Sehr geehrte Damen und Herren,

in diesem Monat (konkret am 16.05.2025) steht unser Datenschutzrechtstag an, den wir in den vergangenen Wochen intensiv vorbereitet haben. Wir haben ein abwechslungsreiches Programm mit interessanten Vorträgen namhafter Referenten, spannenden Diskussionen und praxisrelevanten Fallstudien. Abgerundet wird auch in diesem Jahr das Angebot durch ein kulturelles Rahmenprogramm.

Wer noch nicht angemeldet ist und Interesse hat, kann sich weiterhin anmelden. Dies gilt sowohl für eine Teilnahme vor Ort im Marta Herford als auch für die Online-Teilnahme.

Das folgende Programm erwartet Sie:

             9:00 Uhr                 Kaffee-Empfang

             9:30 Uhr                 Begrüßung zur Tagung

             9:45 Uhr                 Impulsvortrag des ehemaligen Bundesdatenschutzbeauftragten Prof. Ulrich Kelber

             10:40 Uhr               Frühstückspause

             11:00 Uhr               Podiumsdiskussion

             12:10 Uhr               Fragerunde - Wir laden ein zur Diskussion mit uns

             12:30 Uhr               Mittagspause

             13:15 Uhr               Fallstudien zum Datenschutzrecht

             14:30 Uhr               Verabschiedung

             14:45 Uhr               Führung durch das Marta Herford

             15:45 Uhr               Ende der Veranstaltung

Das Anmeldeformular für die Veranstaltung finden Sie online unter dem folgenden Link: Anmeldung zum Datenschutzrechtstag

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Deep Seek

Das KI-Tool DeepSeek hat in den letzten Monaten viel Aufsehen erregt und für Schlagzeilen gesorgt. Als der chinesische Anbieter des Tools im Januar 2025 sein neuestes KI-Modell vorgestellt hat, führte dies angesichts der Frage, ob China in dem Bereich der künstlichen Intelligenz einen Durchbruch erzielt hat, zu Kursverlusten bei Technologie-Aktien amerikanischer Unternehmen. DeepSeek wird seitdem als Konkurrent von ChatGPT, dem Produkt des führenden amerikanischen Anbieters OpenAI, gesehen. Kurze Zeit später wurde in den Medien von einem Datenleck bei DeepSeek berichtet, aufgrund dessen eine große Anzahl an Datensätzen ungesichert im Internet zugänglich gewesen sein soll.

Für viele Unternehmen stellt sich aktuell die Frage, ob und wie sie DeepSeek datenschutzkonform einsetzen können. Der vorliegende Beitrag enthält einen Überblick über die wesentlichen rechtlichen Anforderungen sowie eine datenschutzrechtliche Einordnung verschiedener Rahmenbedingungen von DeepSeek, aus denen sich schließlich eine Einschätzung bezüglich der datenschutzkonformen Nutzbarkeit von DeepSeek ergibt.  

Zum vollständigen Schwerpunktthema

EuGH: Daten des Geschäftsführers einer juristischen Person unterfallen dem Anwendungsbereich der DSGVO

In seinem Urteil vom 3. April 2025 hatte sich der EuGH nach Vorlage eines tschechischen Gerichts mit der Anwendbarkeit der DSGVO auf Daten der Vertreter einer juristischen Person zu befassen (EuGH, Urt. v. 03.04.2025 - Az. C-710/23).

Der Ausgangsstreit betraf einen Antrag auf Information beim tschechischen Gesundheitsministerium hinsichtlich der vom Ministerium abgeschlossenen Verträge über den Kauf von Covid-19-Tests und zugehörigen Zertifikaten. Das Ministerium hatte daraufhin die Zertifikate für die Tests an den Antragsteller übermittelt, jedoch die Informationen zu den natürlichen Personen, die die Zertifikate im Namen der betroffenen juristischen Personen unterzeichnet hatten, geschwärzt, was mit dem Schutz personenbezogener Daten nach der DSGVO gerechtfertigt wurde.

