Sehr geehrte Damen und Herren,

Am 16. Mai 2025 findet unser sechster BRANDI-Datenschutzrechtstag in den Räumlichkeiten des Marta Herford statt. Hierzu laden wir Sie nochmals ganz herzlich ein! Das folgende Programm erwartet Sie:

          9:00 Uhr            Kaffee-Empfang

          9:30 Uhr            Begrüßung zur Tagung

          9: 45 Uhr           Impulsvortrag des ehemaligen Bundesdatenschutzbeauftragten Prof. Ulrich Kelber

          10:40 Uhr          Frühstückspause

          11:00 Uhr          Podiumsdiskussion

          12:10 Uhr          Fragerunde - Wir laden ein zur Diskussion mit uns

          12:30 Uhr          Mittagspause

          13:15 Uhr          Fallstudien zum Datenschutzrecht

          14:30 Uhr          Verabschiedung

          14:45 Uhr          Führung durch das Marta Herford

          15:45 Uhr          Ende der Veranstaltung

Sie haben die Möglichkeit, sich über unser Anmeldeformular für die Veranstaltung anzumelden. Die Möglichkeit zur Anmeldung finden Sie unter dem folgenden Link: Anmeldung zum Datenschutzrechtstag

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Löschung von Bewerberdaten

Aus den Grundsätzen der Datenminimierung gem. Art. 5 Abs. 1 lit. c) DSGVO und der Speicherbegrenzung gem. Art. 5 Abs. 1 lit. e) DSGVO ergibt sich, dass jede Datenverarbeitung grundsätzlich auf das notwendige Maß zu beschränken ist und personenbezogene Daten nur so lange gespeichert werden dürfen, wie dies für die verfolgten Zwecke erforderlich ist. Sobald die Daten nicht länger benötigt werden, sind sie zu löschen. Darüber hinaus räumt die Vorschrift des Art. 17 Abs. 1 DSGVO Betroffenen ein eigenes Recht ein, die Löschung ihrer Daten von der verantwortlichen Stelle zu verlangen.

In Bezug auf die Verarbeitung von Bewerberdaten bedeutet dies zum einen, dass nur solche Daten verpflichtend abgefragt werden dürfen, die für die Bearbeitung der Bewerbung zwingend benötigt werden, sowie zum anderen, dass die Daten aus dem Bewerbungsprozess nicht unbegrenzt aufbewahrt werden dürfen.

Zum vollständigen Schwerpunktthema

EuGH: Detaillierte Erläuterungspflicht bei automatisierter Bonitätsbewertung

In seinem Urteil vom 27. Februar 2025 hatte sich der EuGH mit den Anforderungen an die im Sinne von Art. 15 Abs. 1 lit. h) DSGVO aussagekräftige Information über automatisierte Entscheidungsfindung zu befassen (EuGH, Urt. v. 27.02.2025 - Az. C-203/22).

Im Ausgangsstreit verweigerte ein Mobilfunkanbieter einer Kundin den Abschluss eines Vertrages und stützte dies auf eine von Dun & Bradstreet Austria – einem hierauf spezialisierten Unternehmen – automatisch durchgeführte Bonitätsbeurteilung. Im sich daran anschließenden Rechtsstreit stellte das Bundesverwaltungsgericht fest, dass das Unternehmen auf Anfrage keine aussagekräftigen Informationen über die involvierte Logik der automatisierten Entscheidungsfindung übermittelt und somit gegen Art. 15 Abs. 1 lit. h)  DSGVO verstoßen hätte. Das im Rahmen der Vollstreckung der Entscheidung befasste Gericht legte sodann dem EuGH mehrere Fragen zum konkreten Umfang der Auskunftspflicht vor.

Der EuGH stellte zunächst fest, dass der Wortlaut der Norm alle Informationen erfasse, die für das Verfahren und die Grundsätze der automatisierten Verarbeitung personenbezogener Daten zum Erreichen eines bestimmten Ergebnisses maßgeblich sind. Aufgrund des Transparenzerfordernisses des Art. 12 Abs. 1 S. 1 DSGVO seien alle maßgeblichen Informationen in einer Weise zu übermitteln, dass die betroffene Person nachvollziehen könne, welche ihrer personenbezogenen Daten im Rahmen der automatisierten Entscheidungsfindung auf welche Art verwendet werden. Die Komplexität der Schritte der automatischen Entscheidungsfindung entbinde den Verantwortlichen nicht von der Erläuterungspflicht, wobei die bloße Übermittlung eines Algorithmus oder die detaillierte Beschreibung jedes Schritts nicht genüge.

