Datenschutz­woche

EDSA veröffentlicht Bericht zur koordinierten Durchsetzungsaktion CEF 2024

Der Europäische Datenschutzausschuss (EDSA) hat am 20. Januar 2025 einen Bericht zur Umsetzung des Auskunftsrechts durch Verantwortliche veröffentlicht. Im Rahmen der Aktion "Coordinated Enforcement Framework" (CEF) 2024 haben 30 Datenschutzbehörden in Europa koordinierte Untersuchungen zur Einhaltung des Auskunftsrechts durch die Verantwortlichen bei 1.185 Organisationen, darunter Unternehmen und öffentliche Stellen, eingeleitet. Im Ergebnis wurden sieben Herausforderungen identifiziert, darunter die fehlende Dokumentation interner Prozesse, die übermäßige Inanspruchnahme von Ausnahmen sowie Hürden für Betroffene. Positiv bewertet wurden innovative Ansätze wie nutzerfreundliche Online-Formulare und Self-Service-Systeme. Der Bericht enthält auch Empfehlungen, wie die Auskunftspraxis verbessert werden kann.

In Deutschland waren die Landesdatenschutzaufsichtsbehörden aus Bayern (BayLDA), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, Saarland und Schleswig-Holstein sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit beteiligt. Insgesamt wurden 116 Verantwortliche überprüft. Die im EDSA-Bericht dargestellten Ergebnisse für die EU decken sich weitgehend mit denen der beteiligten deutschen Aufsichtsbehörden.

Steht der Datenschutzrahmen zwischen EU und USA vor dem baldigen Ende?

Das Privacy and Civil Liberties Oversight Board (PCLOB) ist die zentrale Aufsichtsbehörde für den Datenschutz in den USA. Ihre Arbeit ist ein wichtiges Element für das Trans-Atlantic Data Privacy Framework (TADPF), welches Datentransfers aus der EU in die USA legitimiert. Das Aufsichtsgremium, das derzeit aus vier Mitgliedern besteht, benötigt drei aktive Mitglieder, um arbeitsfähig zu sein. In der vergangenen Woche hat US-Präsident Donald Trump die von den Demokraten nominierten Mitglieder des PCLOB zum Rücktritt aufgefordert. Andernfalls würden sie entlassen. Aktuell sind sie noch im Amt (Stand 27.1.2025).

Es bleibt zunächst offen, ob ein Szenario, in dem der Datenschutzrahmen zwischen der EU und den USA gefährdet erscheint, überhaupt eintritt. Dagegen spricht, dass das TADPF - im Gegensatz zu den von Trump bereits per Executive Order aufgehobenen KI-Regulierungen - eine unmittelbare Erleichterung für US-Unternehmen darstellt. Eine Gefährdung des transatlantischen Datenverkehrs würde auch die wirtschaftlichen Interessen von US-Unternehmen auf dem EU-Markt gefährden. Abzuwarten bleibt, ob die EU-Kommission die bestehende Angemessenheitsentscheidung angesichts der Entwicklungen überprüfen wird.

Internationale Nachrichten

• Europa: Der EDSA hat einen Bericht über die Umsetzung des Auskunftsrechts durch die Verantwortlichen veröffentlicht. Der Bericht fasst die Ergebnisse nationaler Maßnahmen zusammen, die 2024 im Rahmen der koordinierten Prüfaktion (CEF 2024) durchgeführt wurden.
• Europa: Der EDSA bewertet im Rahmen des Forschungsprojekts „KI: Komplexe Algorithmen und effektive Datenschutzaufsicht“ auftretende  Verzerrungen und empfiehlt Maßnahmen zur wirksamen Umsetzung der Betroffenenrechte.
• Großbritannien: Das Unternehmern ESL Consultancy Services Ltd. (ESL) wurde zu einer Geldstrafe in Höhe von £ 200.000 verurteilt. Grund waren rechtswidrige Kreditwerbungen und belästigenden Textnachrichten an Personen, die dem Erhalt dieser Nachrichten nicht zugestimmt hatten.

