Datenschutz­woche

US-Datentransfers: Teilerfolg der Klage gegen die EU-Kommission

Das Gericht der Europäischen Union (EuG) entschied am 09.01.2025 in der Rechtssache T‑354/22. Die EU-Kommission hatte eine Website für eine Konferenz zur Zukunft Europas (Zukunftskonferenz) betrieben. Beim Besuch dieser Website wurde die IP-Adresse des Klägers, ein personenbezogenes Datum, an Amazon Web Services (AWS) in den USA übermittelt. Darüber hinaus wurden weitere personenbezogene Daten an Meta, die Muttergesellschaft von Facebook, übertragen. Der Kläger sah darin zwei unzulässige Datenübermittlungen in die USA und verlangte Schadensersatz.

Hinsichtlich der Datenübermittlung an Amazon wies das Gericht die Klage ab. Diese Übermittlung in die USA habe der Kläger selbst veranlasst, indem er seinen angezeigten Standort technisch beeinflusst habe. Ein etwaiger immaterieller Schaden sei nicht der Kommission zuzurechnen.

Eine unzulässige Verarbeitung stellt das Gericht hinsichtlich der Nutzung von "Sign in with Facebook" durch die Kommission fest. Das Gericht stützt seine Entscheidung darauf, dass es zum Zeitpunkt der Datenübermittlung - anders als heute - keinen Angemessenheitsbeschluss für Datenübermittlungen in die USA gab und die Kommission mit Meta keine Standarddatenschutzklauseln (SCC) vereinbart hatte. Das Gericht sprach dem Kläger Schadensersatz in Höhe von 400 Euro zu.

Berliner Datenschutzbeauftragte übernimmt DSK-Vorsitz

Vom 1. Januar bis 31. Dezember 2025 ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, Vorsitzende der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Folgende Konferenztermine wurden angekündigt:

28. Januar 2025: Europäischer Datenschutztag (in Berlin, Vorsitz Hessen)

29. Januar 2025: 1. Zwischenkonferenz (in Berlin)

25.-27. März 2025: 109. Datenschutzkonferenz (in Berlin)

25. Juni 2025: 2. Zwischenkonferenz (als Videokonferenz)

17. September 2025: 3. Zwischenkonferenz (in Berlin)

10.-12. Dezember 2025: 110. Datenschutzkonferenz (in Berlin)

28. Januar 2026: Europäischer Datenschutztag (in Berlin)

Internationale Nachrichten

• EDSB: Der EDSB rügt Frontex, die Europäische Agentur für die Grenz- und Küstenwache, wegen Nichteinhaltung der Verordnung (EU) 2019/1896 (Frontex-Verordnung) bei der Übermittlung personenbezogener Daten von Verdächtigen grenzüberschreitender Straftaten an Europol, die EU-Agentur für die Zusammenarbeit im Bereich der Strafverfolgung.
• Polen: Die polnische Datenschutzaufsichtsbehörde, das Amt für den Schutz personenbezogener Daten organisiert sich neu und gründet eine Abteilung für die grenzüberschreitende Zusammenarbeit, unter anderem mit dem Europäischen Datenschutzausschuss.
• Italien: Die italienische Datenschutzbehörde schließt die Voruntersuchung zu ChatGPT ab. OpenAI muss eine sechsmonatige institutionelle Kommunikationskampagne durchführen und eine Geldstrafe von 15 Millionen Euro zahlen.

Aktuelle Gerichtsentscheidungen:

