Datenschutzwoche

#151

Datenschutzkonferenz veröffentlicht Beschlüsse

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 11. September 2024 den Datenschutz im Kontext Künstlicher Intelligenz (KI) behandelt. Ein weiteres Thema waren Unternehmenskäufe und die Frage, unter welchen Bedingungen die Übertragung von Daten an den Erwerber zulässig ist.

Als Reaktion auf das Urteil des EuGH vom 26. Oktober 2023 (Az. C-307/22) fordert die DSK Änderungen der gesetzlichen Regelungen zur Patientenakte. Das Urteil spricht Patientinnen und Patienten das Recht auf eine kostenlose Erstkopie ihrer Akte zu.

Zur Präzisierung des Begriffs „wissenschaftliche Forschungszwecke“ fasste die DSK einen Beschluss, der Erleichterungen gemäß der DSGVO klarer definieren soll.

Die Termine der DSK-Sitzungen 2025:

29. Januar 2025 - 1. Zwischenkonferenz, Präsenz
18.-19. März 2025 - Vorkonferenz zur 109. DSK, Virtuell
25.-27. März 2025 - 109. DSK, Präsenz
25. Juni 2025 - 2. Zwischenkonferenz, Virtuell
17. September 2025 - 3. Zwischenkonferenz, Präsenz
11.-12. November 2025 - Vorkonferenz zur 110. DSK, Virtuell
18.-20. November 2025 - 110. DSK, Präsenz
28. Januar 2026 - Europäischer Datenschutztag, Präsenz

Anonymisierung und Pseudonymisierung von Daten sind voraussichtlich die Schwerpunktthemen des DSK-Vorsitzes im Jahr 2025.

Europäische Kommission: Initiative zu Standardvertragsklauseln

Die Europäische Kommission hat eine Initiative gestartet, um die bestehenden Standardvertragsklauseln zu erweitern. Die Standardvertragsklauseln der EU-Kommission können von Datenexporteuren in der EU in Verträgen mit Datenimporteuren in Drittländern außerhalb der EU verwendet werden. Die geplanten Ergänzungen sollen für Datenübermittlungen an Datenimporteure gelten, die zwar in einem Drittland ansässig sind, aber dennoch unmittelbar der DSGVO unterliegen. Öffentliche Konsultationen sind für das vierte Quartal 2024 geplant, die Annahme durch die Kommission ist für das zweite Quartal 2025 vorgesehen.

Internationale Nachrichten

Griechenland: Nach zahlreichen Beschwerden über unaufgeforderte politische E-Mails im Zusammenhang mit den Eurowahlen hat die griechische Datenschutzaufsichtsbehörde Bußgelder wegen unrechtmäßiger Übertragung von persönlichen Wählerdaten verhängt.
Europa: Die Europäische Kommission und der Europäische Datenschutzausschuss (EDPB) arbeiten zusammen, um die Wechselwirkungen zwischen dem Digital Markets Act (DMA) und DSGVO zu klären und Leitlinien zu erstellen.
Frankreich: Wegen Verstößen im Umgang mit sensiblen Daten hat die französische Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 80.000 Euro gegen ein Unternehmen für Softwareentwicklung verhängt.

Aktuelle Gerichtsentscheidungen:

LAG Baden-Württemberg, Urteil vom 05.03.2024, Az. (Volltext), Schadensersatz wegen unberechtigter Filmaufnahmen: Allein der Kontrollverlust über Daten stellt nicht automatisch einen immateriellen Schaden im Sinne von § 82 DSGVO dar. Vielmehr muss die Befürchtung, dass die Daten, über die der Anspruchsteller die Kontrolle verloren hat, missbräuchlich verwendet wurden, objektiv begründet sein. Dafür ist der Anspruchsteller darlegungs- und beweisbelastet.

LAG München, Entscheidung vom 08.04.2024, Az. 11 Ta 37/24 (Volltext), Auskunft nach Art. 15 DSGVO: Nach neuerer Rechtsprechung des EuGH (Urteil vom 12.01.2023, Rs. C-154/21) ist in der Auskunft die Identität der Empfänger mitzuteilen, es sei denn, es ist nicht möglich, die Empfänger zu identifizieren oder der Verantwortliche weist nach, dass die Anträge auf Auskunft offenkundig unbegründet oder exzessiv sind. Die geplante Dauer der Speicherung muss den einzelnen Kategorien der Daten zugeordnet werden.

VG Stuttgart, Urteil vom 20.06.2024, Az. 14 K 870/22 (Volltext), Datenschutz im Gerichtsverfahren: Wird die Personalakte eines Beamten in einem Rechtsstreit vom Gericht angefordert, verstößt der Versand der Akte an die beauftragte Rechtsanwaltskanzlei zur Vorlage an das Gericht nicht gegen Art. 9 Abs. 1 DSGVO, sondern ist nach Art. 9 Abs. 2 lit. b, f und h DSGVO gerechtfertigt.

BGH, Beschluss vom 30. Juli 2024, Az. AnwZ (Brfg) 13/24 (juris), Besonderes elektronisches Anwaltspostfach (beA): Die Einrichtung des beA ist ein Zweck i.S.v. Art. 14 Abs. 1 Buchst. c DSGVO, für den personenbezogene Daten von der beklagten Rechtsanwaltskammer verarbeitet werden. Vorliegend findet Art. 14 Abs. 1 Buchst. c DSGVO jedoch gemäß Art. 14 Abs. 5 Buchst. a DSGVO schon deshalb keine Anwendung, weil der Kläger bereits über die betroffene Information verfügte.

EuGH, Urteil vom 12.09.2024, Rs. C‑17/22 und C‑18/22 (Volltext), Rechtsgrundlagen nach Art. 6 DSGVO: Eine Verarbeitung kann nur dann auf ein berechtigtes Interesse gestützt werden, wenn sie zur Verwirklichung des berechtigten Interesses absolut notwendig ist und unter Würdigung aller relevanten Umstände die Interessen oder Grundrechte und Grundfreiheiten der betreffenden Gesellschafter gegenüber diesem berechtigten Interesse nicht überwiegen. Eine gesetzliche Verpflichtung kommt als Rechtsgrundlage auch in Betracht, wenn sie sich aus der Rechtsprechung eines Mitgliedstaats ergibt, sofern diese Rechtsprechung klar und präzise ist, ihre Anwendung für die Rechtsunterworfenen vorhersehbar ist und sie ein im öffentlichen Interesse liegendes Ziel verfolgt, zu dem sie in einem angemessenen Verhältnis steht.

Neuigkeiten aus den Aufsichtsbehörden:

Bundesbeauftragte für Datenschutz: „Symposium zur Polizeiarbeit“ – Veranstaltung und Pressemitteilung vom 10.09.2024
Datenschutzaufsicht Nordrhein-Westfalen: “Bundesweiter Warntag: So funktioniert das Warn-System Cell Broadcast“ - Mitteilung vom 12.09.2024

Weitere Ausgaben