Hinsichtlich der Auskunft müssen aber die Rechte und Freiheiten anderer Personen beachtet werden. Sofern der Verantwortliche der Ansicht sei, dass die im Rahmen der Auskunft zu übermittelnden Informationen geschützte Daten Dritter oder Geschäftsgeheimnisse umfassen, seien diese Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht offenzulegen. Diese müssten dann die entgegenstehenden Rechte und Interessen abwägen, um so den Umfang des Auskunftsrechts zu ermitteln. Entgegenstehende Rechte dürften jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird.

(Gesche Kracht)

EuGH zur Berechnung von Geldbußen

Mit Urteil vom 13. Februar 2025 entschied der EuGH, dass bei der Berechnung von Geldbußen wegen Verstößen gegen die DSGVO auf den gesamten weltweit erzielten Umsatz eines Konzerns abgestellt wird und nicht auf denjenigen des einzelnen Unternehmens (EuGH, Urt. v. 13.02.2025 - Az. C-383/23).

Ein dänisches Gericht verurteilte die Betreiberin einer Möbelhauskette wegen eines Verstoßes gegen die DSGVO bei der Speicherung von Daten ehemaliger Kunden zu einer Geldbuße von 100.000 DK. Die Staatsanwaltschaft, die der Auffassung war, bei der Berechnung des Betrags müsse auf den Gesamtumsatz der Lars Larsen Group – dem Konzern, zu dem das Unternehmen gehört – abgestellt werden, legte gegen das Urteil Rechtsmittel ein.

Der EuGH stellte auf das Vorabentscheidungsersuchen des befassten Gerichts fest, dass der Höchstbetrag einer Geldbuße, die wegen Verstoßes gegen die DSGVO verhängt wird, auf der Grundlage des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Unternehmens bestimmt wird. Der Begriff des Unternehmens im Sinne des Art. 83 Abs. 4 bis 6 DSGVO sei in Verbindung mit dem 150. Erwägungsgrund dahingehend auszulegen, dass ein „Unternehmen“ im Sinne der Art. 101 und 102 AEUV gemeint sei, das heißt, jede Einheit, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Ein Unternehmen in dem Sinne kann dementsprechend aus rechtlicher Sicht aus mehreren natürlichen oder juristischen Personen bestehen, die aber eine wirtschaftliche Einheit bilden.

Geldbußen müssen zudem die übergeordneten Voraussetzungen nach Art. 83 Abs. 1 DSGVO erfüllen und im Einzelfall wirksam, verhältnismäßig und abschreckend zu sein. Zur Beurteilung dessen sei ebenfalls zu berücksichtigen, ob der Adressat der Geldbuße einem Unternehmen im Sinne der Art. 101 und 102 AEUV angehöre. Auch hat die zuständige Aufsichtsbehörde nach Art. 83 Abs. 2 DSGVO einige Kriterien im Rahmen der Entscheidung über eine Geldbuße zu berücksichtigen. Laut Urteil des EuGH sei die Auslegung des Art. 83 DSGVO ebenso anwendbar, wenn die Verstöße gegen die DSGVO nicht von den Aufsichtsbehörden, sondern einem nationalen Gericht geahndet werden. Gem. Art. 83 Abs. 9 DSGVO müssten von nationalen Gerichten verhängte Geldbußen außerdem die gleiche Wirkung wie solche der Aufsichtsbehörden haben.

(Gesche Kracht)

BGH: Schadensersatz bei unerwünschter E-Mail-Werbung

Am 28. Januar 2025 entschied der Bundesgerichtshof, dass unerwünschte Werbe-E-Mails für sich genommen noch keinen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO auslösen (BGH, Urt. v. 28.01.2025 – Az. VI ZR 109/23).

Der Kläger hatte im Januar 2019 vom Beklagten Aufkleber mit der Aufschrift „Betteln und Hausieren verboten“ für seinen Briefkasten erworben. Von dem Beklagten erhielt er im Folgejahr eine Werbe-E-Mail, mit dem Hinweis, dass der volle Service auch während der Corona-Pandemie zur Verfügung stehe. Der Kläger hatte vorher nicht in den Erhalt von Werbung eingewilligt. Der Kläger widersprach dieser Verarbeitung seiner personenbezogenen Daten noch am selben Tag per E-Mail und forderte die Beklagte neben der Abgabe einer strafbewehrten Unterlassungserklärung auch zur Zahlung eines „Schmerzensgeldes“ gem. Art. 82 Abs. 1 DSGVO in Höhe von 500,00 € auf. Nach dem eine Reaktion des Beklagten ausgeblieben war, machte der Kläger sein Unterlassungs- und sein Zahlungsbegehren klageweise geltend.

