Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

im Rahmen der Cyberstudie 2024 hat die HDI Versicherung etwa 1.500 IT- und Versicherungs-Entscheider zu Risiken im Zusammenhang mit Cyberangriffen befragt. Im Mittelpunkt standen dabei Bedrohungen für kleine und mittelständische Unternehmen (KMU).

Die Studie ergab, dass immer mehr KMU Opfer von Cyberangriffen werden. Während im vergangenen Jahr etwa 40 % der Befragten angaben, bereits von einem Angriff betroffen gewesen zu sein, hat sich die Zahl in der aktuellen Befragung auf 53 % erhöht. Obwohl das Risiko, selbst von einem Vorfall betroffen zu sein, im Vergleich zu den Vorjahren als höher eingeschätzt wurde, hat die Studie auch ergeben, dass das Bewusstsein der Mitarbeiter für das Angriffs- und Schadensrisiko nach einem Angriff auf das eigene Unternehmen relativ rasch wieder absinkt. 57 % der Befragten, deren Unternehmen in den letzten 12 Monaten von einer Cyberattacke betroffen waren, gaben das Risiko für einen erneuten Angriff als „hoch“ bis „sehr hoch“ an. Lag der Angriff demgegenüber bereits drei Jahre zurück, waren nur noch 27 % der Teilnehmer dieser Auffassung.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Einsatz von Microsoft 365 im Unternehmen

Microsoft 365 ist aus dem Arbeitsalltag vieler Unternehmen und Einrichtungen nicht mehr wegzudenken. Im Bereich der gängigen Office-Anwendungen (etwa Textverarbeitung und Tabellenkalkulation) verfügt Microsoft ohnehin über einen beherrschenden Marktanteil. Das Angebot für Microsoft 365 umfasst neben den Office-Anwendungen außerdem viele weitere Dienste und Funktionen, die den Unternehmensalltag bzw. die interne Organsation erheblich erleichtern und verbessern, beispielsweise durch die Einbeziehung der Kollaborationsprogramme Microsoft Teams oder Microsoft SharePoint.

Doch die Nutzung von Microsoft 365 wird, vor allem seitens der Aufsichtsbehörden, unter datenschutzrechtlichen Gesichtspunkten kritisch gesehen. Um bestehende Risiken zu minimieren, können verantwortliche Stellen aber zahlreiche Schutzvorkehrungen treffen.

Zum vollständigen Schwerpunktthema

Digitale-Dienste-Gesetz löst Telemediengesetz ab

Am 14. Mai 2024 ist das Telemediengesetz (TMG) außer Kraft getreten und wurde durch das Digitale-Dienste-Gesetz (DDG) ersetzt. Hierdurch ergibt sich für Betreiber von Webseiten unter Umständen ein Anpassungsbedarf mit Blick auf deren Impressum. Wurde im Impressum auf die bisherige Regelung des § 5 TMG verwiesen, sollte dies in § 5 DDG umgeändert werden. Gleiches gilt, wenn die Bezeichnung Telemediengesetz in anderem Kontext auf der Webseite verwendet wurde. Da im Zuge der Einführung des DDG auch der Name des „Telekommunikation-Telemedien-Datenschutz-Gesetz“ (TTDSG) in „Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) umgeändert wurde, sind auch Verweise auf das TTDSG entsprechend zu aktualisieren. Obwohl die neue Vorschrift des § 5 DDG im Vergleich zu ihrer Vorgängernorm keine inhaltlichen Änderungen aufweist, sollte eine Umstellung erfolgen, um sich nicht dem Vorwurf auszusetzen, alte und nicht mehr geltende gesetzliche Bezeichnungen zu verwenden.

(Christina Prowald)

EuGH präzisiert Anforderungen an Vorratsspeicherung

In seiner Entscheidung vom 30. April 2024 hat der EuGH die Anforderungen an die Modalitäten der Vorratsspeicherung von Daten und den Zugang zu solchen Daten präzisiert (EuGH, Urt. v. 30.04.2024 - Az. C-470/21).