Dem vorlegenden Gericht stellte sich insbesondere die Frage, ob die Daten der die juristischen Personen vertretenden natürlichen Personen überhaupt personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO sind, wenn sie ausschließlich dazu dienen, zu identifizieren, wer befugt ist, im Namen der juristischen Person zu handeln. Der EuGH hat zunächst klargestellt, dass nach ständiger Rechtsprechung die Formulierung „alle Informationen“ in Art. 4 Nr. 1 DSGVO zur Begriffsbestimmung der personenbezogenen Daten auf das Ziel des Gesetzgebers schließen lasse, dem Begriff eine weite Bedeutung beizumessen. Erfasst seien potenziell alle objektiven und subjektiven Informationen über die in Rede stehende Person. Entsprechend seien auch Informationen – jedenfalls der Name und die Unterschrift – über identifizierte oder identifizierbare natürliche Personen, die als Gesellschaftsorgan oder Organmitglied befugt sind, die Gesellschaft zu vertreten, personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO. Der Kontext beruflicher Tätigkeit, in dem die Daten stehen, schließe nicht aus, dass es sich um personenbezogene Daten handele. Ein Ausschluss der Anwendung der DSGVO ergebe sich auch nicht aus dem Zweck der Verarbeitung (namentlich der Identifizierung der Vertretungsberechtigten einer juristischen Person), da der Verarbeitungsbegriff gem. Art. 4 Nr. 2 DSGVO keine Anhaltspunkte dafür biete, die Einstufung als Verarbeitung von der Zweckbestimmung abhängig zu machen.

(Gesche Kracht)

BGH erlaubt Auskunft zu Gesellschaftern und Beteiligungen

Der BGH musste sich in einer Nichtzulassungsbeschwerde mit der Frage befassen, ob Gesellschafter in einer Publikumsgesellschaft Anspruch darauf haben, dass die Gesellschaft im Rahmen eines Auskunftsverlangens Namen und Adresse der Mitgesellschafter sowie deren Beteiligungshöhe mitteilt. Konkret wollte ein Gesellschafter wissen, wer noch mit welchem Umfang als Kommanditist in einer Fondsgesellschaft beteiligt ist, damit diesen Mitgesellschaftern ein Angebot zur Übernahme der Anteile unterbreitet werden kann. Die Gesellschaft hat die Offenlegung der Daten unter anderem mit dem Argument abgelehnt, die Auskunft könne schon aus datenschutzrechtlichen Gründen nicht erteilt werden. In den Vorinstanzen wurde die Gesellschaft bereits zur Auskunftserteilung verurteilt, der BGH hat diese Bewertung bestätigt (BGH, Beschl. v. 22.01.2025 - Az. II ZB 18/23).

Zur Begründung führt der BGH aus, dass Gesellschafter, die sich an einer Gesellschaft beteiligen, damit rechnen müssen, dass auch die Mitgesellschafter ihre Identität, Adresse und Beteiligungshöhe erfahren. Diese Daten seien zur Wahrnehmung von Mitgliedschaftsrechten in der Gesellschaft erforderlich, so dass die Datenverarbeitung auf Art. 6 Abs. 1 lit. b) DSGVO gestützt werden kann.  Dies gilt grundsätzlich auch bei Treuhandkonstellationen, weswegen im konkreten Fall die Beteiligungsdaten nicht öffentlich einsehbar waren. Jedenfalls ist dann von einer Auskunftspflicht auszugehen, wenn ersichtlich ist, wofür die Daten benötigt werden und das eine andere, datenschutzfreundlichere Gestaltung sich nicht aufdrängt.

(Dr. Sebastian Meyer)

BGH äußert sich erneut zu Schadensersatzanspruch nach Art. 82 DSGVO

In seinem Urteil vom 11. Februar 2025 befasste sich der BGH erneut mit dem Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO und dessen Voraussetzungen (BGH, Urt. v. 11.02.2025 - Az. VI ZR 365/22). Konkret ging es um die Frage, wann von einem ersatzfähigen immateriellen Schadensersatzanspruch auszugehen ist.

