DatenschutzWoche vom 11. März 2024

Urteil des EuGH im „IAB Europe“-Verfahren

Am 7. März 2023 hat der EuGH sein Urteil in der Rechtssache C-604/22 („IAB Europe“) verkündet. Demnach kann der von IAB Europe für die Versteigerung von personenbezogenen Daten für Werbezwecke genutzte Transparency-and-Consent-String (TC-String) ein personenbezogenes Datum sein, wenn die enthaltene Zeichenfolge „[…] mit vertretbarem Aufwand einer Kennung wie insbesondere der IP‑Adresse des Geräts dieses Nutzers zugeordnet werden kann, die es erlaubt, die betreffende Person zu identifizieren.“

Darüber hinaus stellt der EuGH fest, dass IAB Europe als „gemeinsam Verantwortlicher“ eingestuft werden kann, wenn die Organisation „[…] aus Eigeninteresse auf die betreffende Verarbeitung personenbezogener Daten Einfluss nimmt und damit gemeinsam mit ihren Mitgliedern die Zwecke der und die Mittel zur betreffenden Verarbeitung festlegt.“ Dass die IAB Europe keinen unmittelbaren Zugang zu den verarbeiteten personenbezogenen Daten hat, schließt eine gemeinsame Verantwortlichkeit nicht aus. Die gemeinsame Verantwortlichkeit der IAB erstreckt sich „[…] nicht automatisch auf die Weiterverarbeitung personenbezogener Daten durch Dritte, wie beispielsweise Anbieter von Websites oder Anwendungen […]“.

EDPS: EU-Kommission verstößt beim Einsatz von Microsoft 365 gegen den Datenschutz

Der Europäische Datenschutzbeauftragte (EDSB) hat mehrere Datenschutzverstöße bei der Nutzung von Microsoft 365 durch die EU-Kommission festgestellt. Die datenschutzrechtlichen Anforderungen an die EU-Kommission richten sich nach der Verordnung (EU) 2018/1725 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstige Stellen der Union. Als Abhilfemaßnahme sind mit Wirkung vom 9. Dezember 2024 alle Datenströme auszusetzen, die sich aus der Nutzung von Microsoft 365 an Microsoft und seine verbundenen Unternehmen und Unterauftragsverarbeiter ergeben, die in Drittländern ansässig sind und nicht unter einen Angemessenheitsbeschluss gemäß Art. 47 Abs. 1 der Verordnung fallen. Außerdem sind alle Verarbeitungen mit der VO (EU) 2018/1725 in Einklang zu bringen und dies nachzuweisen.

Folgende Verstöße wurden festgestellt:

1. Zweckbindung: Dem EDSB zufolge habe die Kommission versäumt, die Arten personenbezogener Daten hinreichend zu bestimmen und die Zwecke ausdrücklich und genau anzugeben. Die Kommission habe zudem nicht ausreichend geprüft, ob die Verarbeitung durch Microsoft nur auf ausreichend dokumentierte Weisung hin erfolge und die Zwecke der Weiterverarbeitung von Daten mit den Zwecken, für die die Daten ursprünglich erhoben worden sind, vereinbar sind. Zudem sei die Übermittlung von personenbezogenen Daten an Microsoft und seine Unterauftragsverarbeiter nicht für einen bestimmten Zweck im öffentlichen Interesse erforderlich und verhältnismäßig. 
2. Drittlandsübermittlungen: Die Kommission habe außerdem versäumt, angemessene Garantien vorzusehen, die sicherzustellen, dass ein gleichwertiges Schutzniveau gewährleistet wird. 
3. Unklare Regelung zur Weitergabe von Daten: Ferner stellt der EDPS fest, dass die EU-Kommission nicht ausreichend sichergestellt habe, dass bei personenbezogenen Daten, die im EWR verarbeitet werden, nur das Recht der EU oder der Mitgliedsstaaten eine Übermittlung personenbezogener Daten an ein Drittland ohne Weisung der EU-Kommission erlaubt.

Das Ergebnis der Prüfung des Europäischen Datenschutzbeauftragten hat zunächst keine Auswirkung auf Verantwortliche in den Mitgliedsstaaten. Jedoch können die aufgeworfenen Kritikpunkte richtungsweisend sein.

Internationale Nachrichten

• Kanada: Der Supreme Court of Canada hat entschieden, dass eine IP-Adresse ein personenbezogenes Datum ist und eine begründete Erwartung an die Privatsphäre weckt.
• Europa: Der EDSB hat festgestellt, dass die EU-Kommission beim Einsatz von Microsoft 365 gegen datenschutzrechtliche Vorgaben verstößt.

Aktuelle Gerichtsentscheidungen

• AG Siegen, Urteil vom 27.01.2023, Az. 17 C 8/22 (BeckRS 2023, 36779): Die Einsicht des Mieters in die Verwaltungsunterlagen zur Nebenkostenabrechnung verstößt nicht gegen den Datenschutz. Ein allgemeines Kontrollinteresse des Mieters ist ausreichend.
• BFH, Urteil vom 12.12.2023, Az. IX R 33/21 (Volltext): Art. 78 DSGVO fordert einen wirksamen gerichtlichen Rechtsbehelf, der eine vollständige inhaltliche Überprüfung der Beschwerdeentscheidung der Aufsichtsbehörde durch das Gericht ermöglicht.
• BGH, Urteil vom 06.02.2024, Az. VI ZR 15/23 (Volltext): Es besteht kein Anspruch aus Art. 15 DSGVO auf Abschriften der Unterlagen bei Prämienanpassungen in der privaten Krankenversicherung.
• EuGH, Urteil vom 07.03.2024, Rs. C‑604/22 (Volltext): Der Transparency-and-Consent-String ist ein personenbezogenes Datum, wenn er mit vertretbarem Aufwand einer natürlichen Person zugeordnet werden kann. Darüber hinaus ist IAB Europe als „gemeinsam Verantwortlicher“ im Sinne der DSGVO anzusehen.

• Neuigkeiten aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragter: Politisches Frühjahrsforum – "Ausschließlich digital? Wie weit geht das Recht auf ein analoges Leben?" – Pressemitteilung vom 20.02.2024
• Datenschutzaufsicht Bayern (BayLDA): „Ransomware FollowUp Prüfung“ – Start: Februar 2024
• Datenschutzaufsicht Hessen: „26. Wiesbadener Forum Datenschutz: Der Europäische Gerichtshof als Gestalter des Datenschutzrechts