Der EuGH urteilte, dass Mitgliedstaaten Internetzugangsanbietern mit dem Ziel der Bekämpfung von Straftaten vom Grundsatz her eine Pflicht zur allgemeinen und unterschiedslosen Vorratsspeicherung von IP-Adressen auferlegen können, sofern die Speicherung keine genauen Schlüsse auf das Privatleben der fraglichen Personen zulässt. Die Anbieter seien zu verpflichten, für eine strikte Trennung zwischen den IP-Adressen und den übrigen personenbezogenen Daten, vor allem den Identitätsdaten, zu sorgen. Weiter führte das Gericht aus, dass die Mitgliedstaaten den zuständigen nationalen Behörden zum Zwecke der Aufklärung von Straftaten unter bestimmten Voraussetzungen Zugang zu den einer IP-Adresse zugeordneten Identitätsdaten gewähren können. Hierbei müssten allerdings ausreichende Garantien ergriffen werden, um abseits des eng begrenzten Zwecks der Identifizierung einer in Verdacht stehenden Person genaue Schlüsse auf das Privatleben der Inhaber der IP-Adressen auszuschließen. In bestimmten Konstellationen sei der Zugang von einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle abhängig zu machen. Die von den zuständigen Behörden verwendeten Systeme sind nach Auffassung des EuGH zudem einer regelmäßigen Überprüfung zu unterziehen, um den Schutz vor einer missbräuchlichen oder unberechtigten Nutzung zu gewährleisten und etwaige Verstöße aufzuklären.

Der Entscheidung lagen Rechtsstreitigkeiten über zwei französische Dekrete zugrunde, die eine Sammlung und einen Abgleich von IP-Adressen ermöglichten.

(Christina Prowald)

BGH zum Begriff „Kopie der personenbezogenen Daten“ in Art. 15 Abs. 3 DSGVO

Am 15. März 2024 hat der BGH sich zur Auslegung des Begriffes „Kopie der personenbezogenen Daten“ in Art. 15 Abs. 3 DSGVO geäußert (BGH, Urt. v. 15.03.2024 - Az. VI ZR 330/21).

Die Klägerin wurde durch die beiden Beklagten finanziell zu Kapitalanlagen und Versicherungen beraten. Nach Beendigung der Beratung machte die Klägerin sodann ihren Auskunftsanspruch nach Art. 15 DSGVO gegen die Beklagten geltend und verlangte Kopien aller personenbezogenen Daten, die bei den Beklagten vorhanden waren, darunter Telefonnotizen, Aktenvermerke und vergleichbare Aufzeichnungen mit Bezug zur Beratungstätigkeit.

Nachdem die Vorinstanzen der Klägerin Recht gaben, wendeten die Beklagten sich an den BGH. Dieser ordnete eine teilweise Aufhebung des Urteils des OLG München an und differenzierte zwischen den von der Klägerin selbst verfassten Schreiben und den sonstigen Beratungsunterlagen. Der Anspruch der Klägerin aus Art. 15 Abs. 3 DSGVO erstrecke sich nur auf die von der Klägerin selbst verfassten Briefe und E-Mails. Kopien der sonstigen Unterlagen müssten demgegenüber nicht bereitgestellt werden, selbst wenn diese Unterlagen auch personenbezogene Daten enthalten.

Zur Begründung führte der BGH an, dass ein personenbezogenes Datum dann vorliege, wenn eine irgendwie geartete Information über eine Person gegeben ist. Dies sei anzunehmen, wenn die Information eine Verknüpfung mit einer konkreten Person aufgrund des Inhalts, des Zwecks oder der Auswirkung der Information aufweise. Für die von der Klägerin verfassten Schreiben bestehe eine solche Verknüpfung aufgrund des Inhalts der Schreiben. Eigene Äußerungen bzw. Schreiben würden immer eine Verknüpfung zur Person des Äußernden aufweisen und seien deshalb als Kopie zur Verfügung zu stellen, da sie in Gänze einen Personenbezug beinhalten würden. In dieser Pauschalität könne bei Schreiben Dritter an die Klägerin demgegenüber kein Personenbezug angenommen werden, selbst wenn die Dokumente Daten der Klägerin enthielten. Der Personenbezug müsse im Einzelfall geprüft werden. Enthielten Unterlagen lediglich vereinzelt personenbezogene Daten, seien diese nicht automatisch in Gänze als Kopie zur Verfügung zu stellen. Dies sei nur dann erforderlich, wenn die Kontextualisierung erforderlich sei, um die Datenverarbeitung nachvollziehen und von seinen Betroffenenrechten Gebrauch machen zu können. Abschließend differenziert der BGH zwischen dem zulässigen Begehren alle personenbezogenen Daten in Kopie zu erhalten und dem Begehren alle Dokumente als Kopie zu erhalten, die ein personenbezogenes Datum enthalten. Letzteres könne nicht auf Art. 15 Abs. 3 DSGVO gestützt werden, da der Anspruch sich nicht auf das Objekt „Dokument“ beziehe.

