Sehr geehrte Damen und Herren,

im letzten Monat, am 16. Mai 2025, fand unser Datenschutzrechtstag im Marta Herford statt. Der Tag hielt ein abwechslungsreiches Programm mit spannenden Vorträgen und angeregten Diskussionen rund um das Thema Digitalisierung und Datenschutz bereit. Am Nachmittag gab es Vorträge zu konkreten datenschutzrechtlichen Fällen, im Anschluss wurde eine Führung durch das Marta mit regem Interesse wahrgenommen. Einen ersten Einblick in unseren Datenschutzrechtstag erhalten Sie mit dem Schwerpunktthema dieses Newsletters, welches an eine der Fallstudien anknüpft. Im nächsten Newsletter werden wir dann schwerpunktmäßig auf den gesamten Datenschutzrechtstag zurückblicken und einen Einblick in die fachlichen Diskussionen des Tages gewähren.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Rechtliche und technische Anforderungen an den elektronischen Versand von Rechnungen

Mit dem Wachstumschancengesetz (BGBl. I 2024 Nr. 108) sind die umsatzsteuerrechtliche Regelungen zur Ausstellung von Rechnungen im B2B-Bereich neu gefasst worden. Betroffen sind alle Umsätze, die ab dem 01.01.2025 anfallen und abgerechnet werden. Bereits nach der alten Rechtslage bestand die Rechtspflicht, für eine Leistung an einen anderen Unternehmer eine Rechnung innerhalb von sechs Monaten nach Ausführung der Leistung auszustellen, wenn der Umsatz nicht ausnahmsweise nach § 4 Nr. 8 bis 29 UStG steuerfrei war. Seit dem 01. Januar 2025 neu ist, dass der Gesetzgeber Unternehmer im B2B-Bereich verpflichtet, die Rechnungen als elektronische Rechnungen (im Folgenden: E-Rechnung) auszustellen. Unter diesem Begriff waren noch bis zum 31.12.2024 auch der Rechnungsversand per E-Mail (ggf. mit PDF-Anhang), die Bereitstellung der Rechnung in einem Onlineportal zum Download, die Übermittlung per elektronischem Datenaustausch (engl. Electronic Data Interchange bzw. EDI) sowie die Rechnungsübermittlung per Fax erfasst. Nunmehr hat der Begriff der elektronischen Rechnung bzw. E-Rechnung eine strengere Definition in § 14 Abs. 1 S. 3 UStG erfahren. Danach ist eine E-Rechnung eine Rechnung, die in einem strukturierten elektronischen Format ausgestellt, übermittelt und empfangen wird und eine elektronische Verarbeitung ermöglicht. Werden Rechnungen hingegen in einem elektronischen Format, das diesen Anforderungen nicht genügt, beispielsweise als PDF-Anhang per E-Mail, oder auf Papier per Brief übermittelt, handelt es sich nicht um E-Rechnungen im oben genannten Sinne, sondern um  „sonstige Rechnungen“ im Sinne des § 14 Abs. 1 S. 4 UStG.

Im nachfolgenden Beitrag soll aufgeschlüsselt werden, welche Implikationen sich aus diesen Änderungen für Unternehmen ergeben und welchen Sicherheitsanforderungen der elektronische Versand von Rechnungen nunmehr genügen muss.   

Zum vollständigen Schwerpunktthema

EuGH: Offenlegung von Daten gegenüber einer Aufsichtsbehörde

Infolge der Vorlage eines bulgarischen Gerichts hatte sich der EuGH in seinem Urteil vom 30. April 2025 damit zu befassen, ob die Offenlegung durch das Bankgeheimnis umfasster Daten von Richtern, Staatsanwälten und Strafrechtspflegern und ihrer Familienangehörigen in den Anwendungsbereich der DSGVO fällt (Urt. v. 30.04.2025 - Az. C-313/23, C-316/23, C-332/23).