Nachdem seinem Unterlassungsantrag bereits erstinstanzlich stattgeben wurde, er im Übrigen aber auch vor dem Berufungsgericht erfolglos blieb, verfolgte der Kläger seinen Zahlungsantrag mit seiner Revision vor dem BGH weiter. Ebenfalls ohne Erfolg, wie der BGH nunmehr entschied. Die Übersendung der Werbe-E-Mail könne zwar als Verstoß gegen die DSGVO zu werten sein, für sich genommen reiche dies aber nicht, um zugleich einen immateriellen Schadensersatz i. S. d. Art. 82 Abs. 1 DSGVO zu begründen. Dazu müsse der Kläger neben dem Datenschutzverstoß auch einen konkreten immateriellen Schaden nachweisen können. Regelmäßig könne zwar sowohl der Kontrollverlust über die eigenen personenbezogenen Daten als auch die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die DSGVO von Dritten missbräuchlich verwendet würden, ausreichen, um einen solchen immateriellen Schaden zu begründen. Im Rahmen des streitgegenständlichen Verstoßes hätte dies allerdings zumindest vorausgesetzt, dass der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich auch Dritten zugänglich gemacht hätte, oder der Kläger seine geäußerte Befürchtung eines Kontrollverlusts substantiiert hätte darlegen können. Dieser Nachweis gelang dem Kläger nicht. Demgegenüber genüge die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten.

(Habib Majuno)

BFH: Auskunftspflicht auch bei unverhältnismäßigem Aufwand

Mit Urteil vom 14. Januar 2025 entschied der Bundesfinanzhof (BFH), dass einer Behörde nicht das Recht zustehe, sich dem Auskunftsersuchen eines Betroffenen nach Art. 15 DSGVO mit dem Verweis auf einen unverhältnismäßigen Aufwand zu verweigern (BFH, Urt. v. 24.01.2025 - Az. IX R 25/22). Eine entsprechende Einschränkung des Auskunftsanspruchs ergebe sich nicht aus der DSGVO und in dem konkreten Fall auch nicht aus den Vorschriften des nationalen Rechts.

Strittig war, in welchem Umfang der Kläger von der Beklagten (einem Finanzamt) Auskunft nach Art. 15 DSGVO verlangen könne. Insbesondere beantragte der Kläger, das Finanzamt zu verurteilen, ihm eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Dem hatte sich das in Rede stehende Finanzamt zuvor mit Verweis auf unverhältnismäßige Kosten verwehrt und stattdessen lediglich Akteneinsicht gewährt.

Der BFH stellte dahingegen fest, dass die DSGVO im Rahmen des Auskunftsbegehrens nach Art. 15 DSGVO keine Einschränkung des Auskunftsanspruchs kenne, und gab dem Antrag des Klägers statt.

Zwar müsse der Verantwortliche nach Art. 14 Abs. 5 lit. b) Alt. 2 DSGVO seinen Informationspflichten nach der DSGVO nicht nachkommen, wenn dies mit einem unverhältnismäßigen Aufwand verbunden wäre. Dies gelte jedoch nur hinsichtlich der Informationspflichten im Sinne von Art. 14 DSGVO und sei nicht analog auf das Auskunftsbegehren anwendbar.

Das Auskunftsrecht stehe insbesondere nicht unter dem allgemeinen Vorbehalt der Verhältnismäßigkeit und könne nicht schon deshalb als exzessiv abgelehnt werden, weil die betroffene Person Auskunft zu ihren personenbezogenen Daten begehre, ohne dieses Begehren in sachlicher bzw. zeitlicher Hinsicht einzuschränken.

(Habib Majuno)

OLG Dresden zum Anspruch auf Schadensersatz bei Datenleak

Das OLG Dresden hatte sich in einem Fall mit der Frage zu beschäftigen, ob ein Schadensersatzanspruch aus Art. 82 DSGVO auch dann bestehen kann, wenn die von einem Datenschutzverstoß betroffene Information bereits in der Vergangenheit Gegenstand einer nicht datenschutzkonformen Verarbeitung gewesen ist (OLG Dresden, Beschluss vom 08.01.2025 - Az. 4 U 812/24).