Aktuelle Gerichtsentscheidungen

• LAG Rheinland-Pfalz, Urteil vom 22.08.2024, Az. 5 SLa 66/24 (BeckRS 2024, 39034): Schadenersatz – Die Klägerin hat bereits dem Grunde nach keinen Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO. Sie musste objektiv nicht damit rechnen, dass sie ihren Arbeitsplatz bei dem neuen Arbeitgeber verliert, weil sie in Werbematerialien ihres alten Arbeitgebers noch als Ansprechpartnerin namentlich aufgeführt war. Es handelte sich ersichtlich um ein Versehen, das sich mit einfachen Mitteln hätte sofort aufklären lassen.
• OLG Dresden, Urteil vom 21.11.2024, Az. 4 U 771/24 (juris): Datenschutzverletzung – Hatte der Nutzer eines sozialen Netzwerkes die von einem Scraping-Vorfall betroffenen Daten bereits vor diesem Ereignis auf einer eigenen Homepage zum Abruf bereitgehalten, kann er sich nicht auf einen Kontrollverlust berufen.
• OLG Dresden, Urteil vom 26.11.2024, Az. 4 U 869/24 (juris): Datenschutzverletzung – Wird das Bestehen eines Nutzungsvertrages vom Anbieter substantiiert bestritten, genügt der bloße Hinweis des Anspruchstellers auf eine Abfrage bei der Website www.haveibeenpawned.com nicht.
• OLG Dresden, Urteil vom 10.12.2024, Az. 4 U 732/24 (juris): Datenschutzverletzung – Die Vermutung der Wiederholungsgefahr für einen Unterlassungsanspruch gegen einen Datenschutzverstoß im Zusammenhang mit einem Scraping-Vorfall ist entkräftet, wenn die dafür verantwortliche Sicherheitslücke geschlossen und davon auszugehen ist, dass ein hierauf gestütztes Abfischen von Daten nicht mehr möglich ist.
• OLG Dresden, Urteil vom 10.12.2024, Az. 4 U 815/24 (juris): Datenschutzverletzung – Ein Kontrollverlust an Daten, die infolge eines Datenschutzverstoßes von einem sozialen Netzwerk "gescraped" wurden, liegt insoweit nicht vor, als diese Daten mit der Registrierung anzugeben und zwingend öffentlich für jedermann einsehbar waren.
• OLG Karlsruhe, Urteil vom 15.01.2025, Az. 14 U 150/23 (juris): Löschung – Sind die Gründe entfallen, die Anlass für das Erheben und Vorhalten personenbezogener Daten durch den Betreiber einer Internetplattform nach erfolgter Löschung von Inhalten von einem Nutzerkonto oder vorübergehender Sperrung dieses Nutzerkontos waren, kann die fortgesetzte Verarbeitung der Daten in Form der Speicherung nicht auf die Ausnahmevorschrift des Art. 17 Abs. 3 lit. e DSGVO gestützt werden, wenn der zugrundeliegende Vorfall bereits Gegenstand einer gerichtlichen Auseinandersetzung ist und die Geltendmachung weitergehender Ansprüche zwar theoretisch möglich, aber gänzlich unwahrscheinlich ist.

Neuigkeiten aus den Aufsichtsbehörden:

• Datenschutzaufsicht Nordrhein-Westfalen: „Datenkartell aufgedeckt: Beauftragte nimmt sich Versicherungsunternehmen vor“ – Pressemitteilung vom 22.01.2025
• Virtuelles Datenschutzbüro: „Europaweite Prüfungen zum Recht auf Auskunft: Niedersächsische Unternehmen schneiden gut ab“– Pressemitteilung vom 22.01.2025
• Datenschutzkonferenz (DSK): „Europaweite Initiative zum Auskunftsrecht: EDSA veröffentlicht Bericht zur koordinierten Prüfaktion CEF 2024“ – Pressemitteilung vom 22.01.2025
• Datenschutzaufsicht Sachsen: „Premiere in Sachsen: Erster Tätigkeitsbericht nach dem Sächsischen Transparenzgesetz“ – Pressemitteilung vom 23.01.2025
• Datenschutzaufsicht Mecklenburg-Vorpommern:  „Abschluss der europaweiten Prüfung zum Auskunftsrecht - Ergebnisse auch für Mecklenburg-Vorpommern“ – Pressemitteilung vom 23.01.2025
• Datenschutzkonferenz (DSK): Unter dem Motto: „Digitalisierung um jeden Preis? Kein Zwang zur Preisgabe personenbezogener Daten" lädt der Hessische Beauftragte für Datenschutz und Informationsfreiheit anlässlich des Europäischen Datenschutztags am 28. Januar zu einer Vortrags- und Diskussionsveranstaltung in die Hessische Landesvertretung in Berlin ein.