Sehr geehrte Damen und Herren,

Am 16. Mai 2025 findet unser 6. BRANDI-Datenschutzrechtstag statt. Hierzu laden wir Sie nochmals ganz herzlich ein!

Die Veranstaltung wird in diesem Jahr in Herford in den Räumlichkeiten des Marta stattfinden. Daneben wird es auch in diesem Jahr die Möglichkeit geben, passiv online an unserem Datenschutzrechtstag teilzunehmen. In diesem Jahr werden wir unter anderem mit Prof. Ulrich Kelber, ehemaliger Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), diskutieren. Unser Datenschutzrechtstag startet direkt mit einem Impulsvortrag von Prof. Kelber; anschließend wollen wir gemeinsam über verschiedene datenschutzrechtliche Themen diskutieren. Hierbei laden wir insbesondere auch Sie zur Diskussion mit uns über Ihre Themen ein. Nach der Mittagspause wollen wir uns im Rahmen verschiedener Fallstudien mit aktuellen und praxisrelevanten Anwendungsfällen auseinandersetzen. Im Anschluss haben Sie noch Gelegenheit, das Marta Herford im Rahmen einer Führung zu erkunden.

Sie haben die Möglichkeit, sich über unser Anmeldeformular für die Veranstaltung anzumelden. Die Möglichkeit zur Anmeldung finden Sie unter dem folgenden Link: Anmeldung zum Datenschutzrechtstag

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Anforderungen an die Barrierefreiheit von Internetseiten

Am 28. Juni 2025 tritt das Barrierefreiheitsstärkungsgesetz (BFSG) in Deutschland in Kraft. Das BFSG soll die gleichberechtigte und diskriminierungsfreie Teilhabe von Menschen mit Behinderungen, Einschränkungen und älteren Menschen insbesondere an Angeboten im E-Commerce fördern. Hierzu sieht das Gesetz verschiedene Anforderungen an die Gestaltung bestimmter Produkte und Dienstleistungen vor. Das BFSG setzt die EU-Richtlinie über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen vom 17. April 2019 (Richtlinie 2019/882), die die technischen Anforderungen für die Barrierefreiheit sowie die barrierefreien Informationspflichten einheitlich festlegt, um. Für zahlreiche Unternehmen bedeutet die Umsetzung des BFSG eine Prüfung und ggf. technische Anpassung der eigenen Online-Angebote.

Zum vollständigen Schwerpunktthema

BGH zum Schadensersatz bei Datenschutzverstößen

Der BGH hat sich schon mehrfach mit der Frage befassen müssen, wann ein Datenschutzverstoß vorliegt und unter welchen Voraussetzungen insoweit dem Betroffenen auch ein Schadensersatzanspruch gem. Art. 82 DSGVO zu steht. In einer wegweisenden Entscheidung hat der BGH im November 2024 Kriterien für die Instanzgerichte aufgestellt, wie die Bemessung des immateriellen Schadensersatzes grundsätzlich zu erfolgen hat (BGH, Urt. v. 18.11.2024 – VI ZR 10/24 – Scraping Meta). In dem dortigen Verfahren musste der BGH allerdings nicht selbst über die Höhe eines möglichen Schadensersatzes entscheiden, sondern hat die Sache an das Berufungsgericht zur weiteren Klärung zurückverwiesen. In einer neuen Entscheidung hat der BGH sich jetzt erstmals konkret zu der Höhe eines Schadensersatzanspruchs im Einzelfall geäußert (BGH, Urt. v. 28.01.2025 – VI ZR 183/22).

Ausgangspunkt waren Streitigkeiten über den Bestand eines Mobilfunkvertrages, über den der Anbieter monatlich abrechnete. Die Kundin hatte nach eigener Auffassung die Vertragsverlängerung wirksam widerrufen und zog daher die Rechtmäßigkeit der Abrechnung in Zweifel. Als Konsequenz veranlasste der Anbieter einen negativen Schufa-Eintrag zu Lasten der Kundin, wodurch ihre Kreditwürdigkeit erheblich beeinträchtigt wurde. Das Berufungsgericht sprach ihr auf dieser Basis einen Schadensersatz in Höhe von 500 EUR zu, eingeklagt hatte die Kundin einen Betrag in Höhe von 6.000 EUR. Der BGH hat in diesem Fall die Schadensersatzhöhe als berechtigt angesehen, allerdings die Herleitung durch das Berufungsgericht (OLG Koblenz) kritisiert. Für die Schadenszumessung war für den BGH maßgeblich, dass sich der negative Schufa-Eintrag auch tatsächlich auf Finanzierungsbemühungen der Kundin ausgewirkt hatte und es also nicht bei einer potentiellen Beeinträchtigung geblieben ist. Bei dieser Gelegenheit stellt der BGH nochmals klar, dass der Schadensersatzanspruch alleine eine Ausgleichsfunktion hat, nicht aber eine Abschreckungs- oder Straffunktion.

