Datenschutz­woche

EU Kommission: Angemessenheitsbeschluss mit Großbritannien soll verlängert werden

Angemessenheitsbeschlüsse nehmen eine zentrale Rolle im EU-Datenschutzrecht ein, da sie den rechtskonformen internationalen Datentransfer ohne zusätzliche Schutzmaßnahmen in Drittländer ermöglichen. Sie bestätigen, dass ein Drittland ein mit der EU vergleichbares Datenschutzniveau gewährleistet, was rechtliche Sicherheit schafft. 

Die Europäische Kommission plant, die beiden Angemessenheitsbeschlüsse für Großbritannien – erlassen im Juni 2021 auf Grundlage der DSGVO und der Richtlinie für Strafverfolgung (LED) – um sechs Monate bis zum 27. Dezember 2025 zu verlängern. Dort läuft gerade ein Gesetzgebungsverfahren. Der „Data Use and Access Bill“ sieht Änderungen im britischen Datenschutzrecht vor und wird voraussichtlich erst im späten Frühjahr 2025 verabschiedet. 

Der Europäische Datenschutzausschuss (EDSA) unterstützt diese befristete und rein technische Verlängerung. Sie soll der Kommission ausreichend Zeit verschaffen, den neuen britischen Rechtsrahmen zu bewerten. Der EDSA betont, dass es sich um eine außergewöhnliche Maßnahme handelt, die grundsätzlich nicht erneut verlängert werden sollte, und fordert die Kommission auf, alle relevanten Entwicklungen in Großbritannien während des Verlängerungszeitraums genau zu beobachten.

EDSA: Angemessenheitsbeschluss für das Europäische Patentamt

Auf Ersuchen der Europäischen Kommission hat der Europäische Datenschutzausschuss (EDSA) eine Stellungnahme zum Entwurf eines Angemessenheitsbeschlusses betreffend das Europäische Patentamt (EPA) angenommen. Es handelt sich um den ersten Angemessenheitsbeschluss zu einer internationalen Organisation und nicht zu einem Staat oder einer Region.

Der Datenaustausch zwischen dem EPA und seinen Mitgliedsstaaten unterliegt den Übermittlungsanforderungen der DSGVO – unabhänging davon, ob es sich um EWR- oder um Drittstaaten handelt. Der Angemessenheitsbeschluss soll den datenschutzkonformen Datenaustausch erleichtern.

Internationale Nachrichten

• EDSA: Die EU-Kommission plant eine gezielte Vereinfachung der Aufzeichnungspflichten nach Art. 30 Abs. 5 DSGVO. Konkret soll die Ausnahmeregelung in Artikel 30 Absatz 5 DSGVO zur Führung von Verarbeitungsverzeichnissen auf Unternehmen mit weniger als 500 Beschäftigten sowie auf gemeinnützige Organisationen ausgeweitet werden. Derzeit gilt die Ausnahme nur für Unternehmen mit weniger als 250 Beschäftigten. Der EDSA unterstützt die Vereinfachung grundsätzlich, fordert aber eine Folgenabschätzung und betont die Bedeutung des risikobasierten Ansatzes.
• USA: Google beendet einen langjährigen Rechtsstreit über Datenschutzverstöße mit dem US-Bundesstaat Texas durch eine Vergleichszahlung von 1,375 Milliarden US-Dollar. Der Generalstaatsanwalt von Texas, Ken Paxton, hatte dem Unternehmen vorgeworfen, heimlich Nutzerdaten wie Suchanfragen, Stimmen und Gesichtsgeometrie gesammelt und damit gegen ein texanisches Datenschutzgesetz verstoßen zu haben. Betroffen waren unter anderem Google Assistant und Nest-Kameras. Mit dem Vergleich werden zwei Klagen beigelegt. Einzelheiten des Vergleichs wurden nicht bekannt gegeben.
• Italien: Die italienische Datenschutzbehörde GPDP hat das Energie-Unternehmen Acea Energia wegen unzulässigen Telemarketings und unzulässiger Datenverarbeitung mit einer Geldbuße in Höhe von 3 Millionen Euro und die beteiligten Agenturen mit einer Geldbuße in Höhe von 850.000 Euro belegt. Das Unternehmen und seine Partner nutzten personenbezogene Daten von Verbraucherinnen und Verbrauchern  für ein Auftragsvergabesystem, das auf aggressiven Telemarketingpraktiken und der unrechtmäßigen Verarbeitung personenbezogener Daten beruhte.

