Datenschutz­woche

EDSA-Jahresbericht 2024: Datenschutz im Zeitalter von KI

Der Europäische Datenschutzausschuss (EDSA) hat am 23. April seinen Jahresbericht 2024 veröffentlicht. Mit Stellungnahmen und Leitlinien nimmt der EDSA maßgeblich Einfluss auf die Entwicklung des Datenschutzrechts in der EU.

Künstliche Intelligenz (KI) und die damit verbundenen Herausforderungen für den Datenschutz sind im vergangenen Jahr in den Mittelpunkt der Arbeit gerückt. Mit der "Opinion 28/2024" gab der EDSA Leitlinien zur Verarbeitung personenbezogener Daten bei der Entwicklung und Nutzung von KI-Modellen heraus. Im "Statement 3/2024" erklärt sich der EDSA zur Rolle der Datenschutzaufsichtsbehörden. Diese sollten mit klar definierten Zuständigkeiten, wirksamen Überwachungsbefugnissen und ausreichenden Ressourcen ausgestattet sein, damit sie ihre Aufgaben im Rahmen der KI-Verordnung erfüllen können.

Meta beginnt KI-Training mit persönlichen Daten

Meta wird ab Mai 2025 die Daten aller volljährigen europäischen Nutzerinnen und Nutzer von Facebook und Instagram für das Training der eigenen KI-Anwendungen nutzen. Dies umfasst öffentliche Beiträge, Kommentare, Fotos und Bildunterschriften – auch aus der Vergangenheit. 

Der ursprünglich geplante Start 2024 war aufgrund datenschutzrechtlicher Einwände der irischen Datenschutzaufsichtsbehörde verschoben worden. 

Nutzerinnen und Nutzer haben die Möglichkeit, der Verwendung ihrer personenbezogenen Daten zu widersprechen. Meta informiert alle Betroffenen direkt über die Apps Facebook und Instagram und stellt spezielle Online-Formulare bereit, über die der Widerspruch eingelegt werden kann.

Internationale Nachrichten

• Frankreich: Die CNIL hat im Rahmen ihres strategischen Plans 2025–2028 eine europäische und internationale Strategie entwickelt, um ihre Aktivitäten besser zu koordinieren und sich dabei an den Vorgaben des Europäischen Datenschutzausschusses (EDSA) zu orientieren. Im Fokus stehen eine effektive europäische Zusammenarbeit, die Förderung hoher Datenschutzstandards bei gleichzeitiger Innovationsförderung sowie die Stärkung ihres internationalen Einflusses.
• Spanien: Die spanische Datenschutzaufsicht hat einen Leitfaden zur Erstellung synthetischer Daten veröffentlicht. Synthetische Daten sind ein Schlüsselinstrument für Innovation und Datenschutz bei der Entwicklung von KI-Systemen und -Modellen. Der Leitfaden enthält Fallstudien aus der Praxis sowie Empfehlungen und Best Practices zur Generierung synthetischer Daten und zur Verringerung des Restrisikos der Re-Identifizierung.

