Datenschutzwoche
OLG Schleswig-Holstein: Transportverschlüsselung von E-Mail-Rechnungsversand bei „hohem finanziellen Risiko“ nicht ausreichend
Das OLG Schleswig-Holstein befasst sich in einem Urteil vom 18.12.2024 (Az. 12 U 9/24) mit Rechnungsbetrug im digitalen Geschäftsverkehr. Ein Bauunternehmer hatte für die ordnungsgemäß erbrachte Leistung eine Schlussrechnung über 15.000 Euro per E-Mail an einen privaten Auftraggeber gesendet. Die Rechnung wurde auf dem Weg von Kriminellen manipuliert. Der Auftraggeber bemerkte die Manipulation nicht und überwies den Betrag auf das Konto der Kriminellen anstatt an das Bauunternehmen.
Der Unternehmer forderte eine erneute Zahlung. Der Auftraggeber weigerte sich jedoch mit der Begründung, dass die Rechnung ungeschützt per E-Mail versandt worden sei und er dadurch einen Schaden erlitten habe. Er machte einen Schadensersatzanspruch gem. Art. 82 DSGVO in gleicher Höhe geltend. Das Gericht entschied daraufhin: Unternehmen müssen ein angemessenes Sicherheitsniveau gewährleisten, wenn sie Rechnungen und andere sensible Daten per E-Mail versenden. Nach Ansicht des Gerichts reicht eine reine Transportverschlüsselung nicht aus; vielmehr sei eine Ende-zu-Ende-Verschlüsselung erforderlich. Kommt das Unternehmen dem nicht nach, steht dem Kunden ein Schadensersatzanspruch in Höhe des Rechnungsbetrages (ca. 15.000 Euro) zu. Eine generelle Pflicht zur Ende-zu-Ende-Verschlüsselung ergibt sich aus der Entscheidung allerdings nicht.
EU-Kommission veröffentlicht Leitlinien zu verbotenen KI-Praktiken im Sinne der KI-VO
Seit dem 2. Februar 2025 dürfen verbotene KI-Praktiken gemäß der in Kraft getretenen KI-Verordnung nicht mehr angewandt werden. Art. 5 der KI-VO listet spezifische Anwendungen von KI auf, die verboten sind, da sie erhebliche Gefahren für die Grundrechte, die Sicherheit und das gesellschaftliche Zusammenleben darstellen. Dazu gehören beispielsweise manipulative KI-Systeme, Social Scoring-Systeme, Scraping-Systeme oder biometrische Kategorisierungssysteme. Verstöße können mit Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden.
Zur Klärung offener Fragen hat die EU-Kommission nun Leitlinien veröffentlicht. Diese enthalten konkrete Beispiele und Erläuterungen zu verbotenen KI-Anwendungen und sollen eine einheitliche Umsetzung der KI-VO sicherstellen. Unternehmen und Behörden erhalten dadurch mehr Rechtssicherheit, insbesondere zur Abgrenzung zwischen verbotener und zulässiger Hochrisiko-KI. Die formelle Annahme der Leitlinien steht noch aus, dennoch gelten sie bereits als wichtige Orientierungshilfe für die Praxis.
Internationale Nachrichten
- Frankreich: Die französische Datenschutzaufsichtsbehörde hat Zahlen zu Sanktionen und Korrekturmaßnahmen im Jahre 2024 veröffentlicht. Demnach führten 331 von der französischen Datenschutzbehörde erlassene Entscheidungen zu Geldbußen in Höhe von 55 Millionen € kumuliert.
- Polen: Die polnische Datenschutzaufsichtsbehörde hat eine Geldbuße in Höhe von 928.000 € gegen eine Bank verhängt. Grund ist, dass diese ihren Verpflichtungen aus Art. 34 DSGVO nicht nachgekommen ist, nachdem personenbezogenen Daten einer Gruppe von Kunden an einen unbefugten Empfänger übermittelt worden waren.
