Datenschutzwoche

#172

Muss Meta falsche „Zitate“ aktiv suchen und löschen?

Der Bundesgerichtshof hat sich am 18. Februar mit der Frage befasst, inwieweit Meta (ehemals Facebook) verpflichtet ist, falsche „Zitate“ nicht nur zu löschen, sondern auch präventiv ähnliche Rechtsverletzungen zu verhindern.

Im Zentrum des Verfahrens stand ein Meme, das der Grünen-Politikerin Renate Künast fälschlich die Äußerung zuschreibt "Integration fängt damit an, dass man als Deutscher Türkisch lernt". Dieses angebliche Zitat wurde in verschiedenen Varianten auf Meta (damals noch Facebook) veröffentlicht und geteilt. Künast klagte daraufhin auf Unterlassung und Schadensersatz. Darüber hinaus wollte sie erreichen, dass Meta auch alle kerngleichen Varianten des Memes löscht, ohne noch einmal auf die jeweiligen Posts hinweisen zu müssen. Der BGH hat nun entschieden, das Verfahren teilweise auszusetzen und den Europäischen Gerichtshof (EuGH) anzurufen.

Eine zentrale Frage des Verfahrens ist die Klärung der Konkurrenz zwischen der DSGVO und dem Digital Services Act (DSA). Nach Art. 17 DSGVO haben Betroffene "das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen“. Art. 17 DSGVO steht jedoch im Widerspruch zu den Regelungen in Art. 6, 8 DSA, wonach „für Anbieter von Vermittlungsdiensten keine allgemeine Verpflichtung besteht, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder aktiv nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen“.

Sollte der EuGH Art. 17 DSGVO für anwendbar halten, hätte dies weitreichende Konsequenzen für den Umgang mit Persönlichkeitsrechtsverletzungen auf Social-Media-Plattformen.

EuGH: Bußgeld richtet sich nach Gesamtkonzernumsatz

Der Europäische Gerichtshof (EuGH) hat am 13. Februar 2025 entschieden, dass sich die Bußgeldobergrenze bei Datenschutzverstößen nach dem weltweiten Jahresumsatz des Gesamtkonzerns bemisst.

Vorangegangen war die Frage, ob der Unternehmensbegriff in Art. 83 Abs. 4 bis 6 DSGVO im Sinne des Kartellrechts zu verstehen ist und ob bei der Bestimmung der Bußgeldhöhe der weltweite Jahresumsatz der wirtschaftlichen Einheit, zu der das Unternehmen gehört, maßgeblich ist. Beide Fragen hat der EuGH im vorliegenden Fall bejaht. Demnach kann die maximal mögliche Geldbuße bis zu 4% des gesamten weltweiten Jahresumsatzes des Konzerns betragen. Unter einem Unternehmen im Sinne des Art. 83 Abs. 4 bis 6 DSGVO ist demnach eine wirtschaftliche Einheit zu verstehen, auch wenn diese in rechtlicher Hinsicht aus mehreren natürlichen oder juristischen Personen besteht.

Diese Entscheidung wirkt weit über den Anwendungsbereich der DSGVO hinaus. Auch die KI-Verordnung, der Digital Markets Act und der Digital Services Act enthalten ähnliche Bußgeldbestimmungen, für die das vorliegende Urteil maßgebend sein wird.

Internationale Nachrichten

USA: Meta hat in einem Rechtsstreit vor dem kalifornischem District Court eingestanden, urheberrechtlich geschützte Inhalte per BitTorrent beschafft und KI-Modelle damit trainiert zu haben. Gleichzeitig versicherte Meta, man habe alle Vorkehrungen getroffen, damit die heruntergeladenen Daten nicht „seeden“. Der Begriff "seeden" stammt aus der BitTorrent-Technologie und bedeutet, dass eine Person oder ein System bereits heruntergeladene Dateien anderen Nutzern wieder zum Download zur Verfügung stellt. BitTorrent gewährt kostenfreien Zugriff auf urheberrechtlich geschützte Literatur.
Großbritannien: Europa muss digital souverän und strategisch unabhängiger von US-Diensten werden. Dies bekräftigt eine neue Untersuchung von Broadcom. Der Bericht "Sovereign Cloud for Europe" von Johan David Michels von der Queen Mary University of London betont die Notwendigkeit klarer Standards für Datensouveränität, um Innovationen zu fördern und rechtliche Unsicherheiten zu reduzieren. Dahinter steht die Befürchtung, dass ausländische Regierungen auf die Daten zugreifen und dadurch gegen die DSGVO verstoßen könnten.