Eine bulgarische Aufsichtsbehörde, deren Aufgabe darin besteht, in Fällen unzulässiger Einflussnahme auf Richter, Staatsanwälte oder Strafrechtspfleger zu ermitteln, hatte bei dem vorlegenden Gericht beantragt, bezüglich der Bankkonten mehrerer Richter, Staatsanwälte, Strafrechtspfleger und deren Familienangehörigen das Bankgeheimnis aufzuheben. Das bulgarische Gericht fragte sich daraufhin, welche Pflichten sich bei der Genehmigung des Zugangs zu den Daten aus der DSGVO ergeben und ob ein genehmigendes Gericht als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO oder als Aufsichtsbehörde im Sinne von Art. 51 DSGVO zu sehen sei.

Der EuGH legt zunächst dar, dass der sachliche Anwendungsbereich der DSGVO sehr weit zu verstehen sei. Der Umstand, dass Informationen Richter betreffen und einen Zusammenhang zu deren Tätigkeit darstellen, begründe keine Ausnahme nationaler Regelungen aus dem Anwendungsbereich. Die Aufzählung der Ausnahmen in Art. 2 Abs. 2 und 3 DSGVO sei abschließend. Zwar falle die Sicherstellung einer geordneten Rechtspflege in die Zuständigkeit der Mitgliedstaaten, eine Datenverarbeitung wie die in Rede stehende, diene aber weder der Wahrung der nationalen Sicherheit nach Art. 2 Abs. 2 lit. a) DSGVO noch einer anderen Ausnahmevorschrift der DSGVO. Die Offenlegung personenbezogener Daten gegenüber der Aufsichtsbehörde falle daher in den Anwendungsbereich der DSGVO. Das Gericht sei aber weder Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO, da dieses nicht den Zweck der Verarbeitung bestimme, noch Aufsichtsbehörde nach Art. 51 DSGVO. Die Kontrolle der Einhaltung der DSGVO obliege neben den Aufsichtsbehörden zwar auch den nationalen Gerichten, wenn bei ihnen ein Rechtsbehelf eingelegt wurde. Sofern ein solcher Rechtsbehelf gem. Art. 78 Abs. 1 oder Art. 79 Abs. 1 DSGVO nicht eingelegt wurde und den Gerichten keine ausdrücklichen Kontrollbefugnisse eingeräumt wurden, seien diese allerdings nicht verpflichtet, von Amts wegen den Schutz der betroffenen Personen und die Sicherheit personenbezogener Daten zu überwachen und zu gewährleisten.

(Gesche Kracht)

BAG zur digitalen Entgeltabrechnung

In einer Entscheidung vom 28. Januar 2025 hatte sich das BAG neben anderen Fragen zur digitalen Entgeltabrechnung auch mit der datenschutzrechtlichen Zulässigkeit zu beschäftigten (BAG, Urt. v. 28.01.2025 - Az. 9 AZR 48/24).

Die Parteien stritten darüber, ob eine Entgeltabrechnung durch Einstellen in ein digitales Mitarbeiterpostfach wirksam erteilt wurde. Die Klägerin war bei der Beklagten tätig, für die eine Konzernbetriebsvereinbarung die Einführung und Anwendung eines digitalen Mitarbeiterpostfachs regelte. Auf dieser Grundlage hatte die Beklagte Entgeltabrechnungen nur noch elektronisch zur Verfügung gestellt, woraufhin die Klägerin widersprach.