Aktuelle Gerichtsentscheidungen
- LG Frankfurt, Urteil vom 05.02.2024, Az. 2-01 S 77/23 (juris): Recht auf Auskunft – Die Klägerin hat keinen Anspruch gegen die Beklagte auf Herausgabe einer abgelegten Prüfungsarbeit aus § 15 Abs. 3 DSGVO. Es stehen gemäß Art. 15 Abs. 4 DSGVO die Rechte und Freiheiten anderer Personen entgegen. „Andere Personen“ im Sinne dieser Regelung sind auch der die Daten des Anspruchsstellers verarbeitende Verantwortliche, also der Anspruchsgegner des Art. 15 Abs. 3 DSGVO.
- OLG Schleswig-Holstein, Urteil vom 18.12.2024, Az. 12 U 9/24 (juris): Datensicherheit – Nach Ansicht des Senats ist eine reine Transportverschlüsselung beim Versand von geschäftlichen E-Mails mit personenbezogenen Daten zwischen Unternehmer und (privaten) Kunden jedenfalls bei einem hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen.
- AG München, Beschluss vom 22.12.2024, Az. 1509 M 7856/24 (juris): Zwangsvollstreckung – Um die Nachbarn des Schuldners nach dessen Aufenthaltsort befragen zu können, müsste die Gerichtsvollzieherin den Nachbarn gegenüber preisgeben, dass sie als Gerichtsvollzieherin gegen den Schuldner die Vollstreckung betreibt. Diese Information enthält personenbezogene Daten zur Person des Schuldners, deren Weitergabe an Dritte als Verarbeitung personenbezogener Daten einer datenschutzrechtlichen Prüfung standhalten muss. Mangels gesetzlicher Regelung wäre die Nachforschung bei Nachbarn zur Bestimmung des Aufenthaltsorts des Schuldners rechtswidrig.
- VG Düsseldorf, Urteil vom 16.01.2025, Az. 29 K 3117/22 (juris): Aufsichtsbehördliche Maßnahmen – Bei der Verwarnung im Sinne von Art. 58 Abs. 2 Buchst. b DSGVO handelt es sich um einen belastenden Verwaltungsakt. Zwar hat die Beklagte die Klägerin nicht entsprechend den Voraussetzungen von § 28 Abs. 1 VwVfG NRW angehört. Die Klägerin kann eine Aufhebung des Verwaltungsaktes gleichwohl nicht verlangen, da der Anhörungsmangel gemäß § 46 VwVfG NRW unbeachtlich ist.
- LG Stuttgart, Urteil vom 05.02.2025, Az. 27 O 190/23 (GRUR-RS 2025, 920): Reichweite der Einwilligung – Die Speicherung von Daten, welche der Betreiberin des Netzwerks F. im Rahmen der M. Business Tools über die Nutzung von Websites oder Apps von Drittunternehmen mitgeteilt worden sind (Off-Site-Daten), bedarf auch dann einer vom F. -Nutzer erteilten Einwilligung, wenn dieser bei Nutzung der Drittwebsite oder App in die Weiterleitung der Daten eingewilligt hat. Eine gegenüber dem Drittunternehmen erteilte Einwilligung umfasste nicht die anschließende Weiterverarbeitung der Daten durch M., wozu auch die bloße Speicherung gehört.
Neuigkeiten aus den Aufsichtsbehörden
- Datenschutzaufsicht BayLDA: „Aktuelle Kurz-Information 28: Auskunft aus dem Melderegister an politische Parteien vor Wahlen“ – Pressemitteilung vom 23.01.2025
- Bundesdatenschutzbeauftragte: „BfDI und irische Datenschutzaufsichtsbehörde vereinbaren engeren Austausch zu Plattformen und Künstlicher Intelligenz“ – Pressemitteilung vom 06.02.2025
- Datenschutz als Bildungsthema: Die Datenschutzbehörden aus Rheinland-Pfalz, Thüringen, Baden-Württemberg, Berlin, Hessen und Sachsen-Anhalt sind mit einem Messestand auf der größten europäischen Fachmesse für Bildungsthemen „didacta“ vertreten. – Pressemitteilung vom 06.02.2025
- Datenschutzaufsicht Niedersachsen: „Safer Internet Day 2025: Landesbeauftragter für den Datenschutz besucht Schulen in Niedersachsen“ – Pressemitteilung vom 07.02.2025