• LG Dortmund, Urteil vom 03.07.2024, Az. 6 O 277/23 (Volltext): Schadenersatzpflicht des Auftragsverarbeiters – Die Klägerin hat nicht nachvollziehbar dargelegt, dass die Beklagte Verantwortliche i. S. d. Art. 4 Nr. 7 DSGVO ist. Vielmehr ist davon auszugehen, dass die Beklagte lediglich IT-Systeme für die Verarbeitung zur Verfügung stellt. Damit ist die Beklagte als Auftragsverarbeiterin i. S. d. Art. 4 Nr. 8 DSGVO zu qualifizieren. Eine entsprechende Anwendung der Entscheidung des EuGH auf die Auftragsverarbeiterin kommt nicht in Betracht. Der EuGH begründet die den Verantwortlichen treffende Beweislast mit dem in Art. 5 Abs. 2 VO (EU) 2016/679 formulierten und in Art. 24 dieser Verordnung konkretisierten Grundsatz der Rechenschaftspflicht des Verantwortlichen. Eine solche Rechenschaftspflicht sieht die DSGVO jedoch nicht für den Auftragsverarbeiter vor.
• VG Berlin, Urteil vom 02.10.2024, Az. VG 1 K 251/22 (BeckRS 2024, 37114): Verwarnung wegen nichterteilter Auskunft - Anders als die Klägerin meint, stand der Verpflichtung zur Auskunftserteilung kein Zurückbehaltungsrecht nach § 273 Abs. 1 Bürgerliches Gesetzbuch (BGB) entgegen. Denn auf ein solches kann sich die Klägerin im Zusammenhang mit dem Auskunftsanspruch nach Art. 15 DSGVO nicht berufen. § 273 Abs. 1 BGB ist hier nach Überzeugung der Einzelrichterin nicht anwendbar.
• VG Berlin, Urteil vom 30.10.2024, Az. VG 1 K 428/21 (BeckRS 2024, 37118): Prüfpflicht der Aufsichtsbehörde - Erhebt eine betroffene Person eine datenschutzrechtliche Beschwerde, muss sich die zuständige Aufsichtsbehörde nach Art. 57 Abs. 1 lit. f) DSGVO mit der Beschwerde befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten. Nach diesen Maßgaben hat die Beklagte ihre Pflichten bei der Bearbeitung der Beschwerde der Klägerin erfüllt.
• OLG Dresden, Urteil vom 05.11.2024, Az. 4 U 729/24 (GRUR-RS 2024, 37190): Auftragsverarbeitung – Dem datenschutzrechtlich Verantwortlichen obliegt gegenüber dem Auftragsverarbeiter mit Beendigung des Verarbeitungsvertrags eine Kontrollpflicht über die Löschung der beim Verarbeiter angefallenen personenbezogenen Daten. Auf einen Exzess kann er sich nicht berufen, wenn er dieser Kontrollpflicht nicht genügt. Der Empfang von Spam-Nachrichten ohne weitere Folgen begründet keinen immateriellen Schaden.
• OLG Dresden, Hinweisbeschluss vom 12.11.2024, Az. 4 U 512/23 (BeckRS 2024, 37186): Recht auf Auskunft – Der Auskunftsanspruch eines Versicherungsnehmers in der privaten Krankenversicherung kann jedenfalls dann nicht auf Vorschriften der DSGVO gestützt werden, wenn er sich auch auf Unterlagen, Versicherungsscheine und Nachträge bezieht. Der auslösende Faktor für eine Beitragsanpassung ist kein personenbezogenes Datum.
• EuG, Urteil vom 08.01.2025, Rs. T-354/22 (Volltext): Drittlandsübermittlung - Die Kommission hat mit “Sign in with Facebook” die Voraussetzungen dafür geschaffen, dass eine Übermittlung von den Kläger betreffenden personenbezogenen Daten an ein Drittland stattfinden konnte, ohne die Voraussetzungen gemäß Art. 46 der Verordnung 2018/1725 zu beachten. Unter den Umständen des vorliegenden Falles hält das Gericht wegen des immateriellen Schadens, den die Kommission verursacht hat, eine Entschädigung in Höhe von 400 Euro für angemessen.
• EuGH, Urteil vom 09.01.2025, Rs. C-394/23 (Volltext): Datenminimierung – Die Geschlechtsidentität des Kunden ist keine für den Erwerb eines Fahrscheins erforderliche Angabe. Die Erhebung von Daten hinsichtlich der Anrede der Kunden ist nicht objektiv unerlässlich, insbesondere wenn sie darauf abzielt, die geschäftliche Kommunikation zu personalisieren.
• EuGH, Urteil vom 09.01.2025, Rs. C-416/23 (Volltext): Anfragen an die Datenschutzaufsichtsbehörde - Art. 57 Abs. 4 DSGVO ist dahin auszulegen, dass Anfragen nicht allein aufgrund ihrer Anzahl innerhalb eines bestimmten Zeitraums als „exzessiv“ im Sinne dieser Bestimmung eingestuft werden können, die Aufsichtsbehörde muss eine Missbrauchsabsicht der anfragenden Person nachweisen. Eine Aufsichtsbehörde kann bei exzessiven Anfragen wählen, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden, wobei sie alle relevanten Umstände berücksichtigen und sich vergewissern muss, dass die gewählte Option geeignet, erforderlich und verhältnismäßig ist. Die Entscheidung ist zu begründen.

Neuigkeiten aus den Aufsichtsbehörden:

• Datenschutzaufsicht Nordrhein-Westfalen: „Landesregierung muss Polizeivorschriften grundlegend überarbeiten“ – Pressemitteilung vom 07.01.2025
• Datenschutzaufsicht Berlin: „BlnBDI übernimmt Vorsitz der DSK 2025“ – Pressemitteilung vom 08.01.2025
• Datenschutzaufsicht Niedersachsen: „Elektronische Patientenakte für alle“ startet – Antworten auf die häufigsten Fragen“– Pressemitteilung vom 10.01.2025
• Datenschutzaufsicht Hessen: „Europäischer Datenschutztag 2025“ – Pressemitteilung vom 10.01.2025
• Datenschutzaufsicht Nordrhein-Westfalen: „Zwischen Hype und Horror – Kann die Verwaltung KI verantwortungsvoll einsetzen?“ – Pressemitteilung vom 10.01.2025