Das BAG greift in seinen Entscheidungsgründen ebenfalls datenschutzrechtliche Aspekte auf. Die digitale Zurverfügungstellung sei nicht bereits deshalb unzulässig, weil sie datenschutzrechtlich nicht erforderlich wäre. Die Datenverarbeitung könne auf Art. 6 Abs. 1 lit. c) und Abs. 3 DSGVO i.V.m. § 26 Abs. 1 S. 1 BDSG gestützt werden, weil sie der in § 108 Abs. 1 S. 1 GewO angeordneten Pflicht des Arbeitgebers zur Abrechnungserstellung dient. Auch im Übrigen hätten sich keine datenschutzrechtlichen Bedenken ergeben, der externe Anbieter des Postfachs würde als Auftragsverarbeiter nach Art. 28 Abs. 3 DSGVO tätig werden. Anhaltspunkt für die Nichteinhaltung der sich daraus ergebenden Anforderungen wären nicht ersichtlich. Die Regelung über das Mitarbeiterpostfach verstoße nicht gegen Datenschutzrecht. 

(Gesche Kracht)

OVG Berlin lehnt Anspruch auf Herausgabe von Videoaufnahmen ab

Am 13. Mai 2025 entschied das OVG Berlin, dass Fahrgäste keinen Anspruch auf Herausgabe der Videoaufnahmen einer S-Bahn-Fahrt gegen die Betreiberin des öffentlichen S-Bahn-Netzes in Berlin haben (Pressemitteilung v. 13.05.2025).

Im Ausgangsverfahren hatte ein Beigeladener – Fahrgast der S-Bahn – bei der Betreiberin des S-Bahn-Netzes in Berlin, der S-Bahn Berlin GmbH, die Herausgabe einer Kopie der Videoaufnahme seiner Fahrt unter Berufung auf Art. 15 Abs. 3 DSGVO beantragt. Die klagende S-Bahn Berlin GmbH verweigerte die Herausgabe mit Hinweis auf ihr Datenschutzkonzept. Das Datenschutzkonzept sehe vor, dass Videoaufnahmen nur bei Auskunftsanfragen der Strafverfolgungsbehörden herausgegeben würden und im Übrigen eine Löschung durch Überschreibung erfolge. Eine Einsichtnahme durch die S-Bahn Berlin GmbH erfolge nicht. Nach Auffassung des OVG durfte die Herausgabe verweigert werden. Das Datenschutzkonzept verfolge gerade das Ziel, der DSGVO und den Persönlichkeitsrechten der Fahrgäste größtmöglich Rechnung zu tragen. Demgegenüber müsse das Interesse des Beigeladenen zurückstehen. Die Revision wurde zugelassen.

(Gesche Kracht)

OLG Köln: Eilverfahren gegen Meta

Ab dem 27. Mai 2025 beginnt der Konzern Meta den bereits jetzt im Facebook Messenger sowie bei Instagram und WhatsApp zu findenden Chatbot „Meta AI“ mit allen öffentlichen Inhalten der Plattformen sowie der Kommunikation mit dem Chatbot zu trainieren. Meta stützt sich für das KI-Training auf ein berechtigtes Interesse. Eine Widerspruchsmöglichkeit besteht auch über dieses Datum hinaus, allerdings ist die nachträgliche Umsetzung des Widerspruchs schwierig, wenn die Daten erst einmal zum KI-Training genutzt wurden.

Die Verbraucherzentrale NRW hatte nach erfolgloser Abmahnung eine einstweilige Verfügung gegen Meta beantragt (Pressemitteilung v. 13.05.2025). Begründet wurde dies insbesondere mit Zweifeln an der Berufung auf ein berechtigtes Interesse. Problematisch sei auch, dass nicht ausgeschlossen werden könne, dass sensible Daten oder Daten von Minderjährigen zum Training verwendet werden können. Das OLG Köln hat den Antrag am 23. Mai 2025 nun abgelehnt (Pressemitteilung v. 23.05.2025). Nach vorläufiger und summarischer Prüfung stelle sich die angekündigte Datenverwendung zum KI-Training als rechtmäßig im Sinne des Art. 6 Abs. 1 lit. f) DSGVO dar. Meta verfolge einen legitimen Zweck, der im Rahmen der Abwägung mit Rechten von Nutzern überwiege. Außerdem wurden verschiedene Maßnahmen ergriffen, welche den Eingriff abmildern, sowie die Nutzer frühzeitig informiert. Nach Ansicht des OLG liege ebenso kein Verstoß gegen Art. 5 Abs. 2 DMA vor. Damit darf Meta die Daten von Nutzern vorerst für das KI-Training nutzen – sofern kein individueller Widerspruch erfolgt.