Die Parteien stritten im Wege einer Feststellungsklage über einen Anspruch auf Schadensersatz wegen Verstoßes gegen die DSGVO. Die Klägerin, eine Bundesbeamtin, kritisierte, dass ihre Personaldaten durch Bedienstete des Landes Niedersachsen verarbeitet wurden. Die Verwaltung argumentierte, dass Bundesbeamte und Landesbeamte grundsätzlich in gleicher Weise zur Vertraulichkeit und Verschwiegenheit verpflichtet wären; für die Betroffene (die Klägerin) würde es daher keinen Unterschied machen, durch wen die Daten verarbeitet würden. Der BGH ist dieser Auffassung entgegengetreten und hat klargestellt, dass die Handhabung eine nicht von § 111a BBG a.F. i.V.m. § 26 BDSG i.V.m. Art. 88 DSGVO gedeckte Verarbeitung personenbezogener Daten durch Dritte darstellt. Weiter hat der BGH angenommen, es liege ein Schaden in Form des durch Überlassung der Personalakten verursachten Kontrollverlusts vor. Der BGH bezieht sich hierbei auf die Rechtsprechung des EuGH (u.a. EuGH, Urt. v. 04.10.2024 – Az. C-200/23; Urt. v. 20.06.2024 – Az. C-590/22), die schon im bloßen Kontrollverlust einen ersatzfähigen immateriellen Schaden sieht. Eine darüberhinausgehende Persönlichkeitsrechtsverletzung oder Beeinträchtigung von gewissem Gewicht sei nicht erforderlich. Über die konkrete Höhe des Schadensersatzes musste der BGH nicht entscheiden, weil die Klage nur auf Feststellung gerichtet war, dass grundsätzlich der entstandene Schaden zu ersetzen ist.

(Gesche Kracht)

BGH zur wettbewerbsrechtlichen Verfolgung von unzureichenden Datenschutzinformationen

Der BGH hat mit Urteil vom 27. März 2025  klargestellt, dass Verbraucherschutzverbände gegen die Verletzung datenschutzrechtlicher Informationspflichten gem. Art. 12 Abs. 1 S. 1, Art. 13 Abs. 1 lit. c) und e) DSGVO wettbewerbsrechtlich vorgehen können (BGH, Urt. v. 17.03.2025 - Az. I ZR 186/17).

Kläger des Verfahrens ist der Bundesverband der Verbraucherzentralen (vzbv), welcher in die Liste qualifizierter Einrichtungen nach § 4 UKlaG eingetragen ist. Die Beklagte war Meta Platforms Ireland Limited (Meta) als Betreiber von Facebook und weiteren Online-Diensten. Meta betreibt auf ihrer Internetplattform Facebook ein „App-Zentrum“, über das Nutzern kostenlose Spiele von Drittanbietern zugänglich gemacht werden. Der Verbraucherverband beanstandet die Hinweise zur Datenübermittlung als unlauter gem. § 8 Abs. 1 UWG unter anderem wegen Verstoßes gegen gesetzliche Anforderungen an die Einholung einer wirksamen datenschutzrechtlichen Einwilligung. Im Ausgangsverfahren wollte der vzbv daher Meta verbieten, Spiele derart zu präsentieren, dass Verbraucher mit der Betätigung des Buttons „Spiel spielen“ zugleich die Erklärung abgeben, dass der Spielbetreiber personenbezogene Daten erhält und ermächtigt ist, Informationen im Namen des Verbrauchers zu posten.

