Datenschutz­woche

Bundesdatenschutzbeauftragter startet öffentliche Konsultation zu Messengerdiensten

Der Bundesbeauftragte hat ein Konsultationsverfahren zum Prüfkatalog für die standardisierte Überprüfung von Messengerdiensten gestartet. Der 266-seitige Prüfkatalog beschreibt detailliert die Anforderungen an DSGVO-konforme Messenger und die passenden Prüfkriterien. Die Anforderungen orientieren sich an der Struktur der DSGVO und beziehen sich beispielweise auf die Betroffenenrechte nach den Art. 12 ff. DSGVO. Enthalten sind jeweils MUSS-, SOLLTE- und KANN-Anforderungen der jeweiligen Datenschutzprinzipien.

Im Mittelpunkt des Katalogs steht das Frontend. Es gibt jedoch auch einige Anforderungen, die sich auf das Backend beziehen.

Zielgruppen des Konsultationsverfahrens sind Akteure aus Politik, Wirtschaft, Gesellschaft und Verwaltung, die sich mit dem Thema dieses Verfahrens befassen. Stellungnahmen können bis zum 15. November 2024 abgegeben werden.

VG: Datenschutzaufsichtsbehörde muss Abhilfemaßnahme ergreifen

Das Verwaltungsgericht (VG) Ansbach hat in seinem Urteil vom 12. Juni 2024 (Az. AN 14 K 20.941) entschieden, dass das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verpflichtet ist, gegen einen Seminarveranstalter eine Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO zu ergreifen.

Die Klägerin hatte den Seminarveranstalter aufgefordert, ihr Auskunft über alle gespeicherten personenbezogenen Daten zu erteilen. Da sie keine zufriedenstellende Antwort erhielt, legte sie beim BayLDA eine Beschwerde wegen einer Datenschutzverletzung ein. Das Landesamt forderte den Seminarveranstalter daraufhin auf, die geforderte Auskunft zu erteilen, sah aber von weiteren Maßnahmen ab und betrachtete den Fall als erledigt. Die Klägerin klagte daraufhin gegen das BayLDA, da sie der Ansicht war, dass ihre Rechte nicht ausreichend geschützt wurden.

Das Gericht befand die Klage für zulässig und begründet. Es stellte fest, dass das BayLDA als Datenschutzbehörde verpflichtet ist, bei Verstößen gegen die DSGVO in geeigneter Weise zu reagieren. Nach Auffassung des Gerichts hatte das BayLDA sein Ermessen jedoch fehlerhaft ausgeübt, indem es keine verbindliche Maßnahme gegen den Seminarveranstalter ergriffen hatte. Angesichts der Umstände, insbesondere der Renitenz des Seminarveranstalters und der unzureichenden Auskunftserteilung, sei das Ermessen der Behörde auf Null reduziert gewesen, d.h., sie hätte zwingend eine Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO ergreifen müssen.

Das Gericht entschied, dass das BayLDA daher verpflichtet ist, entsprechende Maßnahmen zu ergreifen, um den Verstoß zu ahnden und die Rechte der Klägerin zu schützen. Das Auswahlermessen hinsichtlich einer konkreten Abhilfemaßnahme ist dagegen vorliegend nicht auf Null reduziert.

Der Volltext der Entscheidung ist bei beck-online als BeckRS 2024, 20312 abrufbar.

Internationale Nachrichten

• USA: Wegen Datenschutzverstößen muss die amerikanische Telekom-Mobilfunktochter T-Mobile US eine Strafe von 60 Millionen Dollar zahlen.
• Europa: Der Druck auf X (ehemals Twitter) bleibt hoch. Das Unternehmen hat zwar angekündigt, das Training von KI-Systemen mit Nutzendendaten auszusetzen (wir berichteten am 12.08.2024), sieht sich aber schon mit einer neuen Welle von Beschwerden konfrontiert.

Aktuelle Gerichtsentscheidungen:

• VG Ansbach, Urteil vom 12.06.2024, Az. AN 14 K 20.941 (BeckRS 2024, 20312): Verurteilung der Aufsichtsbehörde zum Ergreifen von Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO – Der vorliegende Verstoß gegen das im System der DSGVO zentrale subjektive Recht der Klägerin aus Art. 15 Abs. 1 DSGVO führt gemäß den oben erläuterten Bewertungsgrundsätzen unter Beachtung des erschwerenden Umstands der Renitenz des Beigeladenen dazu, dass auch im Zeitpunkt der gerichtlichen Entscheidung das Entschließungsermessen des Landesamts zum Ergreifen von Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO auf Null reduziert ist.
• VG Stuttgart, Urteil vom 20.06.2024, Az. 14 K 870/22 (juris): Schadenersatz nach Art. 82 DSGVO – Bei Art. 82 Abs. 1 DSGVO handelt es sich nicht um einen Amtshaftungsanspruch im Sinne des Art. 34 S. 3 GG bzw. von § 17 Abs. 2 S. 2 GVG. Die Verwaltungsgerichte entscheiden nach § 54 Abs. 1 BeamtStG über Schadensersatzansprüche von Beamten aus Art. 82 Abs. 1 DSGVO.

Neuigkeiten aus den Aufsichtsbehörden:

• Datenschutzaufsicht Thüringen: „Arbeitskreis „Schulen und Bildungseinrichtungen“ tagt beim TLfDI“ – Pressemitteilung vom 13.08.2024
• Bundesdatenschutzbeauftragter: „BfDI startet öffentliche Konsultation zu Messengerdiensten” – Pressemitteilung vom 15.08.2024
• Datenschutzaufsicht Rheinland-Pfalz: „Diagnose geht fehl, aber Kurs des LfDI bestätigt: Bericht der EU-Kommission zur Evaluation der Datenschutz-Grundverordnung“ – Pressemitteilung vom 15.08.2024
• Datenschutzaufsicht Rheinland-Pfalz: „Newsletter Nr. 3 / 2024“ – 15.08.2024
• Datenschutzaufsicht Niedersachsen: „FAQ zu TDDDG überarbeitet“ – Stand: Juli 2024