Auch die datenschutzrechtlichen Aufsichtsbehörden haben das Thema auf dem Schirm, so weist etwa das LDI NRW darauf hin, dass alle Verantwortlichen genau prüfen müssten, inwieweit über die Social-Media-Präsenz personenbezogene Daten verarbeitet werden oder andernfalls dem KI-Training zu widersprechen (Pressemitteilung v. 20.05.2025). Auch der HmbBfDI hatte zunächst rechtliche Schritte gegen Meta erwogen, nach Abstimmung mit den deutschen Aufsichtsbehörden aber davon abgesehen, um ein einheitliches Vorgehen zu gewährleisten (Pressemitteilung v. 27.05.2025).

(Gesche Kracht)

LG Hamburg: Haftung juristischer Datenbanken

Das LG Hamburg hatte sich in seinem Urteil vom 09. Mai 2025 mit der Haftung der juristischen Datenbank OpenJur hinsichtlich der Veröffentlichung von Gerichtsentscheidungen mit personenbezogenen Daten auseinanderzusetzen (LG Hamburg, Urt. v. 09.05.2025 - Az. 324 O 278/23).

Der Kläger – ein Rechtsanwalt - war in der Vergangenheit in einem Verfahren als Antragsteller aufgetreten, in dem es um die gegen ihn betriebene Zwangsvollstreckung durch das Versorgungswerk der Rechtsanwälte ging. In dem daraufhin ergangenen Beschluss fanden sich Ausführungen zu dem ehemaligen Arbeitsplatz des Klägers, dass er Arbeitslosengeld 1 bezogen hatte und seiner finanziellen Situation. Der Beschluss wurde von der Beklagten Rechtsprechungsdatenbank OpenJur auf der eigenen Internetseite unter Nennung des Klarnamens des Klägers in dem Beschluss veröffentlicht. Der Kläger machte vor dem LG Hamburg daraufhin wegen Verletzung seines Rechts auf informationelle Selbstbestimmung durch die Veröffentlichung Unterlassungs- und Schadensersatzansprüche geltend.

Das LG Hamburg lehnte allerdings einen Unterlassungsanspruch des Klägers aus Art. 17 DSGVO ab. Die Veröffentlichung von Gerichtsentscheidungen in der von der Beklagten betriebenen Rechtsprechungsdatenbank unterfalle der Bereichsausnahme des Art. 85 Abs. 2 DSGVO. Nach der Norm sehen die Mitgliedstaaten für die Datenverarbeitung zur journalistischen Zwecken oder wissenschaftlichen, künstlerischen oder literarischen Zwecken Abweichungen oder Ausnahmen von den Regelungen der DSGVO vor, wenn dies erforderlich ist, um das Recht auf Schutz personenbezogener Daten mit der Meinungsäußerungs- und Informationsfreiheit in Einklang zu bringen (sog. Medienprivileg). Die Tätigkeit der Beklagten sei nach Auffassung des Gerichts als redaktionelle Tätigkeit einzuordnen. Hierfür spräche insbesondere, dass die Beklagte Entscheidungen gezielt zur Veröffentlichung von Gerichten anfordere, Entscheidungen mit eigenen Orientierungssätzen versehe oder aus eingesandten Entscheidungen eine Auswahl treffe. Dass die Mehrzahl der Entscheidungen – auch die in Rede stehende Entscheidung – in automatisierter Weise übernommen werden, sei ohne Relevanz, da der von der Beklagten betriebene Aufwand der „händischen“ Tätigkeit im Rahmen der einheitlich angebotenen Datenbank untrennbar mit den übrigen Inhalten verbunden sei. Die Beiträge der Datenbank könnten daher nur insgesamt der Bereichsausnahme unterfallen. Zudem wird eine Verarbeitung zu wissenschaftlichen Zwecken angenommen.