Die Klägerin forderte von der Beklagten gem. Art. 82 DSGVO den Ersatz des Schadens, der ihr in Folge eines Datenschutzverstoßes der Beklagten im Juni 2020 entstanden sei. Dadurch habe Sie die Kontrolle über die vom Verstoß betroffenen personenbezogenen Daten (insbesondere Ihre E-Mail-Adresse) verloren und müsse nunmehr Sorge vor einem etwaigen Datenmissbrauch haben.

Dieser Argumentation folgte das Oberlandesgericht Dresden allerdings nicht und verneinte einen Schadensersatzanspruch der Klägerin. In dem streitgegenständlichen Fall habe die Klägerin die Kontrolle über ihre E-Mail-Adresse schon viele Jahre vor dem Datenschutzvorfall im Juni 2020 durch insgesamt sieben andere Datenschutzvorfälle im Zeitraum von 2008 bis 2019 verloren. Unter diesen Umständen könne nicht angenommen werden, dass die Befürchtung der Klägerin, ihre E-Mail-Adresse könne missbräuchlich verwendet werden, konkret auf den Datenschutzvorfall im Juni 2020 bei der Beklagten zurückzuführen sei. Im Hinblick auf die bereits zwischen 2008 und 2019 eingetretenen Kontrollverluste sei nicht plausibel, dass die Befürchtung des Missbrauchs der Daten durch den Datenschutzvorfall im Juni 2020 ausgelöst worden sein soll.

(Habib Majuno)

OLG Hamm: Schadensersatz wegen Facebook-Scraping

In einem Fall von Daten-Scraping bei Facebook verurteilte das OLG Hamm am 20. Dezember 2024 den Betreiber des sozialen Netzwerks zu einer Schadensersatzzahlung in Höhe von 200,00 € (OLG Hamm, Urt. v. 20.12.2024 - Az. 11 U 44/24). Zentral ging es in dem Urteil um den Nachweis eines kausalen immateriellen Schadens.

Infolge einer vom Gericht als datenunfreundlich bezeichneten Voreinstellung konnten mittels der öffentlichen Suchfunktion in dem sozialen Netzwerk Nutzerprofile über die Mobilfunktelefonnummer gesucht werden. Dies stelle eine unrechtmäßige Datenverarbeitung dar. Der Kläger trug vor, er habe einen Kontrollverlust in Bezug auf seine Mobilfunknummer und den dieser zugeordneten Namen erlitten und wäre psychisch durch Befürchtungen und Sorgen in Bezug auf den Umgang mit seinen Daten sowie Spam-Kontakte belastet, weshalb ein immaterieller Schaden vorliege. Das OLG bezieht sich insoweit auf die Rechtsprechung des EuGH zum immateriellen Schadensersatz, wonach auch der Kontrollverlust über die eigenen Daten einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen könne. Im konkreten Fall habe der Kläger durch Schilderung eines massiven Aufkommens von Spam-SMS und -Anrufen seit der Veröffentlichung der gescrapten Daten einen Schaden dargelegt. Er habe weiterhin glaubwürdig seine Verunsicherung und Besorgnis im Umgang mit seiner Telefonnummer geschildert. Spam-Anrufe hätten ihn auch in Situationen wie bei der Autofahrt erreicht, in denen allein ihr Eingang belastend wäre.

Hinsichtlich der Bemessung des Schadensersatzes seien insbesondere die Sensibilität der betroffenen personenbezogenen Daten und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Der Kontrollverlust beschränke sich hier auf nicht sonderlich sensible Daten, jedoch sei durch die Veröffentlichung der Daten im Darknet die Missbrauchsgefahr gestiegen und die Dauer und Beendigung des Kontrollverlusts sei abgesehen von einem Rufnummernwechsel kaum beeinflussbar für den Kläger, weswegen das Gericht die Summe von 200,00 € als angemessen erachtet.

(Gesche Kracht)

LG Stade: unerlaubte Werbung in Autoreply-E-Mails

Das LG Stade hat am 30. Oktober 2024 entschieden, dass die Nennung eines Produkts in einer E-Mail zusammen mit der Formulierung, man würde nur „qualitativ hochwertige Produkte versenden“, als Werbung einzuordnen ist (LG Stade, Beschl. v. 30.10.2024 - Az. 4 S 24/24; MMR 2025, 153).

