Datenschutzwoche
Transparenz bei automatisierten Entscheidungen: Schufa plant neues Scoring-System
Die Schufa hat eine Umstrukturierung ihres Scoring-Verfahrens angekündigt. Zuvor hatte der Europäische Gerichtshof das Unternehmen dazu verpflichtet, Betroffenen die Verfahren und Grundsätze automatisierter Entscheidungen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erläutern. (DatenschutzWoche #173)
Das neue Scoring wird nach Angaben des Unternehmens derzeit getestet. Es soll noch in der ersten Jahreshälfte 2025 angeboten und im vierten Quartal flächendeckend ausgerollt werden.
Verbraucherinnen und Verbraucher sollen künftig anhand ihrer eigenen Daten nachvollziehen können, wie der Schufa-Score zustande kommt. Der neue Score basiert auf zwölf Kriterien, die unterschiedlich gewichtet werden.
Nach Angaben der Schufa wurde die neue Berechnungsmethode dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit vorgestellt und habe positives Feedback erhalten.
Luxemburgisches Verwaltungsgericht bestätigt Rekordstrafe gegen Amazon
Das Verwaltungsgericht Luxemburg wies am 18.03.2025 den Einspruch von Amazon Europe Core S.A.R.L. gegen die Entscheidung der Nationalen Datenschutzkommission (CNPD) vom 15. Juli 2021 zurück und hat damit die gegen Amazon wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) verhängte Rekordgeldbuße in Höhe von 746 Millionen Euro bestätigt.
Die luxemburgische Datenschutzbehörde CNPD hatte das Bußgeld bereits 2021 verhängt sowie die Umsetzung von Berichtigungsmaßnahmen angeordnet. Amazon hatte gegen die Entscheidung Einspruch eingelegt und die Vorwürfe zurückgewiesen. Eine Anhörung vor dem Verwaltungsgericht fand Anfang 2024 statt. Amazon kündigte an, weitere rechtliche Schritte zu prüfen.
Internationale Nachrichten
- EDPB: Der Europäische Datenschutzausschuss (EDPB) hat eine Studie zur Sekundärnutzung personenbezogener Daten in der wissenschaftlichen Forschung veröffentlicht. Im Zentrum stand die medizinische Forschung. Ziel war es, internationale Abkommen, nationale Gesetze und Praktiken zur Zweckbindung, Rechtmäßigkeit und Transparenzpflicht gemäß DSGVO zu untersuchen. Die Analyse basierte auf Sekundärforschung sowie auf Expertenbefragungen in 18 EU- und EWR-Staaten. Die Ergebnisse zeigen unterschiedliche nationale Ansätze. Die Autorinnen und Autoren empfehlen, den Austausch zwischen Aufsichtsbehörden zu stärken und spezifische Leitlinien zu entwickeln.
- EDSA: Der EDSA unterstreicht sein Engagement für eine kohärente Anwendung und Durchsetzung des Datenschutzes, indem er sich an der vierten koordinierten Durchsetzungsmaßnahmen zum Recht auf Löschung personenbezogener Daten beteiligt. Dabei werden Beschwerden von Betroffenen ausgewertet und ein Fragebogen an datenschutzrechtlich Verantwortliche in der Europäischen Union versendet, um deren Umsetzung der rechtlichen Vorgaben zu prüfen. Anschließend wird der EDSA die Ergebnisse analysieren, bewährte sowie problematische Praktiken darstellen und Verbesserungsbedarf identifizieren.
- EU-Kommission: Die Europäische Kommission plant, in den kommenden Wochen einen Vorschlag zur Vereinfachung der Datenschutzgrundverordnung (DSGVO) vorzulegen. Ziel ist es, insbesondere kleine und mittlere Unternehmen bei der Einhaltung der Datenschutzvorgaben zu entlasten. Die Initiative ist Teil einer umfassenderen Strategie zur Reduzierung regulatorischer Hürden und zur Stärkung der Wettbewerbsfähigkeit europäischer Firmen gegenüber Konkurrenten aus den USA und China.
Aktuelle Gerichtsentscheidungen
- BGH, Urteil vom 11.02.2025, Az. VI ZR 365/22 (Volltext): Immaterieller Schadenersatz – Ein Verstoß gegen die Datenschutzgrundverordnung liegt nach den getroffenen Feststellungen vor. [...] Zu Unrecht hat das Berufungsgericht einen durch diesen Verstoß gegen die Datenschutzgrundverordnung verursachten Schaden der Klägerin verneint. Der Schaden liegt hier bereits in dem durch die Überlassung ihrer Personalakte an Bedienstete des Landes verursachten vorübergehenden Verlust der Kontrolle der Klägerin über ihre in ihrer Personalakte enthaltenen personenbezogenen Daten.
- OLG Hamburg, Urteil vom 27.02.2025, Az. 5 U 30/24 (GRUR-RS 2025, 3406): Gastzugang im Onlineshop – Der Grundsatz der Datenminimierung ist [...] nicht verletzt, wenn die erhobenen und verarbeiteten Daten für den verfolgten Zweck erheblich sind, deren Erhebung also der Erreichung eines legitimen Zieles dient, und die Verarbeitung der personenbezogenen Daten auf das für die verfolgten Zwecke notwendige Maß begrenzt wird.
- BGH, Urteil vom 27.03.2025, Az. I ZR 223/19 (Volltext): Gesundheitsdaten – Bestellt ein Kunde über den Account eines Apothekers bei der Internet-Plattform "Amazon-Marketplace" (Amazon) apothekenpflichtige Medikamente, findet eine Erhebung und Verarbeitung von Gesundheitsdaten im Sinne von § 4 Abs. 1 BDSG aF statt.
- EuGH, Urteil vom 03. April 2025, Rs. C-710/23 (Volltext): Verarbeitung personenbezogener Daten – Art. 4 Nr. 1 und 2 DSGVO sind dahin auszulegen, dass die Offenlegung des Vornamens, des Nachnamens, der Unterschrift und der Kontaktdaten einer natürlichen Person, die eine juristische Person vertritt, eine Verarbeitung personenbezogener Daten darstellt. Der Umstand, dass die Offenlegung allein zu dem Zweck erfolgt, die Identifizierung der natürlichen Person zu ermöglichen, die befugt ist, im Namen der juristischen Person zu handeln, ist insoweit ohne Belang.
Neuigkeiten aus den Aufsichtsbehörden
- Datenschutzaufsicht Saarland: „Bundesverwaltungsgericht bestätigt die Untersagung von unverlangter Telefonwerbung“ – Pressemitteilung vom 31.03.2025
- Datenschutzaufsicht Baden-Württemberg: „10.04. in der Stadtbibliothek Stuttgart: LfDI spricht über Datenschutz, Informationsfreiheit und KI“ – Pressemitteilung vom 01.04.2025
- Datenschutzaufsicht Hamburg: „HmbBfDI stellt Tätigkeitsbericht Datenschutz 2024 vor“ – Pressemitteilung vom 02.04.2025. Bericht im DatenschutzArchiv
- Datenschutzaufsicht Nordrhein-Westfalen:„Landesbeauftragte: Polizei – Finger weg von der WhatsApp-Nutzung!“ – Pressemitteilung vom 02.04.2025
- Landesdatenschutzbeauftragte Sachsen: „Sächsische Datenschutz- und Transparenzbeauftragte bezieht neue Räumlichkeiten“ – Pressemitteilung vom 03.04.2025
- Datenschutzaufsicht Rheinland-Pfalz: „Speyerer Forum zur digitalen Lebenswelt am 28. und 29. April: Datennutzung und Datensicherheit in Justiz und Verwaltung“