Mangels Anwendbarkeit der DSGVO sei hinsichtlich des Unterlassungsbegehrens auf nationales Recht abzustellen. Das Gericht erkennt an, dass die Veröffentlichung das allgemeine Persönlichkeitsrecht des Klägers beeinträchtige und möglicherweise seinem beruflichen Fortkommen schade. Jedoch habe OpenJur bei der Veröffentlichung berechtigte Interessen wahrgenommen, da die Rechtsprechungsdatenbank des Landes, aus der der Beschluss übernommen wurde, eine privilegierte Quelle darstelle, der ein gesteigertes Vertrauen entgegengebracht werden dürfe. Die Beklagte durfte daher davon ausgehen, dass die Veröffentlichung keine Rechte Dritter verletzt ohne Pflicht zur Nachrecherche.

 (Gesche Kracht)

LArbG Hessen: Ausschluss eines Betriebsratsmitglieds

In seinem Beschluss vom 10. März 2025 stellte das Landesarbeitsgericht (LArbG) Hessen fest, dass die Verletzung datenschutzrechtlicher Pflichten gem. § 79a S. 1 BetrVG zum Ausschluss eines Betriebsratsmitglieds führen kann (LArbG Hessen, Beschl. v. 10.03.2025 - Az. 16 TaBV 109/24).

Der Antragsteller des Verfahrens betreibt eine Klinik, bei der ein Betriebsrat – deren Vorsitzender der Antragsgegner ist – gebildet ist. Der Arbeitgeber stellte fest, dass im dienstlichen E-Mail-Account des Betriebsratsvorsitzenden eine Regel eingerichtet war, wonach alle eingehenden E-Mails automatisch an dessen private E-Mail-Adresse weitergeleitet wurden. Auch nach einer Abmahnung kam es zu weiteren Weiterleitungen dienstlicher Termine, Dokumente und E-Mails an eine neue private E-Mail-Adresse. Der Arbeitgeber vertritt die Auffassung, der Betriebsratsvorsitzende habe durch die Weiterleitung an den privaten E-Mail-Account seine gesetzlichen Pflichten als Betriebsrat grob verletzt und machte vor dem Arbeitsgericht den Ausschluss aus dem Betriebsrat geltend.

Gem. § 23 Abs. 1 S. 1 BetrVG kann der Ausschluss eines Mitglieds aus dem Betriebsrat wegen grober Verletzung gesetzlicher Pflichten verlangt werden. Der Betriebsrat ist gem. § 79a S. 1 BetrVG auch zur Einhaltung des Datenschutzes bei Verarbeitung personenbezogener Daten verpflichtet. Innerhalb seines Zuständigkeitsbereichs müsse der Betriebsrat eigenverantwortlich technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit ergreifen. Die weitergeleiteten Dokumente enthielten Namen, Tarifgruppen, Entgelte, Eingruppierungen und weitere Angaben, die personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO seien. Das LArbG stellt dahingehend fest, dass die Verarbeitung durch die Weiterleitung nicht rechtmäßig war. Es bestünde weder eine Erforderlichkeit i.S.v. § 26 Abs. 1 S. 1 BDSG noch eine Einwilligung nach § 26 Abs. 2 BDSG der betroffenen Beschäftigten und somit keine Rechtgrundlage. Ein Verstoß gegen Art. 5 Abs. 1 DSGVO sowie Art. 6 Abs. 1 DSGVO liege vor. Die Pflichtverletzung sei objektiv erheblich und offensichtlich schwerwiegend, folglich auch „grob“ i.S.d. § 23 Abs. 1 BetrVG und dürfe zum Ausschluss führen.