Aktuelle Gerichtsentscheidungen

VG Düsseldorf, Urteil vom 11.11.2024, Az. 29 K 4853/22 (Volltext): Recht auf Beschwerde – Um bewerten zu können, ob eine Datenverarbeitung rechtswidrig ist und ob aufsichtsrechtliche Maßnahmen zu ergreifen sind, muss die Aufsichtsbehörde den Sachverhalt ermitteln und alle zur Ermittlung und Überprüfung des Verstoßes erforderlichen Umstände aufklären. Dazu gehört auch die Klärung, wer den möglichen Datenschutzverstoß begangen hat. Denn wenn der Verantwortliche für die Rechtsverletzung nicht feststeht, kommen Abhilfebefugnisse der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO mit dem Ziel, den Verstoß abzustellen, von vornherein nicht in Betracht.
LG Rostock, Urteil vom 20.11.2024, Az. 2 O 450/24 (BeckRS 2024, 41062): E-Mail-Sicherheit – Gegen die Verletzung einer Schutzpflicht spricht vorliegend schon die Überlegung, dass es dem beiderseitigen Parteiwillen entsprochen haben dürfte, für die Kommunikation zur Abwicklung des Vertrages E-Mails zu benutzen. Dass E-Mails ein unsicherer Übertragungsweg und anfällig für externe Angriffe sind, ist seit Jahren allgemein bekannt. Wird E-Mail-Verkehr zwischen den Parteien genutzt, existieren grundsätzlich keine Vorgaben für Sicherheitsvorkehrungen insoweit. [...] Eine Pflichtverletzung lässt sich nach derzeitigem Stand auch nicht ohne Weiteres aus den Vorschriften der DSGVO ableiten, weil diese sich vom Anwendungsbereich auf den Schutz personenbezogener Daten bezieht.
OLG Hamm, Urteil vom 18.12.2024, Az. 11 U 168/23 (GRUR-RS 2024, 41292): Immaterieller Schadenersatz – Ein erst durch den streitgegenständlichen Scrapingvorfall enstandener Kontrollverlust lässt sich damit vor diesem Hintergrund zur tatrichterlichen Überzeugung des Senats im vorliegenden Einzelfall nicht feststellen. Das Risiko, dass Dritte die streitgegenständlichen Daten des Klägers nicht datenschutzkonform behandeln könnten, hat sich demnach vielmehr bereits vor dem Scraping-Vorfall verwirklicht.
Brandenburgisches Oberlandesgericht, Beschluss vom 23.01.2025, Az. 3 W 113/24 (juris): Aufbewahrungsfrist für Kontoauszüge – Für Bankunterlagen wie Kontoauszüge und Überweisungsbelege gelten die §§ 257 und § 239 HGB, weil Bank- und Kreditinstitute Kaufleute i. S. v. §§ 1, 6 HGB iVm § 1 KWG sind. Daher müssen diese Unterlagen spätestens nach Ablauf von zehn Jahren gelöscht bzw. vernichtet werden, da danach eine Datenverarbeitung nach Art. 5 DSGVO nicht mehr rechtmäßig wäre. Somit können Kontoauszüge regelmäßig nur innerhalb dieser Zehnjahresfrist von Kunden der Bank angefordert werden.
BGH, Urteil vom 28.01.2025, Az. VI ZR 183/22 (juris): Immaterieller Schadenersatz – Die zulässige Revision der Beklagten hat keinen Erfolg. Zwar sind die Erwägungen, mit denen das Berufungsgericht den immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO mit 500 € bemessen hat, rechtsfehlerhaft. Entgegen der Ansicht der Revision hätte das Berufungsgericht bei der Bemessung des Schadensersatzes einer abschreckenden Wirkung aber nicht noch größeres Gewicht einräumen müssen. Es hätte diese vielmehr überhaupt nicht, sondern ausschließlich eine Ausgleichsfunktion des Schadensersatzes berücksichtigen dürfen. Dass sich dieser Rechtsfehler zum Nachteil der Beklagten ausgewirkt hätte, ist aber nicht ersichtlich.
OLG Koblenz, Urteil vom 11.02.2025, Az. 3 U 145/24 (GRUR-RS 2025, 2048): Immaterieller Schadenersatz – Der Annahme eines Kontrollverlusts an einem persönlichen, in einem sozialen Netzwerk nicht öffentlich einsehbaren Datum durch einen Scraping-Vorfall steht nicht entgegen, dass der Nutzer dieses Datum schon außerhalb des Netzwerks bestimmten, von ihm bewusst ausgewählten, Empfängern bekannt gemacht hat.

Neuigkeiten aus den Aufsichtsbehörden

Datenschutzaufsicht Baden-Württemberg: „Neue BIDIB Schulungen“ – Presseinformation mit Stand vom 17.02.2025
Datenschutzaufsicht Rheinland-Pfalz: „Aktionsplan 2025: „Better safe than sorry“ – Ermöglichen und Steuern durch Datenschutz“ – Pressemitteilung vom 17.02.2025
Datenschutzaufsicht Berlin: „Newsletter 1/2025“ – Pressemitteilung vom 18.02.2025
Datenschutzaufsicht Hamburg: „Kunst oder Übergriff? Wann Straßenfotografie zum Rechtsverstoß wird“ – Pressemitteilung vom 19.02.2025
Datenschutzaufsicht Nordrhein-Westfalen: „KI ist eine der großen Herausforderungen der Zukunft – Veranstaltung der Datenschutzbeauftragten stößt auf großes Interesse“ – Pressemitteilung vom 19.02.2025
Datenschutzaufsicht Hessen: „Prüfverfahren gegen DeepSeek eingeleitet“ – Pressemitteilung vom 20.02.2025
Datenschutzaufsicht Mecklenburg-Vorpommern: „Medienscouts MV räumen ab: ITEC Cares Award 2025“ – Pressemitteilung vom 21.02.2025
Datenschutzaufsicht Niedersachsen: „LfD Niedersachsen weist auf Risiken bei der Nutzung der KI-App DeepSeek hin“ – Pressemitteilung vom 21.02.2025

Weitere Ausgaben