Der Kläger hatte auf eine Anfrage, in der er sich nach einem Gutschein erkundigte, eine Bestätigungsnachricht erhalten, in der unter anderem auf einzelne Produkte in Kombination mit dem Hinweis, dass man „nur qualitativ hochwertige Produkte versenden“ würde, hingewiesen wurde. Das LG Stade führte aus, dass es sich bei der Bestätigungsnachricht um Werbung handele, da der Werbebegriff weit zu verstehen sei und jede Maßnahme erfasse, die auf Absatzförderung gerichtet sei. Die mittelbare Absatzförderung in Form der Imagewerbung werde insoweit auch erfasst. Etwas anderes ergebe sich auch nicht daraus, dass die E-Mail nur in Teilen aus Werbung und in Teilen aus der zulässigen Bestätigung des Erhalts der Anfrage bestand. Das Gericht entschied weiter, dass die Anfrage des Klägers mit der Bitte um Antwort nicht als Zustimmung in den Erhalt von Werbung gewertet werden kann, weshalb die Versendung mangels einer entsprechenden Einwilligung des Betroffenen rechtswidrig war. Es sei zwar zu berücksichtigen, dass der Kläger durch die unerwünschte Werbung nur vergleichsweise geringfügig beeinträchtigt sei, da die Werbung als solche erkennbar gewesen sei. Allerdings liege genau deshalb keine Bagatelle vor. Der Kläger habe die gesamte E-Mail wahrnehmen müssen, um zwischen dem bestätigenden und dem werbenden Teil unterscheiden zu können. Dies sei zwar kein großer Aufwand. Allerdings seien gleichzeitig auch die leichte Versendungsmöglichkeit und ihre günstige Werbewirkung sowie der Umstand, dass der Kläger sich gegen den Erhalt nicht wehren kann, zu berücksichtigen. Zudem müsse auch die Wertung des § 7 Abs. 2 UWG berücksichtigt werden.

(Christina Prowald)

Änderungen hinsichtlich der datenschutzrechtlichen Verantwortlichkeit für Meta Business Tools

Der Europäische Gerichtshof (EuGH) hat bereits in einem Urteil aus dem Jahr 2018 entschieden, dass Betreiber von Facebook-Fanpages für Datenverarbeitungen des Facebook-Anbieters Meta (mit)verantwortlich sein können (EuGH, Urt. v. 05.06.2018 – C-210/16). Betreiber einer Facebook-Fanpage müssen daher mit Meta eine Vereinbarung zur gemeinsamen Verantwortlichkeit abschließen.

In der Folgezeit war Meta zunächst der Auffassung, dass die gemeinsame Verantwortlichkeit zwar für Facebook-Fanpages gilt, nicht jedoch für Instagram, obwohl bei einem geschäftlich genutzten Instagram-Account ähnliche Datenverarbeitungen stattfinden können wie bei einer Facebook-Fanpage (wir berichteten in unserem Datenschutz-Newsletter im Oktober 2020). Für Instagram hat Meta daher in der Vergangenheit den Abschluss einer Vereinbarung zur gemeinsamen Verantwortlichkeit nicht angeboten.

Dies hat sich nun geändert. Meta geht nach dessen neuen Nutzungsbedingungen davon aus, dass für die Meta Business Tools, zu denen etwa auch Funktionen wie Instagram Insights gehören, teilweise eine Auftragsverarbeitung, teilweise eine gemeinsame Verantwortlichkeit und teilweise getrennte Verantwortlichkeiten vorliegen. Mittlerweile werden für die Meta Business Tools auch eine Vereinbarung zur gemeinsamen Verantwortlichkeit und eine Vereinbarung zur Auftragsverarbeitung zum Abschluss mit den geschäftlichen Nutzern angeboten.

Nach Auffassung von Meta soll bei der Verarbeitung von Kontaktinformationen für den Abgleich mit Nutzer-IDs zur Kombination mit Event-Daten sowie bei der Verarbeitung von Event-Daten für Mess- und Analysedienste eine Auftragsverarbeitung von Meta vorliegen. Die gemeinsame Verantwortlichkeit beziehe sich auf personenbezogene Informationen in Event-Daten, die die Nutzung von Websites und Apps mit integrierten Business Tools betreffen. Für alle weiteren Datenverarbeitungen liegt nach Auffassung von Meta jeweils eine eigenständige Verantwortlichkeit vor.