Aktuelle Gerichtsentscheidungen

• Landesarbeitsgericht Köln, Urteil vom 05.12.2024, Az. 6 SLa 202/24 (Volltext): Immaterieller Schadenersatz – Ein "Verlust der Kontrolle über personenbezogene Daten" wurde vom Kläger nicht ausdrücklich geltend gemacht und steht auch nicht zu befürchten. Denn die Beklagte hat nicht etwa eine „E-Mail an alle“ versandt und sie hat auch nichts über den Kläger im Intranet, Internet oder in sozialen Medien veröffentlicht. Sie hat den Adressatenkreis vielmehr auf Personen beschränkt, die in ihrer Funktion bei Personalangelegenheiten zur Verschwiegenheit verpflichtet sind: Abteilungsleiter, dessen Stellvertretung, Bauleiter, Betriebsrat und Beschäftigte in der Personalabteilung.
• BGH, Urteil vom 11.02.2025, Az. VI ZR 365/22 (Volltext): Immaterieller Schadenersatz – Anders als das Berufungsgericht meint, muss der Verpflichtung zum Ausgleich keine über diesen Kontrollverlust hinausgehende "benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung gegenüberstehen"; auch muss der Beeinträchtigung des Betroffenen kein besonderes "Gewicht" zukommen, das "über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt". Nach diesen Grundsätzen liegt der Schaden hier ohne Weiteres darin, dass die Beklagte auch nach dem 25. Mai 2018 personenbezogene Daten der Klägerin, die in deren Personalakte enthaltenen waren, hierzu nicht berechtigten Dritten, nämlich Bediensteten des Landes Niedersachsen, zur Bearbeitung überlassen und diese Praxis erst mit Organisationsverfügung vom 22. August 2019 beendet hat.
• BGH, Beschluss vom 22.01.2025, Az. II ZB 18/23 (Volltext): Auskunft – Ein Auskunftsersuchen des Gesellschafters, das auch dem Ziel dient, die Namen, Anschriften und Beteiligungshöhen der Mitgesellschafter dazu zu verwenden, diesen Kaufangebote für ihre Anteile zu unterbreiten, stellt keine unzulässige Rechtsausübung und keinen Missbrauch des Auskunftsrechts dar. Einem solchen Auskunftsbegehren stehen auch nicht die Regelungen der Datenschutzgrundverordnung entgegen.
• BVerwG, Urteil vom 29.01.2025, Az. 6 C 3.23 (BeckRS 2025, 608): Telefonwerbung – Bei der Beurteilung, ob die Verarbeitung personenbezogener Daten zum Zweck der Telefonwerbung zur Wahrung eines "berechtigten Interesses" im Sinne des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO erfolgt, sind die Wertungen des § 7 Abs. 2 Nr. 1 UWG, der die Vorgaben des Art. 13 der RL 2002/58/EG umsetzt, zu berücksichtigen.
• OLG Dresden, Hinweisbeschluss vom 24.03.2025, Az. 4 U 1664/24 (GRUR-RS 2025, 7784): Auskunftsanspruch – Ein Auskunftsanspruch ist erfüllt, wenn der Auskunftsschuldner ausdrücklich oder konkludent erklärt, dass die Auskunft vollständig ist, auch wenn der Verdacht besteht, dass diese Erklärung unrichtig ist. Die Weitergabe von personenbezogenen Daten des Betroffenen durch einen Sachverständigen an ein Gericht ist im Sinne der DSGVO gerechtfertigt, wenn sie sich im Rahmen des dem Sachverständigen übertragenen Auftrags hält.
• LG Bamberg, Urteil vom 26.03.2025, Az. 41 O 749/24 KOIN (Volltext): Scoring – Die Beklagte wird verurteilt, die Erstellung des Bonitätsscores der Klagepartei, also der sog. „Basisscorewerte“, der sog. „Branchenscorewerte“ sowie der sog. „Orientierungswerte“, nicht ausschließlich auf einer automatisierten Verarbeitung beruhend vorzunehmen.
• VG Berlin, Urteil vom 07.04.2025, Az. 1 K 93/24 (juris): Verwarnung durch die Aufsichtsbehörde – Die beklagte Aufsichtsbehörde hat die Befugnis, einen Verantwortlichen zu verwarnen, wenn dieser mit Verarbeitungsvorgängen gegen die DSGVO verstoßen hat. Diese Voraussetzungen liegen hier vor. Der Kläger hat mit der verpflichtenden Einwilligung in die Datennutzung gemäß der Punkte 1 - 5 des streitgegenständlichen Handbuchs zwecks Teilnahme am Landeskadertest gegen die Vorgaben der DSGVO verstoßen.
• OVG Bremen, Beschluss vom 14.04.2025, Az. 1 LA 11/25 (juris): Unmöglichkeit einer Auskunftserteilung gegenüber der Aufsichtsbehörde – Die Klägerin macht zunächst die Nichtigkeit der Verfügung vom 12.12.2023 geltend, weil diese von vornherein auf die Auskunftserteilung über Umstände gerichtet gewesen sei, die ihr nicht vorgelegen hätten. Sie behauptet – erstmalig im Zulassungsvorbringen – diesbezüglich, ihr habe zu keinem Zeitpunkt der Name der Werbeempfänger vorgelegen, sodass sie auch nicht habe wissen können, ob es sich um natürliche oder juristische Personen gehandelt habe. Mit diesem Vorbringen dringt sie nicht durch. Der “ernstliche Zweifel” als Zulassungsgrund kann zwar grundsätzlich auch mit neuen oder neu vorgetragenen Tatsachen begründet werden. Es genügt jedoch nicht, diese lediglich zu behaupten. Erforderlich ist vielmehr eine Substantiierung und Glaubhaftmachung neuen Tatsachenvorbringens, um dem Oberverwaltungsgericht die summarische Beurteilung zu ermöglichen, ob die Berufung voraussichtlich Erfolg haben wird.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Mecklenburg-Vorpommern: „Freischaltung der elektronischen Patientenakte (ePA) – Was Versicherte wissen müssen“
• Datenschutzaufsicht Baden-Württemberg: „Online verfügbar: Fragebogen zur europaweiten Aktion zum Recht auf Löschung“ – Pressemitteilung vom 14.04.2025
• Datenschutzaufsicht Hamburg: „Meta beginnt KI-Training mit persönlichen Daten – wer widersprechen will, muss rasch handeln“ – Pressemitteilung vom 15.04.2025
• Datenschutzaufsicht Baden-Württemberg: „Austausch mit der Volkswagen AG über neuartige Datenverarbeitung in Kundenfahrzeugen“ – Pressemitteilung vom 22.04.2025
• Datenschutzaufsicht Berlin:„Schulungen für Vereine, Start-ups und Kleinunternehmen“ – Pressemitteilung vom 22.04.2025
• Datenschutzaufsicht Hamburg:„Fragen und Antworten zum Tracking durch Drittdienste auf Websites“ – Pressemitteilung vom 24.04.2025
• Datenschutzaufsicht Baden-Württemberg: „Neue BIDIB-Schulungen im Mai und Juni“ – Pressemitteilung vom 25.04.2025