Nähere Informationen zu diesem Verfahren finden sich in einer Urteilsanmerkung von Dr. Sebastian Meyer und Lukas Ingold, die in der nächsten Ausgabe der Zeitschrift jusIT erscheint.

(Christina Prowald)

BGH zum Schadensersatzanspruch nach Art. 82 DSGVO

Am 12. Dezember 2023 hat der BGH sich im Rahmen einer Anhörungsrüge zur Darlegungs- und Beweislast bei Schadensersatzansprüchen nach Art. 82 DSGVO geäußert (BGH, Beschl. v. 12.12.2023 - Az. VI ZR 277/22).

In seiner Entscheidung stützt sich der BGH vor allem auf das Urteil des EuGH vom 4. Mai 2023 (wir berichteten im Juni 2023). Hiernach sei Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass der bloße Verstoß gegen die Regelungen der DSGVO für einen Schadensersatzanspruch nicht ausreiche, sondern es eines darüber hinausgehenden Schadens bedürfe. Es sei demgegenüber nicht erforderlich, dass dieser Schaden eine Erheblichkeitsschwelle überschritten habe. Dies bedeute jedoch nicht, dass der Anspruchsteller die für ihn negativen Folgen und den hieraus resultierenden Schaden nicht nachweisen müsse. In der Folge sei die Entscheidung des Berufungsgerichts nicht zu beanstanden, da die Klägerin die für sie negativen Folgen und den immateriellen Schaden nicht dargelegt habe.

Der Beschluss des BGH erging wenige Tage vor den Entscheidungen des EuGH, in denen dieser die Voraussetzungen für den Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO unter Verweis auf seine Entscheidung aus Mai 2023 noch einmal konkretisiert hat (wir berichteten im Januar 2024), sodass diese noch keine Berücksichtigung erfahren haben.

(Christina Prowald)

OLG Stuttgart: Kein Schadensersatz wegen personalisierter Werbung per Brief

Am 2. Februar 2024 hat das OLG Stuttgart die Auffassung der Vorinstanz bestätigt, dass für die Versendung von Postwerbung Art. 6 Abs. 1 S. 1 lit. f) DSGVO als Rechtsgrundlage herangezogen werden kann (OLG Stuttgart, Beschl. v. 02.02.2024 - Az. 2 U 63/22).

Der Kläger verlangte von der Beklagten Schadensersatz i.H.v. 3.000 Euro, weil diese ihm einen Werbebrief zusendete. Der Kläger war insoweit der Auffassung, die Beklagte habe seine personenbezogenen Daten ohne Rechtsgrund verarbeitet, da Direktwerbung nur in einer bestehenden Kundenbeziehung zulässig sei.

Das Landgericht Stuttgart wies die Klage in erster Instanz ab. Es war der Auffassung, dass die Zusendung des Werbeschreibens auf Grundlage eines berechtigten Interesses gem. Art. 6 Abs. 1 S. 1 lit. f) DSGVO zulässig war. Es sei anerkannt, dass das Vermitteln gewerblicher Informationen ein berechtigtes Interesse darstelle. Ein Kundenverhältnis sei insoweit keine Voraussetzung.

Das OLG Stuttgart hat diese Auffassung nunmehr bestätigt und noch einmal darauf hingewiesen, dass sich weder aus Art. 6 Abs. 1 S. 1 lit. f) DSGVO noch aus den Erwägungsgründen Anhaltspunkt dafür ergäben, dass Direktwerbung nur innerhalb einer bestehenden Kundenbeziehung als berechtigtes Interesse anerkannt werde. Unter letzterem seien vielmehr sämtliche rechtlichen, wirtschaftlichen oder ideellen Interessen zu verstehen, die auch außerhalb der Kundenbeziehung liegen könnten. Die Datenverarbeitung sei entgegen des Vorbringens des Klägers auch erforderlich gewesen. Dieser Einordnung stehe insbesondere auch nicht entgegen, dass auch Übersendung der Werbung per E-Mail möglich gewesen wäre. Der Kläger könne nicht darauf verweisen, die Zusendung elektronischer Nachrichten sei weniger belastend für Betroffene. Wegen § 7 Abs. 2 Nr. 2 UWG sei Werbung per elektronischer Post vielmehr als unzumutbare Belästigung einzuordnen, während die Zusendung von Post, die als Werbung erkennbar sei, als zulässig bewertet wird.

