Datenschutz­woche

#200

DSK I: Polizeiliche Datenanalysen müssen verfassungskonform sein

Auf ihrer jüngsten Konferenz befasste sich die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, mit dem Einsatz automatisierter Datenanalysen durch Polizeibehörden. Die veröffentlichte Entschließung nennt grundlegende Anforderungen, von denen viele auf der Rechtsprechung des Bundesverfassungsgerichts beruhen:

  1. Kein Einsatz komplexer Datenanalyseverfahren ohne spezifische Rechtsgrundlage: Bestehende Rechtsgrundlagen tragen den Besonderheiten komplexer Analysemethoden mitunter nicht ausreichend Rechnung. Dann trifft den Gesetzgeber die Pflicht, die wesentlichen Grundlagen selbst durch spezifische gesetzliche Vorschriften vorzugeben.
  2. Die gesetzliche Grundlage muss verfassungsrechtlichen Maßstäben genügen: Ausgehend von der aktuellen höchstrichterlichen Rechtsprechung zum behördlichen Einsatz automatisierter Datenanalysen muss sich jede Rechtsgrundlage an diesen Maßstäben messen lassen.
  3. Die digitale Souveränität muss bei der Auswahl von Verfahren gewährleistet werden: Zu diesen Anforderungen gehört der Ausschluss von Zugriffen aus oder Datentransfers in Drittstaaten, deren Rechtsordnung nicht mit dem europäischen Recht vereinbar ist. Darüber hinaus verlangt die digitale Souveränität die Nachvollziehbarkeit und die Beherrschbarkeit der Datenverarbeitung sowie die langfristige Vorhersehbarkeit und Verlässlichkeit des Angebots.
  4. Projekt P20 als Chance für den Datenschutz nutzen: In diesem Projekt besteht die Möglichkeit, datenschutzkonforme Auswertungs- und Analysetools zu entwickeln. Nach Einschätzung der DSK können auf dem Markt angebotene umfassende Analysetools die im Projekt zu realisierenden Anforderungen an einen verfassungsgemäßen Austausch von Daten zwischen Bund und Ländern nicht ohne erheblichen Aufwand erfüllen.

DSK II: Drittlandübermittlungen zu Forschungszwecken

Die DSK beschloss eine Orientierungshilfe zu Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken. Hier ist die vertiefte Auseinandersetzung mit der seit Langem umstrittenen Rechtsgrundlage „Broad Consent“ erkennbar. „Broad Consent“ wird in Erwägungsgrund 33 der DSGVO beschrieben und gilt als Ausnahme vom Zweckbindungsgrundsatz aus Art. 5 Abs. 1 lit. b DSGVO.

Die Orientierungshilfe ist zweistufig aufgebaut: Zunächst werden die möglichen Rechtsgrundlagen nach Art. 6 und den zusätzlichen Anforderungen für besondere Datenkategorien aus Art. 9 DSGVO analysiert und anschließend die Voraussetzungen von Kapitel V DSGVO bewertet (z. B. Angemessenheitsbeschluss, Standardvertragsklauseln einschließlich Transfer Impact Assessment und ggf. Zusatzmaßnahmen). 

Flankierend veröffentlichte die DSK Empfehlungen, die Verantwortlichen helfen sollen, ihre Informationspflichten nach Art. 13/14 DSGVO bei Drittlandübermittlungen zu erfüllen. Die Empfehlungen präzisieren die nach Art. 13 Abs. 1 lit. f und Art. 14 Abs. 1 lit. f DSGVO erforderlichen Angaben. Zudem werden die nach Art. 46 ff. DSGVO erforderlichen Angaben und Pflichten präzisiert.

