Datenschutz­woche

#201

Menschliche Aufsicht und automatisierte Entscheidungen: EDPS veröffentlicht Report

Am 23. September 2025 veröffentlichte der Europäische Datenschutzbeauftragte (EDPS) einen Report über die Wirksamkeit menschlicher Aufsicht bei automatisierten Entscheidungsprozesse (Automated Decision Making, ADM). Im Mittelpunkt steht die Frage, wie Menschen mit algorithmischen Systemen interagieren und welche Risiken für Grundrechte und demokratische Werte dabei entstehen können. 

Der Report analysiert typische Fehlannahmen und zeigt  praxisnahe Maßnahmen, wie menschliche Aufsicht zu mehr Transparenz, Fairness und Verantwortlichkeit beim Einsatz von ADM-Systemen führen kann.

Menschliche Aufsicht über automatisierte Entscheidungssysteme beruht häufig auf falschen Annahmen. Daher kommt es auf die sorgfältige Ausgestaltung an. Es braucht klare Verantwortlichkeiten, transparente Systeme und fundiert geschultes Personal, das nicht nur die Fehler des Systems „repariert“. Der EDPS fordert daher verbindliche Standards und Prüfprozesse, um sicherzustellen, dass menschliche Aufsicht tatsächlich ihre Schutzwirkung entfaltet und ADM-Systeme nicht nur legitimiert.

EDSA: Kein Anpassungsbedarf bei Bußgeldrichtlinien

Der Europäische Datenschutzausschuss sieht nach dem EuGH-Urteil C-383/23 keinen Anlass, seine Leitlinien zur Berechnung von DSGVO-Bußgeldern zu überarbeiten. Dies geht aus einem kürzlich veröffentlichten Schreiben hervor. Darin antwortete das Gericht auf eine Vorlagefrage bezüglich des Unternehmensbegriffs in Art. 83 Abs. 4 bis Abs. 6 DSGVO. 

Demnach entspricht dieser dem Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV. Hintergrund ist, dass der Höchstbetrag einer Geldbuße gegen einen Verantwortlichen wegen eines Verstoßes gegen die DSGVO auf Grundlage eines Prozentsatzes des gesamten, weltweit erzielten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr bestimmt. 

Der EuGH betont in C-383/23, dass Datenschutzbehörden bei der Bemessung von Geldbußen nach Art. 83 Abs. 2 DSGVO alle relevanten Umstände berücksichtigen müssen, um Wirksamkeit, Verhältnismäßigkeit und Abschreckungswirkung zu gewährleisten. Dabei muss auch die wirtschaftliche Leistungsfähigkeit einbezogen werden. Die Leitlinien 4/2022 2 für die Berechnung von Geldbußen im Sinne der DSGVO sehen einen schrittweisen Ansatz für die Berechnung der Höhe der Geldbuße vor. 

Nach sorgfältiger Prüfung des Urteils in der Rechtssache C-383/23 ist der EDSA der Ansicht, dass die Leitlinien 4/2022, insbesondere Abschnitt 6.2.1, mit diesem Urteil im Einklang stehen und dass zum gegenwärtigen Zeitpunkt keine Änderungen erforderlich sind.

Internationale Nachrichten

  • Die polnische Datenschutzaufsichtsbehörde verhängte gegen McDonald’s Polska und gegen deren Auftragsverarbeiter 27/7 Communication Bußgelder in Höhe von 4,02 Mio. EUR bzw. 43.680 EUR wegen gravierender Verstöße gegen die DSGVO. Infolge einer Server-Fehlkonfiguration waren zahlreiche Beschäftigtendaten öffentlich zugänglich geworden. Weder der Verantwortliche noch der Auftragsverarbeiter hatten Risikobewertungen durchgeführt, angemessene technische und organisatorische Maßnahmen implementiert oder den DSB wirksam einbezogen. Zudem fehlte eine gültige Vereinbarung zur Unterauftragsverarbeitung.
  • Frankreich: Die CNIL verhängte gegen SAMARITAINE SAS eine Geldstrafe in Höhe von 100.000 EUR. Das Unternehmen hatte als Rauchmelder getarnte Kameras mit Audiofunktion in Lagerräumen installiert. Die Geräte zeichneten private Gespräche von Mitarbeitenden auf. Das Unternehmen hatte darauf verzichtet, die Mitarbeitenden und den Datenschutzbeauftragten zu informieren und eine Datenschutzfolgenabschätzung durchzuführen.
  • Großbritannien: Die britische Regierung plant bis 2029 die Einführung eines verpflichtenden digitalen Personalausweises („BritCard“). Während die Regierung Vorteile wie einfachere Identitätsprüfungen hervorhebt, lehnen Opposition und Bürgerrechtsgruppen das Projekt überwiegend ab und warnen vor einem Überwachungsstaat, Missbrauchsmöglichkeiten und Cyberrisiken. Eine Online-Petition gegen das Vorhaben hat mehr 1,6 Millionen Unterschriften.

Aktuelle Gerichtsentscheidungen

  • LAG Hamm (Westfalen), Urteil vom 28.05.2025, Az. 18 SLa 959/24 (Volltext): Videoüberwachung – § 26 Abs. 1 Satz 1 BDSG vermag die Videoüberwachung nicht zu rechtfertigen. Die Norm kommt als rechtliche Grundlage für die Datenverarbeitung nicht in Betracht, da sie den Anforderungen, die Art. 88 DSGVO an Vorschriften des nationalen Rechts stellt, nicht erfüllt (BAG, Beschluss vom 09.05.2023 1 - ABR 14/22). Dies gilt schon deshalb, weil Schutzmaßnahmen im Sinne des Art. 88 Abs. 2 DSGVO nicht vorgesehen sind.
  • OLG Hamm, Beschluss vom 15.07.2025, Az. 26 W 18/25 (GRUR-RS 2025, 24552): Verarbeitungsvorgang – Die menschliche Wahrnehmung und die Erinnerung daran im Vorstellungsvermögen des Mitarbeiters stellen [...] keinen Datenverarbeitungsvorgang im Sinne der DSGVO dar, wie sich aus Art. 2 Abs. 1 DSGVO ergibt. Die darüber hinausgehende Mutmaßung, der Mitarbeiter der Herstellerfirma könnte seine Anwesenheit zur Aufnahme von Schulungsvideos missbraucht haben, ist ersichtlich ins Blaue hinein aufgestellt. Anhaltspunkte hierfür sind nicht ersichtlich.
  • OLG Stuttgart, Urteil vom 23.09.2025, Az. 6 UKl 2/25 (juris): Informationspflichten beim Fernabsatz – Die Bereitstellung von personenbezogenen Daten durch den Verbraucher stellt keinen Preis im Sinne des Art. 246a § 1 Abs. 1 Nr. 5 EGBGB dar, sodass die Beklagte auch nicht verpflichtet war, die in den Vertragsbedingungen eingehend beschriebene Hingabe der Daten als den Gesamtpreis oder allgemein als Gegenleistung für ihre Dienstleistungen zu deklarieren.

Neues aus den Aufsichtsbehörden