Wenn aber selbst in einem Fall mit konkreten Auswirkungen „nur“ ein Schadensersatz in Höhe von 500 EUR angemessen ist, dann dürften die meisten geforderten Beträge unter Verweis auf einen „Kontrollverlust“ deutlich überzogen sein. Wird dagegen – wie im vorliegenden Fall – ein deutlich höherer Betrag eingeklagt, besteht die Gefahr, dass alleine die Verfahrenskosten, die anteilig zu tragen sind, im Zweifelsfall den erstrittenen Schadensersatz aufzehren.

(Dr. Sebastian Meyer)

BVerwG zu Datenerhebungen aus allgemein zugänglichen Quellen

Am 29. Januar 2025 entschied das Bundesverwaltungsgericht, dass die Erhebung und Nutzung von Daten aus allgemein zugänglicher Quelle zur werblichen Ansprache nicht ohne weiteres auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO gestützt werden kann ( BVerwG 6 C 3.23 - Urteil vom 29. Januar 2025, siehe auch Pressemitteilung vom 29.01.2025).

Die Klägerin erhob aus öffentlich zugänglichen Datenquellen wie beispielsweise Telefonbüchern die Daten von Zahnarztpraxen, um unter Nutzung dieser bei den Praxen telefonisch anzufragen, ob diese Edelmetallreste an die Klägerin verkaufen möchten. Die saarländische Aufsichtsbehörde hatte im Jahr 2017 der Klägerin nach dem damals geltenden Recht die Datenverarbeitung zum Zweck der telefonischen Werbeansprache untersagt, sofern keine Einwilligung oder ein bereits bestehendes Geschäftsverhältnis vorliege. Unter Hinweis auf die im Mai 2018 in Kraft getretene DSGVO beantragt die Klägerin erfolglos die Aufhebung des nunmehr rechtskräftigen Bescheids. Die hieraus vor dem Verwaltungsgericht des Saarlandes erhobene Verpflichtungsklage hatte keinen Erfolg.

Das mit der Revision der Klage betraute BVerwG hat festgestellt, dass zwar der Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DSGVO – das berechtigte Interesse – grundsätzlich anwendbar wäre, bei der Beurteilung dieses Interesses jedoch die Wertungen des § 7 Abs. 2 Nr. 1 UWG zu berücksichtigen seien, der ebenfalls der Umsetzung von Unionsrecht diene. Der Klägerin fehle es an einem berechtigten Interesse, wenn die von ihr verfolgte Datenverarbeitung gegen § 7 Abs. 2 Nr. 1 UWG verstoße. Bei den Telefonanrufen mit Frage nach der Verkaufsbereitschaft von Edelmetallresten handele es sich um Werbung, die unzulässig sei, wenn nicht zumindest eine mutmaßliche Einwilligung vorliege. Eine solche liege gerade nicht in der Veröffentlichung von Telefonnummern in öffentlich zugänglichen Verzeichnissen, da diese ausschließlich dazu diene, die Erreichbarkeit für Patienten zu gewährleisten. Die Rechtslage habe sich im Ergebnis also durch die DSGVO nicht zugunsten der Klägerin geändert, sodass es bei der ursprünglichen Untersagung durch die Behörde bleiben konnte.

(Gesche Kracht)

OLG Dresden und OLG Bamberg zu Bewertungen auf Online-Plattformen

Das OLG Dresden (OLG Dresden, Urt. v. 17.12.2024 - Az. 4 U 744/24) sowie das OLG Bamberg (OLG Bamberg, Beschl. v. 17.12.2024 - Az. 6 W 12/24 e) hatten sich in zwei ähnlich gelagerte Fällen mit Bewertungen auf Online-Plattformen zur Arbeitgeberbewertung zu beschäftigen. Aktuelle und ehemalige Mitarbeiter, Auszubildende und Bewerber können auf derartigen Plattformen Arbeitgeber mit Sternen und/oder in verschiedenen Kategorien bewerten. In beiden Fällen waren für die Beteiligten als negativ und rufschädigend empfundene Bewertungen über diese auf einer Online-Plattform abgegeben worden.

