Datenschutz­woche

Aufsichtsstruktur für die Durchsetzung des Data Act laut Landesdatenschutzbehörden europa- und verfassungswidrig

Die Datenschutzbehörden der Länder haben Bedenken gegen den DA-DG-Referentenentwurf zur nationalen Umsetzung der Verordnung (EU) 2023/2854 (Data Act) geäußert, den das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) und das Bundesministerium für Digitales und Verkehr vorgelegt haben. Streitpunkt ist die geplante Zuständigkeitsregelung: Dort wird in Art. 37 Abs. 1 Data Act die Bundesnetzagentur (BNetzA) als für die Anwendung und Durchsetzung des Data Act zuständige Behörde genannt. Die Zuständigkeit hinsichtlich der Aufsicht über die Verarbeitung personenbezogener Daten nach dem Data Act wird der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zugewiesen.

Die unabhängigen Datenschutzbehörden der Länder kritisieren in einer Stellungnahme diese „Sonderzuständigkeit“ der BfDI. Nach ihrer Einschätzung verstößt die Regelung gegen EU-Recht und die verfassungsrechtliche Kompetenzverteilung. Der Data Act sieht vor, dass für die datenschutzrechtliche Aufsicht die bereits bestehende Datenschutzaufsicht zuständig ist. Demnach wären die Landesdatenschutzbehörden im Rahmen ihres bereits zugewiesenen Aufgabenspektrums zur Kontrolle des Schutzes personenbezogener Daten gemäß DSGVO auch im Rahmen des Data Act die zuständigen Aufsichtsbehörden. Nach dem eindeutigen Wortlaut der Verordnung will der europäische Gesetzgeber eine Zersplitterung der Zuständigkeiten vermeiden. Die klare und abschließende Regelung im Data Act bietet keinen Anhaltspunkt für eine Befugnis der Mitgliedstaaten, abweichende Regelungen zu treffen. 

Auf Bedenken stößt auch, dass künftig eine Bundesbehörde die Datenverarbeitung der Landesbehörden überwachen soll. Dies widerspräche grundlegenden föderalen Ordnungsprinzipien. Zudem führt der Referentenentwurf zu Doppelstrukturen. Datenschutzfragen nach dem Data Act seien in vielen Fällen nicht trennscharf von denen der DSGVO zu unterscheiden. Im Ergebnis führe der Referentenentwurf dazu, dass in vielen Fällen neben der BfDI auch die Datenschutzbehörden der Länder zuständig sein werden. Für Unternehmen, Behörden und Betroffene ergibt sich damit das Gegenteil der beabsichtigten Zuständigkeitsvereinfachung: Es droht eine Doppelaufsicht durch eine Bundes- und eine Landesbehörde zum selben Sachverhalt.

Oberverwaltungsgericht NRW: Kein Anspruch auf End-to-End-Encryption

Das Oberverwaltungsgericht Nordrhein-Westfalen (OVG NRW) hat mit Urteil vom 20. Februar 2025 (Az. 16 B 288/23) entschieden, dass Betroffene keinen Anspruch auf die Übermittlung personenbezogener Daten unter Verwendung einer Ende-zu-Ende-Verschlüsselung haben. Im zugrunde liegenden Fall hatte der Antragsteller im Wege des einstweiligen Rechtsschutzes verlangt, dass eine öffentliche Stelle seine personenbezogenen Daten ausschließlich mit einer Ende-zu-Ende-Verschlüsselung oder einer vergleichbaren Technik elektronisch übermittelt. Das Verwaltungsgericht Köln lehnte den Antrag in erster Instanz ab (Az. 13 L 1467/22). 

Gegen diese Entscheidung legte der Antragsteller Beschwerde beim OVG NRW ein. Das OVG NRW bestätigte die Entscheidung der Vorinstanz und stellte fest, dass der Antragsteller weder aus Art. 18 Abs. 1 DSGVO noch aus Art. 32 Abs. 1 DSGVO einen Anspruch auf eine bestimmte Verschlüsselungstechnik ableiten kann. Die Behörde habe bereits angemessene Sicherheitsmaßnahmen implementiert, und der Antragsteller habe kein besonderes Risiko für seine personenbezogenen Daten dargelegt, das eine Ende-zu-Ende-Verschlüsselung erforderlich machen würde. 

Die Entscheidung des Gerichts verdeutlicht, dass Verantwortliche zwar verpflichtet sind, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen, jedoch keine generelle Verpflichtung zur Nutzung spezifischer Sicherheitsverfahren, wie der Ende-zu-Ende-Verschlüsselung, besteht.