Internationale Nachrichten

  • Irland: Eine Undercover-Recherche des irischen Senders RTÉ Prime Time hat aufgedeckt, dass Bewegungsdaten von zehntausenden Smartphones in Irland frei käuflich sind. Ein Datenhändler stellte den Journalisten eine Probe mit den Bewegungen von 64.000 Geräten über zwei Wochen kostenlos zur Verfügung. Diese Daten zeigten minutengenau Bewegungen bis auf Wohnungsebene und ließen Rückschlüsse auf sensible Orte wie Gefängnisse, Militärbasen oder Gesundheits- und Therapieeinrichtungen zu. Obwohl die Anbieter auf angebliche Anonymisierung und App-Nutzungsbedingungen verweisen, gelang es RTÉ, einzelne Personen eindeutig zu identifizieren und deren Tagesabläufe – inklusive Arbeitswegen, Einkäufen und Freizeitaktivitäten – nachzuvollziehen. Die Irish Council for Civil Liberties (ICCL) wies bereits 2017 und erneut 2020 Behörden auf den illegalen Handel mit sensiblen Nutzerprofilen hin. Die ICCL kaufte RTB-Daten und fand Profile von etwa 200 als Überlebende sexuellen Missbrauchs markierten Personen. Die Ergebnisse wurden der Data Protection Commission (DPC) und der damaligen Justizministerin Helen McEntee übergeben, jedoch ohne dass dies Konsequenzen hatte. Die irische Datenschutzkommission zeigt sich äußerst besorgt und prüft nun mögliche Maßnahmen gegen den Datenhändler.
  • Finnland: Die finnische Datenschutzaufsicht hat der S-Bank ein Bußgeld von 1,8 Millionen Euro auferlegt. Grund war eine Sicherheitslücke in der App S-Mobiili: Von April bis August 2022 waren die Zugangsdaten zum Banking nicht ausreichend gesichert. Mehrere Personen erlitten dadurch finanzielle Schäden, die die Bank erstattete.
  • Europarat: Der Europarat hat einen Entwurf für Leitlinien zum Schutz der Privatsphäre bei der Arbeit mit großen Sprachmodellen (Large Language Models, LLM) veröffentlicht. Ziel ist es, Datenschutz- und Menschenrechtsprinzipien entlang des gesamten Lebenszyklus solcher Systeme verbindlich zu verankern. Die Leitlinien richten sich an Personen und Organisationen, die diese Modelle entwickeln, betreiben und regulieren. Sie fordern eine risikobasierte Methodik, Transparenz und wirksame Governance-Mechanismen. Damit soll sichergestellt werden, dass Innovation im Bereich KI mit Grundrechten, Demokratie und Rechtsstaatlichkeit im Einklang steht.
  • Deutschland: Eine Allianz aus NGOs, Medienverbänden und Digitalwirtschaft hat bei der Bundesnetzagentur eine förmliche Beschwerde gegen Googles „AI Overviews“ eingereicht. Nach Ansicht der Beschwerdeführer verstößt die Integration KI-generierter Antworten in die Google-Suche gegen den Digital Services Act (DSA). Die Allianz warnt, Google entziehe unabhängigen Medien Reichweite und Werbeeinnahmen, indem Inhalte direkt in den Suchergebnissen zusammengefasst werden. Zudem bestehe durch Intransparenz und mögliche Fehlinformationen ein Risiko für Medienvielfalt und demokratischen Diskurs.
  • Europäische Kommission: Die EU-Kommission hat eine Konsultation zum „Digital Omnibus“ eröffnet. Der „Omnibus“ ist Teil der Bestrebungen der europäischen Kommission, regulatorische Anforderungen zu vereinfachen, ohne den Schutz von Grundrechten zu schwächen. Geplant ist die Lockerung von Regeln beim Umgang mit Daten und Cookies, die Vereinfachung von Meldepflichten bei Cybervorfällen sowie rechtliche Klarstellungen zur Anwendung der KI-VO und der EU-Digitalidentität. Besonders kleine und mittlere Unternehmen sollen von reduzierten Anforderungen profitieren. Anspruchsgruppen aus Wirtschaft, Zivilgesellschaft und Verwaltung sind eingeladen, bis Ende 2025 Rückmeldungen zu geben.

Aktuelle Gerichtsentscheidungen

  • ArbG Köln, Urteil vom 10.09.2024, Az. 4 Ca 2665/24 (Volltext): Immaterieller Schadenersatz – Die Beklagte ist verpflichtet, dem Kläger eine Entschädigung in dieser Höhe gemäß Art. 82 Abs. 1 DSGVO zu zahlen, weil sie diesen entgegen Art. 14 Abs. 1 lit. d DSGVO nicht über die Kategorie der von ihr im Rahmen des Auswahlverfahrens verarbeiteten Daten informiert hat, nämlich der Tatsache, dass sie über das Internet Informationen über eine strafrechtliche Verurteilung des Klägers durch das Landgericht München eingeholt und diese nach eigenen Angaben auch verwertet hat. [...] Da es sich im hiesigen Fall bei der Beklagten nicht um einen öffentlichen Arbeitgeber handelte, hielt die Kammer eine Entschädigung von 500 EUR für ausreichend.
  • BAG, Urteil vom 05.06.2025, Az. 8 AZR 117/24 (Volltext): Immaterieller Schadenersatz – Zugunsten des Klägers kann unterstellt werden, dass ihm nicht nur – wie vom Landesarbeitsgericht angenommen – ein Anspruch auf Zahlung immateriellen Schadenersatzes gemäß Art. 82 Abs. 1 DSGVO wegen eines Verstoßes der Beklagten gegen ihre Informationspflichten aus Art. 14 Abs. 1 Buchst. d DSGVO zusteht, sondern die Beklagte bereits die Daten über das gegen den Kläger anhängige Strafverfahren mangels Eingreifens eines Erlaubnistatbestands iSv. Art. 6 und Art. 10 DSGVO unter Verstoß gegen Bestimmungen der Datenschutzgrundverordnung erhoben hat, und demzufolge mehrere Verstöße gegen die Verordnung vorliegen. Dies führt aber nicht dazu, dass der vom Landesarbeitsgericht festgesetzte Entschädigungsbetrag rechtsfehlerhaft bemessen wäre.
  • VG Stade, Beschluss vom 07.08.2025, Az. 10 A 624/24 (juris): Zuständigkeit – Der Kläger begehrt den Ersatz eines Verzugsschadens für eine verspätete Antwort auf ein Auskunftsbegehren nach Art. 15 der Datenschutzgrundverordnung (DSGVO). Der Verwaltungsrechtsweg ist für das von dem Kläger verfolgte Begehren nicht eröffnet. Ein Anspruch auf Ersatz eines Verzugsschadens, der vom Berechtigten aus einem öffentlich-rechtlichen Verhältnis von anderer als vertraglicher Art hergeleitet wird, muss gem. § 40 Abs. 2 VwGO im ordentlichen Rechtsweg geltend gemacht werden (vgl. BVerwG, Urteil vom 17. Februar 1971 – IV C 86.68 –, BVerwGE 37, 231-239, Rn. 17, juris), zumindest wenn wie hier nur noch dieser Schadensersatz geltend gemacht wird (vgl. BVerwG, Urteil vom 17. Februar 1971 – IV C 86.68 –, BVerwGE 37, 231-239, Rn. 21, juris).

Neues aus den Aufsichtsbehörden