Datenschutz­woche

O'Carroll vs. Meta – „A victory for privacy“

Das Unternehmen Meta, Eigentümer von Facebook und Instagram, hat zugestimmt, einer britischen Bürgerin keine personalisierte Werbung mehr anzuzeigen. Die Menschenrechtsaktivistin Tanya O’Carroll hatte 2022 Klage gegen Meta eingereicht. Sie argumentierte, dass das Unternehmen gegen britische Datenschutzgesetze verstoße, indem es ihre Aufforderung ignoriere, das Sammeln und Verarbeiten ihrer Daten für zielgerichtete Werbung zu unterlassen. 

Nach Artikel 21 Abs. 2 der UK General Data Protection Regulation – welcher ein Pendant zu Art. 21 Abs. 2 DSGVO darstellt – haben betroffene Personen jederzeit das Recht, Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke gezielter Direktwerbung einzulegen. Diese Position wurde von der britischen Datenschutzbehörde unterstützt. Meta hatte argumentiert, ihr Werbesystem richte sich nicht direkt an Einzelpersonen, sondern an Gruppen, und falle daher nicht unter die Bestimmung. 

Der Fall wurde nun nur wenige Tage vor seinem Gerichtstermin beigelegt. Infolge dieser Einigung prüft Meta nun die Einführung einer kostenpflichtigen, werbefreien Version seiner Plattformen für britische Nutzende. Ein Unternehmenssprecher erklärte, dass Meta bestrebt sei, den Nutzenden mehr Kontrolle über ihre Werbeerlebnisse zu bieten, und daher verschiedene Optionen in Betracht ziehe.

OLG Stuttgart: Datenschutzverletzung und Mitarbeiterexzess

Das Oberlandesgericht (OLG) Stuttgart hat sich in seinem Beschluss vom 25.02.2025 (Az. 2 ORbs 16 Ss 336/24) mit dem sogenannten Mitarbeiterexzess im Datenschutzrecht befasst. Es hat festgestellt, dass die nicht dienstlich veranlasste Datenbankabfrage durch Beschäftigte eine eigene Verantwortlichkeit nach der Datenschutzgrundverordnung (DSGVO) begründet. 

Im konkreten Fall hatte das Amtsgericht (AG) Stuttgart einen Polizeibeamten wegen der rechtswidrigen Verarbeitung personenbezogener Daten zu einer Geldbuße von 1.500 Euro verurteilt. Der Beamte hatte ohne dienstlichen Anlass das polizeiliche Auskunftssystem „POLAS“ genutzt, um Daten über einen damaligen Kollegen abzurufen. Das AG Stuttgart hatte den Polizeibeamten als Verantwortlichen nach Art. 4 Nr. 7 DSGVO angesehen. Das OLG Stuttgart hat die Entscheidung der Vorinstanz bestätigt und die Rechtsbeschwerde als unbegründet verworfen. Zur Begründung führt das Gericht aus, dass die Einordnung des Polizeibeamten als Verantwortlicher ebenso wenig zu beanstanden sei wie die Einordnung seines Verhaltens als unzulässige Datenverarbeitung. 

Das OLG folgte in seiner Entscheidung den Leitlinien des Europäischen Datenschutzausschusses, wonach ein Beschäftigter, der Daten für eigene Zwecke verarbeitet, als Verantwortlicher gilt. Beschäftigte, die personenbezogene Daten zu Zwecken außerhalb ihrer dienstlichen Tätigkeit abrufen, entziehen sich der Aufsicht und Leitung ihrer Vorgesetzten und treffen eigene Entscheidungen über die Zwecke und Mittel der Datenverarbeitung. Sie handeln damit nicht weisungswidrig, sondern überhaupt nicht dienstlich. Es liegt ein Mitarbeiterexzess vor. 