 (Gesche Kracht)

EDSA zum Angemessenheitsbeschluss für das Europäische Patentamt

Der Europäische Datenschutzausschuss (EDSA) hat am 5. Mai 2025 eine Stellungnahme hinsichtlich des von der Europäischen Kommission geplanten Angemessenheitsbeschlusses über die Europäische Patentorganisation (EPO) angenommen (Pressemitteilung v. 06.05.2025).

In seiner Stellungnahme bewertet der EDSA das datenschutzrechtliche Rahmenwerk der EPO und geht auf datenschutzrechtliche Aspekte des Angemessenheitsbeschlusses ein. Es wird positiv zur Kenntnis genommen, dass der Datenschutzrahmen des EPO im Wesentlichen an den der Europäischen Union angeglichen sei. Bei zukünftigen Überprüfungen des Angemessenheitsbeschlusses solle insbesondere der staatliche Zugriff auf Daten, die von der EU an die EPO übertragen werden, beobachtet werden.

Nach der förmlichen Annahme durch die Kommission wäre dies der erste Angemessenheitsbeschluss, der eine internationale Organisation und kein Land beträfe. Der EDSA nimmt die Stellungnahme zum Anlass, die Kommission darin zu bestärken, den Dialog mit internationalen Organisationen fortzusetzen, um diese Kategorie von Angemessenheitsbeschlüssen weiterzuentwickeln.

(Gesche Kracht)

EDSA zur Verlängerung der Angemessenheitsbeschlüsse mit Großbritannien

Der EDSA hat am 5. Mai 2025 ebenfalls eine Stellungnahme in Bezug auf die Verlängerung der Angemessenheitsbeschlüsse des Vereinigten Königreichs angenommen (Pressemitteilung v. 06.05.2025).

Die beiden Angemessenheitsbeschlüsse des Vereinigten Königreichs  - erlassen im Juni 2021 auf Grundlage der DSGVO und der Strafverfolgungsrichtlinie (LED) laufen am 27. Juni 2025 aus und sollen nun für sechs Monate verlängert werden. Im Oktober 2024 wurde im Vereinigten Königreich eine Datenschutzreform angestoßen. Der Abschluss des Gesetzgebungsverfahrens werde erst im späten Frühjahr erwartet. Angesichts dessen erkenne der EDSA die Notwendigkeit einer Verlängerung der Angemessenheitsbeschlüsse an, da die Europäische Kommission so ausreichend Zeit erhalte, den aktualisierten Rechtsrahmen des Vereinigten Königreichs nach Annahme der Reform zu bewerten.

Der EDSA betont in seiner Stellungnahme, dass sich diese nur auf die Verlängerung des Angemessenheitsbeschlusses und nicht auf das gewährte Schutzniveau im Vereinigten Königreich beziehe. Bei der Verlängerung handele es sich um eine Ausnahme, die auf den Gesetzgebungsprozess zurückzuführen sei, und die nicht weiter ausgedehnt werden sollte.

(Gesche Kracht)

HmbBfDI veröffentlicht Handreichung zum Data Act

Hinsichtlich des ab dem 12. September 2025 geltenden europäischen Data Act hat der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit (HmbBfDI) nun eine Handreichung veröffentlicht, die Unternehmen bei der Vereinbarung von Datenschutz und Erfüllung der Vorgaben des Data Acts unterstützen soll (Pressemitteilung v. 29.04.2025).

Der Data Act verpflichtet Hersteller internetfähiger Geräte, die Daten vernetzter Geräte auch mit Nutzern (Privatpersonen sowie Unternehmen) zu teilen bzw. den Nutzern die Bestimmung darüber einzuräumen, wem gegenüber die Daten offengelegt werden sollen. Hierfür stellt der Data Act zahlreiche Pflichten auf.

