Datenschutzwoche
EU-Kommission veröffentlicht Leitlinien zum Schutz von Minderjährigen im digitalen Raum
Am 14. Juli 2025 hat die EU-Kommission Leitlinien zum Schutz von Minderjährigen im digitalen Raum veröffentlicht. Sie sollen eine sichere Online-Umgebung für Kinder und Jugendliche schaffen und die Vorgaben des Digital Services Act (DSA) konkretisieren.
Zwar sind die Empfehlungen rechtlich nicht verbindlich, sie dienen jedoch als Referenz für Plattformen und nationale Behörden bei der Umsetzung und Kontrolle von Schutzmaßnahmen für Minderjährige.
Die Leitlinien enthalten eine Liste von Maßnahmen, die Minderjährige vor schädlichen Inhalten, Grooming, Cybermobbing, suchtgefährdenden Mechanismen und manipulativen Geschäftspraktiken schützen sollen. Dazu zählen standardmäßig private Kontoeinstellungen, kindgerechte Voreinstellungen bei Empfehlungssystemen, ein besserer Schutz vor ungewollten Kontakten sowie die Einschränkung von Funktionen, die eine exzessive Nutzung fördern könnten. Heranwachsende sollen außerdem vor kommerzieller Ausnutzung geschützt werden, etwa durch intransparente Werbung, virtuelle Währungen oder Lootboxen.
Zudem empfehlen die Leitlinien den Einsatz verlässlicher und nicht diskriminierender Methoden zur Altersverifikation. Künftig soll dazu die EU-Digital Identity Wallet eingesetzt werden. Die Wallet soll den Bürgerinnen und Bürgern ermöglichen, ihre digitale Identität EU-weit zu nutzen und zu verwalten. Ergänzend hat die Kommission einen Prototyp für eine datenschutzfreundliche App zur Altersverifizierung. Mithilfe dieser App soll es möglich sein, das Alter zuverlässig und anonym nachzuweisen, beispielsweise beim Zugang zu altersbeschränkten Inhalten. Dabei werden persönliche Daten oder das Nutzerverhalten weder offengelegt noch nachverfolgt.
ICO: Erklärung nach Datenabfluss im Verteidigungsministerium
Das britische Information Commissioner‘s Office veröffentlichte in der vergangenen Woche eine Erklärung zum Vorgehen der Datenschutzaufsichtsbehörde gegenüber dem Verteidigungsministerium (MoD).
Vorausgegangen war eine schwerwiegende Datenschutzverletzung. 2022 waren personenbezogene Daten von mehr als 18.000 Antragstellern des „Afghan Relocations and Assistance Policy“-Programms (ARAP) abgeflossen. Das MoD hatte daraufhin ein Umsiedlungsprogramm mit Kosten von rd. 850 Millionen britische Pfund für die Antragsteller aufgelegt. Um eine Berichterstattung zu unterbinden, erwirkte das MoD eine fast zweijährige Sperrverfügung, die in der vergangenen Woche aufgehoben worden war.
Die Behörde hat zwei Jahre lang intensiv geprüft, wie es zu dem Datenabfluss kam, welche Maßnahmen das Verteidigungsministerium zur Vermeidung künftiger Vorfälle ergriffen hat und ob weitere Untersuchungen sinnvoll sind. Nach sorgfältiger Abwägung kam die ICO zu dem Schluss, dass das MoD die Ursache des Lecks identifiziert und Maßnahmen zur Schadensbegrenzung ergriffen hat.
Internationale Nachrichten
Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL hat einen Leitfaden zur datenschutzkonformen Reichweitenmessung veröffentlicht. Darin wird erklärt, unter welchen Bedingungen Analyse-Cookies auch ohne vorherige Einwilligung zulässig sind. Dies ist laut CNIL möglich, wenn die Cookies ausschließlich zur anonymen Reichweitenanalyse im Interesse des Website- oder App-Betreibers dienen, keine Daten an Dritte weitergegeben werden, kein Profiling oder Cross-Site-Tracking erfolgt, die Speicherdauer begrenzt ist und die Nutzer transparent in der Datenschutzerklärung informiert werden.
Die Orientierungshilfe richtet sich vor allem an Betreiber, die Analysefunktionen rechtskonform und ohne Cookie-Banner einsetzen möchten.
Italien: Die italienische Datenschutzaufsichtsbehörde (GPDP) hat das Unternehmen Autostrade per l’Italia wegen eines Datenschutzverstoßes mit einem Bußgeld von 420.000 Euro belegt. Anlass war die Beschwerde einer Mitarbeiterin, deren private Inhalte aus Facebook, Messenger und WhatsApp vom Arbeitgeber im Rahmen eines disziplinarischen Verfahrens verwendet worden waren.
Die Behörde stellte fest, dass die Inhalte aus privaten Kommunikationskanälen oder eingeschränkt zugänglichen digitalen Umgebungen stammten und daher nicht hätten verwendet werden dürfen. Ihre Nutzung verstieß gegen zentrale Datenschutzgrundsätze wie Rechtmäßigkeit, Zweckbindung und Datenminimierung.