Hat ein Arbeitgeber alle erforderlichen Maßnahmen ergriffen, um einen solchen Mitarbeiterexzess zu verhindern, kommt eine Haftungsbefreiung in Betracht. Notwendige Grundlage dafür ist ein enges Konzept von Weisungen und technischen Schutzmaßnahmen zur Verhinderung von Datenschutzverstößen.

Internationale Nachrichten

• EDPB: Der Europäische Datenschutzausschuss (EDPB) veröffentlicht seinen Bericht über die Nutzung des Support Pool of Experts (SPE). Der SPE unterstützt die Aufsichtsbehörden mit Fachwissen bei Untersuchungen und Durchsetzungsmaßnahmen und stärkt die behördenübergreifende Zusammenarbeit.
• Frankreich: Einige Cyberangriffe führten im letzten Jahr in Frankreich dazu, dass die Informationssysteme mehrerer großer Gesundheitseinrichtungen vollständig blockiert wurden. Angesichts dessen hat die französische Datenschutzaufsichtsbehörde (CNIL) einen Empfehlungsentwurf für die Einhaltung und Sicherheit der elektronischen Patientenakte (EMR) ausgearbeitet. Das Dokument, in dem auch auf die geltenden Vorschriften hingewiesen wird, ist bis zum 16. Mai 2025 Gegenstand einer öffentlichen Konsultation.

Aktuelle Gerichtsentscheidungen: 

• OLG Karlsruhe, Urteil vom 17.12.2024, Az. 12 U 183/23 (juris): Recht auf Auskunft – Aufgrund von Art. 15 DSGVO kann ein Versicherungsnehmer verlangen, dass ihm Informationen über Zeitpunkt und Höhe stattgefundener Beitragsanpassungen, über stattgefundene Tarifwechsel sowie stattgefundene Tarifbeendigungen zur Verfügung gestellt werden.
• VG München, Urteil vom 12.02.2025, Az. M 7 K 22.4558, 7 K 22.4558 (BeckRS 2025, 4045): Zuständigkeit der Aufsichtsbehörde – Öffentliche Stellen der Länder sind nach der Definition in § 2 Absatz 2 BDSG die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. Als öffentliche Stellen der Länder gelten demnach auch Vereinigungen einer Gemeinde ungeachtet ihrer Rechtsform.
• AG Lörrach, Urteil vom 03.03.2025, Az. 3 C 1099/24 (juris): Recht auf Löschung – Wird die Löschung von Daten verlangt, die zu Beweiszwecken erhoben worden sind, dann steht der behauptete Beweiswert einer Löschung nicht entgegen, wenn das Gericht zu der Überzeugung gelangt, dass den Daten unter keinen Umständen ein Beweiswert zukommen kann. 

Neuigkeiten aus den Aufsichtsbehörden: 

• Datenschutzaufsicht Baden-Württemberg: „40. Tätigkeitsbericht Datenschutz 2024“ – Pressemitteilung vom 17.03.2025 und im DatenschutzArchiv
• Landesdatenschutzbeauftragte Nordrhein-Westfalen: „Die Schrebergarten-Saison startet – Vorsicht bei öffentlichen Aushängen“ – Pressemitteilung vom 18.03.2025
• Datenschutzaufsicht Sachsen: „Mehr Transparenz und Open Data nach der Bundestagswahl“ – Pressemitteilung vom 18.03.2025
• Landesdatenschutzbeauftragte Hamburg: „Digitaler Frühjahrsputz: alte Daten löschen, neue Speicherfristen beachten“  – Pressemitteilung vom 19.03.2025
• Datenschutzaufsicht Bayern:„Vorstellung des BayLDA-Tätigkeitsberichts 2024 im Bayerischen Landtag“ – Pressemitteilung vom 20.03.2025 und im DatenschutzArchiv
• Datenschutzaufsicht Mecklenburg-Vorpommern: „Leinen los für die neuen Medienscouts“  – Pressemitteilung vom 24.03.2025