Im Übrigen habe der Kläger unabhängig von der Tatsache, dass bereits kein Verstoß gegeben sei, auch nicht ausreichend dargelegt, dass er einen Schaden erlitten habe, weshalb das Gericht die Berufung abwies.

(Christina Prowald)

LAG Mainz: Kein Anspruch auf Schadensersatz wegen verspäteter Auskunft

Das LAG Mainz hat am 8. Februar 2024 entschieden, dass die verspätete Auskunftserteilung auf ein Verlangen nach Art. 15 Abs. 1 DSGVO als solche keinen immateriellen Schaden darstellt (LAG Mainz, Urt. v. 08.02.2024 - Az. 5 Sa 154/23).

Die Klägerin war bei der Beklagten beschäftigt und machte im Zuge von Streitigkeiten ihren Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO geltend. Die Arbeitgeberin beauskunftete das Begehren jedoch nicht fristgerecht, sondern mit einer Verspätung von 18 Tagen. In der Folge machte die Klägerin im Zuge einen Schadensersatzanspruch nach Art. 82 DSGVO gegen die Beklagte geltend.

Das LAG Mainz hat einen Schadensersatzanspruch der Klägerin verneint. Es führte unter Verweis auf den EuGH aus, dass der bloße Verstoß gegen die DSGVO nicht ausreiche, um einen Schadensersatzanspruch zu begründen. Verspätete Auskünfte seien insoweit als solche nicht haftungsauslösend. Der von der Klägerin behauptete Kontrollverlust stelle ebenfalls keinen Schaden dar. Zudem habe sie einen solchen nicht ausreichend dargelegt. Bloßer Ärger über die verspätete Auskunft genüge ebenso wenig. Eine Demütigung der Klägerin liege ebenfalls nicht vor.

(Christina Prowald)

VG Berlin zu den Anforderungen an eine Auskunftserteilung

Am 10. Januar 2024 hat sich das VG Berlin zu den Anforderungen an eine Auskunftserteilung geäußert (VG Berlin, Urt. v. 10.01.2024 - Az. 1 K 73/22). Es führte aus, dass der Anspruch auf Auskunft sich lediglich darauf beziehe, Auskunft über die vorhandenen Daten zu erhalten, nicht auch darauf, diese auch in einer möglichst einfach zu erfassenden Form zur Verfügung gestellt zu bekommen. Dies gelte jedenfalls solange dem Betroffenen die Möglichkeit der Kenntnisnahme nicht unzumutbar erschwert werde. Eine unzumutbare Belastung liege nicht vor, wenn der Betroffene eine durchsuchbare PDF-Datei erhalte, innerhalb derer er mittels der Suchfunktion die Stellen eines Vorgangs, in denen personenbezogene Daten enthalten, ermitteln kann.

Darüber hinaus äußerte sich das Gericht dahingehend, dass es nicht Gegenstand des Auskunftsbegehrens sei, ob die vom Verantwortliche benannten Verarbeitungszwecke inhaltlich richtig seien. Wurden dem Anspruchsteller gegenüber Zwecke benannt, ist der Anspruch insoweit vom Grundsatz her erfüllt. Ergeben sich aus der Auskunft keine hinreichenden Zwecke für die Datenspeicherung, könne auf dieser Grundlage lediglich die Löschung oder Einschränkung der Daten verlangt werden.

(Christina Prowald)

LG Wiesbaden: Kein Schadensersatz wegen Datenübermittlung an SCHUFA

Die Weitergabe von Informationen über den Abschluss eines Mobilfunkvertrages durch einen Kunden an die Schufa begründet nach Auffassung des LG Wiesbaden keinen immateriellen Schaden (LG Wiesbaden, Urt. v. 16.04.2024 - Az. 10 O 100/23; GRUR-RS 2024, 8264).

Der Kläger machte gegen den beklagten Telekommunikationsdienste-Anbieter unter anderem einen Schadensersatzanspruch nach Art. 82 DSGVO geltend, weil dieser im Zuge des Abschlusses eines Mobilfunkvertrages Daten an die Schufa übermittelt hatte. Der Kläger war bei Abschluss des Vertrages über die Übermittlung seiner Daten an Auskunfteien informiert worden.