Die Handreichung stellt zunächst wesentliche Vorgänge dar, die bei der Umsetzung des Data Acts im betroffenen Unternehmen erfolgen sollten. Weiter wird das Nebeneinander von DSGVO und Data Act erörtert. Art. 1 Abs. 5 des Data Acts legt fest, dass die DSGVO unberührt bleibt. Beide Rechtsakte sind gleichrangig, nur in unauflöslichen Kollisionsfällen soll zugunsten des Datenschutzrechts entschieden werden. Zuletzt werden Instrumente und Zuständigkeiten der Datenschutzaufsichtsbehörden dargestellt.

(Gesche Kracht)

Irland: Bußgeld i.H.v. 530 Mio. Euro gegen TikTok

Die irische Datenschutzbehörde (DPC) hat am 2. Mai 2025 ein Bußgeld in Höhe von 530 Millionen Euro gegen die TikTok Technology Limited (TikTok) aufgrund der unrechtmäßigen Übermittlung von Daten europäischer Nutzer nach China verhängt (Pressemitteilung v. 02.05.2025).

Das DPC stellte fest, dass auf Daten europäischer Nutzer von chinesischen Servern zugegriffen werden konnte. Auch gab TikTok im Rahmen der Untersuchung erst an, dass keine Nutzerdaten auf Servern in China gespeichert würden, korrigierte dies aber später dahingehend, dass ein Problem entdeckt worden sei, infolge dessen doch begrenzt EU-Nutzerdaten auf Servern in China gespeichert wurden. Nach Auffassung des DPC könne das chinesische Recht kein im wesentlichen gleichwertiges Schutzniveau garantieren. Insbesondere das Anti-Terror-Gesetz, das Anti-Spionagegesetz, das Cybersicherheitsgesetz und das nationale Geheimdienstgesetz würden wesentlich von EU-Standards abweichen. TikTok habe es versäumt das Schutzniveau angemessen zu bewerten und infolgedessen keine geeigneten Schutzmaßnahmen ausgewählt, die einen äquivalenten Schutz gewährleisten würden. Weiterhin habe die damalige Datenschutzerklärung nicht den Anforderungen des Art. 13 Abs. 1 lit. f) DSGVO hinsichtlich der Transparenz genügt. TikTok habe in der Datenschutzerklärung weder Drittstaaten genannt, in die Daten übertragen werden, noch die Datenübermittlung hinreichend erklärt.

(Gesche Kracht)

Polen: Bußgeld i.H.v. ca. 6 Mio. Euro gegen die Post

Der Präsident der Datenschutzbehörde in Polen hat ein Bußgeld in Höhe von 6.444.174 Euro gegen die Polnische Post, sowie ein Bußgeld in Höhe von 23.757 Euro gegen den Minister für Digitales verhängt. Der zugrundeliegende Sachverhalt betraf die Datenverarbeitung von 30 Millionen Bürgern in Bezug auf die Vorbereitung einer Briefwahl im Jahr 2020 (Pressemitteilung v. 18.03.2025).

Im Zuge der Covid-19-Pandemie hatte es Bestrebungen gegeben, die Präsidentschaftswahl in Polen in Form einer Briefwahl zu organisieren. Zu Vorbereitung dessen wurden die persönlichen Identifikationsnummern (PESEL) polnischer Wahlberechtigter und weitere Daten der polnischen Post zur Verfügung gestellt, ohne dass die dahingehende Änderung des Wahlrechts schon in Kraft war. Die Daten wurden daher ohne Rechtsgrundlage verarbeitet, was einen Verstoß gegen Art. 5 Abs. 1 lit. a) sowie Art. 6 Abs. 3 DSGVO darstelle. Der Minister für Digitales habe hierzu sein Einverständnis gegeben, obwohl dieser aufgrund seiner Verantwortung für das PESEL-Register, das Recht hätte kennen müssen und die Rechte und Freiheiten der Bürger hätte schützen müssen.

(Gesche Kracht)