Datenschutzwoche

#205

TikTok und Meta verstoßen gegen den Digital Services Act

Die Europäische Kommission hat am 24. Oktober vorläufig festgestellt, dass TikTok und Meta gegen Transparenzrechte nach dem Digital Services Act (DSA) verstoßen haben.

Nach Auffassung der Kommission erschweren TikTok und Meta Forschenden den Zugang zu Daten, etwa durch komplexe Verfahren und unvollständige Datensätze. Dies behindere unabhängige Analysen zu Risiken für Nutzerinnen und Nutzer, insbesondere Minderjährige. Der DSA verpflichtet große Onlineplattformen, Forschenden ausreichenden Datenzugang zu gewähren, um deren gesellschaftliche Auswirkungen nachvollziehen zu können.

Zudem bemängelt die Kommission, dass Meta keine benutzerfreundlichen Meldeverfahren für illegale Inhalte anbietet und irreführende („Dark Pattern“-) Gestaltungen nutzt. Auch die Beschwerdeverfahren bei gelöschten Inhalten oder Kontosperrungen seien unzureichend.

Meta und TikTok können nun zu den vorläufigen Ergebnissen Stellung nehmen. Bestätigen sich die Verstöße, drohen Geldbußen von bis zu sechs Prozent des weltweiten Jahresumsatzes.

Am 29. Oktober 2025 tritt zudem der delegierte Rechtsakt über den Datenzugang im Rahmen des DSA in Kraft. Er soll Forschenden einen strukturierten Zugang zu internen Daten sehr großer Online-Plattformen und Suchmaschinen ermöglichen. Über ein zentrales Datenzugangsportal sollen Forschende künftig Datensätze beantragen und mit den Plattformen sowie den nationalen Koordinatoren für digitale Dienste kommunizieren können. Ziel ist es, systemische Risiken besser zu untersuchen und einheitliche Standards für Forschung und Transparenz in der gesamten EU zu schaffen.

KI-Training bei LinkedIn: Widerspruchsfrist endet demnächst

Das Karrierenetzwerk LinkedIn plant, ab 3. November 2025 Daten seiner Nutzerinnen und Nutzer zum Training eigener KI-Modelle zu verwenden. Erfasst werden sollen Inhalte aus Profilen, Kommentaren, Fotos und öffentlichen Beiträgen, nicht jedoch private Nachrichten.

LinkedIn selbst schreibt dazu: „Ab dem 3. November 2025 verwenden wir einige Daten von Mitgliedern in (EU) Regionen, um inhaltsgenerierende KI-Modelle zu trainieren, die ihre Erfahrung optimieren und unsere Mitglieder besser mit Jobangeboten verbinden.(…) Wir stützen uns auf unser berechtigtes Interesse, um ihre Daten zu diesem Zweck zu verarbeiten. Sie können dies jederzeit in ihren Einstellungen deaktivieren, wenn sie nicht möchten, dass ihre Daten auf diese Weise verwendet werden.“

Datenschutzbehörden und Verbraucherorganisationen sehen darin erhebliche Risiken. Bereits öffentlich sichtbare Profilangaben können personenbezogene oder sensible Informationen enthalten, die nach ihrer Nutzung kaum noch aus KI-Modellen entfernt werden können. Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen sowie weitere Aufsichtsbehörden raten daher dringend, der Datennutzung aktiv zu widersprechen – möglichst vor Inkrafttreten der neuen Regelung am 3. November.

Die Sächsische Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert rät: »Wer bei LinkedIn registriert ist und nicht möchte, dass beispielsweise der hinterlegte Lebenslauf an die KI verfüttert wird, sollte jetzt von seinem Widerspruchsrecht Gebrauch machen. Denn wenn die persönlichen Informationen erstmal verarbeitet wurden, lassen sie sich womöglich nicht mehr vollständig aus den KI-Systemen entfernen. In diesem Fall kann nicht ausgeschlossen werden, dass sich für Nutzende künftig Nachteile ergeben, beispielsweise bei der Jobsuche.« Zusätzlich veröffentlichte sie eine Anleitung zu Widerspruchsmöglichkeiten bei LinkedIn.