Die Antragstellerin im Fall des OLG Bamberg machte einen Auskunftsanspruch nach § 21 TDDDG gegen die Betreiberin der Bewertungsplattform geltend, mit der Begründung, die Bewertungen hätten strafrechtliche Relevanz und die Auskunft sei zur Geltendmachung der eigenen Rechte gegenüber den der Antragstellerin unbekannten Nutzern erforderlich. Im vom OLG Dresden entschiedenen Fall beantragte die Klägerin erstinstanzlich die Unterlassung hinsichtlich der Veröffentlichung der streitgegenständlichen Bewertung, wobei es auch darum ging, inwieweit der Betreiber einer Bewertungsplattform im Rahmen der sekundären Darlegungslast Informationen über die bewertende Person herauszugeben hat.

Das OLG Bamberg entschied, dass die Voraussetzungen des Auskunftsanspruchs nach § 21 Abs. 2 S. 2 TDDDG nicht erfüllt seien. Zunächst könnten nur Bestandsdaten und keine IP-Adressen herausgegeben werden und auch hinsichtlich der Bestandsdaten bestünde nur ein Anspruch, wenn eine Äußerung in Form der Bewertung eine Schmähung oder Schmähkritik, Formalbeleidigung oder Angriff auf die Menschenwürde darstelle. Auf letzteres könne sich die Antragstellerin als juristische Person nicht berufen und auch die anderen Varianten sieht das Gericht als nicht erfüllt an. Auch bei Abwägung zwischen der Beeinträchtigung der „Geschäftsehre“ durch die beanstandeten Äußerungen und der Meinungsfreiheit kommt das Gericht zu dem Schluss, es handele sich um zulässige Meinungsäußerungen. Die Prüfung der Arbeitnehmereigenschaft der bewertenden Person liege zudem in erster Linie bei der Betreiberin. Diesbezüglich könne die Antragstellerin keine Herausgabe rechtfertigen.

Auf diesen Punkt bezieht sich auch das OLG Dresden in seiner Entscheidung. Grundsätzlich könne keine unbeschränkte Offenlegung der Identität der bewertenden Person verlangt werden, weil § 19 Abs. 2 TTDSG insoweit ein Recht auf anonyme oder pseudonyme Nutzung des Internets gewährleiste. Das Interesse an der Anonymität entfalle dann, wenn ein Dritter geltend macht, durch die Person in seinen Rechten verletzt zu werden. In diesen Fällen sei der Betreiber zur Herausgabe personenbezogener Bestandsdaten ermächtigt, § 21 Abs. 2 TTDSG. Die Auskunftspflicht gegenüber dem Verletzten setze nach § 21 Abs. 3 TTDSG allerdings eine vorherige gerichtliche Anordnung voraus. Im konkreten Fall ging es der Klägerin nur um die behauptete Rechtswidrigkeit der Äußerung infolge eines fehlenden geschäftlichen Kontakts zwischen der Person und ihr, ob etwas Anderes gilt, wenn geltend gemacht wird, die Bewertung an sich enthalte einen rechtswidrigen Inhalt, lässt das Oberlandesgericht offen.

(Gesche Kracht)

OLG Schleswig zum Nachweis der Betroffenheit von API-Bug bei X

In einem Hinweisbeschluss vom 16. Oktober 2024 hat das OLG Schleswig bestätigt, dass für den Nachweis der Betroffenheit bei einem Datenverlust ein Eintrag auf der Seite haveibeenpwned.com nicht ausreicht (OLG Schleswig, Beschl. v. 16.10.2024 – 5 U 56/24, GRUR-RS 2024, 38496). 

