei auch kausal und somit durch die Kommission in Höhe von 400 Euro zu ersetzen.

(Gesche Kracht)

BGH erneut zum Auskunftsanspruch nach Art. 15 DSGVO

Mit Urteil vom 18. Dezember 2024 hat der BGH sich noch einmal zu Auskunftsansprüchen im Zusammenhang mit Prämienanpassungen bei privaten Krankenversicherungen geäußert und seine bisherige Rechtsprechung bestätigt (BGH, Urt. v. 18.12.2024 - Az. IV ZR 207/23; wir berichteten bereits im November 2023).

In dem zugrundeliegenden Fall hat der Kläger von der Beklagten Auskunft über alle Beitragsanpassungen, die die Beklagte in dem Versicherungsvertrag in den Jahren 2012, 2014 und 2017 vorgenommen hat, in Form von geeigneten Unterlagen verlangt. Der BGH hat unter Verweis auf seine Entscheidung aus September 2023 erneut entschieden, dass dem Kläger kein Anspruch aus Art. 15 Abs. 1, Abs. 3 DSGVO auf eine Abschrift der gesamten Begründungsschreiben zur Beitragsanpassung sowie der Nachträge zum Versicherungsschein zusteht. Ein Auskunftsanspruch ergebe sich ebenso wenig aus dem Versicherungsvertragsgesetz. Dem Versicherungsnehmer könne aber ein Auskunftsanspruch aus Treu und Glauben zustehen, soweit er in entschuldbarer Weise über Bestehen und Umfang seines Rechts im Ungewissen ist. Ein solcher setze voraus, dass der Kläger nicht mehr über die angefragten Unterlagen verfügt. Außerdem müsse der Kläger darlegen, warum es zu dem Verlust kam, um beurteilen zu können, ob dem Kläger ausnahmsweise ein Auskunftsanspruch aus § 242 BGB zusteht. Das Gericht führte insoweit aus, dass es bislang an den erforderlichen Feststellungen für eine Entscheidung fehlt, weshalb es die Sache an das Berufungsgericht zurückverwies.

(Christina Prowald)

BFH zum Erfordernis eines außergerichtlich gestellten Antrags auf Auskunftserteilung nach Art. 15 DSGVO

In seinem Urteil vom 12. November 2024 hat sich der BFH mit dem Erfordernis eines außergerichtlich gestellten Antrags bei einer auf Auskunftserteilung gerichteten Klage nach Art. 15 DSGVO auseinandergesetzt (BFH, Urt. v. 12.11.2024 - Az. IX R 20/22).

Der Kläger forderte zunächst das Finanzamt auf, Auskunft darüber zu erteilen, welche personenbezogenen Daten von ihm verarbeitet würden. Nach weiterem Schriftverkehr mit dem Finanzamt zog der Kläger diesen Antrag zurück. Später ersuchte der Kläger mittels Schreiben das Finanzamt damit, ihm alle in dem Hause befindlichen Akten oder Teilakten zur Verfügung zu stellen und erhob zeitgleich Klage gegen das Finanzamt auf Auskunftserteilung gem. Art. 15 DSGVO. Das FG Münster hat die Klage als unzulässig abgewiesen, weil es an einem außergerichtlich gestellten Antrag fehle und der Kläger daher nicht beschwert sei (FG Münster, Urt. v. 24.02.2022 – Az. 6 K 3515/20).

Der BFH wies die hiergegen gerichtete Revision des Klägers zurück und bestätigte die Entscheidung des Finanzgerichts. Das Gericht betonte, dass eine Klage auf Auskunftserteilung gem. Art. 15 DSGVO nur dann zulässig sei, wenn ein solcher Antrag vorher bei der Behörde gestellt wurde. Aus der DSGVO ergebe sich nichts Abweichendes, da die nationalen Verfahrensvorschriften bestimmen, wie die von der DSGVO vorgesehenen Rechtsbehelfe durchzuführen sind. Der Kläger habe zwar zunächst einen Antrag gestellt, diesen aber später zurückgenommen. Das spätere Schreiben habe das FG in zulässiger Weise nicht als Antrag auf Auskunftserteilung nach Art. 15 DSGVO, sondern als Antrag auf Akteneinsicht ausgelegt. Das Auskunftsrecht in Art. 15 DSGVO sei nicht mit dem Akteinsichtsrecht identisch, weshalb letzteres nicht Gegenstand des gerichtlichen Verfahrens sein könne.