Verantwortliche sollten dies zum Anlass nehmen, ihre Datenschutzerklärungen im Hinblick auf die richtige Darstellung der datenschutzrechtlichen Verantwortlichkeiten für die Meta Business Tools zu überprüfen. Insbesondere für Instagram kann sich ein Änderungsbedarf ergeben. Gegebenenfalls sollten die Darstellungen aktualisiert werden, wobei im Zweifel der Datenschutzbeauftragte unterstützen kann.

(Johanna Schmale)

EU-Datengrenze für die Microsoft Cloud

Microsoft hat nach eigenen Angaben den Ausbau seiner EU-Datengrenze (EU Data Boundary) für seine Cloud-Dienstleistungen abgeschlossen (Aktualisierung vom 26.02.2025). Bei der EU-Datengrenze handelt es sich um eine Selbstverpflichtung von Microsoft, Kundendaten, personenbezogene Daten sowie Professional-Services-Daten im Zusammenhang mit den Microsoft Enterprise Onlinediensten, einschließlich Azure, Dynamics 365, Power Platform und Microsoft 365, innerhalb der Grenzen der Europäischen Union (EU) und der Europäischen Freihandelsassoziation (EFTA) zu verarbeiten. Trotz dieser grundsätzlichen Verpflichtung weist Microsoft in seinen aktualisierten Informationen darauf hin, dass es nach wie vor möglich sei, dass einige der Daten nach wie vor an Stellen außerhalb der EU-Datengrenze übertragen werden. Hierzu können etwa Diagnosedaten gehören, sofern deren Erfassung aktiviert ist. Teilweise bedarf es außerdem einer aktiven Konfiguration der Systeme, damit Microsoft die Daten innerhalb der EU-Datenschutzgrenze verarbeitet.

(Christina Prowald)

LfD Niedersachsen: Risiken bei der Nutzung von DeepSeek

Der Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat auf die datenschutzrechtlichen Risiken, die mit der Nutzung des chinesischen KI-Tools verbunden sind, hingewiesen (Pressemitteilung Nr. 05/2025). Es sei derzeit davon auszugehen, dass das Tool die Anforderungen der DSGVO und der KI-Verordnung nicht erfüllt. Aus der Datenschutzerklärung des Anbieters ergebe sich etwa, dass alle in das Tool eingespeisten Informationen und Dokumente uneingeschränkt aufgezeichnet, übertragen, gespeichert und analysiert werden. Außerdem weise DeepSeek darauf hin, dass man verpflichtet sei, die Daten auch an den chinesischen Geheimdienst sowie Sicherheitsbehörden weiterzugeben. Der Landesbeauftragte für den Datenschutz Niedersachsen, Denis Lehmkemper, äußerte sich hierzu wie folgt: „Auch chinesische Unternehmen müssen rechtskonform mit den Daten europäischer Bürgerinnen und Bürger umgehen, wenn sie ihre Apps in Europa anbieten. Wir müssen davon ausgehen, dass es bei DeepSeek noch erheblichen Nachholbedarf beim Datenschutz gibt.“ Ausführlichere Informationen zur Nutzung von DeepSeek finden sich auch in einer Empfehlung des LfD Niedersachsen.

(Christina Prowald)

EDSA: Expertise zur Umsetzung von Betroffenenrechten beim Einsatz von KI

Als Teil des Projekts „KI: Komplexe Algorithmen und wirksame Datenschutzaufsicht“ hat der Europäische Datenschutzausschuss (EDSA) Ende Januar eine Expertise des externen Experten Dr. Kris Shrishak zur wirksamen Umsetzung von Betroffenenrechten bei Datenverarbeitungen unter Beteiligung von KI veröffentlicht.