Die Klägerin machte insbesondere Schadensersatzansprüche wegen behaupteter Verstöße gegen die DSGVO im Zusammenhang mit einem sog. Daten-Scraping-Vorfall geltend. Bei der Beklagten, der Kommunikationsplattform X, bestand im Juni 2021 eine offene API-Schnittstelle, über die unberechtigt Daten abgegriffen wurden. Ob die Klägerin tatsächlich von dem API-Bug betroffen war, war streitig zwischen den Parteien. Für den Nachweis der Betroffenheit bezog sich die Klägerin auf eine Positivmeldung auf der Webseite haveibeenpwned.com. Das erstinstanzliche LG Lübeck hat die Klage als unbegründet abgewiesen (LG Lübeck, Urt. v. 28.03.2024 - 15 O 214/23), wogegen die Klägerin Berufung einlegte.

Auch nach Ansicht des OLG steht der Klägerin kein Anspruch auf Schadensersatz zu. Sie habe nicht nachgewiesen, dass sie vom API-Bug bei der Beklagten überhaupt betroffen sei. Zwar würde auch das Bundesamt für Informationssicherheit (BSI) auf die Seite haveibeenpwned.com verweisen, dies mache jedoch auch klar, dass die Seite kein hinreichendes Indiz für die Betroffenheit der klägerischen Partei biete. Es sei nicht erkennbar, auf welcher Grundlage der Betreiber die Betroffenheit der individuellen Nutzer hinsichtlich eines spezifischen Datenvorfalls ermittele. Der Wahrheitsgehalt der Aussage des Betreibers, er hätte sich die Leak-Protokolle besorgt, sei nicht erkennbar.

(Gesche Kracht)

OLG Schleswig: Rechnungsversand per E-Mail erfordert Ende-zu-Ende-Verschlüsselung

Mit Urteil vom 18. Dezember 2024 hat das OLG Schleswig über die nach der DSGVO zu treffenden Sicherheitsvorkehrungen beim Rechnungsversand entschieden (OLG Schleswig, Urt. v. 18.12.2024 - 12 U 9/24).

Die Parteien stritten darüber, ob die Klägerin eine (erneute) Zahlung eines Werklohns verlangen kann, nachdem der Überweisungsbetrag nach Manipulation der per E-Mail versandten Rechnung durch kriminell handelnde Dritte einem anderen Konto gutgeschrieben wurde. Das LG Kiel hat der Klage stattgegeben, ein Schadensersatzanspruch der Beklagten wegen Verletzung einer Nebenpflicht aufgrund der Manipulation der Rechnung durch einen Dritten, der der Klageforderung als dolo-agit-Einwendung gem. § 242 BGB entgegengehalten werden könnte, bestünde nicht.

Das OLG Schleswig korrigiert insoweit, dass ein Anspruch der Beklagten auf Schadensersatz nach Art. 82 Abs. 1 DSGVO bestünde. Bei Versand der streitgegenständlichen E-Mail habe die Klägerin gegen die Grundsätze nach Art. 5, 24 und 32 DSGVO verstoßen. Ein Verstoß könne nicht allein deswegen angenommen werden, weil ein unbefugter Zugriff auf personenbezogene Daten durch Dritte erfolgt sei; allerdings habe der Verantwortliche darzulegen, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, um personenbezogene Daten vor unbefugtem Zugriff zu schützen. Eine Transportverschlüsselung beim E-Mail-Versand sei insoweit keine geeignete Sicherheitsmaßnahme im Sinne der DSGVO bei Versand geschäftlicher E-Mails mit hohem finanziellen Risiko wie dem Rechnungsversand. Diesbezüglich sei nach Ansicht des OLG eine Ende-zu-Ende-Verschlüsselung erforderlich. Dabei bezieht es sich auch auf eine Orientierungshilfe der Datenschutzkonferenz sowie Informationen des BSI. Auch die weiteren Voraussetzungen des Schadensersatzanspruchs liegen vor, insbesondere kann die Klägerin sich nicht hinsichtlich des Verschuldens darauf berufen, ihr IT-Berater hätte die Transportverschlüsselung empfohlen, da die Entscheidung letztlich bei der Klägerin selbst läge.

Ob allerdings die Entscheidung des Gerichts im Kontext der vorangegangenen Manipulation in der Weise verallgemeinert werden kann, dass generell nur Rechnungen in einer sicher verschlüsselten Form übersandt werden dürfen, erscheint sehr fraglich.