Internationale Nachrichten

EU: Das „European Cybersecurity Competence Centre“ erhält im neuen Arbeitsprogramm rund 355 Millionen Euro für Maßnahmen im Bereich Cybersicherheit. Die Mittel werden von 2025 bis 2027 verteilt und sollen Projekte zur Stärkung der digitalen Sicherheit und Widerstandsfähigkeit in der Europäischen Union fördern.
Norwegen: Vor dem norwegischen Borgarting Lagmannsrett wird derzeit die Berufung des US-Unternehmens Grindr LLC gegen eine Datenschutzstrafe von 65 Millionen Norwegischen Kronen (rund 5,5 Millionen Euro) verhandelt. Das Verfahren betrifft die unrechtmäßige Weitergabe von Nutzungsdaten an Werbepartner in den Jahren 2018 bis 2020. Das norwegische Datatilsynet hatte Grindr vorgeworfen, personenbezogene Daten – darunter Standort, IP-Adresse und App-ID – ohne gültige Einwilligung zu Werbezwecken übermittelt zu haben. Nach Auffassung der Datenschutzbehörde handelte es sich dabei um sensible Daten über die sexuelle Orientierung, da die App gezielt auf die LGBTQ+-Community ausgerichtet ist. Grindr bestreitet die Einstufung der Daten als „besondere Kategorien personenbezogener Daten“ nach Artikel 9 DSGVO und hält die erteilten Einwilligungen für wirksam. Die Vorinstanz hatte die Entscheidung der Datenschutzbehörde bestätigt. Nun prüft das Berufungsgericht, ob die Sanktion rechtmäßig und verhältnismäßig war. Ein Urteil wird in den kommenden Wochen erwartet.
Meta: Der Verbraucherschutzverein (VSV) hat beim Hanseatischen Oberlandesgericht Hamburg eine Verbandsklage gegen den US-Konzern Meta eingereicht. Hintergrund ist die Nutzung der sogenannten „Meta Business Tools“, mit denen Facebook und Instagram umfangreiche Daten über Nutzerinnen und Nutzer sammeln. Nach Angaben des VSV erfasst Meta über eingebundene Tracking-Werkzeuge das Verhalten von Internetnutzenden auf tausenden Webseiten und Apps. Diese Praxis ermögliche die Erstellung individueller „digitaler Fingerabdrücke“. Die Klage fordert Unterlassung, Löschung der gesammelten Daten sowie Schadensersatz in Höhe von 5.000 Euro bei Volljährigkeit und 10.000 Euro bei Minderjährigkeit. Betroffene Personen können sich kostenfrei und ohne Risiko im Klageregister des Bundesamts für Justiz anmelden.
EU-Parlament: Das Europäische Parlament hat neue Verfahrensvorschriften zur grenzüberschreitenden Durchsetzung der DSGVO verabschiedet. Ziel der Verordnung ist es, Verfahren zwischen nationalen Aufsichtsbehörden effizienter, transparenter und einheitlicher zu gestalten. Die Regeln legen feste Fristen für Untersuchungen und Entscheidungen fest: Federführende Behörden müssen nun binnen 15 Monaten einen Beschlussentwurf zur Beschlusssache vorlegen. Zudem wird ein vereinfachtes Kooperationsverfahren eingeführt, wenn der Fall eindeutig ist und keine zusätzliche Zusammenarbeit mit anderen betroffenen Aufsichtsbehörden erforderlich ist.

Aktuelle Gerichtsentscheidungen

LG Hamburg, Beschluss vom 28.05.2025, Az. 416 HKO 62/25 (GRUR-RS 2025, 27086): Content Creator – Die Antragsgegnerin zu 1) gibt ohne Zustimmung ihrer Nutzer sensible personenbezogene Daten, die Rückschlüsse auf deren Sexualleben oder sexuelle Orientierung zulassen, an Dritte weiter und holt dafür keine Einwilligung ein, was gegen Art. 9 DSGVO verstößt. Außerdem stellt sie deutschen Nutzern ihre Datenschutzhinweise nur in englischer Sprache bereit und verletzt damit die Transparenzpflichten nach Art. 5 und 12 DSGVO sowie § 5a UWG.
VG Hannover, Urteil vom 5. Juni 2025, Az. 10 A 4017/23 (juris): Verwarnungen gegen Automobilhersteller – Die Informationspflicht nach Art. 13 Abs. 3 DSGVO verlangt eine aktive Unterrichtung der betroffenen Personen. Das Einstellen einer Datenschutzerklärung in das Intranet ohne gesonderten Hinweis auf die Einstellung genügt dann nicht den Anforderungen des Art. 13 Abs. 3 DSGVO, wenn ein zusätzlicher Hinweis auf das Einstellen nach den konkreten Umständen des Einzelfalls zumutbar und nicht mit unverhältnismäßigem Aufwand verbunden ist. Letzteres ist insbesondere dann der Fall, wenn der Kreis der betroffenen Personen für den Verantwortlichen überschaubar und ihm bekannt ist.
OLG Frankfurt a. M., Urteil vom 10.07.2025, Az. 6 UKl 14/24 (GRUR-RS 2025, 16183): Kopplungsverbot – Die Beklagte hat die Vertragserfüllung von einer Einwilligung in die Datenverarbeitung abhängig gemacht, die für die Erfüllung des Vertrages nicht erforderlich ist. Diese Erhebung der Daten war für die Erbringung der von der Beklagten geschuldeten Leistung nicht in tatsächlicher Hinsicht zwingend erforderlich. Die Beklagte konnte nicht nachweisen, inwiefern der Hauptgegenstand des Vertrags (Erbringung der Beförderungsdienstleistung) ohne die betreffende Verarbeitung nicht erfüllt werden könnte.

Neuigkeiten aus den Aufsichtsbehörden:

Datenschutzkonferenz: „Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 21. Oktober 2025“– Stellungnahme vom 16.10.2025

Weitere Ausgaben