(Marc-Levin Joppek)

OLG Hamm, OLG Dresden und OLG Celle zum Anspruch auf Schadensersatz wegen Daten-Scraping bei Facebook

In jüngerer Zeit ergingen mehrere obergerichtliche Entscheidungen zum Schadensersatzanspruch nach Art. 82 DSGVO von Betroffenen des Daten-Scraping bei Facebook. Schwerpunktmäßig ging es um die Anforderungen an den immateriellen Schaden. Die Gerichte griffen dabei in ihrer Begründung bereits die Vorgaben der jüngst ergangenen Leitentscheidung des BGH zu diesem Thema auf, welche wir bereits in der Dezember-Ausgabe 2024 unseres Newsletters besprochen haben.

In seinem Urteil versagte das OLG Hamm dem Kläger einen Anspruch auf Schadensersatz gem. Art. 82 DSGVO (OLG Hamm, Urt. v. 29.11.2024 – Az. 25 U 25/24, GRUR-RS 2024, 34277). Der Kläger habe weder den Eintritt eines Kontrollverlustes noch dessen Ursachenzusammenhang mit dem Verstoß der Beklagten gegen die Vorschriften der DSGVO nachgewiesen. Den Grundsätzen des BGH folgend setze ein Kontrollverlust voraus, dass die betroffene Person zunächst die Kontrolle über das konkrete Datum hatte und sie diese Kontrolle später gegen ihren Willen durch den Datenschutzverstoß verloren hat. Die Darlegungslast treffe hierbei den Anspruchsteller. Im Rahmen seiner Anhörung bei der Vorinstanz hat der Kläger ein bis zwei Spam-Anrufe sowie ein bis drei Spam-SMS genannt. Nach Auffassung des Gerichts lässt dieser Umfang an Kontaktversuchen keinen tragfähigen Rückschluss auf den Kontrollverlust zu. Denn in gewissem Umfang seien Spam-Anrufe und Spam-SMS nicht ungewöhnlich. Nach Aussage des Klägers sei es im Dezember 2019 verstärkt zu den betrügerischen Kontaktversuchen gekommen. Vor dem Hintergrund, dass die abgegriffenen Datensätze erst im April 2021 öffentlich verbreitet wurden, könne ein hierauf zurückzuführender Kontrollverlust nicht mit der gebotenen Sicherheit angenommen werden. Ist ein Kontrollverlust - wie hier - nicht nachgewiesen, könnte die begründete Befürchtung einer missbräuchlichen Verwendung für die Begründung eines immateriellen Schadens ausreichen. Die Befürchtung einschließlich ihrer negativen Folgen müsse dabei aber ordnungsgemäß nachgewiesen sein. Diesen Nachweis konnte der Kläger im konkreten Fall nicht erbringen.

Das OLG Dresden hingegen sprach einem Betroffenen des Daten-Scraping einen Anspruch auf Schadensersatz aus Art. 82 DSGVO zu (OLG Dresden, Urt. v. 10.12.2024 - Az. 4 U 808/24, abrufbar unter www.justiz.sachsen.de/esamosplus/pages/index.aspx). Der Auffassung des BGH folgend lässt das Gericht einen „abstrakten“ Kontrollverlust als immateriellen Schaden genügen, ohne dass es einer glaubhaften Begründung des Betroffenen bedarf, wegen des Datenschutzverstoßes in Angst oder Sorge geraten zu sein. Der Kontrollverlust beim Betroffenen und die darauf beruhenden Spam-SMS und Spam-E-Mails seien im vorliegenden Fall den Scraping-Vorfall zurückzuführen. Bei der Schadensschätzung seien insbesondere auf die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten, deren zweckgemäße Verwendung, die Art und Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle oder Änderung des personenbezogenen Datums in den Blick zu nehmen. Als Anhalt für einen noch effektiven Ausgleich könne in Fällen, in denen die Wiedererlangung der Kontrolle mit verhältnismäßigem Aufwand möglich wäre, etwa der hypothetische Aufwand für die Wiedererlangung der Kontrolle (hier insbesondere eines Rufnummernwechsels) dienen. Der BGH habe in seinem Urteil die Schätzung eines solchen Aufwandes in einer Größenordnung von 100 € für angemessen erachtet. Diesen Betrag halte auch der Senat im vorliegenden Fall für angemessen.