Das LG Wiesbaden wies die Klage mit der Begründung, dass es an einem ersatzfähigen Schaden fehle, ab. Für das Gericht sei schon nicht ersichtlich, wie die Weitergabe sogenannter Positivdaten bzw. Vertragsdaten, zu einem immateriellen Schaden führen soll. Der diesbezügliche Vortrag des Klägers sei zu pauschal. Die Aussage, der Kläger habe das Gefühl eines Kontrollverlusts und Sorge in Bezug auf die eigene Bonität sei nicht nachvollziehbar. Ein Problem könne allenfalls dann entstehen, wenn Negativdaten weitergeleitet würden. Es scheine insoweit maßlos übertrieben, von einer „ständigen Angst“ zu sprechen. Eine spürbare tatsächliche Beeinträchtigung habe der Kläger demgegenüber nicht nachweisen können und eine solche sei für das Gericht auch nicht ansatzweise erkennbar. Der Kläger sei außerdem bereits bei Vertragsschluss auf die Datenübermittlung hingewiesen worden. Sofern ihn dieser Umstand derart belaste, hätte er den Vertrag aus Sicht des Gerichts nicht abschließen dürfen.

(Christina Prowald)

LG Lüneburg: Schadensersatz wegen Werbe-E-Mails trotz Abmeldung vom Newsletter

Das LG Lüneburg hat dem Kläger am 7. Dezember 2023 einen Schadensersatzanspruch nach Art. 82 DSGVO in Höhe von 500 Euro wegen der Zusendung von Werbe-E-Mails trotz vorheriger Abmeldung vom Newsletter zugesprochen (LG Lüneburg, Urt. v. 07.12.2023 - Az. 5 O 6/23).

In dem der Entscheidung zugrundeliegenden Fall hat der Kläger von der Beklagten zahlreiche Werbe-E-Mails erhalten. Der Kläger hatte zwar zunächst in den Erhalt des Newsletters eingewilligt, seine Einwilligung sodann aber widerrufen und sich vom Newsletter abgemeldet. Nach der Abmeldung erhielt der Kläger trotz dessen vier weitere Werbe-E-Mails von der Beklagten. Der Kläger meldete sich daraufhin erneut vom Newsletter ab und erhielt hierüber auch eine Bestätigung. Dennoch erhielt er weitere fünf Werbe-E-Mails, woraufhin er den Beklagten auffordern ließ, eine Unterlassungserklärung abzugeben. Nachdem auch dies ohne Wirkung blieb und er weitere E-Mails erhielt, ging er klageweise gegen das Unternehmen vor.

Das LG Lüneburg stellte fest, dass der Beklagte gegen die DSGVO verstoßen habe, indem er dem Kläger Werbe-E-Mails zusendete, ohne dass dies nach Art. 6 Abs. 1 DSGVO gerechtfertigt war. Der Kläger habe seine Einwilligung unbestritten widerrufen, sodass es an einer Rechtsgrundlage für die Versendung fehlte. Durch den Verstoß sei dem Kläger auch ein Schaden entstanden. Der beim Kläger entstandene Ärger, Zeitverlust und Eindruck des Kontrollverlusts stelle einen Schaden i.S.v. Art. 82 DSGVO dar. Der Umstand, dass sogar der Prozessbevollmächtigte keine Erfolge bei dem Beklagten erzielen konnte, sei geeignet, beim Kläger den Eindruck von Hilflosigkeit und Kontrollverlust auszulösen.

(Christina Prowald)

Finnland: Bußgeld i.H.v. 856.000 Euro gegen Verkkokauppa.com

Die finnische Aufsichtsbehörde hat am 6. März 2024 ein Bußgeld i.H.v. 856.000 Euro gegen den Online-Händler Verkkokauppa.com verhängt (Mitteilung v. 08.05.2024).

Anlass für die Untersuchung der Aufsichtsbehörde war die Beschwerde eines Kunden. Das Unternehmen hatte von diesem verlangt, dass er sich als Kunde registriert, bevor er online einkaufen konnte. Ohne die Einrichtung eines Kundenkontos war ein Einkauf im Online-Shop des Unternehmens nicht möglich.