Innerhalb seiner Expertise geht Dr. Shrishak zunächst darauf ein, dass insbesondere die Umsetzung des Rechts auf Berichtigung und des Rechts auf Löschung im KI-Kontext verschiedene Herausforderungen mit sich bringt. Er zeigt sodann auf, dass KI-Systeme so ausgestaltet werden können, dass die Einhaltung der datenschutzrechtlichen Löschanforderungen grundsätzlich möglich ist. Man könne etwa die zu löschenden Daten aus dem KI-Modell entfernen und das System anschließend mit den Restdaten neu trainieren. Dies sei bei kleinen Modellen ein guter Ansatz, bringe bei größeren Systemen allerdings Schwierigkeiten mit sich und könne mit Leistungseinbußen des Systems einhergehen. Daneben gebe es verschiedene Ansätze, damit das System die zu löschenden Daten verlernt, wobei nicht alle davon auch ausreichend effektiv seien. Der Experte weist in diesem Kontext auch darauf hin, dass die Entstehung datenschutzrechtlicher Korrektur- und Löschpflichten nur durch die Verwendung vollständig anonymisierter Daten im Rahmen des Trainings und der Nutzung des KI-Systems verhindert werden kann. Für den Fall, dass personenbezogene Daten zur Entwicklung eines KI-Systems genutzt werden sollen, empfiehlt er eine umfassende Dokumentation, insbesondere von Aktualisierungen und Änderungen des KI-Modells, um Betroffenenanträgen auf Berichtigung und Löschung nachkommen zu können.

(Christina Prowald)

Spanien: Bußgeld i. H. v. 4 Mio. Euro gegen Versicherungsgesellschaft

Die spanische Datenschutzaufsichtsbehörde (Agencia Española de Protección de Datos, AEPD) hat in einem Bescheid vom 10.12.2024 gegen die Versicherungsgesellschaft Generali España ein Bußgeld in Höhe von 4 Millionen Euro verhängt. Grund dafür war ein Datenschutzvorfall, der durch Sicherheitslücken verursacht worden war.

Bei dem Vorfall handelte es sich um einen Hackerangriff, der seit dem 19.09.2022 bestand und am 05.10.2022 entdeckt wurde. Die Generali España meldete erst im November 2022 einen Angriff auf ihre Systeme. Während des Angriffs hatten Hacker Zugriff auf die Systeme und damit auch auf personenbezogene Daten von ehemaligen Kunden. Am 06.10.2022 wurde der den Angriff ermöglichende Benutzeraccount eines Versicherungsmaklers in einem Kundenportal identifiziert, woraufhin die Anmeldedaten geändert wurden und der Angriff gestoppt werden konnte. Die Versicherungsgesellschaft nahm zunächst an, dass nur 37 Personen betroffen seien. Am 11.11.2022 wurde jedoch bekannt, dass personenbezogene Daten, darunter Namen, Geburtsdatum, Geburtsort, Familienstand, Ausweiskopien, Adressen, Telefonnummern und Bankdaten, über eine Telegram-Gruppe verkauft worden waren. Als Beweis hierfür wurde eine Stichprobe von über 24.000 Datensätzen sichergestellt, die eine Betroffenheit der Daten bestätigte.

Die AEPD stellte mehrere Verstöße gegen die DSGVO fest, es fehlte unter anderem an technischen und organisatorischen Maßnahmen und an einer Datenschutz-Folgenabschätzung. Eine Million Euro des Bußgeldes ergeben sich nach dem Bußgeldbescheid aus einem Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit von personenbezogenen Daten (Art. 5 Abs. 1 lit. f) DSGVO), 2 Millionen Euro aus einem Verstoß gegen Art. 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) und jeweils eine Million Euro wegen eines Verstoßes gegen die Erfordernisse der Sicherheit der Verarbeitung und der Durchführung einer Datenschutz-Folgenabschätzung (Art. 32 und Art. 35 DSGVO). Da die Generali España unverzüglich gezahlt hat, ohne jedoch die Haftung anzuerkennen, wurde eine Kürzung des Gesamtbetrags um 20 Prozent auf vier Millionen Euro vorgenommen, was nach den spanischen Verwaltungsverfahrensvorschriften möglich ist. Die Behörde hat der Versicherungsgesellschaft außerdem aufgegeben, die Datenschutz-Folgenabschätzung innerhalb von drei Monaten nachzuholen.

Bei ihrer Entscheidung hat die Aufsichtsbehörde nicht nur die genannten Verstöße berücksichtigt, sondern auch den Umgang der Generali España mit dem Datenschutzvorfall. Der Fall macht deutlich, dass Unternehmen angemessene technische und organisatorische Maßnahmen zum Schutz ihrer Daten treffen und besonders bei umfangreichen Verarbeitungen von sensiblen Daten das Risiko der Verarbeitung vorab analysieren müssen. Falls es dennoch zu einer Datenschutzverletzung kommt, sind etwaige Melde- und Benachrichtigungspflichten eingehend zu prüfen und umzusetzen.

(Johanna Schmale)