Internationale Nachrichten

• Finnland: Die finnische Datenschutzbehörde verhängt ein Bußgeld in Höhe von 950.000 € gegen die Sambla Group. Bei einer technischen Untersuchung wurden schwerwiegende Datensicherheitsprobleme festgestellt. Der von dem für die Verarbeitung Verantwortlichen betriebene Kreditvergleichsdienst verfügte nicht über angemessene Beschränkungen, um zu verhindern, dass Dritte Zugang zu den in den Kreditanträgen enthaltenen Daten erhielten.
• EDPB: Der Europäische Datenschutzausschuss (EDPB) verabschiedete eine Erklärung zur Umsetzung der Richtlinie über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung terroristischer Straftaten und schwerer Kriminalität (PNR-Richtlinie). Die Erklärung enthält praktische Empfehlungen zur nationalen Umsetzung der PNR-Richtlinie unter Berücksichtigung des EUGH-Urteils C-817/19 „Ligue des droits humains gegen Conseil des ministres“ vom 21. Juni 2022.
• EDPB: Der Europäische Datenschutzausschuss (EDPB) unterstützt die Arbeit der derzeit stattfindenden Trilog-Sitzungen zur schnelleren, reibungsloseren und effizienteren Durchsetzung der DSGVO.

Gerichtsentscheidungen: 

• BGH, Urteil vom 28.01.2025, Az. VI ZR 109/23 (GRUR-RS 2025, 2632): Immaterieller Schadenersatz – Aus dem Vortrag des Klägers ergibt sich nicht, dass ihm durch die Verwendung seiner E-Mail-Adresse ohne Einwilligung zum Zweck der Zusendung einer Werbe-E-Mail ein immaterieller Schaden entstanden wäre. Es liegt weder ein auf dem gerügten Verstoß beruhender Kontrollverlust des Klägers über seine personenbezogenen Daten vor, noch ist die vom Kläger geäußerte Befürchtung eines Kontrollverlusts substantiiert dargelegt.
• OLG Stuttgart, Beschluss vom 25.02.2025, Az. 2 ORbs 16 Ss 336/24 (juris): Exzess – Die nicht dienstlich veranlasste Datenbankabfrage durch Behördenmitarbeitende (hier: Polizeiauskunftssystem „POLAS“) begründet eine Verantwortlichkeit gem. Art. 4 Nr. 7 DSGVO und stellt eine (unzulässige) Verarbeitung gem. Art. 4 Nr. 2 DSGVO dar.
• EuGH, Urteil vom 13.03.2025, Rs. C-247/23 (Volltext): Recht auf Berichtigung – Art. 16 DSGVO ist dahingehend auszulegen, dass eine natürliche Person verpflichtet sein kann, relevante und hinreichende Nachweise vorzulegen, die von ihr vernünftigerweise verlangt werden können, um die Unrichtigkeit von Daten bezüglich ihrer Geschlechtsidentität festzustellen. Dies dient der Ausübung ihres Rechts auf Berichtigung von in einem öffentlichen Register enthaltenen personenbezogenen Daten. Ein Mitgliedstaat darf die Ausübung dieses Rechts jedoch keinesfalls mittels Verwaltungspraxis davon abhängig machen, dass eine geschlechtsangleichende Operation nachgewiesen wird. 

Neuigkeiten aus den Aufsichtsbehörden: 

• Datenschutzaufsicht Thüringen: „Landesregierung beruft Digitalbeirat: Expertengremium für eine gelingende Digitalisierung in Thüringen“– Pressemitteilung vom 10.03.2025
• Landesdatenschutzbeauftragte Berlin: „Evidenzbasierte Gesetzgebung ist unverzichtbar“  – Pressemitteilung vom 11.03.2025
• Datenschutzaufsicht Hamburg: „Gastzugang im Onlinehandel – OLG Hamburg bestätigt HmbBfDI“ – Pressemitteilung vom 12.03.2025
• Bayerisches Landesamt für Datenschutzaufsicht: „Sicher online, clever dabei – Kinder im digitalen Zeitalter?“ – Pressemitteilung vom 13.03.2025
• Landesdatenschutzbeauftragte Berlin: „Aufsichtsstruktur für die Durchsetzung des Data Act in Deutschland ist verfassungs- und europarechtswidrig“ – Pressemitteilung vom 14.03.2025
• Datenschutzaufsicht Sachsen: „Landesdatenschutzbeauftragte kritisieren geplante Aufsichtsstruktur für die Durchsetzung des Data Act in Deutschland“ – Pressemitteilung vom 14.03.2025