Die Aufsichtsbehörde stellt fest, dass das Unternehmen die Daten in dem Kundenkonto auf unbestimmte Zeit speicherte und auch keine Informationen zur Löschung bereitstellte. Der Online-Händler war der Auffassung, dass dies nicht erforderlich sei, da der Kunde selbst darüber entscheiden könne, wann er sein Kundenkonto schließe und die Löschung seiner Daten verlange. Kritisiert wurde außerdem die Pflicht zur Erstellung eines Kundenkontos, die gegen das Datenrecht verstoße. Das Anlegen eines Kundenkontos dürfe keine Voraussetzung für die Durchführung einzelner Online-Einkäufe sein.

Neben der Verhängung des Bußgeldes wurde der Online-Händler angewiesen, eine Aufbewahrungsfrist für die Daten aus dem Kundenkonto festzulegen und den Prozess dahingehend zu korrigieren, dass für das Einkaufen nicht länger verpflichtend ein Kundenkonto angelegt werden muss.

(Christina Prowald)

Griechenland: Bußgeld gegen HELLENIC POST SERVICES S.A.

Am 28. Februar hat die griechische Aufsichtsbehörde ein Bußgeld i.H.v. 1 % des weltweiten Jahresumsatzes gegen die HELLENIC POST SERVICES S.A. (ELTA S.A.) verhängt (Mitteilung v. 02.05.2024). Das Bußgeld bezog sich auf zwei Datenschutzvorfälle, die seitens des Unternehmens an die griechische Aufsichtsbehörde gemeldet wurden. Inhaltlich ging es bei diesen um einen Ransomware-Angriff, bei dem die Daten des Unternehmens zum Zwecke der Forderung eines Lösegelds von Dritten verschlüsselt und im Dark Web veröffentlicht wurden.

Im Rahmen ihrer Untersuchung zu diesen Vorfällen stellte die Aufsichtsbehörde fest, dass das Unternehmen keine ausreichenden technischen und organisatorischen Maßnahmen zur Absicherung seiner Datenverarbeitungsprozesse ergriffen hatte. In der Folge war es den Angreifern möglich, auf die Systeme zuzugreifen, Sicherheitssoftware zu deaktivieren und die Daten des Unternehmens zu verschlüsseln.

Bei der Festsetzung des Bußgeldes wurden die Leitlinien des EDSA herangezogen. So wurden insbesondere die Zahl der betroffenen Personen und Datenkategorien, die Schadenshöhe, die Art des Verstoßes sowie die Versäumnisse in der Sicherheitspolitik berücksichtigt.

(Christina Prowald)

Tschechien: Bußgeld i.H.v. 13,9 Mio. Euro

Die tschechische Aufsichtsbehörde hat am 10. April 2024 ein Bußgeld i.H.v. 13,9 Mio. Euro wegen Verstoßes gegen Art. 6 und 13 Abs. 1 DSGVO verhängt (Mitteilung v. 02.05.2024).

Das betreffende Unternehmen hatte von den Nutzern seiner Antivirensoftware Daten erhoben und diese ohne das Vorliegen einer Rechtsgrundlage an sein Schwesterunternehmen übermittelt. Gegen die 2022 hierzu ergangene erstinstanzliche Entscheidung der tschechischen Aufsichtsbehörde legte das Unternehmen Verwaltungsbeschwerde ein. In seiner Berufungsentscheidung hat die Aufsichtsbehörde sich nunmehr mit den Einwänden des Unternehmens auseinandergesetzt und die erstinstanzliche Entscheidung bestätigt. Insbesondere habe es an einer Rechtsgrundlage für die in Rede stehende Datenverarbeitung gefehlt. Außerdem seien die Nutzer seitens des Unternehmens nicht ausreichend über die besagte Datenübermittlung informiert worden. Das Unternehmen habe behauptet, die Nutzerdaten seien anonymisiert und würden ausschließlich für statistische Zwecke verwendet, während es sich tatsächlich um pseudonymisierte Informationen handelte, die mit einer eindeutigen Kennung verknüpft waren und mittels derer betroffene Person wieder identifiziert werden könnten.

Aus Sicht der Aufsichtsbehörde ist der Verstoß vor allem deshalb besonders schwerwiegend, weil es sich bei dem Verantwortlichen um einen der führenden Experten für Cybersicherheit handele. Von der unrechtmäßigen Datenverarbeitung waren etwa 100 Millionen Nutzer betroffen. Die Entscheidung ist endgültig und vollstreckbar.

(Christina Prowald)