Aktuelle Gerichtsentscheidungen

• BAG, Urteil vom 28.01.2025, Az. 9 AZR 48/24 (juris): Digitale Entgeltabrechnungen – Die digitale Zurverfügungstellung der Entgeltabrechnungen ist nicht bereits deshalb unzulässig, weil sie datenschutzrechtlich nicht erforderlich wäre. Sie beschränkt sich auf Daten, die auch bei einer Erteilung in Papierform übermittelt würden. Die darin liegende Datenverarbeitung ist nach Art. 6 Abs. 1 Unterabs. 1 Buchst. c und Abs. 3 DSGVO iVm. § 26 Abs. 1 Satz 1 BDSG erforderlich, weil sie der Erfüllung der in § 108 Abs. 1 Satz 1 GewO angeordneten Pflicht des Arbeitgebers dient (vgl. ausf. dazu BAG 9. Mai 2023 - 1 ABR 14/22 - Rn. 62 ff., BAGE 181, 1). Auch die Bereitstellung elektronischer Entgeltabrechnungen durch einen externen Anbieter begegnet keinen grundsätzlichen datenschutzrechtlichen Bedenken. Dieser fungiert hier als Auftragsverarbeiter iSd. Art. 28 Abs. 3 DSGVO.
• AG Mainz, Urteil vom 27.03.2025, Az. 88 C 200/24 (GRUR-RS 2025, 8219): Immaterieller Schadenersatz – Die Anhörung des Klägers hat für das Gericht insgesamt keinerlei tatsächliche und nicht rein abstrakte Auswirkungen auf den Kläger erkennen lassen.
• OLG Schleswig, Urteil vom 27.03.2025, Az. 5 U 52/23 (juris): Immaterieller Schadenersatz – An einem Verlust der Kontrolle über Daten, der einen Schadensersatzanspruch nach Art. 82 DSGVO begründen könnte, fehlt es, wenn die klagende Partei die in Rede stehenden Daten bereits zuvor bewusst der Öffentlichkeit preisgegeben hat.

Neuigkeiten aus den Aufsichtsbehörden: 

• Datenschutzaufsicht Schleswig-Holstein: „Save the Date: Sommerakademie am 08.09.2025 in Kiel – „Im Alarmmodus: Sicherheit und Datenschutz?“ – Pressemitteilung vom 05.05.2025
• Datenschutzaufsicht Thüringen: „KI-Training für Meta mit Posts bei Facebook und Instagram – Nutzer können jetzt widersprechen!“ – Pressemitteilung vom 05.05.2025
• Datenschutzaufsicht Hessen: „27. Wiesbadener Forum Datenschutz: Bürokratieabbau im Datenschutz“ – Pressemitteilung vom 05.05.2025
• Datenschutzaufsicht Bremen: „eBay plant, Nutzerdaten zum Training Künstlicher Intelligenz zu verwenden. Widerspruch ist möglich“ – Pressemitteilung vom 07.05.2025
• Datenschutzaufsicht Niedersachsen: „Facebook-Datenleck: Sammelklage des Verbraucherzentrale Bundesverbands“ – Pressemitteilung vom 08.05.2025
• Datenschutzaufsicht Nordrhein-Westfalen: „Erweitertes Führungszeugnis: Vereine dürfen Vorleben nicht grundlos ausforschen“ – Pressemitteilung vom 08.05.2025
• Datenschutzaufsicht Brandenburg: „Landesbeauftragte veröffentlicht Tätigkeitsbericht Datenschutz 2024“ – Pressemitteilung vom 12.05.2025