Auch wenn personenbezogene Daten online zugänglich seien, dürften sie nicht beliebig weiterverwendet werden. Da keine geeignete Rechtsgrundlage für die Verarbeitung bestand, erklärte die GPDP das Vorgehen des Unternehmens für unrechtmäßig.
Aktuelle Gerichtsentscheidungen
- LAG Baden-Württemberg, Urteil vom 14.01.2025, Az. 15 Sa 22/24 (BeckRS 2025, 14707): Eingliederungsmanagement – Dem Arbeitnehmer muss mitgeteilt werden, welche Krankheitsdaten – als sensible Daten im Sinne des Datenschutzrechts – erhoben und gespeichert und inwieweit und für welche Zwecke sie dem Arbeitgeber zugänglich gemacht werden.
- ArbG Berlin, Urteil vom 29.01.2025, Az. 48 Ca 3070/24 (BeckRS 2025, 14694): Immaterieller Schadenersatz – Dem Kläger steht eine Entschädigung gemäß Artikel 82 Absatz 1 DSGVO zu. Unter Abwägung aller Umstände erscheint ein Betrag von 200 EUR als angemessen und ausreichend. [...] Da die Dienstpläne aber im Betrieb ausgehängt waren, wo sie von Kollegen des Klägers während seiner Krankheit fotografiert wurden, hat die Kammer es im Rahmen der gebotenen Gesamtwürdigung für plausibel befunden, dass durch den betriebsöffentlichen Aushang tatsächlich ein unangenehmes Gefühl beim Kläger entstanden ist.
- VG Hannover, Urteil vom 19.03.2025, Az. 10 A 5385/22 (GRUR-RS 2025, 10472): Anforderungen an die Gestaltung eines Cookie-Banners – Der Landesbeauftragte für den Datenschutz ist nach § 20 Abs. 1 NDSG in Verbindung mit Art. 58 DSGVO befugt, die Einhaltung des § 25 TTDSG als „andere datenschutzrechtliche Bestimmung“ zu überwachen.
- LAG Niedersachsen, Urteil vom 09.05.2025, Az. 14 SLa 719/24 (juris): Immaterieller Schadenersatz – Der Kläger trägt schon nicht vor, dass seine Kollegen auf der Magnettafel von Umständen erfuhren, die ihnen nicht ohnehin bekannt waren, denn schließlich war er von ihnen jahrelang unmittelbar oder mittelbar zu vertreten. Davon unabhängig macht er zwar umfangreiche Rechtsausführungen und behauptet gar pauschal eine angeblich schwerwiegende Persönlichkeitsverletzung, legt aber nicht dar, was konkret er befürchtet, welche Folgen die Darstellung der An- und Abwesenheitszeiten und die grob durch verschiedenfarbige Magnete dargestellten Abwesenheitsgründe auf der Tafel für ihn haben könnten.
- VG Köln, Beschluss vom 17.06.2025, Az.1 L 1930/22 (BeckRS 2025, 16815): Gewöhnlich gegen Entgelt – Gemäß Erwägungsgrund 16 EKEK stellen Nutzerdaten für die Marktbeteiligten zunehmend einen Geldwert dar. Das Entgeltkonzept des EKEK und seiner Umsetzungen müsse daher Fälle umfassen, in denen der Anbieter eines Dienstes personenbezogene Daten im Sinne der DSGVO oder sonstige Daten anfordert und der Endnutzer diese Daten dem Anbieter wissentlich auf direkte oder indirekte Weise zur Verfügung stellt.
- EuG, Urteil vom 16.07.2025, Rs. T-183/23 (Volltext): Zugang zur vorbereitenden Akte für den verbindlichen Beschluss des EDSA – Die Entscheidung des Europäischen Datenschutzausschusses vom 7. Februar 2023 wird für nichtig erklärt, soweit mit ihr der Antrag der Klägerin gemäß Art. 41 Abs. 2 Buchst. b der Charta der Grundrechte der Europäischen Union auf Zugang zur vorbereitenden Akte des Europäischen Datenschutzausschusses für seinen verbindlichen Beschluss 3/2022 über den von der Data Protection Commission (Datenschutzbehörde, Irland) vorgelegten Rechtsstreit betreffend die Meta Platforms Ireland Ltd abgelehnt wird.
Neuigkeiten aus den Aufsichtsbehörden
- Datenschutzaufsicht Bremen: „Datenverarbeitungen durch Systeme zur automatischen Kennzeichenerfassung“ – Pressemitteilung vom 16.07.2025
- Datenschutzaufsicht Mecklenburg-Vorpommern: „Lieber den LfDI MV im Haus als eine Datenpanne“ – Pressemitteilung vom 17.07.2025
- Datenschutzaufsicht Nordrhein-Westfalen: „Gesundheitsdaten von Beschäftigten: Das dürfen Arbeitgeber*innen tun und wissen“ – Pressemitteilung