(Gesche Kracht)

Neue Bedenken gegen das Data Privacy Framework

Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments (LIBE) hat in einem Schreiben vom 08.02.2025 (IUST-SEC/LIBE D (2025) 2901) gegenüber der Europäischen Kommission darauf hingewiesen, dass das amerikanische Privacy and Civil Liberties Oversight Board (PCLOB) nicht mehr beschlussfähig ist, nachdem durch die neue Trump-Administration in den USA mehrere (demokratische) Mitglieder aus dem Gremium gedrängt wurden. Diese Entwicklung kann deshalb problematisch sein, weil das PCLOB eine einigermaßen unabhängige Instanz sein sollte, deren Aufgabe die Einhaltung der Vorgaben des Data Privacy Framework war, auf dessen Grundlage überwiegend der Datenaustausch mit den USA bzw. die Einbeziehung amerikanischer Dienstleister in die Datenverarbeitung erfolgt. Wenn aber das PCLOB wegen seiner Beschlussunfähigkeit keine effektive Kontrolle mehr sicherstellen kann, gleichzeitig aber nach den Vorgaben des EuGH aus den vorangegangenen Verfahren (Schrems I / II) eine solche Aufsicht als wesentlicher Baustein erforderlich ist, dann besteht die Gefahr, dass der für den Datenaustausch aktuelle genutzte Angemessenheitsbeschluss gefährdet ist. Es kann insoweit unabhängig von der Bewertung des EuGH eine Aufhebung des Angemessenheitsbeschlusses durch die Kommission gem. Art. 45 Abs. 5 DSGVO drohen. Die weiteren Entwicklungen sollten wegen der möglichen Auswirkungen in jedem Fall weiter sorgsam beobachtet werden.

(Dr. Sebastian Meyer)

LDI NRW deckt Datenkartell auf

Die Landesdatenschutzbeauftragte (LDI) in NRW hat wegen des rechtswidrigen Austausches personenbezogener Daten Untersuchungen gegen mehrere Versicherungsunternehmen eingeleitet (Pressemitteilung v. 22.01.2025). Zehn Versicherer haben über einen geschlossenen E-Mail-Verteiler, in dem mehrere Beschäftigte der Unternehmen registriert waren, personenbezogene Daten von Kunden ausgetauscht, um Betrugsfälle aufzudecken und Betrugsmuster zu erkennen. Betroffen waren fast ausschließlich Fälle der Auslandsreisekrankenversicherung, wobei auch sensible Daten wie Gesundheitsdaten und Daten Minderjähriger ausgetauscht wurden. Über den Verteiler gelangten auch Daten an Versicherungen, die gar keinen Kontakt mit betroffenen Personen hatten, weiterhin fehlten sonstige Vorkehrungen zum Schutz der Betroffenen. Die insgesamt rechtswidrige Datenverarbeitung wurde mittlerweile abgestellt. Die Landesdatenschutzbeauftragte Bettina Gayk weist auch darauf hin, dass es eigentlich ein mit den Datenschutzaufsichtsbehörden abgestimmtes System gibt, sich datenschutzkonform über Betrugsfälle auszutauschen.

(Gesche Kracht)

DSK plant Hilfestellungen für Anonymisierung und Pseudonymisierung von personenbezogenen Daten

Die Datenschutzkonferenz (DSK) als Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder ist damit beauftragt, die Datenschutzgrundrechte zu wahren und zu schützen sowie eine einheitliche Anwendung zu erreichen und sich für die Fortentwicklung einzusetzen. In Wahrnehmung dieser Aufgaben und zur Erreichung der damit verbundenen Ziele nutzt die DSK Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.

Auf der ersten Zwischenkonferenz am 29. Januar 2025 hat die Datenschutzkonferenz beschlossen, Hilfestellungen für die effektive Anonymisierung und Pseudonymisierung von personenbezogenen Daten (Pressemitteilung DSK v. 30.01.2025) zu erarbeiten. Der Begriff der „Pseudonymisierung“ ist in Art. 4 Nr. 5 DSGVO bestimmt und bezeichnet eine solche Art der Verarbeitung personenbezogener Daten, die gewährleistet, dass nur durch Hinzuziehung von separat aufbewahrten Informationen, die durch geeignete technische und organisatorische Maßnahmen geschützt sind, ein Rückschluss auf die spezifisch betroffene Person möglich wäre. Zur Pseudonymisierung hat der Europäische Datenschutzausschuss (EDSA) bereits Leitlinien veröffentlicht (Pressemitteilung EDSA v. 17.01.2025). Der Begriff der „Anonymisierung“ ist hingegen nicht legal definiert und noch fehlt es an einer einheitlichen europäischen Leitlinie, welche der EDSA plant in diesem Jahr zu veröffentlichen. Anonymisierte Daten haben in der Praxis einen hohen Wert, denn wenn Daten anonymisiert werden, ist kein Personenbezug mehr möglich und die Datenschutz-Grundverordnung (DSGVO) nicht mehr anwendbar. Daher bietet eine Anonymisierung weitere und risikoarme Möglichkeiten, Daten zu nutzen. Die fehlende einheitliche Regelung führt jedoch zu Unsicherheit hinsichtlich der Verfahren zur Anonymisierung von Daten und der Nutzung der anonymisierten Daten.