Einzelne Fragen zur Vereinbarkeit von nationalen Regelungen zum Vorgehen von Verbänden mit Art. 80 Abs. 1 und 2, Art. 84 Abs. 1 DSGVO wurden dem EuGH bereits zuvor zur Vorabentscheidung vorgelegt. In früherer Rechtsprechung hatte der EuGH entschieden, dass Art. 80 Abs. 2 DSGVO eine geeignete Grundlage für die Verfolgung von DSGVO-Verstößen durch Verbände nach dem UWG und dem UKlaG sein kann. Dem Kläger komme eine solche Klagebefugnis durch § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 S. 1 Nr. 1 UKlaG zu. Die Präsentation des App-Zentrums verstoße gegen die nunmehr geltenden Art. 12 Abs. 1 S. 1, Art. 13 Abs. 1 lit. c) und e) DSGVO, wonach der Verantwortliche geeignete Maßnahmen zu treffen habe, um die erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form und klarer und einfacher Sprache zu übermitteln. Es würde nicht deutlich, welche Daten freigegeben werden, welchen Zweck die Übertragung habe und was bei Dritten mit den Daten geschehe. Durch die Zustimmung zu posten, verliere der Nutzer jegliche Kontrolle über den Verbleib und die Nutzung seiner Daten. Die Verlinkung der Datenschutzbedingungen sei zur Information über die Tragweite der Entscheidung nicht ausreichend.

In dem Verstoß gegen die datenschutzrechtlichen Informationspflichten liege zugleich ein Verstoß gegen Lauterkeitsrecht in Form des Vorenthaltens einer wesentlichen Information gem. § 5a Abs. 1 UWG n.F. Vor dem Hintergrund, dass die DSGVO neben Schutzvorschriften auch Bestimmungen zum freien Verkehr personenbezogener Daten enthalte, sollen die Informationspflichten auch sicherstellen, dass der Verbraucher mit Einwilligung in die Verarbeitung personenbezogener Daten, die mit einer Nachfrageentscheidung verknüpft ist, über Umfang und Tragweite der Einwilligungserklärung informiert wird.

(Gesche Kracht)

LG Berlin: Schadensersatz wegen unerlaubtem Einsatz von Meta Business Tools

In insgesamt sechs Fällen hat das LG Berlin II am 04. April 2025 Meta zur Auskunft, Löschung bzw. Anonymisierung von Daten und Schadensersatz verurteilt (Pressemitteilung v. 07.04.2025).

Die Klageparteien wenden sich allesamt gegen die Datenverarbeitung durch Meta Business Tools. Durch diese werden alle digitalen Bewegungen auf Webseiten und Apps sämtlicher Facebook- und Instagram-Nutzer ausgelesen, aufgezeichnet und die gesammelten Daten mit einem einmal angelegten Nutzerkonto verbunden. So könnten Profile über Personen angelegt werden, welche die politische und religiöse Einstellung, die sexuelle Orientierung oder Gesundheitsdaten erfassen. Laut Pressemitteilung gehen Schätzungen  davon aus, dass Meta Business Tools bei mindestens 30 - 40 % der Webseiten weltweit und das gegen den ausdrücklichen Willen der Nutzer eingesetzt werden. Meta beruft sich darauf, dass die Drittunternehmer für die Installation und Nutzung der Meta Business Tools und folglich auch für die Offenlegung der Daten verantwortlich seien. Eine eigene Nutzung der Daten erfolge nur mit Einwilligung oder zu Sicherheitszwecken.  Das LG Berlin II wies in der Verhandlung darauf hin, dass den Klägern ein Recht auf Auskunft zustehe, weil Meta die personenbezogenen Daten zur Erstellung der Profile gespeichert habe, sowie wegen der rechtsgrundlosen Datenverarbeitung ein Löschungs- bzw. Anonymisierungsanspruch und Schadensersatzansprüche gem. Art. 82 DSGVO. Die Urteile sind noch nicht rechtskräftig.

(Gesche Kracht)

AG Mainz: Beanstandung von Datenschutzverstößen zur Kundengewinnung rechtsmissbräuchlich

Das AG Mainz entschied am 18. Februar 2025, dass die Beanstandung von Datenschutzverstößen als Strategie der Kundengewinnung für Onlinemarketing rechtsmissbräuchlich ist und sich hieraus keine datenschutzrechtlichen Ansprüche ergeben (AG Mainz, Urt. v. 18.02.2025 - Az. 88 C 200/24).