In seinem Hinweisbeschluss äußerte sich das OLG Celle zu mehreren anhängigen Verfahren beim Senat im Bereich Daten-Scraping Facebook (OLG Celle, Beschl. 09.012025 - Az. 5 U 173/23). Hierbei erklärte das Gericht, den Vorgaben des BGH zu folgen. Der bloße Kontrollverlust stelle bereits einen immateriellen Schaden dar und es bedürfe keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste des Betroffenen. Nach derzeitigem Beratungsstand erachtet der Senat einen immateriellen Schaden in Höhe von 100 € als angemessen. Sofern die mit dem Kontrollverlust einhergehenden „Folgeerscheinungen“ über die Schwelle der „für jedermann unmittelbar zusammenhängenden Unannehmlichkeiten“ hinausgehen, kann dies gegebenenfalls einen höheren Schadensersatz rechtfertigen. Dies bedürfe allerdings nach dem Verständnis des Senats von dem Urteil des BGH ganz besonders erheblicher Umstände. Ein solcher besonderer Umstand liege etwa dann vor, wenn sich Betroffene aufgrund des Datenlecks und deren Auswirkungen wegen Angstzuständen in ärztlicher Behandlung befinden.

(Marc-Levin Joppek)

OLG Düsseldorf zum Zweck eines Auskunftsverlangens

Das OLG Düsseldorf hat am 2. Dezember 2024 entschieden, dass der Anspruch auf Auskunft nach Art. 15 DSGVO nicht dadurch ausgeschlossen ist, dass dieser zur Vorbereitung von Zahlungsansprüchen dient (OLG Düsseldorf, Urt. v. 02.12.2024 - Az. 16 W 93/23).

Der Kläger hatte erstinstanzlich im Wege der Stufenklage gegenüber einer Anbieterin von Glücksspielen zunächst einen Auskunftsnachspruch nach Art. 15 DSGVO insbesondere hinsichtlich seiner Zahlungs- und Spielhistorie geltend gemacht und verlangte in zweiter Stufe die Zahlung eines sich aus der Auskunft ergebenden Betrags. Die Beklagte erteilte zwar die begehrte Auskunft, ist aber der Auffassung einem Auskunftsanspruch stünde entgegen, dass dieser zur Vorbereitung von Zahlungsansprüchen diene. Laut dem Urteil des Gerichts sei der Auskunftsanspruch des Art. 15 DSGVO nicht an die Voraussetzung geknüpft, dass die betroffene Person mit der gewünschten Auskunft in bestimmter Weise verfährt. Das Auskunftsrecht bestünde unabhängig von den mit der Auskunft verfolgten Zwecken und sei auch nicht von einer bestimmten Begründung abhängig. Dementsprechend stünde es einem Anspruch nach Art. 15 DSGVO auch nicht entgegen, wenn sich die betroffene Person dadurch Erkenntnisse zur Bezifferung eines Zahlungsantrags erhofft. Insgesamt schließt sich das OLG mit seinem Urteil der hierzu bestehenden Rechtsprechung des EuGH und BGH an.

(Gesche Kracht)

LfD Niedersachsen zur Einwilligungsverwaltungsverordnung

Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) hat zu der am 20. Dezember 2024 verabschiedeten Einwilligungsverwaltungsverordnung (wir berichteten im Januar 2025) Stellung genommen und darauf hingewiesen, dass die Verordnung ihr eigentliches Ziel verfehlt (Mitteilung v. 27.12.2024). Insbesondere seien wichtige Kritikpunkte, die bereits vor einem Jahr von der Datenschutzkonferenz und nun erneut vom LfD im Rahmen der Zustimmung des Bundesrats geäußert worden seien, in der jetzigen Version nicht umgesetzt worden. Diese betreffen unter anderem den Umstand, dass weiterhin Cookie-Banner benötigt werden, da die Einwilligungsverwaltungsdienste lediglich an die über die Einwilligungsbanner abgegebenen Entscheidungen anknüpfen, den begrenzten Anwendungsbereich, der lediglich Einwilligungen nach § 25 TDDDG abdeckt, die Freiwilligkeit der Nutzung entsprechender Dienste durch Webseitenbetreiber sowie die Unklarheit darüber, wer die Dienste überhaupt anbieten soll. Der LfD Niedersachsen geht in der Folge davon aus, dass sich die bisherige Praxis bei der Einholung von Einwilligungen durch die Einwilligungsverwaltung nicht wesentlich ändern wird.