Mit der geplanten Hilfestellung für die effektive Anonymisierung und Pseudonymisierung von personenbezogenen Daten möchte die DSK, aufbauend auf den Leitlinien des EDSA, geeignete Verfahren für die richtige Anonymisierung und Pseudonymisierung von Daten auswählen und als wertvolles Werkzeug für die Datenverarbeitung in Forschung, Wirtschaft und den öffentlichen Sektor anbieten. Anhand konkreter Beispiele aus medizinischer Forschung, KI-Entwicklung oder Statistik soll in dem DSK-Papier gezeigt werden, welche Anforderungen und Verfahren für die Pseudonymisierung und Anonymisierung wichtig sind.

(Geraldine Paus)

EDSA veröffentlicht Bericht zur koordinierten Prüfaktion 2024

Am 16. Januar 2025 hat der Europäische Datenschutzausschuss (EDSA) den Bericht über die Ergebnisse der koordinierten Prüfaktion 2024 (wir berichteten im April 2024), welche sich auf das Auskunftsrecht bezog, verabschiedet (Pressemitteilung EDSA v. 20.01.2025). Im Rahmen der Aktion wurden Angaben von 1.185 Verantwortlichen ausgewertet, wobei sich auch viele deutsche Aufsichtsbehörden beteiligten. Insgesamt gab die Mehrheit der Verantwortlichen an, die Anforderungen an das Auskunftsrecht in durchschnittlichem bis hohem Maß zu berücksichtigen. Hinsichtlich der Vollständigkeit der Auskunft, Hindernisse für Einzelpersonen bei Ausübung des Rechts z.B. formale Anforderungen und der Auslegung der Grenzen des Auskunftsrechts gebe es allerdings Nachbesserungsbedarf. Positive Ergebnisse waren insbesondere die Umsetzung bewährter Verfahren. Die Ergebnisse des Berichts decken sich weitestgehend mit den Ergebnissen der beteiligten deutschen Aufsichtsbehörde (Pressemitteilung DSK v. 22.01.2025). Das Thema der nächsten koordinierten Aktion betrifft die Umsetzung des Rechts auf Löschung.

(Gesche Kracht)

Europaweite Prüfungen zum Recht auf Auskunft

Der Landesbeauftragte für den Datenschutz Niedersachsen teilte in einer Pressemitteilung vom 22.01.2025 (Mitteilung v. 22.01.2025) mit, dass die Niedersächsische Datenschutzaufsicht stichprobenartig 15 Unternehmen aus unterschiedlichen Branchen zu ihrem Umgang mit Auskunftsersuchen nach Artikel 15 DSGVO geprüft habe. Ziel sei es gewesen, zu ergründen, wie Unternehmen auf Auskunftsersuchen reagieren, sowie herauszufinden, wie lange die Unternehmen personenbezogene Daten speichern und wie häufig sie solche Anfragen erhalten. 

Anlass für die Prüfung bot die sogenannte „Coordinated Enforcement Framework-Action“ (CEF) des Europäischen Datenschutzausschusses (EDSA), an der sich auf nationaler Ebeneaußerdem die Landesdatenschutzaufsichtsbehörden aus Bayern (BayLDA), Brandenburg, Mecklenburg-Vorpommern, Rheinland-Pfalz, Saarland und Schleswig-Holstein sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit beteiligten und auf der europäischen Ebene weitere 22 Datenschutzaufsichtsbehörden teilnahmen.