Der Kläger ist im Bereich des Onlinemarketings tätig und bietet etwa die Erstellung einer professionellen Webseite an. Als Strategie der Kundengewinnung besuchte dieser eine Vielzahl von Webseiten von Zahnärzten – auch die des Beklagten – und schickte diesem eine E-Mail, die auf vermeintliche Datenschutzverstöße auf der Webseite hinwies und in dem Zuge die eigene Leistung anbot. Als keine Reaktion erfolgte, machte der Kläger ein Auskunftsbegehren nach Art. 15 DSGVO geltend, welches der Beklagte mit Verweis auf Art. 12 Abs. 5 lit. b) DSGVO verweigerte. Ähnliche Verfahren des Klägers gegen Zahnärzte laufen in 27 weiteren Fällen.

Das Gericht hat Ansprüche des Klägers als nicht gegeben gesehen. Grundsätzlich sei der Anwendungsbereich der DSGVO eröffnet und dem Kläger könnten Betroffenenrechte zustehen, allerdings habe der Beklagte wirksam den Einwand des Rechtsmissbrauchs (§ 242 BGB) erhoben, der auch im Unionsrecht anerkannt sei. Nach Art. 12 Abs. 5 DSGVO kann der Verantwortliche bei offenkundig unbegründeten oder exzessiven Anträgen eines Betroffenen das Tätigwerden verweigern. Der Kläger verfolge mit der Geltendmachung der Betroffenenrechte sachfremde Motive in Form der Generierung von Einkünften. Nach Überzeugung des Gerichts habe der Kläger als Geschäftsmodell einen einmal aufgedeckten Verstoß gegen die DSGVO zur Erzielung von Einkünften genutzt, wenn nicht durch Vertragsabschluss mit dem Beklagten, dann mit Verfolgung monetärer Ansprüche. Hierfür spreche auch das massenhafte Vorgehen des Klägers.

(Gesche Kracht)

DSK: Datenschutzrechtliche Forderungen an die künftige Bundesregierung

Die Datenschutzkonferenz (DSK) der Aufsichtsbehörden hat in ihren Sitzungen am 26. und 27. März 2025 Forderungen an die zukünftige Bundesregierung gestellt für eine freiheitliche und grundrechtsorientierte digitale Zukunft (Pressemitteilung v. 27.03.2025).

Die Bundesregierung müsse die Digitalisierung in Europa voranbringen und eine menschenzentrierte Datennutzung sicherstellen. Im Rahmen der Konferenz wurden einige Eckpunkte beschlossen: Die bereits zuletzt angestrebte Novellierung des Bundesdatenschutzgesetzes solle finalisiert werden, ebenso ein Gesetzgebungsprojekt zum Beschäftigtendatenschutz. Bei Fortentwicklung von Sicherheitsgesetzen solle angesichts der zunehmenden Nutzung von etwa automatischen Datenanalysen systematisch die Vereinbarkeit mit den Grundrechten geprüft werden. Die Vorsitzende der DSK 2025, Meike Kamp, äußerte hierzu: „Datenschutz ist ein zentrales Fundament der Demokratie und Basis für freie Meinungsäußerungen und politische Teilhabe. Datennutzung und Datenschutz müssen Hand in Hand gehen. […] Die künftige Bundesregierung ist daher dringend aufgefordert, bei der Erweiterung polizeilicher und nachrichtendienstlicher Befugnisse grundrechtssensibel und verfassungskonform zu handeln.“

Weiterhin sieht die DSK Verbesserungsbedarf bei der Harmonisierung europäischer Digitalrechtsakte mit der DSGVO für einen kohärenten Rechtsrahmen. Auch fordert die DSK die Schaffung von Regelungen für die Forschung und Entwicklung von KI. Zuletzt appelliert sie an die Bundesregierung, die Kriterien für Souveräne Clouds zu berücksichtigen und das Datenschutzcockpit weiter auszubauen.