(Christina Prowald)

Frankreich: Bußgeld i.H.v. 50 Mio. Euro gegen Orange verhängt

Die französische Aufsichtsbehörde (CNIL) hat am 14. November 2024 ein Bußgeld in Höhe von 50 Mio. Euro gegen den Telekommunikationsanbieter Orange verhängt, weil das Unternehmen in seinem E-Mail Dienst „Mail Orange“ Werbebotschaften in Form von E-Mails zwischen den echten E-Mails der Nutzer anzeigte, ohne dass diese ihre Einwilligung in die Werbemaßnahme erteilten (Mitteilung v. 10.12.2024). Darüber hinaus stellte die CNIL fest, dass Cookies auch dann weiterhin von Orange ausgelesen wurden, wenn die Nutzer ihre Einwilligung in die Nutzung von Cookies widerrufen hatten. Bei der Bemessung des Bußgelds wurden die hohe Zahl an Betroffenen sowie die Marktposition des Unternehmens und der finanzielle Vorteil berücksichtigt.

(Christina Prowald)

Frankreich: Bußgeld i.H.v. 240.000 Euro gegen KASPR verhängt

Am 5. Dezember 2024 hat die französische Aufsichtsbehörde (CNIL) ein weiteres Bußgeld in Höhe von 240.000 Euro gegen KASPR verhängt, weil das Unternehmen Kontaktdaten von Nutzern auf LinkedIn sammelte, auch wenn diese maskiert waren (Mitteilung v. 19.12.2024).

KASPR bietet eine Erweiterung für den Chrome-Browser an, die es Kunden ermöglicht, die Kontaktdaten von Personen zu erhalten, deren Profile sie auf LinkedIn besucht haben. Um die Daten bereitstellen zu können, unterhält das Unternehmen eine Datenbank mit Daten von LinkedIn und anderen Webseiten, in der etwa 160 Millionen Kontakte gepflegt werden. Das Unternehmen sammelte dabei nicht nur Daten von LinkedIn-Nutzern, die ihre Daten für alle sichtbar machten, sondern auch Daten von Nutzern, die die Zugriffsmöglichkeiten auf ihre Kontaktdaten beschränkt hatten.

Nachdem sich zahlreiche Personen bei der CNIL beschwerten, weil sie von Unternehmen umworben wurden, die ihre Kontaktdaten über die KASPR-Erweiterung erhielten, leitete die Aufsichtsbehörde eine Untersuchung gegen das Unternehmen ein. Die CNIL stellte fest, dass die Erfassung der Kontaktdaten von LinkedIn-Nutzern, die die Sichtbarkeit ihrer Daten ausdrücklich eingeschränkt haben, über das hinausgeht, was von Nutzern eines entsprechenden Netzwerks vernünftigerweise erwartet werden kann, und KASPR insoweit nicht berechtigt war, auf die Kontaktdaten zuzugreifen und diese zu sammeln. Hinsichtlich der in rechtmäßiger Weise erlangten Daten führte die CNIL aus, dass diese seitens des Unternehmens unverhältnismäßig lange aufbewahrt werden. Außerdem kam KASPR aus Sicht der Aufsichtsbehörde seinen Informations- und Auskunftsverpflichtungen nicht ordnungsgemäß nach. Die Aufsichtsbehörde stellte in der Folge Verstöße gegen Art. 5 Abs. 1 lit. e) (Speicherbegrenzung), 6 (Rechtmäßigkeit der Datenverarbeitung), 12 (Transparente Information), 14 (Informationspflicht), 15 (Auskunftsrecht) DSGVO fest.

(Christina Prowald)

Irland: Bußgeld i.H.v. 251 Mio. Euro gegen Meta verhängt

Ein Bußgeld in Höhe von insgesamt 251 Mio. Euro hat die irische Datenschutzkommission (DPC) gegen die Meta Platforms Ireland Limited wegen einer Sicherheitsverletzung verhängt (Mitteilung v. 17.12.2024).