Die Niedersächsische Datenschutzaufsicht konnte bei den geprüften Unternehmen keine Unregelmäßigkeiten oder Verstöße feststellen, sodass der Landesbeauftragte für den Datenschutz Niedersachsen, Denis Lehmkemper, resümierte: „Es freut mich, dass viele niedersächsische Unternehmen das Auskunftsrecht offenbar ernst nehmen und entsprechende Prozesse etabliert haben.“

Gleichzeitig würden aber zahlreiche Anfragen und Beschwerden, die jedes Jahr von Bürgerinnen und Bürgern zum Auskunftsanspruch bei der Niedersächsischen Datenschutzaufsicht eingingen, zeigen, dass in einigen niedersächsischen Unternehmen und Organisationen noch ein gewisser Nachholbedarf bestehe, weswegen der Landesbeauftragte für den Datenschutz Niedersachsen trotz des insgesamt positiven Fazits betonte: „Das Auskunftsrecht ist ein wichtiges Betroffenenrecht. Es ermöglicht überhaupt erst, andere Datenschutzrechte wie das Recht auf Berichtigung oder Löschung auszuüben.“

(Habib Majuno)

Polen: Bußgelder wegen unterlassener Meldung eines Datenschutzvorfalls

Die polnische Aufsichtsbehörde (UODO) hat im vergangenen Jahr mehrere Bußgelder im Zusammenhang mit Datenschutzvorfällen verhängt.

Im August 2024 erließ die Aufsichtsbehörde ein Bußgeld in Höhe von 928.498,06 € gegen die polnische mBank, weil diese es unterließ, nach einem Datenschutzvorfall die betroffenen Personen zu informieren (Entscheidung DKN.5131.1.2024 v. 20.08.2024). Ein Angestellter der Bank hatte zuvor versehentlich Kundenunterlagen an ein anderes Finanzinstitut übermittelt. Die Dokumente wurden zwar an die Bank zurückgeschickt, es konnte allerdings nicht ausgeschlossen werden, dass Dritte von den Unterlagen Kenntnis erlangt haben. Die Bank entschied sich, ihre Kunden nicht über den Vorfall zu informieren, da sie der Ansicht war, dass nur ein geringes Risiko für die Betroffenen bestand. Dies begründete sie damit, dass der Empfänger ebenfalls dem Bankgeheimnis unterliegt und bestätigt hatte, keine Kopien der empfangenen Unterlagen angefertigt zu haben. Die Aufsichtsbehörde verwies auf die Leitlinien des EDSA für die Meldung von Datenschutzvorfällen, wonach es für die Vertrauenswürdigkeit eines Empfängers nicht auf dessen Status, sondern schwerpunktmäßig auf die Dauer der Beziehung zwischen Verantwortlichen und Empfänger und der daraus folgenden Kenntnis über die Verfahren und anderen relevanten Einzelheiten beim Empfänger ankommt. Aufgrund des hohen Risikos für die betroffenen Personen hätten diese informiert werden müssen.

Im September 2024 verhängte die Aufsichtsbehörde ein Bußgeld in Höhe von 19.800 € gegen die polnische Staatsanwaltschaft, da diese rechtswidrig personenbezogene Daten eines Opfers in einem Strafverfahren während einer Pressekonferenz offenlegte und diesen Datenschutzvorfall weder der Aufsichtsbehörde meldete noch den Betroffenen hierüber informierte (Entscheidung DKN.5131.33.2023 v. 02.09.2024). Nach Auffassung der Aufsichtsbehörde können Informationen aus laufenden Ermittlungsverfahren oder zu Tätigkeiten der Staatsanwaltschaft, sofern ein wichtiges öffentliches Interesse dies erfordert, offengelegt werden. Die Weitergabe der Informationen aus abgeschlossenen Verfahren, um die es sich vorliegend gehandelt hatte, bedarf allerdings einer Rechtsgrundlage, wobei eine solche nach Auffassung der Aufsichtsbehörde für den vorliegenden Fall nicht vorlag.

Im November 2024 verhängte die Aufsichtsbehörde ein Bußgeld in Höhe von 6.800 € an ein Krankenhaus, weil dieses es unterließ, einen Datenschutzvorfall der Aufsichtsbehörde zu melden (Entscheidung DKN.5131.6.2024 v. 26.11.2024). Einem Patienten des Krankenhauses wurden versehentlich die Gesundheitsdaten einer anderen Person übermittelt. Die betroffene Person wurde durch das Krankenhaus über den Vorfall informiert. Eine Meldung hätte nach Auffassung der Aufsichtsbehörde dennoch erfolgen müssen. 