(Gesche Kracht)

EDSA nimmt Leitlinien zur Verarbeitung personenbezogener Daten durch Blockchains an

Im Rahmen seiner Sitzung am 14. April 2025 hat der Europäische Datenschutzausschuss (EDSA) seine Leitlinien zur Verarbeitung personenbezogener Daten durch Blockchain-Technologie (Leitlinie 02/2025) angenommen (Pressemitteilung v. 14.04.2025).

Als Blockchain wird gemeinhin ein System verstanden, das eine verteilte und konsistente Datenbank ohne zentrale Verwaltung und die koordinierte Nutzung nach einem vereinbarten Regelwerk implementiert. Hierüber können Transaktionen bestätigt oder festgestellt werden, wer zu einem bestimmten Zeitpunkt Eigentümer eines digitalen Vermögenswertes war. Blockchains können aber auch die sichere Handhabung und Übertragung von Daten unterstützen. Angesichts der Verbreitung der Technologie möchte der EDSA mit seiner Leitlinie den Nutzern von Blockchains helfen, diese DSGVO-konform zu verwenden.

Die Leitlinie beschreibt zunächst die funktionellen Zusammenhänge und Strukturen von Blockchains. Sodann wird genauer auf die Datenverarbeitung im Rahmen der Blockchain-Nutzung eingegangen. Die Leitlinie hebt die Bedeutung von technischen und organisatorischen Maßnahmen bereits im Stadium der Entwicklung hervor. Vor der Datenverarbeitung durch Blockchain-Technologie sollte eine Datenschutz-Folgenabschätzung durchgeführt werden, sofern die Datenverarbeitung mit einem hohen Risiko verbunden ist. Die Leitlinie gibt Beispiele für verschiedene Arten der Datenminimierung sowie den Umgang und die Speicherung von Daten. Zuletzt wird auf die Betroffenenrechte eingegangen. Bis zum 9. Juni kann Stellung genommen werden zu der Leitlinie.

(Gesche Kracht)

BfDI stellt 33. Tätigkeitsbericht vor

Am 10. April 2025 stellte die derzeitige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Dr. Specht-Riemenschneider den 33. Tätigkeitsbericht vor (Pressemitteilung 3/2025 v. 10.04.2025).

Der Statistik lässt sich insgesamt ein erhöhtes Bewusstsein für das Thema Datenschutz ablesen. Im Vergleich zum Vorjahr gab es in allen Themenbereichen mit insgesamt 8.670 Beschwerden einen Zuwachs. Kontrollen sowie Beratungs- und Informationsbesuche konnten gleichbleibend realisiert werden und das Beratungsangebot wurde ausgebaut. Insbesondere beim Thema der digitalen Gesundheit, etwa im Rahmen der Einführung der elektronischen Patientenakte, könne man auf deutliche Erfolge im vergangenen Jahr zurückblicken, bei denen Betroffenenrechte gestärkt und die Einhaltung der Informationspflichten sichergestellt wurden. Ebenfalls im vergangenen Jahr wurde die KI-Verordnung verabschiedet, hier gelte es, die Vorschriften mit dem Datenschutzrecht zu vereinbaren. Die BfDI verfolgt weiterhin eine Strategie des frühzeitigen Dialogs mit allen Beteiligten und lädt zum Austausch ein.

Zu den zentralen Empfehlungen des Tätigkeitsberichts zählen ähnlich der Forderungen der DSK das Wiederaufgreifen von Gesetzesinitiativen zum Beschäftigtendatenschutz und der Novellierung des BDSG und die Schaffung einer Rechtsgrundlage für das Training von KI. Ebenso die praktische Umsetzung des weiten Transparenzverständnisses des Bundestages im Rahmen der Verwaltungsdigitalisierung, die Einführung einer Meldepflicht für Sicherheitslücken, die Schaffung einer Rechtsgrundlage für das militärische Nachrichtenwesen und der Einsatz für eine grundrechtskonforme Überarbeitung des EU-Verordnungsentwurfs zur Chatkontrolle.