Durch Ausnutzen von Nutzer-Tokens hatten unbefugte Dritte die Möglichkeit, auf zahlreiche Nutzerdaten, wie Name, E-Mail-Adresse, Telefonnummer, Arbeitsplatz, Geburtsdatum, Religion, Geschlecht und Interessen, zuzugreifen. Von dem Vorfall waren weltweit 29 Millionen Facebook-Konten betroffen. Die DPC stellte die folgenden Datenschutzverletzungen fest:

- Verstoß gegen Art. 33 Abs. 3 DSGVO wegen der Bereitstellung unzureichender Informationen im Rahmen der Meldung der Datenschutzverletzung (8 Mio. Euro).

- Verstoß gegen Art. 33 Abs. 5 DSGVO wegen der unzureichenden Dokumentation der einzelnen Sachverhalte und der ergriffenen Abhilfemaßnahmen (3 Mio. Euro).

- Verstoß gegen Art. 25 Abs. 1 DSGVO wegen der unzureichenden Einhaltung der datenschutzrechtlichen Grundsätze bei der Gestaltung des Verarbeitungssystems (130 Mio. Euro).

- Verstoß gegen Art. 25 Abs. 2 DSGVO wegen Nichteinhaltung der Vorgabe, dass standardmäßig nur solche Daten verarbeitet werden, die für die konkreten Zwecke erforderlich sind (110 Mio. Euro).

Der stellvertretende Datenschutzbeauftragte, Graham Doyle, äußerte sich wie folgt zu der Entscheidung: „Diese Durchsetzungsmaßnahme zeigt, wie das Versäumnis, Datenschutzanforderungen während des gesamten Design- und Entwicklungszyklus einzubauen, Einzelpersonen sehr ernsten Risiken und Schäden aussetzen kann, einschließlich einer Gefahr für die Grundrechte und -freiheiten von Einzelpersonen. Facebook-Profile können Informationen über religiöse oder politische Überzeugungen, über das Sexualleben oder die sexuelle Orientierung und ähnliche Dinge enthalten, die ein Nutzer nur unter bestimmten Umständen preisgeben möchte - und das tun sie auch häufig. Indem sie die unbefugte Offenlegung von Profilinformationen ermöglichten, verursachten die Schwachstellen hinter dieser Verletzung ein ernsthaftes Risiko des Missbrauchs dieser Art von Daten.“

(Christina Prowald)

Niederlande: Bußgeld i.H.v. 4,75 Mio. Euro gegen Netflix verhängt

Die niederländische Aufsichtsbehörde hat ein Bußgeld in Höhe von 4,75 Mio. Euro gegen den Streaming-Dienst Netflix verhängt, weil das Unternehmen seine Kunden innerhalb seiner Datenschutzerklärung nicht ausreichend darüber informierte, wie es mit ihren Daten umgeht (Mitteilung v. 18.12.2024).

Die Aufsichtsbehörde kritisierte vor allem die Angaben des Unternehmens zu den Zwecken und den Rechtsgrundlagen, zu Datenübermittlungen an andere Parteien, zu den Aufbewahrungsfristen und zu der Absicherung von Datenübermittlungen in Drittstaaten. Sie stellte im Rahmen ihrer Untersuchung außerdem fest, dass Netflix datenschutzrechtliche Anfragen von Nutzern nicht ausreichend beantwortete. Hintergrund der Untersuchung waren verschiedene Beschwerden der österreichischen Datenschutzorganisation „None of your business (noyb)“.

Netflix hat Einspruch gegen die Entscheidung der Aufsichtsbehörde erhoben, gleichzeitig aber auch seine Datenschutzerklärung angepasst und seine Informationsangebote verbessert.

Aleid Wolfsen, Vorsitzender der niederländischen Datenschutzbehörde, äußerte sich wie folgt zu dem Verfahren: „Ein Unternehmen wie Netflix mit einem Milliardenumsatz und Millionen von Kunden weltweit muss seinen Kunden genau erklären, wie es mit ihren persönlichen Daten umgeht. Das muss glasklar sein. Vor allem, wenn der Kunde danach fragt. Und das war nicht in Ordnung.“

(Christina Prowald)