 (Marc-Levin Joppek)

Finnland: Bußgeld wegen unzureichender Sicherheitsmaßnahmen

Die finnische Aufsichtsbehörde hat ein Bußgeld in Höhe von 950.000 € gegen die Sambla Group, einem Anbieter von Kreditvergleichsdiensten, verhängt, weil diese nur über unzureichende Sicherheitsmaßnahmen zum Schutz der Kundendaten verfügte (Mitteilung v. 20.12.2024). Dritten ist es möglich gewesen, auf die Daten der Kunden in den Kreditanträgen zuzugreifen, wenn Sie Kenntnis von dem personalisierten Link des Kunden hatten. Die Untersuchung der Behörde ergab, dass tatsächlich personenbezogene Daten wie Kontaktdaten, Einkommen, Wohnkosten und Familienstand an Dritte weitergegeben worden sind.

(Marc-Levin Joppek)

Italien: Bußgeld wegen unzulässiger Datenverarbeitung zu Telemarketingzwecken

Die italienische Datenschutzaufsichtsbehörde hat den Strom- und Gasversorger E.ON Energia SpA mit einer Geldstrafe in Höhe von über 890.000 Euro sanktioniert, weil das Unternehmen personenbezogene Daten ohne eine angemessene Rechtsgrundlage für Telemarketingwerbung verarbeitete (Maßnahme vom 27. November 2024, vgl. Mitteilung v. 31.01.2025).

Ausgangspunkt des Verfahrens waren die Beschwerden zweier Personen, die Ziel zahlreicher unaufgeforderter Werbeanrufe geworden waren und gegenüber dem Unternehmen ihre datenschutzrechtlichen Betroffenenrechte geltend machten, ohne eine entsprechende Reaktion auf Seiten des Unternehmens zu erhalten. Die italienische Datenschutzaufsichtsbehörde stellte im Rahmen ihrer Untersuchungen fest, dass ein Mitarbeiter des Unternehmens etwaige bei der Aktivierung von Strom- und Gaslieferungen erteilte Einwilligungen der betroffenen Personen falsch abgeschrieben hatte.

Ursächlich für diesen Fehler seien nach Ansicht der Behörde zwei Schwachstellen in den technischen und organisatorischen Maßnahmen des Unternehmens gewesen. Einerseits habe das Unternehmen keine geeigneten Maßnahmen bereitgehalten, um zu überprüfen und sicherzustellen, dass die von den betroffenen Personen erteilten Einwilligungen mit den in seinen Systemen hinterlegten Informationen übereinstimmen und daher personenbezogene Daten ohne eine Rechtsgrundlage für Telemarketingzwecke genutzt. Andererseits habe das Unternehmen seine Pflicht zur Schulung und Überwachung der mit den Telemarketing-Aktivitäten betrauten Personen verletzt.

Ferner stellte die Behörde bei der Untersuchung der zweiten Beschwerde fest, dass E.ON in diesem Fall für seine Telemarketingwerbung auf personenbezogene Daten zurückgegriffen hatte, die im Rahmen einer digitalen Kampagne über ein auf Facebook veröffentlichtes Formular erhoben worden waren, obwohl die konkret betroffene Person nie ein soziales Konto bei Facebook angelegt hatte. Damit müsse sich das Unternehmen aus der Sicht der Behörde vorwerfen lassen, die Identität der Person, die die personenbezogenen Daten an Sie weitergeleitet hat, nicht überprüft zu haben und auch keine anderen Maßnahmen ergriffen zu haben, die sicherstellen, dass die im Rahmen ihrer Kampagne erhobenen Daten aus einer rechtmäßigen Herkunft herrühren.

Ferner habe man infolge eines Schreibfehlers nicht auf die von den betroffenen Personen geltend gemachten Betroffenenrechte reagiert.

Neben der Geldbuße in Höhe von 892.738 Euro wies die Aufsichtsbehörde das Unternehmen an, zukünftig geeignete Maßnahmen zu ergreifen, um sicherzustellen, dass die Verarbeitung personenbezogener Daten in der gesamten Verarbeitungskette im Einklang mit den Bestimmungen der DSGVO erfolgt.

(Habib Majuno)