(Gesche Kracht)

HmbBfDI zum Gastzugang im Onlinehandel

Betreffend die Pflicht zur Möglichkeit der Gastbestellung im Onlinehandel konnte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) durch beschwerdeunabhängige Prüfung Verbesserungen durchsetzen (Pressemitteilung v. 12.03.2025).

Die DSK hatte mit Beschluss aus 2022 schon festgelegt, dass Onlinehändler ihre Kunden grundsätzlich nicht zur Anlage eines Kundenkontos verpflichten dürfen, da dies gegen das Prinzip der Datenminimierung verstoße, sondern auch die Möglichkeit der Gastbestellung ohne dauerhafte Registrierung möglich sein muss (Beschluss v. 24.03.2022). Im Januar 2025 hatte der HmbBfDI angesichts dessen relevante Hamburger Onlineshops einer Überprüfung unterzogen. Die Mehrzahl der überprüften Webseiten enthielt entsprechende Optionen. In einem Fall konnte der HmbBfDI nach Aufforderung die Einrichtung der Gastbestellmöglichkeit erreichen.

Ausnahmen gegenüber der Verpflichtung zur Gastbestellung können laut DSK zugelassen werden, wenn das Erfordernis durch andere Maßnahmen umgesetzt wird. Hierauf berief sich etwa ein Versandhaus, das als Onlinemarktplatz fungiert. Der Service könne hier über ein einheitliches Kundenkonto wesentlich effizienter abgewickelt werden und es würden alternative Maßnahmen ergriffen. Der HmbBfDI sah die Voraussetzungen einer Ausnahme daher erfüllt, was durch das OLG Hamburg bestätigt wurde (OLG Hamburg, Urt. v. 27.02.2025 – Az. 5 U 30/24, GRUR-RS 2025, 3406)

Der HmbBfDI kündigt an, die Überprüfungen weiter fortzusetzen. In Zweifelsfällen sollten Onlinehändler grundsätzlich davon ausgehen, dass sie verpflichtet seien, einen Gastzugang einzurichten.

(Gesche Kracht)

Großbritannien: Bußgeld i.H.v. knapp 3, 1 Mio. Pfund verhängt

Am 25. März 2025 hat das Information Commissioner´s Office (ICO) in Großbritannien gegen die Aston Midco Limited und ihre Tochtergesellschaften, die Advanced Computer Software Group Limited und die Advanced Health & Care Limited, ein Bußgeld in Höhe von 3,076 Millionen britischen Pfund verhängt (Bescheid v. 26.03.2025).

Advanced bietet IT-Dienstleistungen in verschiedenen Branchen, darunter dem Gesundheitswesen, im Rechtsbereich und dem Bildungswesen, an. Das Unternehmen stellt etwa Software zum Patientenmanagement oder zur klinischen Entscheidungsunterstützung zur Verfügung.

Ein Hacker hatte eine Sicherheitslücke – bekannt als ZeroLogon – ausgenutzt, die es ermöglicht, Authentifizierungen zu umgehen und Administratorrechte zu erlangen. Das National Institute of Standards and Technology (NIST) hatte die Lücke in der Vergangenheit als erhebliches Sicherheitsrisiko eingestuft und darauf hingewiesen, Updates so schnell wie möglich zu installieren. Bereits 2020 hatte Microsoft entsprechende Sicherheitspatches zur Verfügung gestellt. Trotz Kenntnis des Risikos hatte die Advanced Health & Care es versäumt, angemessene technische und organisatorische Maßnahmen zu implementieren, damit kein hinreichendes Sicherheitsniveau sichergestellt und weiterhin über kein effektives Schwachstellenmanagement verfügt. Das ICO sah darin einen Verstoß gegen Art. 32 UK GDPR.

Infolge des Angriffs wurden Daten von 82.946 Personen abgegriffen, darunter medizinische Aufzeichnungen, die als besonders geschützt gelten. Das Bußgeld wurde auf Grundlage von Art. 82, Art. 83 Abs. 2 lit. d) UK GDPR gegen die Muttergesellschaft der Advanced Gesellschaften verhängt.

(Gesche Kracht)